今日頭條
官方微信
官方抖音
資訊頻道摘要:本文介紹了電廠信息安全的三道重要防線,對(duì)電廠主要自動(dòng)化系統(tǒng)信息安全的防御重點(diǎn)進(jìn)行了討論。針對(duì)控制系統(tǒng),主要論述了DCS、DEH、BPS、ETS和輔助車間控制系統(tǒng)的信息安全防御重點(diǎn)。針對(duì)信息系統(tǒng),主要論述了SIS和MIS的信息安全防御重點(diǎn)。
關(guān)鍵詞:電廠;信息安全;防御
中國(guó)能源建設(shè)集團(tuán)有限公司工程研究院副院長(zhǎng) 許繼剛
許繼剛(1964- ),男,山東泰安人,教授級(jí)高工,博士,新世紀(jì)百千萬(wàn)人才工程國(guó)家級(jí)人選,國(guó)務(wù)院政府特殊津貼專家,現(xiàn)任中國(guó)能源建設(shè)集團(tuán)有限公司工程研究院副院長(zhǎng),兼任電力行業(yè)熱工自動(dòng)化與信息標(biāo)準(zhǔn)化委員會(huì)副主任、電力行業(yè)熱工自動(dòng)化技術(shù)委員會(huì)副主任、中國(guó)自動(dòng)化學(xué)會(huì)發(fā)電自動(dòng)化專委會(huì)副主任、中國(guó)電機(jī)工程學(xué)會(huì)熱工自動(dòng)化專委會(huì)副主任、中國(guó)儀器儀表學(xué)會(huì)產(chǎn)品信息委員會(huì)副主任、中國(guó)儀器儀表學(xué)會(huì)自控工程設(shè)計(jì)委員會(huì)主任。國(guó)家標(biāo)準(zhǔn)《大中型火力發(fā)電廠設(shè)計(jì)規(guī)范》編制組副組長(zhǎng),行業(yè)標(biāo)準(zhǔn)《火力發(fā)電廠信息系統(tǒng)設(shè)計(jì)技術(shù)規(guī)定》編制組組長(zhǎng)。
1 引言
隨著國(guó)家基礎(chǔ)建設(shè)的快速發(fā)展,電力行業(yè)迎來(lái)了前所未有的建設(shè)高潮。截至到2016年6月底,全國(guó)發(fā)電總裝機(jī)容量超過(guò)15.2億千瓦,其中火電裝機(jī)容量10.2億千瓦,煤電高達(dá)9.2億千瓦。大容量高參數(shù)發(fā)電機(jī)組在電網(wǎng)中的比例越來(lái)越高,百萬(wàn)千瓦級(jí)機(jī)組的數(shù)量牢牢穩(wěn)居世界首位,大型機(jī)組在電網(wǎng)中的安全穩(wěn)定性直接關(guān)乎到供電的可靠性,大型電廠的信息安全也越發(fā)重要。處理好電廠控制系統(tǒng)和信息系統(tǒng)的安全,已經(jīng)受到相關(guān)各方的關(guān)注。信息安全,已不僅僅是每個(gè)電廠需要重視的問(wèn)題,還關(guān)系到電廠所在地區(qū)和國(guó)家的安全。
2 電廠信息安全的三道重要防線
目前,電廠自動(dòng)化系統(tǒng)五花八門(mén),但總體上可以分為兩個(gè)層次:第一個(gè)層次是控制系統(tǒng),所有直接參與生產(chǎn)過(guò)程測(cè)量與控制的自動(dòng)化系統(tǒng)均劃歸為該層次,包括機(jī)組分散控制系統(tǒng)(DCS)、汽機(jī)數(shù)字電液控制系統(tǒng)(DEH)、輔助車間控制系統(tǒng)等;第二個(gè)層次是信息系統(tǒng),將電廠與信息有關(guān)的,不直接參與過(guò)程控制的自動(dòng)化系統(tǒng)均歸到信息系統(tǒng),包括管理信息系統(tǒng)(MIS)、廠級(jí)監(jiān)控信息系統(tǒng)(SIS)、視頻監(jiān)視系統(tǒng)、視頻會(huì)議系統(tǒng)、門(mén)禁管理系統(tǒng)等。
如果按照兩個(gè)大區(qū)進(jìn)行安全分區(qū)的話,第一個(gè)層次的所有系統(tǒng)都可以化歸為生產(chǎn)控制大區(qū),第二個(gè)層次的所有系統(tǒng)可以化歸為管理信息大區(qū)。如圖1所示。
