智能燃料系統(tǒng)信息安全管控

華能萊蕪發(fā)電有限公司 張?zhí)m慶 柯 波 楊柏依 北京能為科技股份有限公司 夏 陽 張彩端

隨著數(shù)字信息化技術(shù)在電廠內(nèi)的普遍應(yīng)用，其引發(fā)的信息安全問題也因各類信息安全事故的發(fā)生日漸凸顯。與日常的信息安全問題不同，電廠燃料信息安全系統(tǒng)事故引起的不僅是單純意義上的個人信息的泄露，而是會造成廠內(nèi)控制系統(tǒng)故障，直接對廠內(nèi)的設(shè)備運(yùn)行安全、信息安全以及人員安全等構(gòu)成威脅[1]。尤其是廠內(nèi)燃料系統(tǒng)，其需對電廠燃料量、燃料煤質(zhì)、燃料價格以及燃料系統(tǒng)設(shè)備運(yùn)行參數(shù)等敏感數(shù)據(jù)信息進(jìn)行監(jiān)測傳輸，同時智能燃料系統(tǒng)為實現(xiàn)燃料摻配方案的制定、燃料自動化堆取以及燃料采購計劃制定等自動化操作，增加了一系列軟件與硬件設(shè)備，并將其添加至SIS系統(tǒng)，這對系統(tǒng)的信息安全管控提出了一定要求。

為保證燃料信息的安全性，需針對廠級監(jiān)控系統(tǒng)構(gòu)架及特點進(jìn)行安全性分析，并制定出具有針對性、符合信息安全防范要求的解決方案，以避免燃料系統(tǒng)發(fā)生燃料數(shù)據(jù)信息篡改、丟失或系統(tǒng)遭受病毒、惡意軟件侵襲等安全問題的發(fā)生[1-2]。

1 自動化控制系統(tǒng)構(gòu)架及特點

我國電力體制改革提出網(wǎng)廠分離、競價上網(wǎng)，該改革不僅對電廠管理有一定要求，還需在廠內(nèi)信息化建設(shè)中加強(qiáng)整合軟件與硬件資源，綜合考慮管理信息系統(tǒng)以及各生產(chǎn)控制系統(tǒng)的有序集成，實現(xiàn)廠內(nèi)全范圍的一體化管控[2]。目前，電廠自動化控制主要由集散控制系統(tǒng)（DCS）、管理信息系統(tǒng)（MIS）以及廠級監(jiān)控信息系統(tǒng)（SIS）三層結(jié)構(gòu)組成。其中MIS和DCS系統(tǒng)在可靠性與安全性方面存在一定差異，無法直接進(jìn)行耦合，因此需要SIS系統(tǒng)建立起DSC與MIS系統(tǒng)間的橋梁，而SIS系統(tǒng)在為MIS提供生產(chǎn)實時數(shù)據(jù)服務(wù)的同時，又作為DCS系統(tǒng)的上一級對DCS系統(tǒng)進(jìn)行查漏補(bǔ)缺，其集過程實時監(jiān)測、性能優(yōu)化與生產(chǎn)過程管理為一體，實現(xiàn)了全廠范圍的信息共享[3]。

SIS系統(tǒng)的特點是在實現(xiàn)了廠級生產(chǎn)網(wǎng)絡(luò)互連和生產(chǎn)過程數(shù)據(jù)集中管理的基礎(chǔ)上，通過智能化的數(shù)據(jù)挖掘和信息融合，應(yīng)用廠級綜合性能計算和生產(chǎn)成本實時分析軟件、設(shè)備故障診斷和壽命評估軟件、機(jī)組和廠級優(yōu)化軟件以及廠級負(fù)荷優(yōu)化分配軟件等完成對生產(chǎn)過程的實時監(jiān)測、控制以及負(fù)荷經(jīng)濟(jì)分配[4]。由此可知，該系統(tǒng)可實現(xiàn)對電廠燃料煤質(zhì)、煤量、煤價等信息的收集、燃料運(yùn)輸與監(jiān)測設(shè)備的監(jiān)視指導(dǎo)運(yùn)行以及設(shè)備故障診斷等，是保證燃料系統(tǒng)穩(wěn)定運(yùn)行的基礎(chǔ)，但因廠內(nèi)對其安全風(fēng)險缺乏正確認(rèn)知以及有效防護(hù)，將部分現(xiàn)場控制系統(tǒng)直接暴露于公共網(wǎng)絡(luò)平臺，導(dǎo)致與微軟系統(tǒng)具有直接聯(lián)系的DCS系統(tǒng)的安全性受到威脅[3-4]。

