罗赵静
中国华电香港有限公司 北京市西城区 100031
摘要:随着我国经济技术的发展,对能源的需求量大增,电力作为经济发展的必须能源,面临着机遇和挑战。在这样的环境下,对电力事业的要求也在逐步提高,发电设备也朝着自动化、智能化发展,对于操作系统安全性与可靠性的重要性有了全新的认识,本文针对发电厂控制系统网络安全,提出科学有效的措施。
关键词:发电厂;控制系统;网络安全;建设;
一、发电厂控制系统网络安全问题及危害
根据现有的调查研究数据显示,网络安全问题涉及两大类,一是网络安全防护问题,二是网络安全管理措施问题,主要表现在:
(1)热控网络系统工程师缺乏有效的恶意病毒的识别手段,甚至有些病毒借助于工程师的U盘进行传播进入发电厂控制系统。
(2)热控网络系统工程师习惯自己熟悉的系统模式,使得网络系统更新不及时,存在一定的漏洞,为病毒的攻击提供的可能性。
(3)热控系统缺乏有效的检测和防护措施,无法对入侵的病毒做出及时的检测,一旦出现被病毒入侵,定位不准确的同时,容易造成病毒的蔓延。
(4)传统的DCS网络系统采取OPC协议与SIS系统进行通讯,此类信息系统都需要进行逻辑隔离,而根据调查显示,多数的火电厂网络系统防火墙不支持OPC协议动态监控,使得火电网络系统防护墙起不到真正的安全防护的作用。
(5)根据调查研究显示,现阶段,我国的发电厂控制网络系统,各个系统之间存在互连的现象,未采用有效隔离措施,安全防范等级低,一旦一个系统被病毒攻击,可能导致整个系统的瘫痪,给安全生产造成影响。
(6)采用逻辑隔离的SIS系统接口并不能阻止病毒的传播。
(7)火电厂内,对内部工程师的电脑、U盘等接入热控网络系统的设备、设施未采用相应的安全防护措施,为病毒的入侵提供了可乘之机。
(8)控制网络系统未形成相应的安全管理制度,员工分工不明确,责任意识不强,导致网络系统事故频发。
二、发电厂控制系统网络体系安全措施
1.电厂控制I区内部最优安全隔离域
电厂安全I区内部具有多个独立运行的控制系统,如主控DCS、电气NCS、水煤灰等辅控DCS/PLC系统。目前,大部分电厂的这些控制系统通过SIS接口机和交换机互联在一起。这样一旦某个控制系统被病毒感染,病毒很容易通过SIS接口机及其交换机传入其他控制系统。划分好发电厂控制系统内部各个最优安全隔离域后,在SIS接口之前部署工控安全隔离网关,用于隔离各个热控系统之间的网络互连,同时实现协议转换,为SIS接口机发送各个系统的实时数据。在不同最优安全隔离域和SIS之间部署工控隔离网关,实现基于工控协议的安全防护,阻止来自区域之间的越权访问、入侵攻击和非法访问等,实现区域间隔离,阻止蠕虫病毒网络间传播,同时也隔离了网络风暴。一旦在某个安全隔离域发生病毒感染或者恶意攻击时,由于安全隔离装置的隔离作用,这些威胁行为被限定在该隔离域内,不会扩散到电厂其他控制系统,大大提高了电厂控制系统安全防御能力。
2.网络威胁检测和安全审计平台
为了更进一步提高控制系统信息安全防护水平,需要在电厂主机DCS、水、煤、灰等各个安全隔离域合理部署发电厂控制系统内部网络威胁检测和安全审计平台,该平台能采集安全隔离区内的所有网络流量,并对这些流量进行基于应用层的快速分析,发现网络中的各种行为,包括正常的关键行为、异常行为、恶意攻击行为等回。一旦发现异常或者恶意行为,就及时报警,提醒有关人员进行相应处置。另外,安全隔离域也部署日志审计装置,以便能够对网络运行日志、操作系统日志、数据库访问日志、DCS/PLC系统运行日志、安全设施运行日志等进行集中收集及自动分析。工控安全审计平台对热控系统网络流量实时采集及在线分析的关键技术是对网络协议的深度检测和分析。由于电厂DCS大多采用专用通信协议,因此需要安全厂商、工控厂商和电厂密切合作,才能建立起真正有效的工控系统的协议库、行为库和漏洞库。
3.热控系统内部网络安全管控
(1)电厂不仅需要加强边界防护,而且需要重视内部网络管控,才能真正实现电厂控制系统的纵深防御。因为电厂热控系统物理位置分散,而且属于不同部门运行和管理,所以很难控制使用者对各类电脑终端(操作员站和工程师站等)的操作以及第三方服务人员私自在热控系统网络接入非授权设备。由于无法对控制网络进行有效管控,所以无法保障各类操作员站等电脑终端的安全。由于热控内部网络中电脑终端自身的不安全因素也可能会快速扩散到整个内部网络,其危险性远高于外部入侵,所以保证热控系统内部网络的安全规范是目前电厂面临的最大挑战。
(2)在热控系统内部网络安全管理中,准入控制是工控信息安全的基础,采用准入控制技术能够主动监控各类终端的安全状态和管理状态,将不安全的终端隔离开。准入控制技术与传统的网络安全技术如防火墙、防病毒技术结合,将被动防御变为主动防御,能够有效促进电厂热控系统网络安全的合规建设,减少网络事故。与管理信息系统网络相比,电厂热控系统网络无论从规模、结构、流量和使用人员均相对简单,如果没有完备的网络准入控制平台,也可以采用现有网管软件,结合各类基于白名单的工控卫士软件,通过规范管理,也可以管控热控系统网络,建立起安全的热控系统网络体系。
(3)利用网管软件,可以实现热控系统网络拓扑可视化及防止网络私接。为此,首先根据最优安全隔离域划分好VLAN,做好MAC地址绑定,关闭交换机上的空闲端口。如果电厂网络管理水平较高,也可以做好交换机的访问控制,关闭无关的应用端口,并将IP-MAC-用户名三者绑定,杜绝IP冲突的情况。在热控系统服务器和操作员站等主机上部署工控白名单软件,只允许经过许可的应用软件和进程运行,阻止一切白名单外的应用和进程执行,阻止恶意代码执行和非法外联。同时,白名单软件也能让管理员能够拒绝存在高风险的特定设备,如禁止移动硬盘或其他USB设备接入系统等。
4.人员培训
提高员工的网络安全意识是提升网络安全的重要环节,同时建立信息安全评估制度,采取正确的评估制度,将网络信息安全评估融入电力系统安全评价体系。制定完善的网络信息安全管理制度,将责任分配到人。
结束语
火电厂在推动国民经济发展中发挥着必不可少的作用,而控制系统在火电厂中占据着举足轻重的作用,能有效维持火电厂的安全稳定运行,也是提高火电厂发电效率的重要保障。虽然在当前社会经济飞速发展的时代背景下,火电厂发电设备逐步实现了自动化和智能化,但是相关技术人员仍然应该从这一方向出发,不断加强新型设备的研发力度,从而可以最大程度地提高火电厂控制系统网络安全的可靠性。
参考文献:
[1]葛智平,郭涛,石耀武.一种DCS系统网络故障分析与优化方案探讨[J].电力科技与环保,2014(2).
[2]焦小龙.探讨优化火电厂热控系统可靠性的方法[J].山东工业技术,2014(19).
[3]王剑平,徐仙华.火电厂热控系统网络安全建设探讨[J].热力发电,2020(49).