圖1 電廠自動(dòng)化系統(tǒng)分層示意圖
我國(guó)將計(jì)算機(jī)信息系統(tǒng)的安全等級(jí)化分為五個(gè)等級(jí):用戶自主保護(hù)級(jí)、系統(tǒng)審計(jì)保護(hù)級(jí)、安全標(biāo)記保護(hù)級(jí)、結(jié)構(gòu)化保護(hù)級(jí)、訪問(wèn)驗(yàn)證保護(hù)級(jí),安全保護(hù)能力從第一級(jí)到第五級(jí)逐級(jí)增強(qiáng)。如果按此等級(jí)劃分的話,電廠第一個(gè)層次的所有系統(tǒng)都是第五級(jí),也就是訪問(wèn)驗(yàn)證保護(hù)級(jí)。而電廠第二個(gè)層次系統(tǒng)中,SIS、視頻監(jiān)視系統(tǒng)和門(mén)禁管理系統(tǒng)與生產(chǎn)運(yùn)行的關(guān)系較為密切,可以化歸為第四級(jí),MIS、視頻會(huì)議系統(tǒng)與生產(chǎn)運(yùn)行不直接發(fā)生關(guān)系,則可以化歸為第三級(jí)。
電廠信息安全的防范重點(diǎn)是設(shè)置好三道重要防線。第一道安全防線:電廠信息系統(tǒng)與外部系統(tǒng)的安全防線,即管理信息大區(qū)內(nèi)系統(tǒng)與外部聯(lián)系的防線。第二道安全防線:電廠控制系統(tǒng)與產(chǎn)品供貨商的安全防線,即生產(chǎn)控制大區(qū)內(nèi)系統(tǒng)與各自供貨商的防線。第三道安全防線:電廠控制系統(tǒng)與電廠信息系統(tǒng)的安全防線,即生產(chǎn)控制大區(qū)內(nèi)系統(tǒng)與管理信息大區(qū)內(nèi)系統(tǒng)的防線。
3 關(guān)鍵控制系統(tǒng)的信息安全防御
前面介紹了電廠信息安全的三道重要防線,本文不對(duì)常規(guī)信息安全防護(hù)措施進(jìn)行討論,比如系統(tǒng)容錯(cuò)、主機(jī)冗余、雙網(wǎng)配置以及防火墻、安全網(wǎng)關(guān)和防病毒軟件等。只針對(duì)電廠關(guān)鍵控制系統(tǒng)和重要信息系統(tǒng)設(shè)計(jì)時(shí)的信息安全防御重點(diǎn)和容易忽視的問(wèn)題進(jìn)行討論。本節(jié)將討論關(guān)鍵控制系統(tǒng)的安全防御重點(diǎn),下面將討論主要信息系統(tǒng)的安全防御重點(diǎn)。
3.1 DCS的安全防御重點(diǎn)
電廠機(jī)組普遍采用DCS。DCS是電廠覆蓋工藝系統(tǒng)最多,控制面最廣的控制系統(tǒng)。DCS直接參與生產(chǎn)過(guò)程控制,是電廠安全運(yùn)行的基本保障。對(duì)于DCS來(lái)說(shuō),信息安全的防御點(diǎn)主要在三個(gè)方面,一是DCS與供貨廠商之間的安全防御,二是DCS與其他系統(tǒng)之間的安全防御,三是DCS人機(jī)交互的安全防御。
3.1.1 DCS與供貨廠商之間的安全防御
首先討論DCS與供貨廠商之間的安全防御。隨著計(jì)算機(jī)技術(shù)、網(wǎng)絡(luò)技術(shù)、通訊技術(shù)的迅猛發(fā)展,DCS廠商可以輕而易舉地獲取其供應(yīng)的DCS的所有數(shù)據(jù),也可以采取一定的手段對(duì)其所供的DCS進(jìn)行遠(yuǎn)程控制,這顯然存在安全隱患。尤其是目前一些百萬(wàn)千瓦機(jī)組的DCS多采用國(guó)外進(jìn)口產(chǎn)品,其中隱含的安全問(wèn)題不容忽視。該安全不僅涉及電廠本身,一旦遇到戰(zhàn)爭(zhēng)等國(guó)際社會(huì)動(dòng)蕩等情況,還會(huì)危及地區(qū)和國(guó)家的安全。妥善處理并杜絕電廠DCS與產(chǎn)品供貨商之間的信息安全隱患,是當(dāng)前容易忽視的問(wèn)題,需要提醒電廠建設(shè)方和設(shè)計(jì)方高度重視。