2 安全風(fēng)險分析

電廠燃料信息系統(tǒng)出現(xiàn)故障的原因多體現(xiàn)于系統(tǒng)通信不穩(wěn)、使用軟件類型繁雜、操作系統(tǒng)漏洞修補(bǔ)不及時、系統(tǒng)端口多、U盤等可移動設(shè)備接入系統(tǒng)管控不嚴(yán)、黑客與病毒入侵植入、網(wǎng)關(guān)通信簡單等[5-7]，其具體安全風(fēng)險分析如下：

2.1 網(wǎng)絡(luò)連接方式

SIS系統(tǒng)和MIS系統(tǒng)通過將交換機(jī)設(shè)置于其連接點上實現(xiàn)了兩系統(tǒng)的直接連接，并以限制目的地址與源地址的方式，使MIS系統(tǒng)中有且只有一臺機(jī)器完成與通訊服務(wù)器的連接，該連接方式易將安全性低的MIS系統(tǒng)的風(fēng)險引入至與運(yùn)行設(shè)備相連的SIS系統(tǒng)中，引起燃料系統(tǒng)運(yùn)行故障。

2.2 網(wǎng)絡(luò)通信方式

SIS系統(tǒng)和MIS系統(tǒng)之間使用同一臺帶有兩個不同網(wǎng)卡的網(wǎng)橋計算機(jī)進(jìn)行數(shù)據(jù)信息傳輸，該網(wǎng)絡(luò)通信方式使整個系統(tǒng)的網(wǎng)絡(luò)訪問層面處于透明，該系統(tǒng)可進(jìn)行任意網(wǎng)絡(luò)訪問，且由底層進(jìn)行網(wǎng)絡(luò)訪問時不受到任何限制，而MIS系統(tǒng)是與Internet相連的，這代表著燃料系統(tǒng)中的SIS系統(tǒng)可被任一計算機(jī)訪問編輯，這無疑大大增加了整個燃料系統(tǒng)感染病毒的風(fēng)險，且系統(tǒng)中的計算機(jī)程序一旦受到黑客攻擊，將會引起燃料系統(tǒng)中的數(shù)據(jù)泄露、篡改電力交易中的敏感數(shù)據(jù)，導(dǎo)致執(zhí)行設(shè)備運(yùn)行紊亂，對燃料信息安全造成重大創(chuàng)傷[5]。

2.3 數(shù)據(jù)通道

SIS系統(tǒng)需與下層控制網(wǎng)絡(luò)中的DCS系統(tǒng)、輔網(wǎng)系統(tǒng)、網(wǎng)絡(luò)控制系統(tǒng)（NCS）以及遠(yuǎn)程終端單元（RTU）進(jìn)行連接，該連接對接口的數(shù)量、接口技術(shù)、數(shù)據(jù)通訊速率及緩存量有一定的要求，其中連接接口設(shè)備與數(shù)據(jù)服務(wù)器的數(shù)據(jù)通道是保證數(shù)據(jù)傳輸?shù)年P(guān)鍵，當(dāng)數(shù)據(jù)通道發(fā)生故障會導(dǎo)致數(shù)據(jù)傳輸中斷，數(shù)據(jù)保存不完整；且數(shù)據(jù)緩存過程中也可能會出現(xiàn)網(wǎng)絡(luò)中斷而引發(fā)數(shù)據(jù)丟失問題，造成燃料信息不完整、無歷史追蹤的故障。

