火力發(fā)電廠信息安全體系構(gòu)建與應(yīng)用

王立勇

【摘要】? ? 我國(guó)社會(huì)經(jīng)濟(jì)發(fā)展促使對(duì)電能的需求不斷增加，為了滿足社會(huì)對(duì)電能的需求，火力發(fā)電廠的建設(shè)規(guī)模逐漸擴(kuò)大，對(duì)現(xiàn)代信息科技應(yīng)用力度也在不斷加大，不過同時(shí)也面臨著一系列信息安全等方面的挑戰(zhàn)。相關(guān)工作者需要加強(qiáng)現(xiàn)代計(jì)算機(jī)信息技術(shù)的應(yīng)用，轉(zhuǎn)變傳統(tǒng)的經(jīng)營(yíng)管理模式，在火力發(fā)電廠中加大自動(dòng)化、智能化技術(shù)的應(yīng)用，提高火力發(fā)電廠信息化管理水平，推動(dòng)火力發(fā)電廠持續(xù)穩(wěn)定地發(fā)展，保證其信息安全，做好安全防護(hù)胡，保證電力系統(tǒng)安全穩(wěn)定，提高綜合效益。

【關(guān)鍵詞】? ? 火力發(fā)電廠? ? 信息安全? ? 體系構(gòu)建

一、信息化系統(tǒng)的總體構(gòu)架

應(yīng)用軟件、客戶機(jī)、過程管理功能站、網(wǎng)絡(luò)實(shí)時(shí)歷史數(shù)據(jù)庫(kù)服務(wù)器、廠級(jí)監(jiān)控網(wǎng)絡(luò)等是構(gòu)成發(fā)電廠信息化系統(tǒng)廠級(jí)監(jiān)控信息系統(tǒng)的主要內(nèi)容。在構(gòu)建信息管理系統(tǒng)構(gòu)建過程中，可以通過優(yōu)化信息安全體系保障發(fā)電廠戰(zhàn)略命苦表的落實(shí)，工作人員要做好應(yīng)用系統(tǒng)、主機(jī)系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)、應(yīng)用系統(tǒng)的合理設(shè)置。在網(wǎng)絡(luò)系統(tǒng)當(dāng)中，需要應(yīng)用到諸多技術(shù)，比如網(wǎng)絡(luò)設(shè)備、局域網(wǎng)、Internet 技術(shù)、廣域互連/ VPN。Internet 技術(shù)、廣域互連/ VPN、網(wǎng)絡(luò)設(shè)備及局域網(wǎng)共同構(gòu)成了網(wǎng)絡(luò)系統(tǒng)，通過這些系統(tǒng)，能夠有效互聯(lián)火力發(fā)電廠內(nèi)部，能夠遠(yuǎn)程連接和接入各個(gè)系統(tǒng)，實(shí)現(xiàn)遠(yuǎn)程操控。構(gòu)成主機(jī)系統(tǒng)的內(nèi)容主要包括硬件設(shè)備、中間件、操作系統(tǒng)、數(shù)據(jù)庫(kù)管理系統(tǒng)等，主機(jī)系統(tǒng)是火力發(fā)電廠信息化管理的核心。在發(fā)電廠信息化建設(shè)中，發(fā)揮著非常重要作用的就是應(yīng)用系統(tǒng)，應(yīng)用系統(tǒng)嚴(yán)重影響這發(fā)電廠整體現(xiàn)代化管理水平，涉及到人力資源管理、財(cái)務(wù)管理、辦公自動(dòng)化管理等多方面的內(nèi)容，可以有力支持和幫助服務(wù)。

二、構(gòu)建火力發(fā)電廠信息安全體系的措施

2.1健全信息安全技術(shù)體系

2.1.1充分應(yīng)用防火墻技術(shù)