3.1.2 DCS與其他系統(tǒng)之間的安全防御
其次討論DCS與其他系統(tǒng)之間的安全防御。DCS是機(jī)組的主要控制系統(tǒng),但并不是覆蓋全部機(jī)組工藝的控制系統(tǒng)。比如DEH、旁路控制系統(tǒng)(BPS)、汽機(jī)危機(jī)遮斷系統(tǒng)(ETS)等。如果這些控制系統(tǒng)未能納入DCS,則與DCS之間就有數(shù)據(jù)接口,但由于這些系統(tǒng)和DCS一樣處于同一個(gè)安全大區(qū),來(lái)往數(shù)據(jù)已經(jīng)嚴(yán)格過(guò)濾,因此無(wú)需特別防御。
需要特別防御的是DCS與SIS之間的信息傳輸。DCS與SIS之間有大量的數(shù)據(jù)交換信息。目前的設(shè)計(jì)方案是,SIS與DCS之間應(yīng)配置數(shù)據(jù)單向傳輸?shù)膶S酶綦x裝置,嚴(yán)禁SIS向DCS發(fā)送除采集數(shù)據(jù)所需通訊協(xié)議以外的任何信息。DCS的數(shù)據(jù)可以上傳至SIS,但SIS的數(shù)據(jù)不能直接下傳到DCS。
對(duì)于SIS需要完成負(fù)荷分配控制功能的電廠而言,必須滿足一定的前提條件并采取特別的設(shè)計(jì)方案。前提條件是:電網(wǎng)調(diào)度必須是調(diào)廠而不是直接調(diào)機(jī)組。設(shè)計(jì)方案是:此時(shí)的負(fù)荷控制命令應(yīng)當(dāng)由值長(zhǎng)判斷決定后才能發(fā)送到DCS,而且必須由值班操作員確認(rèn)后才能執(zhí)行。負(fù)荷控制命令宜通過(guò)硬接線方式下達(dá)。
當(dāng)然,目前有的項(xiàng)目開(kāi)始設(shè)置廠級(jí)DCS或其他廠級(jí)控制系統(tǒng)。如果設(shè)置了廠級(jí)控制系統(tǒng),則機(jī)組DCS就不會(huì)直接與廠級(jí)信息系統(tǒng)發(fā)生數(shù)據(jù)聯(lián)系,需要設(shè)置專用隔離裝置的防御點(diǎn)就上移到了廠級(jí)控制系統(tǒng)。
3.1.3 DCS人機(jī)交互的安全防御
DCS人機(jī)交互設(shè)備主要有操作員站和工程師站,在個(gè)別沒(méi)有設(shè)置SIS的項(xiàng)目中還設(shè)置了值長(zhǎng)站。
值長(zhǎng)站可以通過(guò)顯示器進(jìn)行監(jiān)視,但不能操作。操作員站可以通過(guò)顯示器監(jiān)視并按設(shè)定的程序進(jìn)行操作,但不能對(duì)系統(tǒng)進(jìn)行任意修改和組態(tài)。值長(zhǎng)站和操作員站沒(méi)有對(duì)外的數(shù)據(jù)接口,不需要特別防御。
工程師站是對(duì)DCS進(jìn)行維護(hù)并可以修改組態(tài)的裝置,也是外部入侵DCS的可能關(guān)口。對(duì)于工程師站來(lái)說(shuō),防御的主要措施,一方面是制定好電廠的管理機(jī)制,另外就是要設(shè)計(jì)好系統(tǒng)身份識(shí)別、訪問(wèn)控制機(jī)制和密碼安全機(jī)制等。
綜上所述,DCS的安全防御重點(diǎn)如圖2所示。
圖2 DCS安全防御重點(diǎn)示意圖
3.2 DEH的安全防御重點(diǎn)
DEH是電廠機(jī)組控制系統(tǒng)中和DCS一樣重要的系統(tǒng),而且在大多數(shù)項(xiàng)目中,DEH已經(jīng)和DCS融為一體。對(duì)于DEH已經(jīng)納入DCS的系統(tǒng),其安全防御由DCS統(tǒng)籌,無(wú)須特別設(shè)計(jì)。
對(duì)于DEH獨(dú)立設(shè)置的系統(tǒng),其安全防御重點(diǎn)和DCS一樣,也分三個(gè)方面:一是DEH與供貨廠商之間的安全防御,二是DEH與其他系統(tǒng)之間的安全防御,三是DEH人機(jī)交互的安全防御。和DCS有所區(qū)別的是,DEH不會(huì)接受SIS的任何指令,SIS的負(fù)荷分配控制指令通過(guò)DCS對(duì)DEH進(jìn)行控制。