2.4 防火墻技術(shù)

防火墻是一種保證企業(yè)自身服務(wù)器或數(shù)據(jù)安全的技術(shù)，依據(jù)防火墻的作用不同，其技術(shù)主要分為包過濾防火墻、狀態(tài)/動態(tài)監(jiān)測防火墻、應(yīng)用程序代理防火墻以及網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）等四種類型，該防火墻技術(shù)可通過檢測IP包字段、控制網(wǎng)絡(luò)IP訪問以及病毒掃描的方式有效預(yù)防外部攻擊，但該技術(shù)因無法改變數(shù)據(jù)雙向傳輸?shù)氖聦崳瑫r還因各類型防火墻的特點易出現(xiàn)防火墻的錯誤配置、記錄測試分析工作因網(wǎng)絡(luò)連接出現(xiàn)遲滯以及傳統(tǒng)的木馬程序無法防御等問題，依然無法根除網(wǎng)絡(luò)安全風(fēng)險，因此為保證SIS系統(tǒng)安全穩(wěn)定的進(jìn)行數(shù)據(jù)傳輸需從源頭對所有可能的攻擊途徑進(jìn)行截堵。

2.5 內(nèi)網(wǎng)安全

電廠系統(tǒng)較為復(fù)雜，并且為實現(xiàn)全廠的自動化建設(shè)分布了較多的控制系統(tǒng)，如燃料管理系統(tǒng)、計算機(jī)控制系統(tǒng)、生產(chǎn)管控系統(tǒng)等，各系統(tǒng)間因功能交互存在著緊密聯(lián)系以及信息傳輸，因此為保障廠內(nèi)信息交流與傳輸?shù)陌踩?，防止外網(wǎng)的入侵攻擊以及局域網(wǎng)內(nèi)的安全風(fēng)險，需對內(nèi)網(wǎng)進(jìn)行安全性防范。

2.6 外部防護(hù)

智能燃料系統(tǒng)的自動化運(yùn)行需由工程師站、操作員站、網(wǎng)關(guān)站以及監(jiān)控顯示站等組成的DCS平臺統(tǒng)一管控，其中工程師站使用的工控機(jī)應(yīng)用范圍廣，預(yù)留接口多，同時含有基礎(chǔ)的Windows系統(tǒng)，這都為燃料系統(tǒng)的安全性帶來了隱患，具體體現(xiàn)為：

燃料系統(tǒng)中各站口的預(yù)留接口因無嚴(yán)格限制可隨意接入U盤等移動設(shè)備，導(dǎo)致移動設(shè)備中存有的病毒及非法軟件輕易侵入燃料系統(tǒng)，對系統(tǒng)造成攻擊；操作系統(tǒng)使用的軟件繁雜，易出現(xiàn)因軟件未及時更新以及漏洞未及時修補(bǔ)而造成系統(tǒng)運(yùn)行的故障，導(dǎo)致系統(tǒng)中數(shù)據(jù)缺失，甚至可能會造成數(shù)據(jù)泄露及修改等問題的發(fā)生；工程師站中的網(wǎng)絡(luò)交換機(jī)因需完成針對不同的VLAN轉(zhuǎn)發(fā)而配備了預(yù)留接口，該接口也可能因外部設(shè)備的接入引發(fā)對系統(tǒng)的攻擊破壞。

執(zhí)行設(shè)備中無可靠有效的預(yù)備電源，若固定電源發(fā)生故障易導(dǎo)致整個系統(tǒng)喪失運(yùn)行功能，某些設(shè)備的運(yùn)行也可能造成不可逆轉(zhuǎn)的損壞；網(wǎng)關(guān)通信使用廣泛的通信協(xié)議，該通信較為簡單，易被黑客攻擊入侵，無法保證燃料系統(tǒng)中的工控系統(tǒng)的安全[6]。

