電廠信息安全的防御重點(diǎn)

★中國能源建設(shè)集團(tuán)有限公司工程研究院 許繼剛

電廠信息安全的防御重點(diǎn)

★中國能源建設(shè)集團(tuán)有限公司工程研究院 許繼剛

中國能源建設(shè)集團(tuán)有限公司工程研究院副院長許繼剛

本文介紹了電廠信息安全的三道重要防線，對(duì)電廠主要自動(dòng)化系統(tǒng)信息安全的防御重點(diǎn)進(jìn)行了討論。針對(duì)控制系統(tǒng)，主要論述了DCS、DEH、BPS、ETS和輔助車間控制系統(tǒng)的信息安全防御重點(diǎn)。針對(duì)信息系統(tǒng)，主要論述了SIS和MIS的信息安全防御重點(diǎn)。

電廠；信息安全；防御

1 引言

隨著國家基礎(chǔ)建設(shè)的快速發(fā)展，電力行業(yè)迎來了前所未有的建設(shè)高潮。截至到2016年6月底，全國發(fā)電總裝機(jī)容量超過15.2億千瓦，其中火電裝機(jī)容量10.2億千瓦，煤電高達(dá)9.2億千瓦。大容量高參數(shù)發(fā)電機(jī)組在電網(wǎng)中的比例越來越高，百萬千瓦級(jí)機(jī)組的數(shù)量牢牢穩(wěn)居世界首位，大型機(jī)組在電網(wǎng)中的安全穩(wěn)定性直接關(guān)乎到許繼剛(1964- )，男，山東泰安人，教授級(jí)高工，博士，新世紀(jì)百千萬人才工程國家級(jí)人選，國務(wù)院政府特殊津貼專家，現(xiàn)任中國能源建設(shè)集團(tuán)有限公司工程研究院副院長，兼任電力行業(yè)熱工自動(dòng)化與信息標(biāo)準(zhǔn)化委員會(huì)副主任、電力行業(yè)熱工自動(dòng)化技術(shù)委員會(huì)副主任、中國自動(dòng)化學(xué)會(huì)發(fā)電自動(dòng)化專委會(huì)副主任、中國電機(jī)工程學(xué)會(huì)熱工自動(dòng)化專委會(huì)副主任、中國儀器儀表學(xué)會(huì)產(chǎn)品信息委員會(huì)副主任、中國儀器儀表學(xué)會(huì)自控工程設(shè)計(jì)委員會(huì)主任。國家標(biāo)準(zhǔn)《大中型火力發(fā)電廠設(shè)計(jì)規(guī)范》編制組副組長，行業(yè)標(biāo)準(zhǔn)《火力發(fā)電廠信息系統(tǒng)設(shè)計(jì)技術(shù)規(guī)定》編制組組長。供電的可靠性，大型電廠的信息安全也越發(fā)重要。處理好電廠控制系統(tǒng)和信息系統(tǒng)的安全，已經(jīng)受到相關(guān)各方的關(guān)注。信息安全，已不僅僅是每個(gè)電廠需要重視的問題，還關(guān)系到電廠所在地區(qū)和國家的安全。

2 電廠信息安全的三道重要防線

目前，電廠自動(dòng)化系統(tǒng)五花八門，但總體上可以分為兩個(gè)層次：第一個(gè)層次是控制系統(tǒng)，所有直接參與生產(chǎn)過程測量與控制的自動(dòng)化系統(tǒng)均劃歸為該層次，包括機(jī)組分散控制系統(tǒng)（DCS）、汽機(jī)數(shù)字電液控制系統(tǒng)（DEH）、輔助車間控制系統(tǒng)等；第二個(gè)層次是信息系統(tǒng)，將電廠與信息有關(guān)的，不直接參與過程控制的自動(dòng)化系統(tǒng)均歸到信息系統(tǒng)，包括管理信息系統(tǒng)（MIS）、廠級(jí)監(jiān)控信息系統(tǒng)（SIS）、視頻監(jiān)視系統(tǒng)、視頻會(huì)議系統(tǒng)、門禁管理系統(tǒng)等。

如果按照兩個(gè)大區(qū)進(jìn)行安全分區(qū)的話，第一個(gè)層次的所有系統(tǒng)都可以化歸為生產(chǎn)控制大區(qū)，第二個(gè)層次的所有系統(tǒng)可以化歸為管理信息大區(qū)。如圖1所示。