將防火墻技術(shù)應(yīng)用于火力發(fā)電廠信息安全體系中能夠?qū)⑿畔⑾到y(tǒng)的安全性有效提升，可以有效防護(hù)信息系統(tǒng)。防火墻硬件通常安裝與信息網(wǎng)絡(luò)出口處，工作人員要根據(jù)實(shí)際需求做好防火墻類型的合理選擇，盡量將信息數(shù)據(jù)傳輸?shù)姆€(wěn)定性、安全性提高。合理應(yīng)用防火墻技術(shù)可以將信息管理系統(tǒng)中的數(shù)據(jù)包封閉操作，合理設(shè)計(jì)和配置過濾系統(tǒng)，避免不法人員利用IP地址訪問信息系統(tǒng)，避免火力發(fā)電廠重要數(shù)據(jù)信息泄露。工作人員在安全控制點(diǎn)設(shè)置時(shí)可以根據(jù)火力發(fā)電廠信息系統(tǒng)特點(diǎn)、功能在信息系統(tǒng)、系統(tǒng)間進(jìn)行設(shè)置，將信息系統(tǒng)的獨(dú)立性提高。

2.1.2做好系統(tǒng)安全分區(qū)防護(hù)工作

為了保證有效應(yīng)用火力發(fā)電廠信息安全技術(shù)，應(yīng)當(dāng)做好安全分區(qū)的防火工作。在安全分區(qū)時(shí)可以堅(jiān)持橫向隔離原則，做好安全分區(qū)的合理設(shè)計(jì)。工作人員可以以火力發(fā)電廠實(shí)際經(jīng)營(yíng)情況為基礎(chǔ)做好各個(gè)區(qū)域安全等級(jí)的科學(xué)合理劃分，做好安全風(fēng)險(xiǎn)的有效預(yù)防和安全防護(hù)。具體來講，需要重點(diǎn)做好如下工作內(nèi)容：第一，實(shí)時(shí)控制區(qū)域，重點(diǎn)防護(hù)好生產(chǎn)控制系統(tǒng)等重要環(huán)節(jié);第二，做好管理信息系統(tǒng)等二級(jí)控制區(qū)域的防護(hù);第三，做好一級(jí)控制區(qū)域的安全防護(hù)工作，比如生產(chǎn)信息管理系統(tǒng)、脫硝控制系統(tǒng)等。

在具體設(shè)置中，可以使用物理方式做好單向隔離裝置的安裝，實(shí)現(xiàn)數(shù)據(jù)網(wǎng)絡(luò)系統(tǒng)的科學(xué)調(diào)度和優(yōu)化，實(shí)時(shí)控制各項(xiàng)工作。工作人員要做好各個(gè)類型和功能區(qū)域訪問權(quán)限的合理設(shè)置，優(yōu)化設(shè)計(jì)安全隔離裝置，將各個(gè)信息系統(tǒng)區(qū)域的安全性提高。應(yīng)當(dāng)在重點(diǎn)安全防護(hù)區(qū)域中設(shè)置自動(dòng)電壓控制系統(tǒng)、遠(yuǎn)程終端單元系統(tǒng)，在二級(jí)安全防護(hù)區(qū)域做好線路母線錄波、機(jī)組錄波的合理防護(hù)，合理使用加密認(rèn)證技術(shù)。

2.1.3制定統(tǒng)一的防病毒系統(tǒng)

工作人員要在火力發(fā)電廠信息安全系統(tǒng)中針對(duì)生產(chǎn)控制區(qū)域、管理信息區(qū)域統(tǒng)一做好網(wǎng)絡(luò)防病毒系統(tǒng)的合理部署。將防病毒客戶端統(tǒng)一安裝于所有大區(qū)服務(wù)器、終端設(shè)備上，打到你防病毒管理的效果。工作人員要第一時(shí)間做好病毒特征碼更新，加強(qiáng)病毒防護(hù)相關(guān)數(shù)據(jù)的科學(xué)分析，做好火力發(fā)電廠信息系統(tǒng)病毒類型分析，根據(jù)實(shí)際情況做好安全防護(hù)技術(shù)的合理選擇，將信息系統(tǒng)的安全性提高?？梢栽诰W(wǎng)絡(luò)系統(tǒng)出口位置合理設(shè)置防病毒網(wǎng)，避免火力發(fā)電廠內(nèi)部信息系統(tǒng)內(nèi)受到病毒威脅。

