華能萊蕪發(fā)電有限公司 張?zhí)m慶 柯 波 楊柏依 北京能為科技股份有限公司 夏 陽(yáng) 張彩端

隨著數(shù)字信息化技術(shù)在電廠內(nèi)的普遍應(yīng)用，其引發(fā)的信息安全問(wèn)題也因各類信息安全事故的發(fā)生日漸凸顯。與日常的信息安全問(wèn)題不同，電廠燃料信息安全系統(tǒng)事故引起的不僅是單純意義上的個(gè)人信息的泄露，而是會(huì)造成廠內(nèi)控制系統(tǒng)故障，直接對(duì)廠內(nèi)的設(shè)備運(yùn)行安全、信息安全以及人員安全等構(gòu)成威脅[1]。尤其是廠內(nèi)燃料系統(tǒng)，其需對(duì)電廠燃料量、燃料煤質(zhì)、燃料價(jià)格以及燃料系統(tǒng)設(shè)備運(yùn)行參數(shù)等敏感數(shù)據(jù)信息進(jìn)行監(jiān)測(cè)傳輸，同時(shí)智能燃料系統(tǒng)為實(shí)現(xiàn)燃料摻配方案的制定、燃料自動(dòng)化堆取以及燃料采購(gòu)計(jì)劃制定等自動(dòng)化操作，增加了一系列軟件與硬件設(shè)備，并將其添加至SIS系統(tǒng)，這對(duì)系統(tǒng)的信息安全管控提出了一定要求。

為保證燃料信息的安全性，需針對(duì)廠級(jí)監(jiān)控系統(tǒng)構(gòu)架及特點(diǎn)進(jìn)行安全性分析，并制定出具有針對(duì)性、符合信息安全防范要求的解決方案，以避免燃料系統(tǒng)發(fā)生燃料數(shù)據(jù)信息篡改、丟失或系統(tǒng)遭受病毒、惡意軟件侵襲等安全問(wèn)題的發(fā)生[1-2]。

1 自動(dòng)化控制系統(tǒng)構(gòu)架及特點(diǎn)

我國(guó)電力體制改革提出網(wǎng)廠分離、競(jìng)價(jià)上網(wǎng)，該改革不僅對(duì)電廠管理有一定要求，還需在廠內(nèi)信息化建設(shè)中加強(qiáng)整合軟件與硬件資源，綜合考慮管理信息系統(tǒng)以及各生產(chǎn)控制系統(tǒng)的有序集成，實(shí)現(xiàn)廠內(nèi)全范圍的一體化管控[2]。目前，電廠自動(dòng)化控制主要由集散控制系統(tǒng)（DCS）、管理信息系統(tǒng)（MIS）以及廠級(jí)監(jiān)控信息系統(tǒng)（SIS）三層結(jié)構(gòu)組成。其中MIS和DCS系統(tǒng)在可靠性與安全性方面存在一定差異，無(wú)法直接進(jìn)行耦合，因此需要SIS系統(tǒng)建立起DSC與MIS系統(tǒng)間的橋梁，而SIS系統(tǒng)在為MIS提供生產(chǎn)實(shí)時(shí)數(shù)據(jù)服務(wù)的同時(shí)，又作為DCS系統(tǒng)的上一級(jí)對(duì)DCS系統(tǒng)進(jìn)行查漏補(bǔ)缺，其集過(guò)程實(shí)時(shí)監(jiān)測(cè)、性能優(yōu)化與生產(chǎn)過(guò)程管理為一體，實(shí)現(xiàn)了全廠范圍的信息共享[3]。

SIS系統(tǒng)的特點(diǎn)是在實(shí)現(xiàn)了廠級(jí)生產(chǎn)網(wǎng)絡(luò)互連和生產(chǎn)過(guò)程數(shù)據(jù)集中管理的基礎(chǔ)上，通過(guò)智能化的數(shù)據(jù)挖掘和信息融合，應(yīng)用廠級(jí)綜合性能計(jì)算和生產(chǎn)成本實(shí)時(shí)分析軟件、設(shè)備故障診斷和壽命評(píng)估軟件、機(jī)組和廠級(jí)優(yōu)化軟件以及廠級(jí)負(fù)荷優(yōu)化分配軟件等完成對(duì)生產(chǎn)過(guò)程的實(shí)時(shí)監(jiān)測(cè)、控制以及負(fù)荷經(jīng)濟(jì)分配[4]。由此可知，該系統(tǒng)可實(shí)現(xiàn)對(duì)電廠燃料煤質(zhì)、煤量、煤價(jià)等信息的收集、燃料運(yùn)輸與監(jiān)測(cè)設(shè)備的監(jiān)視指導(dǎo)運(yùn)行以及設(shè)備故障診斷等，是保證燃料系統(tǒng)穩(wěn)定運(yùn)行的基礎(chǔ)，但因廠內(nèi)對(duì)其安全風(fēng)險(xiǎn)缺乏正確認(rèn)知以及有效防護(hù)，將部分現(xiàn)場(chǎng)控制系統(tǒng)直接暴露于公共網(wǎng)絡(luò)平臺(tái)，導(dǎo)致與微軟系統(tǒng)具有直接聯(lián)系的DCS系統(tǒng)的安全性受到威脅[3-4]。