圖1 電廠自動(dòng)化系統(tǒng)分層示意圖

我國將計(jì)算機(jī)信息系統(tǒng)的安全等級(jí)化分為五個(gè)等級(jí)：用戶自主保護(hù)級(jí)、系統(tǒng)審計(jì)保護(hù)級(jí)、安全標(biāo)記保護(hù)級(jí)、結(jié)構(gòu)化保護(hù)級(jí)、訪問驗(yàn)證保護(hù)級(jí)，安全保護(hù)能力從第一級(jí)到第五級(jí)逐級(jí)增強(qiáng)。如果按此等級(jí)劃分的話，電廠第一個(gè)層次的所有系統(tǒng)都是第五級(jí)，也就是訪問驗(yàn)證保護(hù)級(jí)。而電廠第二個(gè)層次系統(tǒng)中，SIS、視頻監(jiān)視系統(tǒng)和門禁管理系統(tǒng)與生產(chǎn)運(yùn)行的關(guān)系較為密切，可以化歸為第四級(jí)，MIS、視頻會(huì)議系統(tǒng)與生產(chǎn)運(yùn)行不直接發(fā)生關(guān)系，則可以化歸為第三級(jí)。

電廠信息安全的防范重點(diǎn)是設(shè)置好三道重要防線。第一道安全防線：電廠信息系統(tǒng)與外部系統(tǒng)的安全防線，即管理信息大區(qū)內(nèi)系統(tǒng)與外部聯(lián)系的防線。第二道安全防線：電廠控制系統(tǒng)與產(chǎn)品供貨商的安全防線，即生產(chǎn)控制大區(qū)內(nèi)系統(tǒng)與各自供貨商的防線。第三道安全防線：電廠控制系統(tǒng)與電廠信息系統(tǒng)的安全防線，即生產(chǎn)控制大區(qū)內(nèi)系統(tǒng)與管理信息大區(qū)內(nèi)系統(tǒng)的防線。

3 關(guān)鍵控制系統(tǒng)的信息安全防御

前面介紹了電廠信息安全的三道重要防線，本文不對(duì)常規(guī)信息安全防護(hù)措施進(jìn)行討論，比如系統(tǒng)容錯(cuò)、主機(jī)冗余、雙網(wǎng)配置以及防火墻、安全網(wǎng)關(guān)和防病毒軟件等。只針對(duì)電廠關(guān)鍵控制系統(tǒng)和重要信息系統(tǒng)設(shè)計(jì)時(shí)的信息安全防御重點(diǎn)和容易忽視的問題進(jìn)行討論。本節(jié)將討論關(guān)鍵控制系統(tǒng)的安全防御重點(diǎn)，下面將討論主要信息系統(tǒng)的安全防御重點(diǎn)。

3.1 DCS的安全防御重點(diǎn)

電廠機(jī)組普遍采用DCS。DCS是電廠覆蓋工藝系統(tǒng)最多，控制面最廣的控制系統(tǒng)。DCS直接參與生產(chǎn)過程控制，是電廠安全運(yùn)行的基本保障。對(duì)于DCS來說，信息安全的防御點(diǎn)主要在三個(gè)方面，一是DCS與供貨廠商之間的安全防御，二是DCS與其他系統(tǒng)之間的安全防御，三是DCS人機(jī)交互的安全防御。

3.1.1 DCS與供貨廠商之間的安全防御

首先討論DCS與供貨廠商之間的安全防御。隨著計(jì)算機(jī)技術(shù)、網(wǎng)絡(luò)技術(shù)、通訊技術(shù)的迅猛發(fā)展，DCS廠商可以輕而易舉地獲取其供應(yīng)的DCS的所有數(shù)據(jù)，也可以采取一定的手段對(duì)其所供的DCS進(jìn)行遠(yuǎn)程控制，這顯然存在安全隱患。尤其是目前一些百萬千瓦機(jī)組的DCS多采用國外進(jìn)口產(chǎn)品，其中隱含的安全問題不容忽視。該安全不僅涉及電廠本身，一旦遇到戰(zhàn)爭等國際社會(huì)動(dòng)蕩等情況，還會(huì)危及地區(qū)和國家的安全。妥善處理并杜絕電廠DCS與產(chǎn)品供貨商之間的信息安全隱患，是當(dāng)前容易忽視的問題，需要提醒電廠建設(shè)方和設(shè)計(jì)方高度重視。