2.1.4提高服務(wù)器安全水平

工作人員需要加固火力發(fā)電廠信息安全系統(tǒng)中的關(guān)鍵服務(wù)器，針對(duì)服務(wù)器運(yùn)行中的問題做好系統(tǒng)補(bǔ)丁添加，嚴(yán)格審計(jì)系統(tǒng)安全性，加強(qiáng)用戶管理，合理配置資源，為火力發(fā)電廠信息系統(tǒng)安全運(yùn)行創(chuàng)造有利條件。具體來講，需要重點(diǎn)做好如下工作內(nèi)容：第一，用安全補(bǔ)丁彌補(bǔ)信息安全系統(tǒng)中的不足，實(shí)現(xiàn)系統(tǒng)操作安全性提升;第二，定期做好各個(gè)賬號(hào)和信息的清理，將無用的賬號(hào)及時(shí)刪除清理，合理設(shè)置口令，加強(qiáng)管理賬號(hào);第三，加強(qiáng)系統(tǒng)日志的審計(jì)，科學(xué)調(diào)整系統(tǒng);第四，有效審計(jì)信息系統(tǒng)特定賬戶，全面監(jiān)控并且配置信息資源;第五，定期升級(jí)火力發(fā)電廠信息系統(tǒng)中的防病毒軟件，將信息系統(tǒng)安全系數(shù)提高;第六，加強(qiáng)防護(hù)數(shù)據(jù)庫(kù)服務(wù)器系統(tǒng)，及時(shí)修復(fù)數(shù)據(jù)庫(kù)存在的安全漏洞。

2.1.5入侵檢測(cè)

入侵檢測(cè)技術(shù)能夠及時(shí)采集、分析、識(shí)別系統(tǒng)、設(shè)備、網(wǎng)絡(luò)相關(guān)信息，就系統(tǒng)是否存在異常和被攻擊跡象進(jìn)行科學(xué)地判斷。通過合理利用入侵檢測(cè)方法和工控系統(tǒng)特點(diǎn)可以加強(qiáng)研究異常行為和誤用檢測(cè)方法。基于異常行為的檢測(cè)能夠利用特征模型分析工控系統(tǒng)是否正常，通過對(duì)比及時(shí)發(fā)現(xiàn)異常情況。這種方法在檢測(cè)未知新型公雞方面發(fā)揮著重要作用，但是也容易出現(xiàn)誤報(bào)?；谡`用的檢測(cè)方法可以分析獲取的異常狀態(tài)特征信息，并且建立異常狀態(tài)特征模型，匹配待檢測(cè)信息特征，發(fā)現(xiàn)入侵行為。這種方法能高效處理已知類型共計(jì)行為，但是缺乏檢測(cè)新型未知攻擊的能力?；诋惓；蛘`用的入侵檢測(cè)方法的工作基礎(chǔ)是工控系統(tǒng)中主機(jī)、網(wǎng)絡(luò)行為特征，通過對(duì)比正常情況和下受攻擊情況下的工控系統(tǒng)特征明確是否存在如期行為。該方法的關(guān)鍵環(huán)節(jié)就是特征提取和分析，這會(huì)對(duì)檢測(cè)準(zhǔn)確性產(chǎn)生直接影響。為此，研究人員需要利用Fisher 分值、主成分分析等方法選擇和提取入侵檢測(cè)的準(zhǔn)確性。建立模型和異常判別可以使用隱馬爾可夫模型、半監(jiān)督 k 均值聚類（k-means）算法、SVM、人工神經(jīng)網(wǎng)絡(luò)等技術(shù)。通過綜合應(yīng)用各種技術(shù)，可有效提高檢測(cè)準(zhǔn)確性。