2 安全風(fēng)險(xiǎn)分析

電廠燃料信息系統(tǒng)出現(xiàn)故障的原因多體現(xiàn)于系統(tǒng)通信不穩(wěn)、使用軟件類型繁雜、操作系統(tǒng)漏洞修補(bǔ)不及時(shí)、系統(tǒng)端口多、U盤(pán)等可移動(dòng)設(shè)備接入系統(tǒng)管控不嚴(yán)、黑客與病毒入侵植入、網(wǎng)關(guān)通信簡(jiǎn)單等[5-7]，其具體安全風(fēng)險(xiǎn)分析如下：

2.1 網(wǎng)絡(luò)連接方式

SIS系統(tǒng)和MIS系統(tǒng)通過(guò)將交換機(jī)設(shè)置于其連接點(diǎn)上實(shí)現(xiàn)了兩系統(tǒng)的直接連接，并以限制目的地址與源地址的方式，使MIS系統(tǒng)中有且只有一臺(tái)機(jī)器完成與通訊服務(wù)器的連接，該連接方式易將安全性低的MIS系統(tǒng)的風(fēng)險(xiǎn)引入至與運(yùn)行設(shè)備相連的SIS系統(tǒng)中，引起燃料系統(tǒng)運(yùn)行故障。

2.2 網(wǎng)絡(luò)通信方式

SIS系統(tǒng)和MIS系統(tǒng)之間使用同一臺(tái)帶有兩個(gè)不同網(wǎng)卡的網(wǎng)橋計(jì)算機(jī)進(jìn)行數(shù)據(jù)信息傳輸，該網(wǎng)絡(luò)通信方式使整個(gè)系統(tǒng)的網(wǎng)絡(luò)訪問(wèn)層面處于透明，該系統(tǒng)可進(jìn)行任意網(wǎng)絡(luò)訪問(wèn)，且由底層進(jìn)行網(wǎng)絡(luò)訪問(wèn)時(shí)不受到任何限制，而MIS系統(tǒng)是與Internet相連的，這代表著燃料系統(tǒng)中的SIS系統(tǒng)可被任一計(jì)算機(jī)訪問(wèn)編輯，這無(wú)疑大大增加了整個(gè)燃料系統(tǒng)感染病毒的風(fēng)險(xiǎn)，且系統(tǒng)中的計(jì)算機(jī)程序一旦受到黑客攻擊，將會(huì)引起燃料系統(tǒng)中的數(shù)據(jù)泄露、篡改電力交易中的敏感數(shù)據(jù)，導(dǎo)致執(zhí)行設(shè)備運(yùn)行紊亂，對(duì)燃料信息安全造成重大創(chuàng)傷[5]。

2.3 數(shù)據(jù)通道

SIS系統(tǒng)需與下層控制網(wǎng)絡(luò)中的DCS系統(tǒng)、輔網(wǎng)系統(tǒng)、網(wǎng)絡(luò)控制系統(tǒng)（NCS）以及遠(yuǎn)程終端單元（RTU）進(jìn)行連接，該連接對(duì)接口的數(shù)量、接口技術(shù)、數(shù)據(jù)通訊速率及緩存量有一定的要求，其中連接接口設(shè)備與數(shù)據(jù)服務(wù)器的數(shù)據(jù)通道是保證數(shù)據(jù)傳輸?shù)年P(guān)鍵，當(dāng)數(shù)據(jù)通道發(fā)生故障會(huì)導(dǎo)致數(shù)據(jù)傳輸中斷，數(shù)據(jù)保存不完整；且數(shù)據(jù)緩存過(guò)程中也可能會(huì)出現(xiàn)網(wǎng)絡(luò)中斷而引發(fā)數(shù)據(jù)丟失問(wèn)題，造成燃料信息不完整、無(wú)歷史追蹤的故障。

