关于SIS和MIS两网合一的探讨

龙源期刊网 https://www.360docs.net/doc/5817539287.html,

关于SIS和MIS两网合一的探讨

作者：田松

来源：《建筑工程技术与设计》2014年第31期

摘要：本文针对《火力发电厂信息系统设计技术规定》提出的两网合一方案从信息安全、网络结构、交换方式、设备布置等方面的可行性进行了论证，提出了方案对于信息安全和国家规定的矛盾，提出了个人的一些意见和建议。

关键词：物理隔离，5号令，VLAN，防火墙

新编行业标准《火力发电厂信息系统设计技术规定》已完成了报批稿并报批，在讨论稿中提出了SIS和MIS两网合一和功能融合的概念，统一为电厂信息网络系统。网络结构上SIS交换机和MIS交换机合并配置，通过交换机模块和端口间的VLan技术和防火墙技术，实现SIS 和MIS的隔离方案，信息系统网络结构示意见下图所示。

SIS和MIS两网合一信息系统网络结构示意图

常规SIS和MIS网络结构示意图

虽然通过交换机模块和端口间的VLan技术和防火墙技术的SIS和MIS两网合一方案相比于常规SIS和MIS网络结构方案可以减少一对核心交换机和一台SIS镜像服务器，理论上可以减少投资，提高数据的传输效率。但是仍然存在一些技术问题，主要有以下几个方面：

1. VLan技术和防火墙是基于交换机的配置功能，通过交换机的管理程序设定的，而交换机的保护能力较弱，端口隔离功能和控制权限的设置信息存储在交换机的配置文件上，黑客或者恶意的攻击者可以通过修改交换机的配置文件的方式取得交换机的控制权限，从而建立控制区和管理区的连接，通过管理区的端口取得对控制区的访问和控制能力，从而对电厂的运行造成破坏。

2. VLan技术和防火墙只能做到应用层和表示层的数据隔离，通过对数据包的报头地址过滤和阻断进行隔离，实现两个区之间的数据包的传输限制，而对于广播性质的无地址的数据包并没有防护能力，并不是实质物理层的隔离，恶意攻击者仍然可以通过广播方式利用操作系统的漏洞或者后门实现对控制区主机的控制，或者可以通过克隆控制区主机的网卡物理地址伪装成控制区设备取得数据和控制权限。

3. 在电厂项目中，SIS服务器和交换机设备往往放置在控制楼或电子设备间，而MIS服务器和交换机设备往往放置在生产办公楼区域，布置位置并不适合合并设置，而且虽然减少了交换机的数量但是需要配置具有高级网管功能的模块式交换机，而且交换机的交换能力要求更高，连接的端口并没有减少，因此投资并不会减少，而且会造成交换能力的浪费。