3.1.2 DCS與其他系統(tǒng)之間的安全防御

其次討論DCS與其他系統(tǒng)之間的安全防御。DCS是機(jī)組的主要控制系統(tǒng)，但并不是覆蓋全部機(jī)組工藝的控制系統(tǒng)。比如DEH、旁路控制系統(tǒng)（BPS）、汽機(jī)危機(jī)遮斷系統(tǒng)（ETS）等。如果這些控制系統(tǒng)未能納入DCS，則與DCS之間就有數(shù)據(jù)接口，但由于這些系統(tǒng)和DCS一樣處于同一個(gè)安全大區(qū)，來往數(shù)據(jù)已經(jīng)嚴(yán)格過濾，因此無需特別防御。

需要特別防御的是DCS與SIS之間的信息傳輸。DCS與SIS之間有大量的數(shù)據(jù)交換信息。目前的設(shè)計(jì)方案是，SIS與DCS之間應(yīng)配置數(shù)據(jù)單向傳輸?shù)膶Ｓ酶綦x裝置，嚴(yán)禁SIS向DCS發(fā)送除采集數(shù)據(jù)所需通訊協(xié)議以外的任何信息。DCS的數(shù)據(jù)可以上傳至SIS，但SIS的數(shù)據(jù)不能直接下傳到DCS。

對(duì)于SIS需要完成負(fù)荷分配控制功能的電廠而言，必須滿足一定的前提條件并采取特別的設(shè)計(jì)方案。前提條件是：電網(wǎng)調(diào)度必須是調(diào)廠而不是直接調(diào)機(jī)組。設(shè)計(jì)方案是：此時(shí)的負(fù)荷控制命令應(yīng)當(dāng)由值長判斷決定后才能發(fā)送到DCS，而且必須由值班操作員確認(rèn)后才能執(zhí)行。負(fù)荷控制命令宜通過硬接線方式下達(dá)。

當(dāng)然，目前有的項(xiàng)目開始設(shè)置廠級(jí)DCS或其他廠級(jí)控制系統(tǒng)。如果設(shè)置了廠級(jí)控制系統(tǒng)，則機(jī)組DCS就不會(huì)直接與廠級(jí)信息系統(tǒng)發(fā)生數(shù)據(jù)聯(lián)系，需要設(shè)置專用隔離裝置的防御點(diǎn)就上移到了廠級(jí)控制系統(tǒng)。

3.1.3 DCS人機(jī)交互的安全防御

DCS人機(jī)交互設(shè)備主要有操作員站和工程師站，在個(gè)別沒有設(shè)置SIS的項(xiàng)目中還設(shè)置了值長站。

值長站可以通過顯示器進(jìn)行監(jiān)視，但不能操作。操作員站可以通過顯示器監(jiān)視并按設(shè)定的程序進(jìn)行操作，但不能對(duì)系統(tǒng)進(jìn)行任意修改和組態(tài)。值長站和操作員站沒有對(duì)外的數(shù)據(jù)接口，不需要特別防御。

工程師站是對(duì)DCS進(jìn)行維護(hù)并可以修改組態(tài)的裝置，也是外部入侵DCS的可能關(guān)口。對(duì)于工程師站來說，防御的主要措施，一方面是制定好電廠的管理機(jī)制，另外就是要設(shè)計(jì)好系統(tǒng)身份識(shí)別、訪問控制機(jī)制和密碼安全機(jī)制等。

綜上所述，DCS的安全防御重點(diǎn)如圖2所示。

圖2 DCS安全防御重點(diǎn)示意圖

3.2 DEH的安全防御重點(diǎn)

DEH是電廠機(jī)組控制系統(tǒng)中和DCS一樣重要的系統(tǒng)，而且在大多數(shù)項(xiàng)目中，DEH已經(jīng)和DCS融為一體。對(duì)于DEH已經(jīng)納入DCS的系統(tǒng)，其安全防御由DCS統(tǒng)籌，無須特別設(shè)計(jì)。

對(duì)于DEH獨(dú)立設(shè)置的系統(tǒng)，其安全防御重點(diǎn)和DCS一樣，也分三個(gè)方面：一是DEH與供貨廠商之間的安全防御，二是DEH與其他系統(tǒng)之間的安全防御，三是DEH人機(jī)交互的安全防御。和DCS有所區(qū)別的是，DEH不會(huì)接受SIS的任何指令，SIS的負(fù)荷分配控制指令通過DCS對(duì)DEH進(jìn)行控制。

