劉兆霞，景國(guó)鋒，孫 剛

（1.山西漳澤電力股份有限公司河津發(fā)電分公司，山西 河津 043300；2.山西電力科學(xué)研究院，山西 太原 030001）

0 引言

近年來(lái)，信息技術(shù)在電力企業(yè)生產(chǎn)和管理過(guò)程中的廣泛應(yīng)用，提高了電力企業(yè)的生產(chǎn)運(yùn)行和經(jīng)營(yíng)管理水平。而且隨著自動(dòng)化、通訊、計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，電力系統(tǒng)網(wǎng)絡(luò)安全問(wèn)題也變得更加突出和重要。山西漳澤電力股份有限公司河津發(fā)電分公司作為山西省晉南地區(qū)的主流發(fā)電企業(yè)，特別注重生產(chǎn)和管理過(guò)程中的信息技術(shù)安全問(wèn)題，加強(qiáng)電力二次系統(tǒng)的安全防護(hù)體系建設(shè)，力爭(zhēng)達(dá)到“安全分區(qū)，網(wǎng)絡(luò)專(zhuān)用，橫向隔離，縱向認(rèn)證”的要求，并從政策法規(guī)層面和技術(shù)方案層面，規(guī)定了各部門(mén)信息安全建設(shè)的具體措施。

1 二次系統(tǒng)安全防護(hù)體系構(gòu)成

山西漳澤電力股份有限公司河津發(fā)電分公司目前的做法是根據(jù)相關(guān)規(guī)定把二次系統(tǒng)劃分為生產(chǎn)控制大區(qū)和管理信息大區(qū)。生產(chǎn)控制大區(qū)又分為控制區(qū)和非控制區(qū)，控制區(qū)主要包括：1號(hào)—4號(hào)機(jī)組分散控制系統(tǒng)DCS（Distribution Control System）、電能計(jì)量系統(tǒng)、經(jīng)濟(jì)調(diào)度系統(tǒng)、保護(hù)管理系統(tǒng)等。非控制區(qū)主要包括廠(chǎng)級(jí)監(jiān)控信息系統(tǒng)SIS（Supervisory Information System）。管理信息大區(qū)主要包括管理信息系統(tǒng)MIS（Management Information System）、辦公自動(dòng)化系統(tǒng)、企業(yè)內(nèi)部網(wǎng)站等，見(jiàn)圖1。

從圖1可以看出，生產(chǎn)控制大區(qū)與管理信息大區(qū)之間布置有單向隔離裝置，管理信息大區(qū)的SIS客戶(hù)端也要通過(guò)隔離裝置才能訪(fǎng)問(wèn)生產(chǎn)控制大區(qū)的SIS系統(tǒng)服務(wù)器，生產(chǎn)控制大區(qū)與上級(jí)調(diào)度部門(mén)數(shù)據(jù)通訊有縱向加密認(rèn)證裝置，從總體上講可以滿(mǎn)足電力二次系統(tǒng)安全防護(hù)要求，但還存在其他不完善的地方。

2 二次系統(tǒng)安全防護(hù)體系存在的風(fēng)險(xiǎn)

山西漳澤電力股份有限公司河津發(fā)電分公司的二次系統(tǒng)安全防護(hù)體系是分階段逐步建成的，各系統(tǒng)之間網(wǎng)絡(luò)互聯(lián)缺乏統(tǒng)一規(guī)劃，主要表現(xiàn)在只要兩個(gè)系統(tǒng)之間有數(shù)據(jù)交換需求就連在一起，這種情況直接導(dǎo)致網(wǎng)絡(luò)結(jié)構(gòu)不清晰、系統(tǒng)間互聯(lián)點(diǎn)多等問(wèn)題，存在的風(fēng)險(xiǎn)也隨之增大，從多方面進(jìn)行風(fēng)險(xiǎn)分析有利于加強(qiáng)防范。