2.2 構(gòu)建智慧電廠態(tài)勢(shì)感知平臺(tái)

采用網(wǎng)絡(luò)通信深度報(bào)文解析的方式分析全流量威脅特征，通過分析網(wǎng)絡(luò)應(yīng)用流量可以將位移標(biāo)志對(duì)應(yīng)網(wǎng)絡(luò)應(yīng)用的識(shí)別碼特征即質(zhì)問提取出來，然后根據(jù)收集到的威脅特征碼做好識(shí)別特征庫(kù)的構(gòu)建和完善，特征庫(kù)中的威脅特征碼具有唯一性，在識(shí)別流量任務(wù)時(shí)可以匹配特定數(shù)據(jù)包，能夠模式匹配經(jīng)過網(wǎng)絡(luò)管口的每個(gè)或特定數(shù)據(jù)包。可以采用基本字符串匹配方法處理一些規(guī)則簡(jiǎn)單的特征，用正則表達(dá)式匹配復(fù)雜或者高級(jí)特征。如果匹配成功，那么系統(tǒng)會(huì)自動(dòng)認(rèn)定該數(shù)據(jù)包所述數(shù)據(jù)流是威脅事件，進(jìn)行攔截。

機(jī)器學(xué)習(xí)威脅分析方法主要是以已知威脅和已知漏洞特征為基礎(chǔ)，做好語義化描述漏洞庫(kù)的構(gòu)件，可以直接檢測(cè)漏洞共計(jì)所產(chǎn)生的數(shù)據(jù)泄露問題。用自然語言處理技術(shù)（NLP）可以對(duì)漏洞的變種攻擊實(shí)現(xiàn)語義化漏洞庫(kù)規(guī)則轉(zhuǎn)換成可以量化的特征向量。系統(tǒng)在漏洞代碼序列定位后使用向量執(zhí)行構(gòu)建變量取值范圍，然后由求解器來實(shí)現(xiàn)漏洞判斷的條件組合。漏洞庫(kù)樣本能夠擬合回歸函數(shù)，分類計(jì)算漏洞條目數(shù)據(jù)，對(duì)已知威脅的變種的攻擊下數(shù)據(jù)泄漏情況進(jìn)行檢測(cè)分析和構(gòu)建。如圖1為威脅感知功能示意圖。工控威脅風(fēng)險(xiǎn)可視 。該方法是以工控威脅事件為基礎(chǔ)詳細(xì)舉證主機(jī)、風(fēng)險(xiǎn)業(yè)務(wù)、風(fēng)險(xiǎn)用戶，匯聚整理目標(biāo)資產(chǎn)發(fā)起的和遭受的攻擊 / 異?；顒?dòng)等安全事件，利用攻擊鏈形式展示入侵主機(jī)后威脅活動(dòng)的具體過程，可以直接將被入侵后主機(jī)是否被利用產(chǎn)生威脅、威脅程度是否逐步升級(jí)呈現(xiàn)出來。工控脆弱性可視系統(tǒng)能夠分析動(dòng)態(tài)監(jiān)控主機(jī)弱口令、U 盤插拔、無密碼維護(hù)期限、防護(hù)開關(guān)、關(guān)鍵目錄修改、遠(yuǎn)程桌面登錄等潛在的危害行為并且利用VCE 漏洞庫(kù)信息進(jìn)行資產(chǎn)固件、軟件存在的漏洞情況的實(shí)時(shí)關(guān)聯(lián)，有力支持了用戶高效判斷威脅入侵。

2.3電廠MIS系統(tǒng)安全防護(hù)

