陳彬

摘 要：在我國(guó)快速發(fā)展過(guò)程中，經(jīng)濟(jì)在快速發(fā)展，社會(huì)在不斷進(jìn)步，人們的生活質(zhì)量在不斷提高，對(duì)于電力的需求在不斷加大，簡(jiǎn)要介紹了電廠生產(chǎn)控制系統(tǒng)網(wǎng)絡(luò)信息安全防護(hù)工作的必要性，以田集發(fā)電廠為例闡述了電廠生產(chǎn)控制系統(tǒng)網(wǎng)絡(luò)信息安全分區(qū)及防護(hù)方案和措施，最后總結(jié)了電廠生產(chǎn)控制系統(tǒng)網(wǎng)絡(luò)信息安全防護(hù)應(yīng)注意的問(wèn)題。

關(guān)鍵詞：電廠;生產(chǎn)控制系統(tǒng);網(wǎng)絡(luò)信息安全;防護(hù)

引言

隨著我國(guó)經(jīng)濟(jì)的發(fā)展，發(fā)電廠信息安全的相關(guān)問(wèn)題逐漸受到了人們的重視。在如今的發(fā)電廠發(fā)展過(guò)程中，計(jì)算機(jī)網(wǎng)絡(luò)與信息系統(tǒng)基本得到普及。但是，在信息系統(tǒng)普及的情況下，黑客入侵、網(wǎng)絡(luò)攻擊等等問(wèn)題，也為信息安全的問(wèn)題埋下了隱患。本文采取理論分析法、文獻(xiàn)分析法、歸納整理法及對(duì)比分析法等進(jìn)行定性研究。為了對(duì)發(fā)電廠信息安全體系構(gòu)建的問(wèn)題進(jìn)行完整地剖析，筆者查閱了大量關(guān)于發(fā)電廠信息安全體系構(gòu)建方面的理論內(nèi)容，掌握了在現(xiàn)代社會(huì)背景下，合理對(duì)發(fā)電廠信息安全體系構(gòu)建問(wèn)題進(jìn)行研究的相關(guān)方法及運(yùn)作方式，著力提升了本文的深度性。而通過(guò)文獻(xiàn)分析法，筆者在查閱了相關(guān)人士對(duì)信息安全體系構(gòu)建問(wèn)題進(jìn)行研究的文獻(xiàn)、期刊的基礎(chǔ)上，利用歸納整理法，重點(diǎn)對(duì)參考文獻(xiàn)進(jìn)行了全面分析、整理，使本文更具理論性和指導(dǎo)性。

1網(wǎng)絡(luò)結(jié)構(gòu)特點(diǎn)

生產(chǎn)控制網(wǎng)絡(luò)是電力生產(chǎn)自動(dòng)化、集約化的產(chǎn)物。它們廣泛布置在我國(guó)大中型電廠、各級(jí)變電站之內(nèi)。它們提供了廠、站內(nèi)部各種狀態(tài)信息，控制信息流動(dòng)的信道，并且是直接面向生產(chǎn)的互連系統(tǒng)。電力微機(jī)控制技術(shù)的成熟和電力設(shè)備生產(chǎn)工藝的提高，使得我國(guó)廠、站內(nèi)部的生產(chǎn)控制網(wǎng)絡(luò)采用下圖所示結(jié)構(gòu)。具體地針對(duì)各控制點(diǎn)分別設(shè)置n個(gè)控制單元，各單元和主控室通過(guò)光纜相連。該網(wǎng)絡(luò)由網(wǎng)關(guān)接人企業(yè)intranet，而企業(yè)in*ranet又接人internet。該網(wǎng)絡(luò)具有以下特點(diǎn)：實(shí)時(shí)性強(qiáng)：和傳統(tǒng)的主要用于資源共享的計(jì)算機(jī)網(wǎng)絡(luò)不同，該網(wǎng)絡(luò)設(shè)計(jì)理念主要是對(duì)變壓器、母線進(jìn)行實(shí)時(shí)準(zhǔn)確控制。系統(tǒng)尤其強(qiáng)調(diào)通信的快速性和可靠性。控制單元智能化：將傳統(tǒng)的基于布線邏輯式的控制機(jī)構(gòu)全部轉(zhuǎn)為微機(jī)控制，實(shí)現(xiàn)了數(shù)據(jù)采集、分析、決策和動(dòng)作的一體化，有效節(jié)約了空間，簡(jiǎn)化了維護(hù)。多點(diǎn)可控：網(wǎng)絡(luò)的互連使得倒閘，投保護(hù)等操作可在三級(jí)進(jìn)行。①就地：現(xiàn)場(chǎng)操作;②本地主控室：經(jīng)由本地網(wǎng)絡(luò)發(fā)出操作命令;③internet八ntarnet：允許授權(quán)下在任何時(shí)間，任何地點(diǎn)對(duì)控制單元進(jìn)行監(jiān)控。通信規(guī)程標(biāo)準(zhǔn)化：我國(guó)對(duì)該網(wǎng)絡(luò)通信制定了詳細(xì)的規(guī)程。如適用于電網(wǎng)數(shù)據(jù)采集和監(jiān)控系統(tǒng)以及調(diào)度所間以間答式規(guī)約轉(zhuǎn)發(fā)實(shí)時(shí)運(yùn)動(dòng)信息的行業(yè)標(biāo)準(zhǔn)DL/T634一1997。