2.1 系統(tǒng)與外界接口增加

隨著網(wǎng)上調(diào)度服務(wù)、數(shù)據(jù)大集中應(yīng)用等需求的發(fā)展，電廠(chǎng)內(nèi)部網(wǎng)絡(luò)與許多中間業(yè)務(wù)的接口也逐漸增多，改變了一直以來(lái)電廠(chǎng)網(wǎng)絡(luò)結(jié)構(gòu)和業(yè)務(wù)系統(tǒng)的相對(duì)封閉性，使得安全問(wèn)題不僅僅源于內(nèi)部事件，來(lái)自外界的攻擊也越來(lái)越多。網(wǎng)絡(luò)應(yīng)用的擴(kuò)大，網(wǎng)絡(luò)安全風(fēng)險(xiǎn)變得更加嚴(yán)重和復(fù)雜，原來(lái)由單個(gè)計(jì)算機(jī)安全事故或單臺(tái)機(jī)組控制系統(tǒng)故障引起的損害可能通過(guò)網(wǎng)絡(luò)傳播到其他主機(jī)和系統(tǒng)，引起大范圍的癱瘓和損失；另外，加上部分終端用戶(hù)缺乏安全控制機(jī)制和對(duì)網(wǎng)絡(luò)安全政策及防護(hù)意識(shí)的不足，這些風(fēng)險(xiǎn)可謂日益加重，主要表現(xiàn)有以下幾點(diǎn)。

a）網(wǎng)絡(luò)邊界不清，無(wú)法對(duì)邊界安全設(shè)備進(jìn)行統(tǒng)一管理。

b）終端用戶(hù)網(wǎng)絡(luò)行為監(jiān)控不到位，無(wú)法對(duì)終端行為進(jìn)行策略管理。

c）應(yīng)急恢復(fù)流程控制不完善，部分核心數(shù)據(jù)缺少數(shù)據(jù)備份和恢復(fù)措施，或技術(shù)上難以實(shí)現(xiàn)。

d）部分系統(tǒng)出現(xiàn)安全意識(shí)或管理薄弱等現(xiàn)象，缺乏安全管理規(guī)范和安全意識(shí)培養(yǎng)等。

圖1 山西漳澤電力股份有限公司河津發(fā)電分公司電力二次系統(tǒng)安全防護(hù)網(wǎng)絡(luò)拓?fù)鋱D

2.2 各區(qū)域或系統(tǒng)間的訪(fǎng)問(wèn)機(jī)制有些依賴(lài)硬件設(shè)備

生產(chǎn)控制大區(qū)與管理信息大區(qū)之間雖然采用了單向隔離裝置用于限制數(shù)據(jù)傳輸?shù)膯蜗蛐?，但局部網(wǎng)絡(luò)間有些還依賴(lài)防火墻技術(shù)進(jìn)行防御，雖然在很大程度上抵御了病毒、惡意程序或外界網(wǎng)絡(luò)等的入侵，但還存在一定的局限性。采取防火墻技術(shù)后，數(shù)據(jù)通信仍是雙向的，無(wú)論哪種類(lèi)型的防護(hù)手段，從本質(zhì)上均處于“被動(dòng)防御”，只有不斷升級(jí)軟件和硬件，才能防止已知病毒和常規(guī)攻擊。而對(duì)未知病毒的防御則是有限的、滯后的。作為DCS與SIS系統(tǒng)間的網(wǎng)關(guān)(或其他類(lèi)似設(shè)備)，如果受到攻擊，即使沒(méi)有攻擊到DCS系統(tǒng)，也可能會(huì)在網(wǎng)絡(luò)上增加額外數(shù)據(jù)處理量，最終將影響DCS系統(tǒng)的數(shù)據(jù)實(shí)時(shí)傳遞。對(duì)于安全性要求較高的電廠(chǎng)而言，是絕對(duì)不允許發(fā)生任何一次對(duì)DCS系統(tǒng)攻擊的。因此，這些方法始終存在安全漏洞，無(wú)法從根本上杜絕網(wǎng)絡(luò)安全隱患。

2.3 控制區(qū)各系統(tǒng)缺少行之有效的防病毒系統(tǒng)