2.4 防火墻技術(shù)

防火墻是一種保證企業(yè)自身服務(wù)器或數(shù)據(jù)安全的技術(shù)，依據(jù)防火墻的作用不同，其技術(shù)主要分為包過(guò)濾防火墻、狀態(tài)/動(dòng)態(tài)監(jiān)測(cè)防火墻、應(yīng)用程序代理防火墻以及網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）等四種類型，該防火墻技術(shù)可通過(guò)檢測(cè)IP包字段、控制網(wǎng)絡(luò)IP訪問(wèn)以及病毒掃描的方式有效預(yù)防外部攻擊，但該技術(shù)因無(wú)法改變數(shù)據(jù)雙向傳輸?shù)氖聦?shí)，同時(shí)還因各類型防火墻的特點(diǎn)易出現(xiàn)防火墻的錯(cuò)誤配置、記錄測(cè)試分析工作因網(wǎng)絡(luò)連接出現(xiàn)遲滯以及傳統(tǒng)的木馬程序無(wú)法防御等問(wèn)題，依然無(wú)法根除網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，因此為保證SIS系統(tǒng)安全穩(wěn)定的進(jìn)行數(shù)據(jù)傳輸需從源頭對(duì)所有可能的攻擊途徑進(jìn)行截堵。

2.5 內(nèi)網(wǎng)安全

電廠系統(tǒng)較為復(fù)雜，并且為實(shí)現(xiàn)全廠的自動(dòng)化建設(shè)分布了較多的控制系統(tǒng)，如燃料管理系統(tǒng)、計(jì)算機(jī)控制系統(tǒng)、生產(chǎn)管控系統(tǒng)等，各系統(tǒng)間因功能交互存在著緊密聯(lián)系以及信息傳輸，因此為保障廠內(nèi)信息交流與傳輸?shù)陌踩裕乐雇饩W(wǎng)的入侵攻擊以及局域網(wǎng)內(nèi)的安全風(fēng)險(xiǎn)，需對(duì)內(nèi)網(wǎng)進(jìn)行安全性防范。

2.6 外部防護(hù)

智能燃料系統(tǒng)的自動(dòng)化運(yùn)行需由工程師站、操作員站、網(wǎng)關(guān)站以及監(jiān)控顯示站等組成的DCS平臺(tái)統(tǒng)一管控，其中工程師站使用的工控機(jī)應(yīng)用范圍廣，預(yù)留接口多，同時(shí)含有基礎(chǔ)的Windows系統(tǒng)，這都為燃料系統(tǒng)的安全性帶來(lái)了隱患，具體體現(xiàn)為：

燃料系統(tǒng)中各站口的預(yù)留接口因無(wú)嚴(yán)格限制可隨意接入U(xiǎn)盤(pán)等移動(dòng)設(shè)備，導(dǎo)致移動(dòng)設(shè)備中存有的病毒及非法軟件輕易侵入燃料系統(tǒng)，對(duì)系統(tǒng)造成攻擊；操作系統(tǒng)使用的軟件繁雜，易出現(xiàn)因軟件未及時(shí)更新以及漏洞未及時(shí)修補(bǔ)而造成系統(tǒng)運(yùn)行的故障，導(dǎo)致系統(tǒng)中數(shù)據(jù)缺失，甚至可能會(huì)造成數(shù)據(jù)泄露及修改等問(wèn)題的發(fā)生；工程師站中的網(wǎng)絡(luò)交換機(jī)因需完成針對(duì)不同的VLAN轉(zhuǎn)發(fā)而配備了預(yù)留接口，該接口也可能因外部設(shè)備的接入引發(fā)對(duì)系統(tǒng)的攻擊破壞。

執(zhí)行設(shè)備中無(wú)可靠有效的預(yù)備電源，若固定電源發(fā)生故障易導(dǎo)致整個(gè)系統(tǒng)喪失運(yùn)行功能，某些設(shè)備的運(yùn)行也可能造成不可逆轉(zhuǎn)的損壞；網(wǎng)關(guān)通信使用廣泛的通信協(xié)議，該通信較為簡(jiǎn)單，易被黑客攻擊入侵，無(wú)法保證燃料系統(tǒng)中的工控系統(tǒng)的安全[6]。

