安徽信息工程學院電氣工程教研室 楊道馳

火力發(fā)電廠生產(chǎn)控制大區(qū)信息安全分析

安徽信息工程學院電氣工程教研室 楊道馳

隨著信息技術(shù)在電力系統(tǒng)中應用程度不斷提高,電力系統(tǒng)對信息系統(tǒng)的依賴程度日益增加,信息系統(tǒng)規(guī)模與技術(shù)復雜度逐漸提高,電力系統(tǒng)信息安全風險將增加?；鹆Πl(fā)電廠生產(chǎn)控制大區(qū)的信息安全對發(fā)電廠安全運行至關(guān)重要。本文從信息安全角度對火力發(fā)電廠生產(chǎn)控制大區(qū)的信息安全進行分析與劃分,并給出與其它大區(qū)信息安全的關(guān)聯(lián)和技術(shù)解決方向。

發(fā)電廠;生產(chǎn)控制大區(qū);信息安全

0 前言

隨著信息技術(shù)的發(fā)展,火力發(fā)電廠信息系統(tǒng)結(jié)構(gòu)日益復雜,電力生產(chǎn)已完全依賴于計算機監(jiān)控系統(tǒng)和數(shù)據(jù)網(wǎng)絡。信息技術(shù)在發(fā)電廠的廣泛應用同時使得病毒和黑客也日益猖獗,這給電力生產(chǎn)帶來嚴重的安全隱患。

1 安全區(qū)的劃分

火力發(fā)電廠信息系統(tǒng)安全防護體系應分為三層:第一層為實時監(jiān)控系統(tǒng),第二層為生產(chǎn)管理系統(tǒng),第三層為電力信息系統(tǒng)。這三層反映了各層中各系統(tǒng)的不同重要性。在層中按安全等級的不同又區(qū)分為安全工作區(qū)。第一層被認為是一個獨立的安全區(qū)Ⅰ,而第二層根據(jù)所連接的外部邊界通信網(wǎng)絡為廣域數(shù)據(jù)網(wǎng)和不連生產(chǎn)數(shù)據(jù)網(wǎng)的兩部分。因而前者為安全區(qū)Ⅱ,后者為安全區(qū)Ⅲ。第三層信息系統(tǒng),目前暫設(shè)為一個安全區(qū)。

根據(jù)各處系統(tǒng)中各系統(tǒng)的實時性、使用者、功能、處所、在各系統(tǒng)的相互關(guān)系、廣域網(wǎng)通信的方式以及受到攻擊之后所產(chǎn)生的影響,分置于此"三層四安全區(qū)"的系統(tǒng)安全防護體系中。《電力二次系統(tǒng)安全防護規(guī)定》第四條規(guī)定:"發(fā)電企業(yè)、電網(wǎng)企業(yè)、供電企業(yè)內(nèi)部基于計算機和網(wǎng)絡技術(shù)的業(yè)務系統(tǒng),原則上劃分為生產(chǎn)控制大區(qū)和管理信息大區(qū)。生產(chǎn)控制大區(qū)可以分為控制區(qū)(安全區(qū)Ⅰ)和非控制區(qū)(安全區(qū)Ⅱ);管理信息大區(qū)內(nèi)部在不影響生產(chǎn)控制大區(qū)安全的前提下,可以根據(jù)各企業(yè)不同安全要求劃分安全區(qū)。"管理信息大區(qū)一般由生產(chǎn)管理區(qū)(安全區(qū)Ⅲ)和管理信息區(qū)(安全區(qū)Ⅳ)構(gòu)成,如圖1所示。

圖1 發(fā)電廠信息系統(tǒng)邏輯結(jié)構(gòu)分區(qū)

控制區(qū)(安全區(qū)Ⅰ):由具有實時監(jiān)控功能、縱向聯(lián)接使用電力調(diào)度數(shù)據(jù)網(wǎng)的實時子網(wǎng)或?qū)Ｓ猛ǖ赖母鳂I(yè)務系統(tǒng)構(gòu)成的安全區(qū)域。是電力生產(chǎn)的重要環(huán)節(jié),直接實現(xiàn)對電力一次系統(tǒng)的實時監(jiān)控。包括計算機監(jiān)控系統(tǒng)。計算機監(jiān)控系統(tǒng)是實時生產(chǎn)監(jiān)控系統(tǒng),是整個安全保護的核心。