一般可能認(rèn)為在生產(chǎn)控制大區(qū)和信息管理大區(qū)之間安裝物理隔離裝置，二次系統(tǒng)網(wǎng)絡(luò)與辦公系統(tǒng)網(wǎng)絡(luò)進(jìn)行隔離，病毒就不會(huì)傳入到生產(chǎn)控制大區(qū)，但其實(shí)忽視了病毒的傳播方式是多方式、多途徑的。例如：病毒可以通過(guò)工作人員的移動(dòng)介質(zhì)或遠(yuǎn)程控制通道傳入到生產(chǎn)控制大區(qū)，進(jìn)而破壞DCS系統(tǒng)或經(jīng)濟(jì)調(diào)度系統(tǒng)等重要的二次應(yīng)用系統(tǒng)。總之，為防止病毒的肆意破壞，必須從管理和技術(shù)層次組建行之有效的防病毒系統(tǒng)。

2.4 數(shù)據(jù)備份方法較單一

現(xiàn)有的系統(tǒng)安全措施主要是以防火墻和物理隔離裝置為核心，只在一定程度上改善了系統(tǒng)的安全保障，但由于網(wǎng)絡(luò)防護(hù)技術(shù)通常滯后于花樣不斷翻新的黑客攻擊技術(shù)，故現(xiàn)有的網(wǎng)絡(luò)防護(hù)技術(shù)不可能絕對(duì)地保障網(wǎng)絡(luò)安全。為此，要使系統(tǒng)被破壞后的損失降低到最小，就必須構(gòu)筑起系統(tǒng)的最后一道防線(xiàn)，即數(shù)據(jù)備份和恢復(fù)機(jī)制。就目前而言，各系統(tǒng)的備份形式比較單一，如1號(hào)、2號(hào)機(jī)組DCS系統(tǒng)使用磁帶進(jìn)行備份，3號(hào)、4號(hào)機(jī)組DCS系統(tǒng)使用光盤(pán)或硬盤(pán)進(jìn)行備份，其他系統(tǒng)的備份形式也如此。這樣的備份形式并不能確保每次系統(tǒng)恢復(fù)都能成功，所以，這條防線(xiàn)還有待于繼續(xù)補(bǔ)充和完善。

3 防護(hù)體系的安全對(duì)策

通過(guò)對(duì)風(fēng)險(xiǎn)來(lái)源的分析有助于企業(yè)采取必要的防范措施，不論從管理理念還是系統(tǒng)配置上都必須以安全為中心，確保整個(gè)二次系統(tǒng)安全、穩(wěn)定地為企業(yè)服務(wù)。

3.1 加強(qiáng)公司內(nèi)部網(wǎng)絡(luò)管理和強(qiáng)化信息安全意識(shí)

首先，內(nèi)部的自主管理必須把電力二次防護(hù)體系的建設(shè)與維護(hù)工作放在重要的位置，不僅要在制度上嚴(yán)格要求并狠抓落實(shí)，而且更要在人的層面上加強(qiáng)管理。各相關(guān)部門(mén)或人員都必須嚴(yán)格遵守已制定的安全策略、標(biāo)準(zhǔn)、過(guò)程和程序，加強(qiáng)宣傳工作，強(qiáng)化員工的信息安全意識(shí)，端正態(tài)度，并且給予必要的培訓(xùn)，使得這項(xiàng)工作真正做到制度化、程序化、規(guī)范化，切實(shí)落到實(shí)處。山西漳澤電力股份有限公司河津發(fā)電分公司就二次防護(hù)體系的建設(shè)情況多次進(jìn)行自查和評(píng)估活動(dòng)，分別從規(guī)章制度、組織機(jī)構(gòu)、人員管理、總體防護(hù)體系、網(wǎng)絡(luò)安全、系統(tǒng)安全等方面著手進(jìn)行，總體來(lái)說(shuō)，生產(chǎn)大區(qū)的信息安全保障工作形式較好，從人員管理、設(shè)備管理、隔離防御等方面加強(qiáng)了系統(tǒng)安全，基本可以杜絕外來(lái)人員或網(wǎng)絡(luò)的侵?jǐn)_，以確保生產(chǎn)大區(qū)內(nèi)的信息安全。