3.3 其他機(jī)組控制系統(tǒng)的安全防御重點(diǎn)
除了DCS和DEH外,電廠機(jī)組還有其他一些主要的控制系統(tǒng),比如旁路控制系統(tǒng)(BPS)、汽機(jī)危機(jī)遮斷系統(tǒng)(ETS)和鍋爐爐膛安全監(jiān)控系統(tǒng)(FSSS)。
首先討論BPS。目前絕大多數(shù)BPS已經(jīng)納入DCS,對(duì)于已經(jīng)納入DCS的系統(tǒng),不需要特別考慮安全防御措施。對(duì)于少數(shù)獨(dú)立設(shè)置的BPS來(lái)說(shuō),需重點(diǎn)考慮的問(wèn)題只有一個(gè),就是切斷BPS與供貨商之間的信息聯(lián)絡(luò)。和BPS發(fā)生信號(hào)聯(lián)系的都是DCS、DEH等控制系統(tǒng),BPS不直接與SIS等信息系統(tǒng)發(fā)生聯(lián)系,所以只需要設(shè)置常規(guī)的邏輯隔離,無(wú)須采取特別防御。由于BPS不設(shè)置獨(dú)立的操作員站、工程師站等人機(jī)接口設(shè)備,因此也不存在人機(jī)交互的安全防御問(wèn)題。
ETS和FSSS是電廠核心保護(hù)系統(tǒng)。FSSS目前基本上都納入DCS,由DCS統(tǒng)一進(jìn)行防護(hù)。ETS除與DCS和DEH有信號(hào)聯(lián)系外,基本不與外界發(fā)生信號(hào)聯(lián)系,需要防護(hù)的主要是防止ETS與供貨商之間的信息聯(lián)絡(luò),像所有其他控制系統(tǒng)一樣,切斷有可能的遠(yuǎn)程控制,防止電廠被攻陷。
3.4 輔助車間控制系統(tǒng)的安全防御重點(diǎn)
電廠至少有十幾個(gè)輔助車間,早期的輔助車間控制系統(tǒng)是各自獨(dú)立的,隨著自動(dòng)化技術(shù)、網(wǎng)絡(luò)技術(shù)、通訊技術(shù)的快速發(fā)展,輔助車間控制系統(tǒng)發(fā)展迅速,集中控制度越來(lái)越高,目前正在設(shè)計(jì)和運(yùn)行的發(fā)電廠,集中度較低的基本上只有三個(gè)集中控制網(wǎng)絡(luò),即煤、灰、水集中控制網(wǎng)絡(luò)。集中度高的,全廠輔助車間統(tǒng)一為一個(gè)輔助車間集中控制網(wǎng)絡(luò)。
下面以全廠設(shè)置一個(gè)輔助車間集中控制網(wǎng)絡(luò)為例進(jìn)行討論。雖然輔助車間控制系統(tǒng)沒(méi)有前面討論的機(jī)組控制系統(tǒng)那么重要,但是仍然處在第一個(gè)層次,即生產(chǎn)控制大區(qū)。輔助車間集中控制網(wǎng)絡(luò)的安全防御重點(diǎn)和DCS一樣,也分三個(gè)方面:一是輔助車間集中控制網(wǎng)絡(luò)與供貨廠商之間的安全防御,二是輔助車間集中控制網(wǎng)絡(luò)與其他系統(tǒng)之間的安全防御,三是輔助車間集中控制網(wǎng)絡(luò)人機(jī)交互的安全防御。
和DCS有所區(qū)別的是,輔助車間集中控制網(wǎng)絡(luò)不會(huì)接受SIS的任何指令,輔助車間的運(yùn)行根據(jù)機(jī)組的運(yùn)行需要確定。
4 主要信息系統(tǒng)的信息安全防御
4.1 SIS的安全防御重點(diǎn)
SIS是電廠的運(yùn)行數(shù)據(jù)中心,處于電廠所有自動(dòng)化系統(tǒng)的中心位置,它主要的部件是實(shí)時(shí)/歷史數(shù)據(jù)庫(kù),實(shí)時(shí)/歷史數(shù)據(jù)庫(kù)需要采集電廠絕大多數(shù)自動(dòng)化系統(tǒng)的主要數(shù)據(jù),又將部分?jǐn)?shù)據(jù)傳給MIS和其他管理系統(tǒng)。
