摘要:信息技术在工控系统中的广泛应用,逐步打破了工控网络环境的封闭性,暴露了工控系统的脆弱性。国内外层出不穷的工控安全事件,给国家安全敲响了警钟。我国工业基础设施安全正面临严峻挑战。文章对火力发电厂工控系统安全防护体系进行了研究分析,以供参考。
关键词:火力发电厂;工控系统;安全防护
1前言
工业控制系统是指用于生产、控制、辅助自动化过程的设备、系统、网络及控制器的集合,被广泛应用在电力、石化、汽车等关乎国计民生的关键信息基础设施中。然而,随着信息化和工业化的不断深入融合,信息技术在给工业化进程带来极大推动力的同时,也将信息系统中存在的安全风险带入到工业系统中。根据美国计算机安全应急响应中心的数据统计显示,伊朗“震网”事件之后,针对工业控制系统的网络安全事件不断增多。工业控制系统面对着脆弱的安全状况以及日益严重的攻击威胁。在国内,工业控制系统网络安全管理工作中存在的诸如对工业控制系统安全问题认识程度不够、管理制度不健全、相关标准规范缺失、技术防护措施不到位、安全防护和应急处置能力不高等问题引起了社会各界的高度重视,甚至提升到了国家安全战略的高度。
2火力发电厂工控系统安全现状分析
2.1火力发电厂工控系统功能安全现状
在火力发电厂中,安全风险最高的设备无疑是锅炉、汽轮机和发电机,一旦发生事故,会对人身和设备造成重大危害。其中,炉膛放炮、煤粉仓爆炸及制粉系统爆炸、飞车事故等锅炉和汽轮机故障均会造成严重的人身伤害。因此,为了避免发生此类伤害,发电机组控制系统应具有高可靠性、高安全性和高可用性,即在任何情况下均能将锅炉和汽轮机置于安全状态且不误动作。IEC61508等功能安全标准发布后,许多国家强制规定将经过第三方检验检测机构认证的功能安全系统用于保护火电厂三大主力设备。在国内,功能安全主要应用于石化、轨道交通、汽车电子等行业,在电力行业中尚未广泛应用。GB50049-2011《小型火力发电厂设计规范》及GB50660-2011《大中型火力发电厂设计规范》规定:较危险的关键部位应设置安全系统或紧急停车系统,对主控设备安全保护系统纳入主控系统时,只提出应单独冗余设置控制器,未专门规定安全保护系统须采用特定的软硬件,也未规定须对安全保护系统各联锁回路进行安全分析和评价。在电力行业通用的《火力发电厂分散控制系统(DCS)技术规范书》中,也只是提出了“卖方也可以在投标书中根据自己的工程经验提供可靠性更高的故障安全型控制器和I/O模件,作为可选方案供买方选择”的原则。但在工程实际应用中,各投标商为了降低成本、赢得项目,一般情况下都不提供安全型产品。因此,目前国内大多数火力发电厂主要采用硬件冗余(控制器冗余、I/O模块冗余、电源模块冗余和通信总线冗余)以及联锁顺序控制,实现三大主机设备的保护。随着等同于IEC61508功能安全标准的国家标准GB/T20438-2006和GB/T21109-2007的颁布,以及相关政策的推动,我国火力发电厂安全系统及功能安全方面的研究将会有突破性的进展。
2.2火力发电厂工控系统信息安全现状
为了保障电力信息系统安全,自2005年起,原电监委先后组织制定了《电力二次系统安全防护规定》和《电力二次系统安全防护总体方案》等6个配套文件,指导和规范电力行业二次系统安全防护工作,推动了电力二次系统安全防护体系的建立和完善。电力企业按照电力二次系统安全防护的总体要求,从规章制度、组织体系、人员管理、安全分区等方面开展了一系列富有成效的工作,初步建立了电力二次系统安全防护体系。该体系具体包括《省级及以上调度中心二次系统安全防护方案》、《地、县级调度中心二次系统安全防护方案》、《配电二次系统安全防护方案》等供配电侧安全防护方案,以及风电、光伏、燃气电厂、核电站等发电侧的二次系统安全防护技术规定。电力二次系统安全防护体系的建立和完善,极大地提高了电力行业安全防护的整体水平。