非控制區(qū)(安全區(qū)Ⅱ):在生產(chǎn)控制范圍內(nèi)由在線運行但不直接參與控制、是電力生產(chǎn)過程的必要環(huán)節(jié)、縱向聯(lián)接使用電力調(diào)度數(shù)據(jù)網(wǎng)的非實時子網(wǎng)的各業(yè)務系統(tǒng)構(gòu)成的安全區(qū)域。與控制區(qū)中的業(yè)務系統(tǒng)或其功能模塊聯(lián)系緊密。包括電能量采集系統(tǒng)及各廠端電能量采集裝置。

圖2 調(diào)度數(shù)據(jù)網(wǎng)接入系統(tǒng)

生產(chǎn)控制大區(qū)的數(shù)據(jù)業(yè)務,速率要求不高,數(shù)據(jù)流基本恒定,但業(yè)務實時性較強,其中遙控遙調(diào)更是與電網(wǎng)安全直接相關(guān),可靠性要求較高;與計費相關(guān)的電力市場業(yè)務對安全性有特殊要求,不僅要求可靠,原始數(shù)據(jù)還要求保密。從應用范圍來看,生產(chǎn)控制類業(yè)務分布在各網(wǎng)省調(diào)及大量發(fā)電廠和變電站,屬于較特殊的一類窄帶業(yè)務(見圖2)。

2 生產(chǎn)控制大區(qū)安全分析

2.1 人員成分與物理環(huán)境

運行人員是生產(chǎn)控制大區(qū)的固定人員,負責對發(fā)電廠機組及其他系統(tǒng)運行的監(jiān)視、記錄、操作、檢查、維護等工作。不定期訪問的人員包括:管理人員、工程設(shè)計人員、施工人員和系統(tǒng)維護人員等。生產(chǎn)控制大區(qū)業(yè)務設(shè)備主要設(shè)置在中控室、繼電保護室、電子室內(nèi)。關(guān)于機房環(huán)境、電磁防干擾、防火防水等物理因素,由于發(fā)電廠設(shè)計時都遵照了嚴格的標準,主要應考慮對出入口的監(jiān)視、重要設(shè)施的監(jiān)視,以防止對設(shè)備的物理破壞、盜竊和非法使用。

2.2 網(wǎng)絡邊界

2.2.1 電力調(diào)度數(shù)據(jù)網(wǎng)(SPDnet)縱向邊界

SPDnet承載了生產(chǎn)控制大區(qū)業(yè)務設(shè)備的實時與非實時數(shù)據(jù)的上報和AGC、AVC等命令的下送,接入系統(tǒng)如圖2所示。

SPDnet在IP OVER SDH技術(shù)體制上,采用MPLS實現(xiàn)對等標簽式交換通信。MPLS為每個IP包加上一個固定長度的標簽,并根據(jù)標簽值轉(zhuǎn)發(fā)數(shù)據(jù)包。對于用戶而言,網(wǎng)絡結(jié)構(gòu)是不可見的,因此要從發(fā)電廠外部節(jié)點利用SPDnet發(fā)動對廠內(nèi)設(shè)備的攻擊可能性很小。更為重要的是,SPDnet完全同非生產(chǎn)業(yè)務系統(tǒng)的物理隔離,確保了網(wǎng)絡的單純性,降低了用戶復雜度,有利于維護網(wǎng)絡的安全?？梢哉J為SPDnet自身具有足夠的安全性,以抵御防范各層次的網(wǎng)絡攻擊。但如果攻擊來自于正規(guī)途徑,或針對傳輸中的數(shù)據(jù),網(wǎng)絡本身的安全特性就完全沒有用處。例如,VPN內(nèi)部利用系統(tǒng)服務的漏洞發(fā)起攻擊或工作人員違規(guī)越權(quán)操作。對此必須針對數(shù)據(jù)和應用程序采取安全措施。

2.2.2 傳統(tǒng)遠動專線通道

國家電力調(diào)度數(shù)據(jù)網(wǎng)各級骨干網(wǎng)絡雖然基本建立起來,但是接入各發(fā)電廠、變電站等節(jié)點還未完全覆蓋,常規(guī)專線通道一段時間內(nèi)將被保留作為備用。專線通道由PCM分配64kbps接口上SDH光纖(微波)網(wǎng)絡,與調(diào)度中心終端服務器實現(xiàn)點對點傳輸。該通道與其他數(shù)據(jù)通道物理隔離,通信協(xié)議應用層直接建立在SDH鏈路層之上,所以通道本身不存在任何軟件風險。對其安全性的考慮應著重在物理安全和人員安全。

