今日頭條
官方微信
官方抖音
資訊頻道摘要:本文介紹了電廠信息安全的三道重要防線,對電廠主要自動化系統(tǒng)信息安全的防御重點進行了討論。針對控制系統(tǒng),主要論述了DCS、DEH、BPS、ETS和輔助車間控制系統(tǒng)的信息安全防御重點。針對信息系統(tǒng),主要論述了SIS和MIS的信息安全防御重點。
關(guān)鍵詞:電廠;信息安全;防御
中國能源建設(shè)集團有限公司工程研究院副院長 許繼剛
許繼剛(1964- ),男,山東泰安人,教授級高工,博士,新世紀百千萬人才工程國家級人選,國務院政府特殊津貼專家,現(xiàn)任中國能源建設(shè)集團有限公司工程研究院副院長,兼任電力行業(yè)熱工自動化與信息標準化委員會副主任、電力行業(yè)熱工自動化技術(shù)委員會副主任、中國自動化學會發(fā)電自動化專委會副主任、中國電機工程學會熱工自動化專委會副主任、中國儀器儀表學會產(chǎn)品信息委員會副主任、中國儀器儀表學會自控工程設(shè)計委員會主任。國家標準《大中型火力發(fā)電廠設(shè)計規(guī)范》編制組副組長,行業(yè)標準《火力發(fā)電廠信息系統(tǒng)設(shè)計技術(shù)規(guī)定》編制組組長。
1 引言
隨著國家基礎(chǔ)建設(shè)的快速發(fā)展,電力行業(yè)迎來了前所未有的建設(shè)高潮。截至到2016年6月底,全國發(fā)電總裝機容量超過15.2億千瓦,其中火電裝機容量10.2億千瓦,煤電高達9.2億千瓦。大容量高參數(shù)發(fā)電機組在電網(wǎng)中的比例越來越高,百萬千瓦級機組的數(shù)量牢牢穩(wěn)居世界首位,大型機組在電網(wǎng)中的安全穩(wěn)定性直接關(guān)乎到供電的可靠性,大型電廠的信息安全也越發(fā)重要。處理好電廠控制系統(tǒng)和信息系統(tǒng)的安全,已經(jīng)受到相關(guān)各方的關(guān)注。信息安全,已不僅僅是每個電廠需要重視的問題,還關(guān)系到電廠所在地區(qū)和國家的安全。
2 電廠信息安全的三道重要防線
目前,電廠自動化系統(tǒng)五花八門,但總體上可以分為兩個層次:第一個層次是控制系統(tǒng),所有直接參與生產(chǎn)過程測量與控制的自動化系統(tǒng)均劃歸為該層次,包括機組分散控制系統(tǒng)(DCS)、汽機數(shù)字電液控制系統(tǒng)(DEH)、輔助車間控制系統(tǒng)等;第二個層次是信息系統(tǒng),將電廠與信息有關(guān)的,不直接參與過程控制的自動化系統(tǒng)均歸到信息系統(tǒng),包括管理信息系統(tǒng)(MIS)、廠級監(jiān)控信息系統(tǒng)(SIS)、視頻監(jiān)視系統(tǒng)、視頻會議系統(tǒng)、門禁管理系統(tǒng)等。
如果按照兩個大區(qū)進行安全分區(qū)的話,第一個層次的所有系統(tǒng)都可以化歸為生產(chǎn)控制大區(qū),第二個層次的所有系統(tǒng)可以化歸為管理信息大區(qū)。如圖1所示。
圖1 電廠自動化系統(tǒng)分層示意圖
我國將計算機信息系統(tǒng)的安全等級化分為五個等級:用戶自主保護級、系統(tǒng)審計保護級、安全標記保護級、結(jié)構(gòu)化保護級、訪問驗證保護級,安全保護能力從第一級到第五級逐級增強。如果按此等級劃分的話,電廠第一個層次的所有系統(tǒng)都是第五級,也就是訪問驗證保護級。而電廠第二個層次系統(tǒng)中,SIS、視頻監(jiān)視系統(tǒng)和門禁管理系統(tǒng)與生產(chǎn)運行的關(guān)系較為密切,可以化歸為第四級,MIS、視頻會議系統(tǒng)與生產(chǎn)運行不直接發(fā)生關(guān)系,則可以化歸為第三級。