2.3.1絕對(duì)隔離法

該方法是絕對(duì)隔離MIS系統(tǒng)的電腦與互聯(lián)網(wǎng)，避免MIS系統(tǒng)受到互聯(lián)網(wǎng)連接的電腦的影響，這種方法有著較高的安全度，能夠?qū)⒕W(wǎng)絡(luò)病毒、TCP/IP網(wǎng)絡(luò)協(xié)議漏洞、黑客攻擊絕對(duì)隔離，但是工作效率不高，工作人員使用中可能會(huì)遇到不同程度的阻礙，還會(huì)增加辦公成本。

2.3.2完美兼容法

防火墻技術(shù)可以有效保護(hù)網(wǎng)絡(luò)安全，能夠監(jiān)管網(wǎng)絡(luò)，實(shí)現(xiàn)MIS系統(tǒng)的內(nèi)部安全的有效保護(hù)，避免各種病毒攻擊火力發(fā)電廠信息安全系統(tǒng)，但是需要及時(shí)更新網(wǎng)絡(luò)病毒，防火墻技術(shù)在防止新型病毒攻擊時(shí)效果不明顯，所以需要借助卡巴斯基、360殺毒、麥咖啡等等防病毒軟件進(jìn)一步抵擋網(wǎng)絡(luò)攻擊。在中小型電廠MIS系統(tǒng)中可以使用防火墻技術(shù)。

2.3.3電子開關(guān)法

該方法和防火墻較為類似，以硬件層的讀寫交換為基礎(chǔ)阻擋內(nèi)外網(wǎng)主模塊的任何網(wǎng)絡(luò)，有效隔離內(nèi)外網(wǎng)。比如工作人員在互聯(lián)網(wǎng)瀏覽時(shí)，要加強(qiáng)檢查授權(quán)用戶，明確上網(wǎng)是否安全正常，如果工作人員不瀏覽互聯(lián)網(wǎng)可以將內(nèi)網(wǎng)斷開。同時(shí)，借助防病毒軟件還可以及時(shí)更新MIS系統(tǒng)的病毒庫(kù)，做好外來網(wǎng)絡(luò)攻擊最大程度的阻止，將網(wǎng)絡(luò)安全性有效提高，同時(shí)能夠保證傳輸速度，在中型及大型的電廠中較為適用。

三、結(jié)束語

總而言之，在構(gòu)建火力發(fā)電廠信息安全體系中需要將當(dāng)前信息系統(tǒng)運(yùn)行存在的安全威脅明確，做好安全防護(hù)措施，保證信息系統(tǒng)運(yùn)行正常，具體分析技術(shù)、組織、管理等方面，優(yōu)化安全系統(tǒng)，提高火力發(fā)電廠信息系統(tǒng)運(yùn)行的安全性，提高發(fā)電廠運(yùn)行效率，更好地服務(wù)于社會(huì)。

參? 考? 文? 獻(xiàn)

[1]吳永存.移動(dòng)式發(fā)電廠工控系統(tǒng)安全運(yùn)維裝置的研制[J].自動(dòng)化博覽，2020（10）：108-111.

[2]馮海祥.發(fā)電廠分散控制系統(tǒng)安全加固研究與實(shí)踐[J].大眾標(biāo)準(zhǔn)化，2020（18）：84-85.

[3]周鐵.火電廠工控系統(tǒng)信息安全方案的探討[J].信息通信，2020（08）：180-182.

[4]鐘健，倪雅琦.網(wǎng)絡(luò)安全等級(jí)保護(hù)在大型水電站的實(shí)踐[J].四川電力技術(shù)，2020，43（02）：84-90.

[5]王春杰.發(fā)電廠的信息化安全建設(shè)分析[J].集成電路應(yīng)用，2019，36（03）：70-71.

[6]陳政熙.火力發(fā)電廠工控系統(tǒng)安全現(xiàn)狀分析[J].自動(dòng)化儀表，2019，40（02）：72-75.