2電廠生產(chǎn)控制系統(tǒng)的網(wǎng)絡(luò)信息安全

2.1當(dāng)?shù)毓δ鼙O(jiān)視&發(fā)電考核系統(tǒng)

遠(yuǎn)動(dòng)當(dāng)?shù)毓δ芗鞍l(fā)電負(fù)荷考核子站系統(tǒng)，用于實(shí)現(xiàn)遠(yuǎn)動(dòng)當(dāng)?shù)毓δ?，接收華東網(wǎng)調(diào)或者安徽省調(diào)主站端的發(fā)電計(jì)劃曲線，并配合完成AVC功能。與調(diào)度中心通過(guò)調(diào)度數(shù)據(jù)網(wǎng)交換機(jī)Ⅰ區(qū)，再經(jīng)路由器與調(diào)度主站相互通訊;當(dāng)?shù)毓δ芟到y(tǒng)與FFC、NCS、FFC、AVC等系統(tǒng)或設(shè)備的連接采用串口方式進(jìn)行通訊;通過(guò)國(guó)產(chǎn)的南瑞SYSKEEPER2000正向隔離裝置與MIS系統(tǒng)和SIS系統(tǒng)相連，將數(shù)據(jù)單向送入MIS側(cè)的鏡像服務(wù)器、WEB發(fā)布服務(wù)器和SIS系統(tǒng)實(shí)時(shí)數(shù)據(jù)庫(kù)，而不允許MIS和SIS系統(tǒng)訪問(wèn)本系統(tǒng)。

2.2重視踐行技術(shù)+管理的理念，全面提升信息安全水平

隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，服務(wù)器、交換機(jī)等網(wǎng)絡(luò)設(shè)備和工控系統(tǒng)設(shè)備均不斷在改進(jìn)信息安全漏洞，這些設(shè)備在不同的環(huán)境下工作所表現(xiàn)出來(lái)的信息安全水平是有差異的?？梢哉f(shuō)沒(méi)有任何哪一家的產(chǎn)品能做到絕對(duì)的安全。因此從提升水電站控制系統(tǒng)網(wǎng)絡(luò)信息安全的角度出發(fā)，在已經(jīng)選定的設(shè)備技術(shù)條件下，從實(shí)際運(yùn)行角度出發(fā)，我們認(rèn)為采用加強(qiáng)網(wǎng)絡(luò)邊界安全防護(hù)和內(nèi)部管控相結(jié)合的思路，可以實(shí)現(xiàn)控制系統(tǒng)整體安全防護(hù)水平的全面提高。具體地說(shuō)，加強(qiáng)網(wǎng)絡(luò)邊界安全防護(hù)就是“關(guān)好大門”，把好這一道關(guān)就能極大降低來(lái)自外部網(wǎng)絡(luò)或系統(tǒng)的安全威脅;加強(qiáng)內(nèi)部管控則是“鎖好抽屜”，通過(guò)采取技術(shù)手段和有效的管理措施并加以嚴(yán)格執(zhí)行，能夠有效防范來(lái)自內(nèi)部的安全風(fēng)險(xiǎn)。

2.3建立相關(guān)防護(hù)系統(tǒng)

筆者認(rèn)為，基于發(fā)電廠信息安全體系現(xiàn)狀，想要真正構(gòu)建安全體系，防止網(wǎng)絡(luò)入侵、黑客介入，就必須著手建立相關(guān)的防護(hù)系統(tǒng)。所謂防護(hù)系統(tǒng)，也就是網(wǎng)絡(luò)入侵防護(hù)系統(tǒng)，其主要用于及時(shí)發(fā)現(xiàn)黑客攻擊，并進(jìn)行抵御，甚至消滅。這一種具體的計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)，能夠在較好地發(fā)現(xiàn)入侵者的基礎(chǔ)上，識(shí)別對(duì)計(jì)算機(jī)的非法訪問(wèn)行為，從而對(duì)其進(jìn)行隔離處理。而想要真正建立相關(guān)防護(hù)系統(tǒng)，發(fā)電廠內(nèi)部技術(shù)人員就必須在互聯(lián)網(wǎng)的出入口處，串聯(lián)部署IPS，這樣基本能夠?qū)崿F(xiàn)網(wǎng)絡(luò)出口防護(hù)。無(wú)論是由內(nèi)到外，還是由外到內(nèi)，層層布控，為整個(gè)系統(tǒng)提供互聯(lián)網(wǎng)的從網(wǎng)絡(luò)層、應(yīng)用層到內(nèi)容層的深程度全防護(hù)。另外，筆者個(gè)人認(rèn)為，相關(guān)技術(shù)人員還有必要在核心的交換機(jī)上，旁路部署IPS，主要是由內(nèi)網(wǎng)到內(nèi)網(wǎng)。在平時(shí)，相關(guān)的技術(shù)人員就可以將內(nèi)網(wǎng)中的部分重點(diǎn)服務(wù)器，從其流量鏡像轉(zhuǎn)到IPS上，這樣做的目的，主要是對(duì)這些服務(wù)器流量的安全性進(jìn)行實(shí)時(shí)監(jiān)控、訪問(wèn)。而如果在網(wǎng)絡(luò)中出現(xiàn)了相關(guān)的、嚴(yán)重的黑客事件，或者是具體的異常情況，那么相關(guān)人員就可以完全將出現(xiàn)的問(wèn)題部分流量鏡像到IPS上，之后進(jìn)行具體的安全性分析，這樣能夠較快地找到具體的攻擊來(lái)源和異常情況。