3 安全防護(hù)策略

為解決上述安全風(fēng)險分析中涉及的有關(guān)MIS與SIS系統(tǒng)直接相連、網(wǎng)絡(luò)通信互通、防火墻缺陷、內(nèi)網(wǎng)風(fēng)險、軟件系統(tǒng)與硬件設(shè)備的接口攻擊以及系統(tǒng)管控不嚴(yán)等引發(fā)的智能燃料信息泄露、篡改、缺失、病毒、攻擊等問題，提出了一系列軟件優(yōu)化與硬件防護(hù)措施，為燃料系統(tǒng)的信息安全提供技術(shù)保障。具體安全防護(hù)策略如下。

3.1 單向數(shù)據(jù)傳輸

MIS系統(tǒng)與SIS系統(tǒng)的直接連接使SIS系統(tǒng)與安全性較低的MIS系統(tǒng)一樣可被任意進(jìn)行網(wǎng)絡(luò)訪問，為其安全性帶來了較大隱患。因此實現(xiàn)MIS系統(tǒng)只可對SIS系統(tǒng)的單方向數(shù)據(jù)傳輸是保證SIS系統(tǒng)網(wǎng)絡(luò)安全的關(guān)鍵，該單向傳輸通過在兩系統(tǒng)間設(shè)置單向物理隔離網(wǎng)閘，利用數(shù)據(jù)信息格式轉(zhuǎn)變裝置完成由DCS信息格式向SIS信息格式的轉(zhuǎn)變，并利用數(shù)據(jù)傳輸專用接口實現(xiàn)數(shù)據(jù)信息向SIS鏡像服務(wù)器與WEB服務(wù)器的傳輸，并且通過阻斷SIS回路，使其無法對DCS與MIS系統(tǒng)進(jìn)行數(shù)據(jù)輸送，保證了信息安全。

3.2 單向網(wǎng)絡(luò)通信

使用同臺計算機(jī)不同網(wǎng)卡的數(shù)據(jù)通訊方式使網(wǎng)絡(luò)訪問處于透明狀態(tài)，為SIS系統(tǒng)帶來風(fēng)險。為規(guī)避該風(fēng)險通過在SIS系統(tǒng)與底層控制系統(tǒng)（Windows操作系統(tǒng)為主）設(shè)置防火墻以控制對SIS系統(tǒng)的訪問以及完成對病毒的掃描，同時在兩系統(tǒng)之間設(shè)置數(shù)據(jù)傳輸專用接口，保證系統(tǒng)只進(jìn)行規(guī)定數(shù)據(jù)的傳輸交互，降低病毒與木馬以外網(wǎng)為基礎(chǔ)進(jìn)行針對儀控系統(tǒng)的攻擊風(fēng)險。

3.3 數(shù)據(jù)接口冗余

數(shù)據(jù)傳輸過程需保證數(shù)據(jù)接口設(shè)備的通信速率高效快速，且需對與交換機(jī)連接的網(wǎng)卡進(jìn)行冗余設(shè)置，以防止數(shù)據(jù)通道因電源或攻擊發(fā)生故障無法進(jìn)行工作時影響與數(shù)據(jù)庫服務(wù)器的信息傳輸。同時數(shù)據(jù)接口還應(yīng)該支持網(wǎng)絡(luò)恢復(fù)，以保證網(wǎng)絡(luò)中斷恢復(fù)后數(shù)據(jù)可自動完成緩存，并保存?zhèn)鬏斨翑?shù)據(jù)服務(wù)器[7]。

3.4 網(wǎng)絡(luò)病毒防護(hù)

防火墻可通過包過濾等方式進(jìn)行病毒掃描、控制網(wǎng)絡(luò)訪問，但其只能針對外部攻擊進(jìn)行預(yù)防而無法針對內(nèi)部發(fā)出的蓄意擾亂行為進(jìn)行防控，這也成為了防火墻的一大缺陷。為彌補(bǔ)此缺陷，通過應(yīng)用入侵檢測系統(tǒng)對網(wǎng)絡(luò)中的信息進(jìn)行收集、分析與比對，以實現(xiàn)對內(nèi)部網(wǎng)絡(luò)信息的監(jiān)測，當(dāng)系統(tǒng)監(jiān)測出違反安全要求或攻擊系統(tǒng)的行為信號時，則通過與防火墻的配合阻斷攻擊行為的繼續(xù)，進(jìn)而保護(hù)整個燃料系統(tǒng)的信息安全以及設(shè)備運(yùn)行安全。

