浅析智慧热网建设原则和安全防护体系

2016-03-14宁夏宁东供热有限公司

电子世界 2016年16期

关键词：热网标准化原则

宁夏宁东供热有限公司　张　钧

浅析智慧热网建设原则和安全防护体系

宁夏宁东供热有限公司张钧

随着科学进步与社会发展，传统方式的城市热网建设和管理已经难以满足社会的发展需求，迫切需要城市热网的建设和管理能够结合信息技术，建设智慧型热网。本文针对多个专业领域，分析了智慧热网的建设原则，并介绍了智慧热网的安全防护体系。

1　智慧热网的建设原则

1.1标准化原则

标准化工作是信息化建设中的一项基础性的系统工程，是信息系统开发成功和得以推广应用的关键之一，因此，加强信息标准化工作具有十分重要的现实意义和深远影响。由于平台采集的数据需要多个供应商不同设备进行传输，那么信息交换接口标准化就尤为重要了。我们需要对信息的输入和输出的格式制定规范和标准，其中包括网络的互联标准和通信协议、不同数据库之间的数据交换格式以及交换方法，不同信息系统之间数据的转换方式，报表文件格式和统计口径标准化，数据文件传送格式的标准化等。信息系统的质量与接口的标准化密切相关，其中接口标准化又是信息标准化中关键一环。

1.2先进性原则

采用符合当今潮流和发展趋势的主流技术，计算先进并趋于成熟的，被公众认可的优质开发和应用平台搭建整个系统的技术架构，保证系统具有不断发展、成长的生命活力。

1.3实用性原则

系统设计应从使用者的角度出发，充分挖掘、提炼系统用户的实际需求，向用户提供界面友好、交互流畅的高效率系统。

1.4可靠及稳定性原则

本系统所采集的数据对城市供热管理至关重要，每一项数据都关系到热网的安全、平稳、科学的运行，因此对各项数据信息的实时性、准确性提出了较高要求。另外，高可靠性和强大有效的容错能力也是系统设计的重要原则。系统应能保证不间断运行，通过对硬件和软件架构的持续优化保证系统的稳定运行，杜绝系统崩溃的可能。

1.5安全性原则

系统应采用高级网络安全设备和严格的网络访问规则来限制数据的发布和存取。应用系统本身的角色管理、分级授权等安全保密机制也必须完整实现。同时应采取多层次的冗余备份手段和技术，保证设备在发生故障时能在最短时间内恢复，最大程度的保证网络的正常运转。

1.6可扩展性原则

系统的可扩展性是指系统可以满足不断变化的业务需求，并作出快速响应。因为在软件开发领域中，唯一的不变就是变化。用户的业务总是在不断的发展和优化中，因此，平台的设计也须适应这种变化，能够在需求发生变化的时候满足其变化要求。

1.7可管理性原则

热网系统一般属于大型网络，涉及的部门和设备较多且复杂，因此对可管理性有较高要求。热网系统应具备自主检测、故障诊断、故障隔离、屏蔽设置、历史数据记录、甚至具备自恢复等功能，以便于系统的管理和维护。为了便于管理和维护，集成度高、模块化设计、通用性强的产品逐步成为热网建设的首选。

1.8经济及效益性原则

平台的建设不能一味求大，脱离实际需要盲目的堆砌高级的硬件设施，运行期间对它们的维护也会需要一笔不小的开支。要做到控制投入，扩大产出。我们既要保证平台在稳定、高效和经济的运行，又要保证平台的用户切实能够提高工作效率和管理水平。

2　智慧热网的安全防护体系

随着计算机技术的不断提发展，网络环境也变得越来越复杂，网络系统所面对的安全隐患也越来越多，因此需要不断完善智慧热网的安全防护体系，保障热网的安全平稳运行。

1）智慧热网平台主要负责是供热系统中运行参数数据的采集和应用，为了确保热网系统的安全性和保密性，首先应合理规划、认真设计；其次，应尽量采用的当前的先进技术和手段，如虚拟网络、防火墙技术、网络安全技术、密钥技术等，在系统的各个层面加以防范；另外，在系统的日常运行管理中，规范的管理手段、完善的安全管理制度，也是系统安全运行的重要保障。

2）安全防护体系建设的总体目任务是预防数据网络瘫痪、避免应用系统破坏、预防热网数据丢失、防止重要信息外泄、隔离危险源、防止病毒侵害、防止恶意渗透攻击，确保信息系统安全稳定运行，确保热网数据安全。

3）安全防护体系建设应遵循以下策略：信息内外网间采用物理隔离设备进行隔离；信息系统将以实现等级保护为基本出发点进行安全防护体系的建设，严格按照国家等级保护基本要求进行安全防护措施设计；信息系统划分为边界、网络、主机、应用四个层次进行安全防护设计，以实现层层深入，全面防御。

①边界安全防护

边界安全防护是指本系统与其它外系统间的边界网络接口的安全防护。相关管理人员应当明确系统的网络边界在哪里，布置相应的防护工作。主要的防护措施如下。

a）远程接入防护：对于远程访问以及数据交换，应当在信息边界采用密钥、认证等手段进行相应的安全防护；

b）域间访问控制：在不同的安全域之间对所交换的数据流进行访问控制，包括连接认证、流量统计、入侵识别与检测等；

c）对外安全：对外数据在流出前，应对数据进行校验与审核，保证输出数据的合法性，并做好对外数据的记录。

②网络环境安全防护

网络环境安全防护是指对系统的搭建方式、设备之间及经网络传输的数据信息流进行安全控制措施设计。

网络业务信息流包括各应用经由网络传输的业务信息，业务数据流在经由网络传输时可能被截获、篡改、删除，因此应当在网络层面采取安全措施以保证经由网络传输信息的安全。主要的措施如下。

a）入侵检测：对网络数据流进行入侵检测；

b）数据传输加密：对经由网络传输的业务信息流，首先通过安全认证芯片进行加密处理，然后发送到网络上，接收端同样通过安全认证芯片进行解密认证。

③数据接口安全防护

实际应用中，智慧热网平台与其它平台或系统进行数据的共享，这些跨系统间共享的数据为供热系统资源整合和业务决策提供了数据支持，但同时也给数据带来了安全挑战。因此需要制定相应安全措施，以规范指导业务应用系统建设和运行的数据接口安全要求。从信息安全角度来讲，认证和加密是保障数据接口安全的主要方法。一般而言，数据接口的安全防护分为域内数据接口安全防护和域间数据接口安全防护。域内数据接口是指数据交换发生在一个安全域的内部，由于不同应用系统之间需要通过网络共享数据，而设置的数据接口；域间数据接口是指发生在不同的安全域间，由于跨安全域的不同应用系统间需要共享数据而设置的数据接口。数据接口安全防护可考虑的安全措施：接口数据连接建立之前进行接口认证，认证方式包括共享密钥、用户名/密码、以及伪随机校验等方式，并对密钥长度、破译难度、生存周期等做出严格规定，在认证过程中所经网络传输的口令信息应当采用加密传送。