3.3 其他機(jī)組控制系統(tǒng)的安全防御重點(diǎn)

除了DCS和DEH外，電廠機(jī)組還有其他一些主要的控制系統(tǒng)，比如旁路控制系統(tǒng)（BPS）、汽機(jī)危機(jī)遮斷系統(tǒng)（ETS）和鍋爐爐膛安全監(jiān)控系統(tǒng)（FSSS）。

首先討論BPS。目前絕大多數(shù)BPS已經(jīng)納入DCS，對(duì)于已經(jīng)納入DCS的系統(tǒng)，不需要特別考慮安全防御措施。對(duì)于少數(shù)獨(dú)立設(shè)置的BPS來說，需重點(diǎn)考慮的問題只有一個(gè)，就是切斷BPS與供貨商之間的信息聯(lián)絡(luò)。和BPS發(fā)生信號(hào)聯(lián)系的都是DCS、DEH等控制系統(tǒng)，BPS不直接與SIS等信息系統(tǒng)發(fā)生聯(lián)系，所以只需要設(shè)置常規(guī)的邏輯隔離，無須采取特別防御。由于BPS不設(shè)置獨(dú)立的操作員站、工程師站等人機(jī)接口設(shè)備，因此也不存在人機(jī)交互的安全防御問題。

ETS和FSSS是電廠核心保護(hù)系統(tǒng)。FSSS目前基本上都納入DCS，由DCS統(tǒng)一進(jìn)行防護(hù)。ETS除與DCS和DEH有信號(hào)聯(lián)系外，基本不與外界發(fā)生信號(hào)聯(lián)系，需要防護(hù)的主要是防止ETS與供貨商之間的信息聯(lián)絡(luò)，像所有其他控制系統(tǒng)一樣，切斷有可能的遠(yuǎn)程控制，防止電廠被攻陷。

3.4 輔助車間控制系統(tǒng)的安全防御重點(diǎn)

電廠至少有十幾個(gè)輔助車間，早期的輔助車間控制系統(tǒng)是各自獨(dú)立的，隨著自動(dòng)化技術(shù)、網(wǎng)絡(luò)技術(shù)、通訊技術(shù)的快速發(fā)展，輔助車間控制系統(tǒng)發(fā)展迅速，集中控制度越來越高，目前正在設(shè)計(jì)和運(yùn)行的發(fā)電廠，集中度較低的基本上只有三個(gè)集中控制網(wǎng)絡(luò)，即煤、灰、水集中控制網(wǎng)絡(luò)。集中度高的，全廠輔助車間統(tǒng)一為一個(gè)輔助車間集中控制網(wǎng)絡(luò)。

下面以全廠設(shè)置一個(gè)輔助車間集中控制網(wǎng)絡(luò)為例進(jìn)行討論。雖然輔助車間控制系統(tǒng)沒有前面討論的機(jī)組控制系統(tǒng)那么重要，但是仍然處在第一個(gè)層次，即生產(chǎn)控制大區(qū)。輔助車間集中控制網(wǎng)絡(luò)的安全防御重點(diǎn)和DCS一樣，也分三個(gè)方面：一是輔助車間集中控制網(wǎng)絡(luò)與供貨廠商之間的安全防御，二是輔助車間集中控制網(wǎng)絡(luò)與其他系統(tǒng)之間的安全防御，三是輔助車間集中控制網(wǎng)絡(luò)人機(jī)交互的安全防御。

和DCS有所區(qū)別的是，輔助車間集中控制網(wǎng)絡(luò)不會(huì)接受SIS的任何指令，輔助車間的運(yùn)行根據(jù)機(jī)組的運(yùn)行需要確定。

4 主要信息系統(tǒng)的信息安全防御

4.1 SIS的安全防御重點(diǎn)

SIS是電廠的運(yùn)行數(shù)據(jù)中心，處于電廠所有自動(dòng)化系統(tǒng)的中心位置，它主要的部件是實(shí)時(shí)/歷史數(shù)據(jù)庫，實(shí)時(shí)/歷史數(shù)據(jù)庫需要采集電廠絕大多數(shù)自動(dòng)化系統(tǒng)的主要數(shù)據(jù)，又將部分?jǐn)?shù)據(jù)傳給MIS和其他管理系統(tǒng)。