3.5 網(wǎng)絡(luò)安全域劃分

網(wǎng)絡(luò)安全域劃分是將同一系統(tǒng)中具有相同安全保護(hù)需求、相互信任，并具有相同的安全訪問控制和邊界控制策略的子網(wǎng)或網(wǎng)絡(luò)劃分至相同的網(wǎng)絡(luò)安全域，以共享同一級別的安全策略。其中智能燃料系統(tǒng)中的網(wǎng)絡(luò)安全域劃分是根據(jù)主機(jī)行政范圍進(jìn)行，安全域劃分后針對各個子網(wǎng)絡(luò)進(jìn)行網(wǎng)閘級或傳輸信道級的物理隔離，同時利用VLAN虛擬技術(shù)以及防火墻技術(shù)完成網(wǎng)絡(luò)的邏輯隔離，最終從根本上杜絕局域網(wǎng)內(nèi)的安全事故發(fā)生，保證整個燃料系統(tǒng)的信息安全傳輸。

3.6 軟件優(yōu)化及數(shù)據(jù)備份

制定嚴(yán)格的燃料系統(tǒng)信息安全管控制度，針對由外來人員攜帶以及廠內(nèi)運(yùn)行人員未經(jīng)檢測許可的可移動設(shè)備不允許直接接入燃料系統(tǒng)；針對燃料系統(tǒng)中常用的燃料摻配軟件、經(jīng)濟(jì)性分析軟件以及采購建議制定軟件等進(jìn)行定期全面檢測，并及時對系統(tǒng)出現(xiàn)的漏洞進(jìn)行修補(bǔ)，與此同時防病毒軟件需進(jìn)行定期升級，保證系統(tǒng)中的磁盤使用最新殺毒軟件進(jìn)行掃描殺毒；燃料信息系統(tǒng)中的工程師站涉及的接口不允許外部設(shè)備隨意接入，以防止引入病毒造成設(shè)備故障。

設(shè)置預(yù)留備用電源，保證主電源切斷或被迫中斷的條件下系統(tǒng)具有備選電源使用，此外服務(wù)器與關(guān)系型數(shù)據(jù)庫增加不間斷電源，確保在失去主電源供電時有足夠的時間完成數(shù)據(jù)的傳輸儲存以及程序的安全退出；針對網(wǎng)關(guān)安全問題需進(jìn)行網(wǎng)關(guān)協(xié)議升級，限制外部訪問，減少安全風(fēng)險。除此之外，為保證數(shù)據(jù)存儲的完整性，需進(jìn)行接口機(jī)數(shù)據(jù)以及數(shù)據(jù)服務(wù)器數(shù)據(jù)的備份，同時針對防火墻等物理隔離部分也設(shè)置手動備份，以減少各燃料信息測點與歷史數(shù)據(jù)的丟失風(fēng)險。

4 結(jié)語

燃料信息系統(tǒng)的智能化發(fā)展保證了燃料由入廠到入爐的全流程管控，實現(xiàn)了燃料計量、摻配、燃燒等流程的精細(xì)化控制，為電廠效率的提高以及市場競爭力的提升提供了技術(shù)支持，但燃料信息系統(tǒng)的網(wǎng)絡(luò)化卻使燃料的煤質(zhì)、煤量、煤價以及采購計劃等敏感信息的安全性受到了威脅，因此維護(hù)燃料信息系統(tǒng)的信息安全，防止網(wǎng)絡(luò)攻擊與病毒入侵，保證信息數(shù)據(jù)的完全性是避免電廠損失的關(guān)鍵，也是智能化發(fā)展的保障。