2.4SIS系統(tǒng)

SIS系統(tǒng)無(wú)生產(chǎn)控制功能，所以在設(shè)計(jì)時(shí)將其放在控制區(qū)Ⅱ區(qū)，是一個(gè)獨(dú)立的網(wǎng)絡(luò)系統(tǒng)，SIS網(wǎng)絡(luò)安全防護(hù)設(shè)計(jì)時(shí)考慮了兩個(gè)方面的內(nèi)容，分別是下層控制系統(tǒng)層以及MIS層：控制系統(tǒng)層：SIS系統(tǒng)與控制系統(tǒng)同屬于二次系統(tǒng)安全的控制大區(qū)，中間采用網(wǎng)關(guān)隔離。SIS為每個(gè)控制系統(tǒng)劃分獨(dú)立的VLAN，在進(jìn)行通訊的同時(shí)實(shí)現(xiàn)不同網(wǎng)段之間的隔離，這樣能夠有效隔離不同網(wǎng)段之間的廣播，減少網(wǎng)絡(luò)負(fù)荷。不同網(wǎng)段之間采用網(wǎng)關(guān)進(jìn)行隔離的同時(shí)在每臺(tái)接口機(jī)上安裝諾頓防病毒軟件，防止意外情況下病毒入侵。由于SIS網(wǎng)以及與SIS相連的控制系統(tǒng)網(wǎng)絡(luò)屬于電廠內(nèi)網(wǎng)，網(wǎng)內(nèi)節(jié)點(diǎn)數(shù)量少，方便進(jìn)行管理，所以上述網(wǎng)絡(luò)方案基本能夠滿足生產(chǎn)網(wǎng)絡(luò)安全防護(hù)的需要。MIS層：SIS系統(tǒng)與MIS系統(tǒng)處在不同的安全區(qū)，中間使用了南瑞的正向物理隔離裝置syskeeper2000進(jìn)行正向隔離，該產(chǎn)品經(jīng)過(guò)了國(guó)家公安部鑒定，是電力二次系統(tǒng)防護(hù)相關(guān)文件中推薦的品牌，保證了SIS的系統(tǒng)的數(shù)據(jù)單向送入MIS系統(tǒng)而MIS系統(tǒng)的數(shù)據(jù)不送入SIS系統(tǒng)的單向數(shù)據(jù)傳輸，保證了SIS系統(tǒng)的安全性。

結(jié)語(yǔ)

水電站開(kāi)展信息安全測(cè)評(píng)工作，通過(guò)現(xiàn)場(chǎng)檢查、專家建議和持續(xù)改進(jìn)，確實(shí)能使我們的信息安全防護(hù)水平得到了一定提高，使信息安全防護(hù)意識(shí)得到增強(qiáng)。同時(shí)，也應(yīng)該客觀地看到，目前的信息安全測(cè)評(píng)和測(cè)試工作還存在一定改進(jìn)空間，還可以更加切合實(shí)際需要，以便更好地為電站乃至電力系統(tǒng)安全生產(chǎn)服務(wù)。我國(guó)電力企業(yè)數(shù)量眾多，其控制系統(tǒng)的網(wǎng)絡(luò)信息安全防護(hù)能力和水平參差不齊，現(xiàn)場(chǎng)運(yùn)行環(huán)境各不相同，如何能夠客觀地分析其存在的安全隱患并給出整改建議是設(shè)備生產(chǎn)廠商、運(yùn)行單位和測(cè)評(píng)專家們需要共同研究的重要問(wèn)題。對(duì)于工控設(shè)備和系統(tǒng)的測(cè)試，則需要搭建更貼近現(xiàn)場(chǎng)實(shí)際應(yīng)用的測(cè)試環(huán)境，從而使得測(cè)試結(jié)果更有針對(duì)性、更具說(shuō)服力。

參考文獻(xiàn)：

[1]高永強(qiáng).網(wǎng)絡(luò)安全技術(shù)與應(yīng)用大典[M].北京：清華大學(xué)出版社，2003.

[2]國(guó)家電力監(jiān)管委員會(huì)（第5號(hào)令）.電力二次系統(tǒng)安全防護(hù)規(guī)定[M].北京：中國(guó)電力出版社，2004.

[3]國(guó)家電力監(jiān)管委員會(huì).電力二次系統(tǒng)安全防護(hù)總體方案[R].北京：國(guó)家電力監(jiān)管委員會(huì)，2006.