4.1.1 SIS與其他系統(tǒng)之間的安全防御
SIS防御的重點(diǎn)是,必須切斷所有從實(shí)時(shí)/歷史數(shù)據(jù)庫(kù)讀取數(shù)據(jù)的系統(tǒng)對(duì)SIS的入侵,這些系統(tǒng)包括MIS、上級(jí)主管單位的生產(chǎn)管理系統(tǒng)、在線仿真系統(tǒng)等。在實(shí)時(shí)/歷史數(shù)據(jù)庫(kù)與所有讀取數(shù)據(jù)的系統(tǒng)之間應(yīng)配置數(shù)據(jù)單向傳輸?shù)膶S酶綦x裝置,它們可以從實(shí)時(shí)/歷史數(shù)據(jù)庫(kù)讀取數(shù)據(jù),但絕不允許反向輸入數(shù)據(jù)。
4.1.2 SIS人機(jī)交互的安全防御
SIS的人機(jī)交互設(shè)備和DCS不太一樣,SIS有功能站、值長(zhǎng)站、工程師站和監(jiān)視終端設(shè)備等。
功能站可以按照功能分為負(fù)荷分配調(diào)度站、計(jì)算與性能分析站、網(wǎng)絡(luò)管理維護(hù)站、應(yīng)用軟件管理維護(hù)站等,這些功能站只要有人機(jī)交互,如計(jì)算與性能分析站,就要注意防御,一方面是制定好電廠的管理機(jī)制,另外還要設(shè)計(jì)好系統(tǒng)身份識(shí)別、訪問(wèn)控制機(jī)制和密碼安全機(jī)制等,防止一般人員擅自進(jìn)入并改變程序。
值長(zhǎng)站可以通過(guò)顯示器進(jìn)行監(jiān)視,但不能操作。監(jiān)視終端設(shè)備同樣也只能通過(guò)顯示器進(jìn)行監(jiān)視而不能操作。值長(zhǎng)站和監(jiān)視終端設(shè)備沒(méi)有對(duì)外的數(shù)據(jù)接口,不需要特別防御。
工程師站是對(duì)SIS進(jìn)行維護(hù)并可以修改組態(tài)的裝置,也是外部入侵SIS的可能關(guān)口。對(duì)于工程師站來(lái)說(shuō),需要采取和功能站一樣的防御措施。
4.2 MIS的安全防御重點(diǎn)
相對(duì)于SIS而言,MIS的安全等級(jí)略低,可以采取和其他工業(yè)企業(yè)相同的信息安全防御措施。MIS對(duì)外的聯(lián)系主要有:與上級(jí)主管單位進(jìn)行信息交換,與地區(qū)政府部門(mén)進(jìn)行環(huán)保數(shù)據(jù)對(duì)接,與公共服務(wù)機(jī)構(gòu)進(jìn)行市場(chǎng)運(yùn)營(yíng)等數(shù)據(jù)交流,與設(shè)計(jì)單位、建設(shè)單位、調(diào)試單位、監(jiān)理單位等進(jìn)行建設(shè)過(guò)程中的數(shù)據(jù)移交,與國(guó)際互聯(lián)網(wǎng)等公共網(wǎng)絡(luò)進(jìn)行接口等。只要這些聯(lián)系的方式是通過(guò)電子介質(zhì)傳輸,就會(huì)存在信息安全的威脅。建設(shè)好電廠信息系統(tǒng)與所有外部系統(tǒng)的信息安全屏障,是電廠設(shè)計(jì)和運(yùn)行時(shí)首當(dāng)其沖需要考慮的問(wèn)題。
5 結(jié)語(yǔ)
本文針對(duì)電廠關(guān)鍵控制系統(tǒng)和主要信息系統(tǒng)的信息安全防御問(wèn)題進(jìn)行了討論。針對(duì)控制系統(tǒng),主要討論了DCS、DEH、BPS、ETS和輔助車間控制系統(tǒng)的信息安全重點(diǎn)防御。針對(duì)信息系統(tǒng),主要討論了SIS和MIS的信息安全重點(diǎn)防御。隨著數(shù)字化電廠的推進(jìn)及智能化電廠的建設(shè),電廠信息安全問(wèn)題必將越來(lái)越得到各方重視。
摘自《自動(dòng)化博覽》2017年3月刊
北京市公安局海淀分局備案號(hào):11010802023656號(hào)