2.3火力发电厂工控安全防护存在的主要问题
虽然《电力监控系统安全防护总体方案》中包含了发电、变电、配电、调度等多个环节,也将整个电力监控系统按照生产控制和管理信息两个大区分类,但该防护方案更多的只是通过简单的安全隔离装置、加密认证、防火墙等防护手段或方法加以边界性的防范,属于网络安全和信息安全防护的范畴,并未真正体现工控系统安全的核心(如本质安全、功能安全)。针对复杂的火力发电自动化领域,将功能安全纳入工控安全范畴,并考虑功能安全与网络安全、信息安全的融合至关重要。
3工控系统安全防护体系
对大型火力发电厂工控系统安全来说,系统的稳定可靠是最重要的,必须充分考虑发电厂工控系统实际情况,在保证系统的实时性、可靠性和高效性的前提下,按照“安全分区、网络专用、横向隔离、纵向认证”的原则,进行发电厂工控系统安全防护。在电力调度网络生产大区(一区、二区)部署纵向认证装置、入侵检测装置、日志审计系统、防病毒系统,在生产大区一区与二区之间部署防火墙,在生产大区二区与管理四区之间部署单向物理隔离装置,并根据规定按照权限最小化原则配置相应访问策略。根据安全规划设计的等级性原则,在发电厂工业信息网络原有架构的基础上根据数据流走向分区域采用不同的安全策略进行安全防护。针对各个区域的业务及系统特点,在常规的架构基础上进行安全规划和控制,并增强如下安全防护措施:
3.1部署工控网络安全监测系统
工控网络安全监测系统能发现工控环境中的恶意攻击流量、非法操作流量、异常流量等,及时发现工控环境中的风险。网络异常检测功能基于对工控协议的通信报文进行采集与深度解析,对当前工控协议通信行为与基线进行对比,对偏离基线的行为进行检测并告警。例如:异常指令操作、非法设备接入、异常访问关系等告警。
3.2部署工控防火墙
使用工控防火墙将各工控OPC和SIS接口机之间的链接进行逻辑隔离,工控防火墙在继承了传统防火墙的基础功能外,结合工控网络特点,可更深层次的防护工控网络中的攻击。采用透明模式部署,并开启故障旁路功能,不改变原有的网络拓扑,确保正常业务不受影响;通过对工控协议深度分析,制定相应的工控网络访问控制策略,有效防止网络内异常流量通过,保证网络安全。
3.3部署基于SIS的IT监控系统
利用SIS系统现有的成熟产品和组件,通过对生产控制大区的IT资产的接口部署及配置,对IT设备运行数据进行实时自动采集,包括:电力调度网络运行状况、SIS系统服务器运行状况、SIS系统生产数据采集接口运行状况、生产控制大区服务器软件系统运行状况、服务器硬件运行状况、服务器网络通讯状况、各关键交换机路由器运行状况等。能够对以上数据的长期可靠存储及建模,实现利用SIS系统客户端快速方便的查看以上数据的历史趋势及最新数据变化情况,以便在发生故障之后可以利用历史数据进行故障原因分析。
4结语
综合提高发电厂工业控制系统各方面安全防护能力,将有力保证电厂生产经营的健康可持续发展。
参考文献:
[1]王玉敏.IEC62443标准中区域和管道的应用探讨[J].仪器仪表标准化与计量,2012,(2):23-25.
[2]杨旭,谢丰,任旭诚.水利工程工业控制系统网络安全研究[J].水利信息化,2017,(3):20-23.
[3]耿欣.烟草企业工业控制系统安全保障体系研究[J].信息网络安全,2017,(9):34-37.
[4]陈晓兵,陈凯,徐震.面向工业控制网络的安全监管方案[J].信息网络安全,2016,(7):61-70.