3 安全防護(hù)策略

為解決上述安全風(fēng)險(xiǎn)分析中涉及的有關(guān)MIS與SIS系統(tǒng)直接相連、網(wǎng)絡(luò)通信互通、防火墻缺陷、內(nèi)網(wǎng)風(fēng)險(xiǎn)、軟件系統(tǒng)與硬件設(shè)備的接口攻擊以及系統(tǒng)管控不嚴(yán)等引發(fā)的智能燃料信息泄露、篡改、缺失、病毒、攻擊等問(wèn)題，提出了一系列軟件優(yōu)化與硬件防護(hù)措施，為燃料系統(tǒng)的信息安全提供技術(shù)保障。具體安全防護(hù)策略如下。

3.1 單向數(shù)據(jù)傳輸

MIS系統(tǒng)與SIS系統(tǒng)的直接連接使SIS系統(tǒng)與安全性較低的MIS系統(tǒng)一樣可被任意進(jìn)行網(wǎng)絡(luò)訪問(wèn)，為其安全性帶來(lái)了較大隱患。因此實(shí)現(xiàn)MIS系統(tǒng)只可對(duì)SIS系統(tǒng)的單方向數(shù)據(jù)傳輸是保證SIS系統(tǒng)網(wǎng)絡(luò)安全的關(guān)鍵，該單向傳輸通過(guò)在兩系統(tǒng)間設(shè)置單向物理隔離網(wǎng)閘，利用數(shù)據(jù)信息格式轉(zhuǎn)變裝置完成由DCS信息格式向SIS信息格式的轉(zhuǎn)變，并利用數(shù)據(jù)傳輸專用接口實(shí)現(xiàn)數(shù)據(jù)信息向SIS鏡像服務(wù)器與WEB服務(wù)器的傳輸，并且通過(guò)阻斷SIS回路，使其無(wú)法對(duì)DCS與MIS系統(tǒng)進(jìn)行數(shù)據(jù)輸送，保證了信息安全。

3.2 單向網(wǎng)絡(luò)通信

使用同臺(tái)計(jì)算機(jī)不同網(wǎng)卡的數(shù)據(jù)通訊方式使網(wǎng)絡(luò)訪問(wèn)處于透明狀態(tài)，為SIS系統(tǒng)帶來(lái)風(fēng)險(xiǎn)。為規(guī)避該風(fēng)險(xiǎn)通過(guò)在SIS系統(tǒng)與底層控制系統(tǒng)（Windows操作系統(tǒng)為主）設(shè)置防火墻以控制對(duì)SIS系統(tǒng)的訪問(wèn)以及完成對(duì)病毒的掃描，同時(shí)在兩系統(tǒng)之間設(shè)置數(shù)據(jù)傳輸專用接口，保證系統(tǒng)只進(jìn)行規(guī)定數(shù)據(jù)的傳輸交互，降低病毒與木馬以外網(wǎng)為基礎(chǔ)進(jìn)行針對(duì)儀控系統(tǒng)的攻擊風(fēng)險(xiǎn)。

3.3 數(shù)據(jù)接口冗余

數(shù)據(jù)傳輸過(guò)程需保證數(shù)據(jù)接口設(shè)備的通信速率高效快速，且需對(duì)與交換機(jī)連接的網(wǎng)卡進(jìn)行冗余設(shè)置，以防止數(shù)據(jù)通道因電源或攻擊發(fā)生故障無(wú)法進(jìn)行工作時(shí)影響與數(shù)據(jù)庫(kù)服務(wù)器的信息傳輸。同時(shí)數(shù)據(jù)接口還應(yīng)該支持網(wǎng)絡(luò)恢復(fù)，以保證網(wǎng)絡(luò)中斷恢復(fù)后數(shù)據(jù)可自動(dòng)完成緩存，并保存?zhèn)鬏斨翑?shù)據(jù)服務(wù)器[7]。

3.4 網(wǎng)絡(luò)病毒防護(hù)

防火墻可通過(guò)包過(guò)濾等方式進(jìn)行病毒掃描、控制網(wǎng)絡(luò)訪問(wèn)，但其只能針對(duì)外部攻擊進(jìn)行預(yù)防而無(wú)法針對(duì)內(nèi)部發(fā)出的蓄意擾亂行為進(jìn)行防控，這也成為了防火墻的一大缺陷。為彌補(bǔ)此缺陷，通過(guò)應(yīng)用入侵檢測(cè)系統(tǒng)對(duì)網(wǎng)絡(luò)中的信息進(jìn)行收集、分析與比對(duì)，以實(shí)現(xiàn)對(duì)內(nèi)部網(wǎng)絡(luò)信息的監(jiān)測(cè)，當(dāng)系統(tǒng)監(jiān)測(cè)出違反安全要求或攻擊系統(tǒng)的行為信號(hào)時(shí)，則通過(guò)與防火墻的配合阻斷攻擊行為的繼續(xù)，進(jìn)而保護(hù)整個(gè)燃料系統(tǒng)的信息安全以及設(shè)備運(yùn)行安全。