2.2.3 繼電保護和自動裝置通道

為滿足繼保和自動裝置毫秒級的實時性要求,電力系統(tǒng)專門在SDH上開辟了64kbps專線用于該業(yè)務數(shù)據(jù)傳輸。該通道也不存在物理和人員之外的風險。

2.2.4 與管理信息大區(qū)之間的通信

生產(chǎn)控制大區(qū)與管理信息大區(qū)間一些典型的連接包括下面的幾種情況:

(1)計算機監(jiān)控系統(tǒng)的Web服務器向MIS系統(tǒng)發(fā)布實時數(shù)據(jù)。計算機監(jiān)控系統(tǒng)直接與MIS系統(tǒng)以網(wǎng)絡方式連接,可能引入所有網(wǎng)絡中存在的攻擊以及計算機病毒、惡意代碼。

(2)發(fā)電廠SIS集合生產(chǎn)業(yè)務信息提供給MIS系統(tǒng)。發(fā)電廠SIS主要目的是在電廠MIS系統(tǒng)和各種分散計算機控制系統(tǒng)之間架起一座聯(lián)系的橋梁,從而在整個電廠范圍內(nèi)實現(xiàn)信息共享。SIS有利于發(fā)電廠資源的共享,可提高生產(chǎn)管理的效率,但是原來相對獨立的控制系統(tǒng)因此受到來自管理信息網(wǎng)絡的威脅。如果將SIS劃分到生產(chǎn)控制區(qū),SIS與MIS的連接就是安全區(qū)邊界。

(3)電能量采集裝置與MIS系統(tǒng)連接。由于實現(xiàn)了網(wǎng)絡連接,電能量采集裝置將遭受到來自安全等級較低的管理信息網(wǎng)的威脅。

2.3 網(wǎng)絡內(nèi)部安全

2.3.1 火電廠監(jiān)控信息系統(tǒng)(SIS系統(tǒng),如圖3所示)

SIS系統(tǒng)跟SCADA系統(tǒng)類似,但是功能更為全面,可直接向管理層提供豐富的數(shù)據(jù)信息和決策支持。圖3所示為某火電廠的SIS,該系統(tǒng)與各分散控制系統(tǒng)通信網(wǎng)關(guān)采用以太網(wǎng)連接,形成生產(chǎn)控制區(qū)的主要網(wǎng)絡。SIS面臨與SCADA同樣的問題,其網(wǎng)絡內(nèi)部安全性可以得到保證,防護的重心應在網(wǎng)絡邊界、物理維護和安全管理方面。

2.3.2 繼電保護及故障錄波信息子站

繼電保護及故障錄波信息子站比較特殊,因為該系統(tǒng)的下層--線路、機組、變壓器保護設(shè)備屬于控制區(qū),而子站屬于非控制區(qū)。如果保護裝置與子站之間采用網(wǎng)絡方式通信,由于子站屬于SPDnet非實時VPN連接,會將SPDnet非實時VPN中的攻擊威脅引入,盡管可能性非常小。如果兩者通過串口連接,則不用考慮保護裝置的安全問題。

圖3 SIS結(jié)構(gòu)圖

3 結(jié)論

火力發(fā)電廠生產(chǎn)控制大區(qū)內(nèi)的業(yè)務系統(tǒng)內(nèi)部網(wǎng)絡安全性很高,主要威脅來自于網(wǎng)絡邊界,特別是與生產(chǎn)管理大區(qū)的網(wǎng)絡連接。大區(qū)物理環(huán)境較好,生產(chǎn)業(yè)務系統(tǒng)的檢查、維護工作比較完善,保障設(shè)置較齊全。人員成分簡單,行為規(guī)范。主要的安全隱患包括:

(1)軟件漏洞,包括操作系統(tǒng)漏洞、Web服務漏洞。

(2)絡訪問控制措施薄弱,通常僅有用戶/口令控制且多以明文方式傳輸。

(3)移動存儲介質(zhì)可能帶來病毒。

(4)人員的誤操作。

(5)電子數(shù)據(jù)明文存放。

(6)系統(tǒng)和網(wǎng)絡對異常行為都不具備檢測和審計功能,對系統(tǒng)操作日志缺乏保護。