電廠信息安全的防范重點是設(shè)置好三道重要防線。第一道安全防線:電廠信息系統(tǒng)與外部系統(tǒng)的安全防線,即管理信息大區(qū)內(nèi)系統(tǒng)與外部聯(lián)系的防線。第二道安全防線:電廠控制系統(tǒng)與產(chǎn)品供貨商的安全防線,即生產(chǎn)控制大區(qū)內(nèi)系統(tǒng)與各自供貨商的防線。第三道安全防線:電廠控制系統(tǒng)與電廠信息系統(tǒng)的安全防線,即生產(chǎn)控制大區(qū)內(nèi)系統(tǒng)與管理信息大區(qū)內(nèi)系統(tǒng)的防線。
3 關(guān)鍵控制系統(tǒng)的信息安全防御
前面介紹了電廠信息安全的三道重要防線,本文不對常規(guī)信息安全防護措施進行討論,比如系統(tǒng)容錯、主機冗余、雙網(wǎng)配置以及防火墻、安全網(wǎng)關(guān)和防病毒軟件等。只針對電廠關(guān)鍵控制系統(tǒng)和重要信息系統(tǒng)設(shè)計時的信息安全防御重點和容易忽視的問題進行討論。本節(jié)將討論關(guān)鍵控制系統(tǒng)的安全防御重點,下面將討論主要信息系統(tǒng)的安全防御重點。
3.1 DCS的安全防御重點
電廠機組普遍采用DCS。DCS是電廠覆蓋工藝系統(tǒng)最多,控制面最廣的控制系統(tǒng)。DCS直接參與生產(chǎn)過程控制,是電廠安全運行的基本保障。對于DCS來說,信息安全的防御點主要在三個方面,一是DCS與供貨廠商之間的安全防御,二是DCS與其他系統(tǒng)之間的安全防御,三是DCS人機交互的安全防御。
3.1.1 DCS與供貨廠商之間的安全防御
首先討論DCS與供貨廠商之間的安全防御。隨著計算機技術(shù)、網(wǎng)絡技術(shù)、通訊技術(shù)的迅猛發(fā)展,DCS廠商可以輕而易舉地獲取其供應的DCS的所有數(shù)據(jù),也可以采取一定的手段對其所供的DCS進行遠程控制,這顯然存在安全隱患。尤其是目前一些百萬千瓦機組的DCS多采用國外進口產(chǎn)品,其中隱含的安全問題不容忽視。該安全不僅涉及電廠本身,一旦遇到戰(zhàn)爭等國際社會動蕩等情況,還會危及地區(qū)和國家的安全。妥善處理并杜絕電廠DCS與產(chǎn)品供貨商之間的信息安全隱患,是當前容易忽視的問題,需要提醒電廠建設(shè)方和設(shè)計方高度重視。
3.1.2 DCS與其他系統(tǒng)之間的安全防御
其次討論DCS與其他系統(tǒng)之間的安全防御。DCS是機組的主要控制系統(tǒng),但并不是覆蓋全部機組工藝的控制系統(tǒng)。比如DEH、旁路控制系統(tǒng)(BPS)、汽機危機遮斷系統(tǒng)(ETS)等。如果這些控制系統(tǒng)未能納入DCS,則與DCS之間就有數(shù)據(jù)接口,但由于這些系統(tǒng)和DCS一樣處于同一個安全大區(qū),來往數(shù)據(jù)已經(jīng)嚴格過濾,因此無需特別防御。
需要特別防御的是DCS與SIS之間的信息傳輸。DCS與SIS之間有大量的數(shù)據(jù)交換信息。目前的設(shè)計方案是,SIS與DCS之間應配置數(shù)據(jù)單向傳輸?shù)膶S酶綦x裝置,嚴禁SIS向DCS發(fā)送除采集數(shù)據(jù)所需通訊協(xié)議以外的任何信息。DCS的數(shù)據(jù)可以上傳至SIS,但SIS的數(shù)據(jù)不能直接下傳到DCS。
對于SIS需要完成負荷分配控制功能的電廠而言,必須滿足一定的前提條件并采取特別的設(shè)計方案。前提條件是:電網(wǎng)調(diào)度必須是調(diào)廠而不是直接調(diào)機組。設(shè)計方案是:此時的負荷控制命令應當由值長判斷決定后才能發(fā)送到DCS,而且必須由值班操作員確認后才能執(zhí)行。負荷控制命令宜通過硬接線方式下達。
當然,目前有的項目開始設(shè)置廠級DCS或其他廠級控制系統(tǒng)。如果設(shè)置了廠級控制系統(tǒng),則機組DCS就不會直接與廠級信息系統(tǒng)發(fā)生數(shù)據(jù)聯(lián)系,需要設(shè)置專用隔離裝置的防御點就上移到了廠級控制系統(tǒng)。