4.1.1 SIS與其他系統(tǒng)之間的安全防御

SIS防御的重點(diǎn)是，必須切斷所有從實(shí)時(shí)/歷史數(shù)據(jù)庫讀取數(shù)據(jù)的系統(tǒng)對(duì)SIS的入侵，這些系統(tǒng)包括MIS、上級(jí)主管單位的生產(chǎn)管理系統(tǒng)、在線仿真系統(tǒng)等。在實(shí)時(shí)/歷史數(shù)據(jù)庫與所有讀取數(shù)據(jù)的系統(tǒng)之間應(yīng)配置數(shù)據(jù)單向傳輸?shù)膶Ｓ酶綦x裝置，它們可以從實(shí)時(shí)/歷史數(shù)據(jù)庫讀取數(shù)據(jù)，但絕不允許反向輸入數(shù)據(jù)。

4.1.2 SIS人機(jī)交互的安全防御

SIS的人機(jī)交互設(shè)備和DCS不太一樣，SIS有功能站、值長站、工程師站和監(jiān)視終端設(shè)備等。

功能站可以按照功能分為負(fù)荷分配調(diào)度站、計(jì)算與性能分析站、網(wǎng)絡(luò)管理維護(hù)站、應(yīng)用軟件管理維護(hù)站等，這些功能站只要有人機(jī)交互，如計(jì)算與性能分析站，就要注意防御，一方面是制定好電廠的管理機(jī)制，另外還要設(shè)計(jì)好系統(tǒng)身份識(shí)別、訪問控制機(jī)制和密碼安全機(jī)制等，防止一般人員擅自進(jìn)入并改變程序。

值長站可以通過顯示器進(jìn)行監(jiān)視，但不能操作。監(jiān)視終端設(shè)備同樣也只能通過顯示器進(jìn)行監(jiān)視而不能操作。值長站和監(jiān)視終端設(shè)備沒有對(duì)外的數(shù)據(jù)接口，不需要特別防御。

工程師站是對(duì)SIS進(jìn)行維護(hù)并可以修改組態(tài)的裝置，也是外部入侵SIS的可能關(guān)口。對(duì)于工程師站來說，需要采取和功能站一樣的防御措施。

4.2 MIS的安全防御重點(diǎn)

相對(duì)于SIS而言，MIS的安全等級(jí)略低，可以采取和其他工業(yè)企業(yè)相同的信息安全防御措施。MIS對(duì)外的聯(lián)系主要有：與上級(jí)主管單位進(jìn)行信息交換，與地區(qū)政府部門進(jìn)行環(huán)保數(shù)據(jù)對(duì)接，與公共服務(wù)機(jī)構(gòu)進(jìn)行市場運(yùn)營等數(shù)據(jù)交流，與設(shè)計(jì)單位、建設(shè)單位、調(diào)試單位、監(jiān)理單位等進(jìn)行建設(shè)過程中的數(shù)據(jù)移交，與國際互聯(lián)網(wǎng)等公共網(wǎng)絡(luò)進(jìn)行接口等。只要這些聯(lián)系的方式是通過電子介質(zhì)傳輸，就會(huì)存在信息安全的威脅。建設(shè)好電廠信息系統(tǒng)與所有外部系統(tǒng)的信息安全屏障，是電廠設(shè)計(jì)和運(yùn)行時(shí)首當(dāng)其沖需要考慮的問題。

5 結(jié)語

本文針對(duì)電廠關(guān)鍵控制系統(tǒng)和主要信息系統(tǒng)的信息安全防御問題進(jìn)行了討論。針對(duì)控制系統(tǒng)，主要討論了DCS、DEH、BPS、ETS和輔助車間控制系統(tǒng)的信息安全重點(diǎn)防御。針對(duì)信息系統(tǒng)，主要討論了SIS和MIS的信息安全重點(diǎn)防御。隨著數(shù)字化電廠的推進(jìn)及智能化電廠的建設(shè)，電廠信息安全問題必將越來越得到各方重視。AP

The Focus of Information Safety Defense in Power Plant

This paper introduces the three important defense lines for information safety in power plant, and discusses the defensive key of information security in the main automation system of power plant. For the control system, this paper mainly discusses the information safety defenses of DCS, DEH, BPS, ETS and auxiliary workshop control system. For the information system, this paper mainly discusses the information safety defenses of SIS and MIS.

Power plant; Information safety; Defense