摘要:随着我国经济技术的发展,对能源的需求量大增,电力作为经济发展的必须能源,面临着机遇和挑战。在这样的环境下,对电力事业的要求也在逐步提高,发电设备也朝着自动化、智能化发展,对于操作系统安全性与可靠性的重要性有了全新的认识,本文针对热控系统网络安全,提出科学有效的措施。
关键词:网络安全;火电厂;热控系统
电力行业很早就采用计算机实现生产过程自动化。现代电力企业网络基础设施日益完善,已建成生产、管理、营销等不同类型的信息系统,企业信息化水平达到新的高度,有效保证了电力系统安全、优质和经济运行。
一、提高热工保护系统可靠性的意义
热工保护系统在火力发电机组中占据着重要的位置,是不可或缺的部分,其可靠性对于机组的主辅设备能否安全稳定运行起着至关重要的作用。当机组的主辅设备运行出现参数超出可控范围时,热工保护系统会联动相关设备,同时采取及时有效的措施对机组加以保护,从而避免出现重大设备损坏甚至更严重的后果。因此,热工保护系统是否可靠是提高发电机组主辅设备正常运行的关键所在。近年来,我国火电机组的设备不断更新换代,直接表现为发电机组的容量增大、参数提高、热工自动化程度也不断提升,DCS(分散控制系统)也已广泛被火电企业采用,凭借其强大的功能及优越性,使机组的稳定性、安全性、经济性和可靠性都得到极大的提升。但由于机组容量越来越大,工艺越来越发杂,致使参与保护控制的热工测量参数也不断地增多,使得设备和机组发生误动和拒动事件的几率明显升高。所以,想要消除或减少误动和拒动,就要提高机组热工保护系统的可靠性。
二、网络体系安全措施
1.某电厂控制I区内部最优安全隔离域电厂安全I区内部具有多个独立运行的控制系统,如主控DCS、电气NCS、水煤灰等辅控系统。目前,大部分电厂的这些控制系统通过SIS接口机和交换机互联在一起。这样一旦某个控制系统被病毒感染,病毒很容易通过SIS接口机及其交换机传入其他控制系统。图1为某电厂热控系统最优安全隔离域示意。由图1可见,把电厂安全I区的热控系统划分为主控DCS安全隔离域、环保岛安全隔离域、水网安全隔离域、输煤安全隔离域、其他安全隔离域等。划分好热控系统内部各个最优安全隔离域后,在SIS接口之前部署工控安全隔离网关,用于隔离各个热控系统之间的网络互连,同时实现协议转换,为SIS接口机发送各个系统的实时数据。在不同最优安全隔离域和SIS之间部署工控隔离网关,实现基于工控协议的安全防护,阻止来自区域之间的越权访问、入侵攻击和非法访问等,实现区域间隔离,阻止蠕虫病毒网络间传播,同时也隔离了网络风暴。一旦在某个安全隔离域发生病毒感染或者恶意攻击时,由于安全隔离装置的隔离作用,这些威胁行为被限定在该隔离域内,不会扩散到电厂其他控制系统,大大提高了电厂控制系统安全防御能力。
图 1 某电厂热控系统最优安全隔离域示意
2.网络威胁检测和安全审计平台。
为了更进一步提高控制系统信息安全防护水平,需要在电厂主机DCS、水、煤、灰等各个安全隔离域合理部署热控系统内部网络威胁检测和安全审计平台,该平台能采集安全隔离区内的所有网络流量,并对这些流量进行基于应用层的快速分析,发现网络中的各种行为,包括正常的关键行为、异常行为、恶意攻击行为等。一旦发现异常或者恶意行为,就及时报警,提醒有关人员进行相应处置。另外,安全隔离域也部署日志审计装置,以便能够对网络运行日志、操作系统日志、数据库访问日志、DCS/PLC系统运行日志、安全设施运行日志等进行集中收集及自动分析。工控安全审计平台对热控系统网络流量实时采集及在线分析的关键技术是对网络协议的深度检测和分析。由于电厂DCS大多采用专用通信协议,因此需要安全厂商、工控厂商和电厂密切合作,才能建立起真正有效的工控系统的协议库、行为库和漏洞库。
3.热控系统内部网络安全管控。电厂不仅需要加强边界防护,而且需要重视内部网络管控,才能真正实现电厂热控系统的纵深防御。在热控系统内部网络安全管理中,准入控制是工控信息安全的基础,采用准入控制技术能够主动监控各类终端的安全状态和管理状态,将不安全的终端隔离。准入控制技术与传统的网络安全技术如防火墙、防病毒技术结合,将被动防御变为主动防御,能够有效促进电厂热控系统网络安全的合规建设,减少网络事故。与管理信息系统网络相比,电厂热控系统网络无论从规模、结构、流量和使用人员均相对简单,如果没有完备的网络准入控制平台,也可以采用现有网管软件,结合各类基于白名单的工控卫士软件,通过规范管理,也可以管控热控系统网络,建立起安全的热控系统网络体系。利用网管软件,可以实现热控系统网络拓扑可视化及防止网络私接。为此,首先根据最优安全隔离域划分好VLAN,做好MAC地址绑定[10],关闭交换机上的空闲端口。如果电厂网络管理水平较高,也可以做好交换机的访问控制,关闭无关的应用端口,并将IP-MAC-用户名三者绑定,杜绝IP冲突的情况。在热控系统服务器和操作员站等主机上部署工控白名单软件,只允许经过许可的应用软件和进程运行,阻止一切白名单外的应用和进程执行,阻止恶意代码执行和非法外联。同时,白名单软件也能让管理员能够拒绝存在高风险的特定设备,如禁止移动硬盘或其他USB设备接入系统等。随着工控安全技术的成熟,也可以在电厂部署热控网络安全管控平台,实现全方位的准入控制,甚至和网络设备、安全设备的联动控制,完成对非合规设备自动隔离及告警等,提升热控网络预警及恢复能力。
4.人员培训。提高员工的网络安全意识是提升网络安全的重要环节,只有全员了解网络安全的重要性,并严格执行企业网络安全策略,才能有效防止来自内部的攻击、越权、误用和泄密。健立有效的网络安全防护方案,制定切实可行的网络安全信息保护系统,同时制定有效的应急处理预案,当发生事故之后,能够第一时间解决问题,消除事故影响,防止事故范围扩大,避免波及电网稳定。建立信息安全评估制度,采取正确的评估制度,将网络信息安全评估融入电力系统安全评价体系。制定完善的网络信息安全管理制度,将责任分配到人。
为了提高电厂热控系统网络的安全防护能力,满足国家安全规范的要求,做到投运前安全监测,运行中异常监测,运维过程安全管控,基于行为的安全防护,每个电厂应根据人员和设备的实际情况,建设完善的热控系统网络安全体系。日常重点检查电厂生产控制大区网络边界,利用网管软件认真做好内部网络管理,发现隐患及时治理整改,保证电厂安全可靠运行。
参考文献:
[1]李文先.电力系统信息安全研究综述[J].电力系统保护与控制,2018,39(10):140-147.
[2]范林相.工业控制系统信息安全指南[M].北京:科学出版社,2018:32-36.
[3]丁晓晶.面向SCADA的网络攻击对电力系统可靠性的影响[J].电力系统保护与控制,2018,46(11):37-45.