3.2 確保硬件隔離措施到位

DCS系統(tǒng)以及重要輔機(jī)的控制系統(tǒng)在與SIS、MIS等信息管理系統(tǒng)的通訊鏈接上，目前使用單項(xiàng)隔離裝置或加裝防火墻等措施，做到網(wǎng)絡(luò)獨(dú)立、數(shù)據(jù)單向傳輸。單單依靠防火墻技術(shù)會(huì)存在一定的安全風(fēng)險(xiǎn)，在此基礎(chǔ)上加裝單向隔離裝置以加強(qiáng)對(duì)生產(chǎn)控制大區(qū)及信息管理大區(qū)間數(shù)據(jù)傳輸?shù)墓芾?。硬件通道上?duì)外僅提供一個(gè)網(wǎng)絡(luò)輸入口和一個(gè)網(wǎng)絡(luò)輸出口，分別連接內(nèi)網(wǎng)和外網(wǎng)，通過(guò)將輸入口的輸出網(wǎng)線(xiàn)切斷和將輸出口的輸入網(wǎng)線(xiàn)切斷及網(wǎng)絡(luò)驅(qū)動(dòng)級(jí)單向控制技術(shù)，實(shí)現(xiàn)單向完全隔斷同外網(wǎng)的一切連接，同時(shí)，可實(shí)現(xiàn)從內(nèi)網(wǎng)到外網(wǎng)的單向數(shù)據(jù)傳輸功能，杜絕來(lái)自外網(wǎng)的侵襲。總之，在硬件設(shè)施上基本確保網(wǎng)絡(luò)安全。

3.3 加強(qiáng)防病毒管理和使用多種備份形式

在病毒防護(hù)方面，工作重點(diǎn)是將計(jì)算機(jī)的輸入輸出設(shè)備進(jìn)行技術(shù)屏蔽，對(duì)運(yùn)行及維護(hù)人員可使用的系統(tǒng)功能進(jìn)行限制，基本上切斷內(nèi)部網(wǎng)絡(luò)病毒傳播的途徑。為確保系統(tǒng)安全，盡量切斷遠(yuǎn)程控制和維護(hù)功能，加強(qiáng)自身的技術(shù)力量，充分利用磁帶機(jī)或光盤(pán)等存儲(chǔ)介質(zhì)定期對(duì)系統(tǒng)進(jìn)行備份，并分類(lèi)存儲(chǔ)或異地存儲(chǔ)，以多種備份形式應(yīng)付各種緊急狀況。另外，山西漳澤電力股份有限公司河津發(fā)電分公司內(nèi)部也從資源儲(chǔ)備、應(yīng)急保障等其他方面做了大量的工作并加以規(guī)范。通過(guò)安全客戶(hù)端、安全策略服務(wù)器、接入設(shè)備以及防病毒軟件的聯(lián)動(dòng)，可以將不符合安全要求的終端限制在“隔離區(qū)”內(nèi)，防止“危險(xiǎn)”終端對(duì)網(wǎng)絡(luò)安全的損害，避免“易感”終端受病毒、蠕蟲(chóng)的攻擊，從而大幅度提升了網(wǎng)絡(luò)抵御新興安全威脅的能力。

4 結(jié)束語(yǔ)

對(duì)于電廠(chǎng)而言，二次防護(hù)系統(tǒng)的安全至關(guān)重要，需要各種防護(hù)技術(shù)和防護(hù)制度相結(jié)合，才能形成完整、可靠的二次防護(hù)體系。不僅如此，在日常工作中，更應(yīng)加強(qiáng)對(duì)二次防護(hù)系統(tǒng)的風(fēng)險(xiǎn)評(píng)估工作，定期檢查安全措施是否到位，管理制度是否落實(shí)，硬件防護(hù)體系的安全策略是否合理，數(shù)據(jù)備份是否可靠，這樣才能真正發(fā)現(xiàn)系統(tǒng)的安全隱患并及時(shí)消除，形成技術(shù)和制度雙管齊下，打造二次防護(hù)體系的安全基石。