3.1.3 DCS人機交互的安全防御
DCS人機交互設(shè)備主要有操作員站和工程師站,在個別沒有設(shè)置SIS的項目中還設(shè)置了值長站。
值長站可以通過顯示器進行監(jiān)視,但不能操作。操作員站可以通過顯示器監(jiān)視并按設(shè)定的程序進行操作,但不能對系統(tǒng)進行任意修改和組態(tài)。值長站和操作員站沒有對外的數(shù)據(jù)接口,不需要特別防御。
工程師站是對DCS進行維護并可以修改組態(tài)的裝置,也是外部入侵DCS的可能關(guān)口。對于工程師站來說,防御的主要措施,一方面是制定好電廠的管理機制,另外就是要設(shè)計好系統(tǒng)身份識別、訪問控制機制和密碼安全機制等。
綜上所述,DCS的安全防御重點如圖2所示。
圖2 DCS安全防御重點示意圖
3.2 DEH的安全防御重點
DEH是電廠機組控制系統(tǒng)中和DCS一樣重要的系統(tǒng),而且在大多數(shù)項目中,DEH已經(jīng)和DCS融為一體。對于DEH已經(jīng)納入DCS的系統(tǒng),其安全防御由DCS統(tǒng)籌,無須特別設(shè)計。
對于DEH獨立設(shè)置的系統(tǒng),其安全防御重點和DCS一樣,也分三個方面:一是DEH與供貨廠商之間的安全防御,二是DEH與其他系統(tǒng)之間的安全防御,三是DEH人機交互的安全防御。和DCS有所區(qū)別的是,DEH不會接受SIS的任何指令,SIS的負荷分配控制指令通過DCS對DEH進行控制。
3.3 其他機組控制系統(tǒng)的安全防御重點
除了DCS和DEH外,電廠機組還有其他一些主要的控制系統(tǒng),比如旁路控制系統(tǒng)(BPS)、汽機危機遮斷系統(tǒng)(ETS)和鍋爐爐膛安全監(jiān)控系統(tǒng)(FSSS)。
首先討論BPS。目前絕大多數(shù)BPS已經(jīng)納入DCS,對于已經(jīng)納入DCS的系統(tǒng),不需要特別考慮安全防御措施。對于少數(shù)獨立設(shè)置的BPS來說,需重點考慮的問題只有一個,就是切斷BPS與供貨商之間的信息聯(lián)絡。和BPS發(fā)生信號聯(lián)系的都是DCS、DEH等控制系統(tǒng),BPS不直接與SIS等信息系統(tǒng)發(fā)生聯(lián)系,所以只需要設(shè)置常規(guī)的邏輯隔離,無須采取特別防御。由于BPS不設(shè)置獨立的操作員站、工程師站等人機接口設(shè)備,因此也不存在人機交互的安全防御問題。
ETS和FSSS是電廠核心保護系統(tǒng)。FSSS目前基本上都納入DCS,由DCS統(tǒng)一進行防護。ETS除與DCS和DEH有信號聯(lián)系外,基本不與外界發(fā)生信號聯(lián)系,需要防護的主要是防止ETS與供貨商之間的信息聯(lián)絡,像所有其他控制系統(tǒng)一樣,切斷有可能的遠程控制,防止電廠被攻陷。
3.4 輔助車間控制系統(tǒng)的安全防御重點
電廠至少有十幾個輔助車間,早期的輔助車間控制系統(tǒng)是各自獨立的,隨著自動化技術(shù)、網(wǎng)絡技術(shù)、通訊技術(shù)的快速發(fā)展,輔助車間控制系統(tǒng)發(fā)展迅速,集中控制度越來越高,目前正在設(shè)計和運行的發(fā)電廠,集中度較低的基本上只有三個集中控制網(wǎng)絡,即煤、灰、水集中控制網(wǎng)絡。集中度高的,全廠輔助車間統(tǒng)一為一個輔助車間集中控制網(wǎng)絡。
下面以全廠設(shè)置一個輔助車間集中控制網(wǎng)絡為例進行討論。雖然輔助車間控制系統(tǒng)沒有前面討論的機組控制系統(tǒng)那么重要,但是仍然處在第一個層次,即生產(chǎn)控制大區(qū)。輔助車間集中控制網(wǎng)絡的安全防御重點和DCS一樣,也分三個方面:一是輔助車間集中控制網(wǎng)絡與供貨廠商之間的安全防御,二是輔助車間集中控制網(wǎng)絡與其他系統(tǒng)之間的安全防御,三是輔助車間集中控制網(wǎng)絡人機交互的安全防御。