3.5 網(wǎng)絡(luò)安全域劃分

網(wǎng)絡(luò)安全域劃分是將同一系統(tǒng)中具有相同安全保護(hù)需求、相互信任，并具有相同的安全訪問(wèn)控制和邊界控制策略的子網(wǎng)或網(wǎng)絡(luò)劃分至相同的網(wǎng)絡(luò)安全域，以共享同一級(jí)別的安全策略。其中智能燃料系統(tǒng)中的網(wǎng)絡(luò)安全域劃分是根據(jù)主機(jī)行政范圍進(jìn)行，安全域劃分后針對(duì)各個(gè)子網(wǎng)絡(luò)進(jìn)行網(wǎng)閘級(jí)或傳輸信道級(jí)的物理隔離，同時(shí)利用VLAN虛擬技術(shù)以及防火墻技術(shù)完成網(wǎng)絡(luò)的邏輯隔離，最終從根本上杜絕局域網(wǎng)內(nèi)的安全事故發(fā)生，保證整個(gè)燃料系統(tǒng)的信息安全傳輸。

3.6 軟件優(yōu)化及數(shù)據(jù)備份

制定嚴(yán)格的燃料系統(tǒng)信息安全管控制度，針對(duì)由外來(lái)人員攜帶以及廠內(nèi)運(yùn)行人員未經(jīng)檢測(cè)許可的可移動(dòng)設(shè)備不允許直接接入燃料系統(tǒng)；針對(duì)燃料系統(tǒng)中常用的燃料摻配軟件、經(jīng)濟(jì)性分析軟件以及采購(gòu)建議制定軟件等進(jìn)行定期全面檢測(cè)，并及時(shí)對(duì)系統(tǒng)出現(xiàn)的漏洞進(jìn)行修補(bǔ)，與此同時(shí)防病毒軟件需進(jìn)行定期升級(jí)，保證系統(tǒng)中的磁盤(pán)使用最新殺毒軟件進(jìn)行掃描殺毒；燃料信息系統(tǒng)中的工程師站涉及的接口不允許外部設(shè)備隨意接入，以防止引入病毒造成設(shè)備故障。

設(shè)置預(yù)留備用電源，保證主電源切斷或被迫中斷的條件下系統(tǒng)具有備選電源使用，此外服務(wù)器與關(guān)系型數(shù)據(jù)庫(kù)增加不間斷電源，確保在失去主電源供電時(shí)有足夠的時(shí)間完成數(shù)據(jù)的傳輸儲(chǔ)存以及程序的安全退出；針對(duì)網(wǎng)關(guān)安全問(wèn)題需進(jìn)行網(wǎng)關(guān)協(xié)議升級(jí)，限制外部訪問(wèn)，減少安全風(fēng)險(xiǎn)。除此之外，為保證數(shù)據(jù)存儲(chǔ)的完整性，需進(jìn)行接口機(jī)數(shù)據(jù)以及數(shù)據(jù)服務(wù)器數(shù)據(jù)的備份，同時(shí)針對(duì)防火墻等物理隔離部分也設(shè)置手動(dòng)備份，以減少各燃料信息測(cè)點(diǎn)與歷史數(shù)據(jù)的丟失風(fēng)險(xiǎn)。

4 結(jié)語(yǔ)

燃料信息系統(tǒng)的智能化發(fā)展保證了燃料由入廠到入爐的全流程管控，實(shí)現(xiàn)了燃料計(jì)量、摻配、燃燒等流程的精細(xì)化控制，為電廠效率的提高以及市場(chǎng)競(jìng)爭(zhēng)力的提升提供了技術(shù)支持，但燃料信息系統(tǒng)的網(wǎng)絡(luò)化卻使燃料的煤質(zhì)、煤量、煤價(jià)以及采購(gòu)計(jì)劃等敏感信息的安全性受到了威脅，因此維護(hù)燃料信息系統(tǒng)的信息安全，防止網(wǎng)絡(luò)攻擊與病毒入侵，保證信息數(shù)據(jù)的完全性是避免電廠損失的關(guān)鍵，也是智能化發(fā)展的保障。