和DCS有所區(qū)別的是,輔助車間集中控制網(wǎng)絡不會接受SIS的任何指令,輔助車間的運行根據(jù)機組的運行需要確定。
4 主要信息系統(tǒng)的信息安全防御
4.1 SIS的安全防御重點
SIS是電廠的運行數(shù)據(jù)中心,處于電廠所有自動化系統(tǒng)的中心位置,它主要的部件是實時/歷史數(shù)據(jù)庫,實時/歷史數(shù)據(jù)庫需要采集電廠絕大多數(shù)自動化系統(tǒng)的主要數(shù)據(jù),又將部分數(shù)據(jù)傳給MIS和其他管理系統(tǒng)。
4.1.1 SIS與其他系統(tǒng)之間的安全防御
SIS防御的重點是,必須切斷所有從實時/歷史數(shù)據(jù)庫讀取數(shù)據(jù)的系統(tǒng)對SIS的入侵,這些系統(tǒng)包括MIS、上級主管單位的生產(chǎn)管理系統(tǒng)、在線仿真系統(tǒng)等。在實時/歷史數(shù)據(jù)庫與所有讀取數(shù)據(jù)的系統(tǒng)之間應配置數(shù)據(jù)單向傳輸?shù)膶S酶綦x裝置,它們可以從實時/歷史數(shù)據(jù)庫讀取數(shù)據(jù),但絕不允許反向輸入數(shù)據(jù)。
4.1.2 SIS人機交互的安全防御
SIS的人機交互設(shè)備和DCS不太一樣,SIS有功能站、值長站、工程師站和監(jiān)視終端設(shè)備等。
功能站可以按照功能分為負荷分配調(diào)度站、計算與性能分析站、網(wǎng)絡管理維護站、應用軟件管理維護站等,這些功能站只要有人機交互,如計算與性能分析站,就要注意防御,一方面是制定好電廠的管理機制,另外還要設(shè)計好系統(tǒng)身份識別、訪問控制機制和密碼安全機制等,防止一般人員擅自進入并改變程序。
值長站可以通過顯示器進行監(jiān)視,但不能操作。監(jiān)視終端設(shè)備同樣也只能通過顯示器進行監(jiān)視而不能操作。值長站和監(jiān)視終端設(shè)備沒有對外的數(shù)據(jù)接口,不需要特別防御。
工程師站是對SIS進行維護并可以修改組態(tài)的裝置,也是外部入侵SIS的可能關(guān)口。對于工程師站來說,需要采取和功能站一樣的防御措施。
4.2 MIS的安全防御重點
相對于SIS而言,MIS的安全等級略低,可以采取和其他工業(yè)企業(yè)相同的信息安全防御措施。MIS對外的聯(lián)系主要有:與上級主管單位進行信息交換,與地區(qū)政府部門進行環(huán)保數(shù)據(jù)對接,與公共服務機構(gòu)進行市場運營等數(shù)據(jù)交流,與設(shè)計單位、建設(shè)單位、調(diào)試單位、監(jiān)理單位等進行建設(shè)過程中的數(shù)據(jù)移交,與國際互聯(lián)網(wǎng)等公共網(wǎng)絡進行接口等。只要這些聯(lián)系的方式是通過電子介質(zhì)傳輸,就會存在信息安全的威脅。建設(shè)好電廠信息系統(tǒng)與所有外部系統(tǒng)的信息安全屏障,是電廠設(shè)計和運行時首當其沖需要考慮的問題。
5 結(jié)語
本文針對電廠關(guān)鍵控制系統(tǒng)和主要信息系統(tǒng)的信息安全防御問題進行了討論。針對控制系統(tǒng),主要討論了DCS、DEH、BPS、ETS和輔助車間控制系統(tǒng)的信息安全重點防御。針對信息系統(tǒng),主要討論了SIS和MIS的信息安全重點防御。隨著數(shù)字化電廠的推進及智能化電廠的建設(shè),電廠信息安全問題必將越來越得到各方重視。
摘自《自動化博覽》2017年3月刊
北京市公安局海淀分局備案號:11010802023656號