耿少輝

摘 要：目前，火電仍然是我國電能的重要來源。加強(qiáng)火力發(fā)電廠方面的研究，有助于保證人們的用電安全。而信息技術(shù)的高速發(fā)展給大型火力發(fā)電廠工控系統(tǒng)信息安全帶來了巨大挑戰(zhàn)，而國內(nèi)外層出不窮的工控安全事件將工控安全防護(hù)建設(shè)提上了日程。本文闡述了近年來國內(nèi)外工控安全事件及我國在工控領(lǐng)域發(fā)布的法規(guī)文件，分析了現(xiàn)階段大型火力發(fā)電廠工控系統(tǒng)安全方面存在的問題和挑戰(zhàn)，以及結(jié)合當(dāng)前網(wǎng)絡(luò)安全防護(hù)水平，從管理和技術(shù)角度提出了現(xiàn)階段可行的大型火力發(fā)電廠工控系統(tǒng)安全防護(hù)體系提升手段，并分析該防護(hù)體系，對(duì)發(fā)電廠工控系統(tǒng)整體安全防護(hù)水平提升的意義。

關(guān)鍵詞：發(fā)電廠；工控系統(tǒng)；安全防護(hù)體系

引言：

當(dāng)前背景下，經(jīng)濟(jì)的發(fā)展，對(duì)電能的要求越來越高。在大型火力發(fā)電廠中，工控產(chǎn)品也越來越多采用通用軟件及通用協(xié)議，工控系統(tǒng)以各種方式與外界網(wǎng)絡(luò)聯(lián)通，高度信息化使得工控系統(tǒng)更容易受到病毒、木馬的攻擊。另一方面，發(fā)電廠工控系統(tǒng)的穩(wěn)定性、實(shí)時(shí)性、可靠性要求又限制了網(wǎng)絡(luò)安全技術(shù)的應(yīng)用，給安全防護(hù)帶來了巨大的挑戰(zhàn)，導(dǎo)致發(fā)電廠工控系統(tǒng)信息安全問題日益突出。

1大型火力發(fā)電廠工控系統(tǒng)安全防護(hù)現(xiàn)狀

目前，我國的各大型火力發(fā)電廠工控系統(tǒng)安全防護(hù)水平已有明顯提高，工控安全防護(hù)技術(shù)手段進(jìn)一步完善，各電廠均按規(guī)定進(jìn)行安全防護(hù)，網(wǎng)絡(luò)安全設(shè)備的配置進(jìn)一步完善。但是在工控系統(tǒng)安全管理方式及技術(shù)手段上還存在一系列的不足：運(yùn)維管理存在不足，安全職責(zé)劃分不清，問題整改不到位，設(shè)備管理臺(tái)賬記錄不全；網(wǎng)絡(luò)配置管理不完善，網(wǎng)絡(luò)拓?fù)鋱D未能及時(shí)更新，與實(shí)際情況不一致，工控系統(tǒng)設(shè)備清單不全；應(yīng)急預(yù)案可操作性差，流于形式，預(yù)案演練的效果及經(jīng)驗(yàn)總結(jié)不到位，滾動(dòng)修編等工作未有效開展等。這些問題的存在，都制約了大型火力發(fā)電廠工控系統(tǒng)安全防護(hù)的提升。

2大型火力發(fā)電廠工控系統(tǒng)安全防護(hù)體系

2.1提升大型火力發(fā)電廠工控安全防護(hù)水平

2.1.1加強(qiáng)工控網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng)建設(shè)

工控網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng)能發(fā)現(xiàn)工控環(huán)境中的惡意攻擊流量、非法操作流量、異常流量等，及時(shí)發(fā)現(xiàn)工控環(huán)境中的風(fēng)險(xiǎn)。網(wǎng)絡(luò)異常檢測(cè)功能基于對(duì)工控協(xié)議的通信報(bào)文進(jìn)行采集與深度解析，對(duì)當(dāng)前工控協(xié)議通信行為與基線進(jìn)行對(duì)比，對(duì)偏離基線的行為進(jìn)行檢測(cè)并告警。例如：異常指令操作、非法設(shè)備接入、異常訪問關(guān)系等告警。

2.1.2加強(qiáng)IT監(jiān)控系統(tǒng)建設(shè)

利用SIS系統(tǒng)現(xiàn)有的成熟產(chǎn)品和組件，通過對(duì)生產(chǎn)控制大區(qū)的IT資產(chǎn)的接口部署及配置，對(duì)IT設(shè)備運(yùn)行數(shù)據(jù)進(jìn)行實(shí)時(shí)自動(dòng)采集，包括：電力調(diào)度網(wǎng)絡(luò)運(yùn)行狀況、SIS系統(tǒng)服務(wù)器運(yùn)行狀況、SIS系統(tǒng)生產(chǎn)數(shù)據(jù)采集接口運(yùn)行狀況、生產(chǎn)控制大區(qū)服務(wù)器軟件系統(tǒng)運(yùn)行狀況、服務(wù)器硬件運(yùn)行狀況、服務(wù)器網(wǎng)絡(luò)通訊狀況、各關(guān)鍵交換機(jī)路由器運(yùn)行狀況等。能夠?qū)σ陨蠑?shù)據(jù)的長期可靠存儲(chǔ)及建模，實(shí)現(xiàn)利用SIS系統(tǒng)客戶端快速方便的查看以上數(shù)據(jù)的歷史趨勢(shì)及最新數(shù)據(jù)變化情況，以便在發(fā)生故障之后可以利用歷史數(shù)據(jù)進(jìn)行故障原因分析。

2.1.3加強(qiáng)工控防火墻建設(shè)

使用工控防火墻將各工控OPC和SIS接口機(jī)之間的鏈接進(jìn)行邏輯隔離，工控防火墻在繼承了傳統(tǒng)防火墻的基礎(chǔ)功能外，結(jié)合工控網(wǎng)絡(luò)特點(diǎn)，可更深層次的防護(hù)工控網(wǎng)絡(luò)中的攻擊。采用透明模式部署，并開啟故障旁路功能，不改變?cè)械木W(wǎng)絡(luò)拓?fù)洌_保正常業(yè)務(wù)不受影響；通過對(duì)工控協(xié)議深度分析，制定相應(yīng)的工控網(wǎng)絡(luò)訪問控制策略，有效防止網(wǎng)絡(luò)內(nèi)異常流量通過，保證網(wǎng)絡(luò)安全。

2.1.4加強(qiáng)工控安全管控體系建設(shè)

這要求不斷完善管理制度建設(shè)，明確責(zé)任分工，信息部門加強(qiáng)技術(shù)監(jiān)督，工控設(shè)備部門加強(qiáng)防范意識(shí)，在“兩化”融合趨勢(shì)下，打破傳統(tǒng)專業(yè)分界壁壘，協(xié)同開展工作，進(jìn)一步落實(shí)電力監(jiān)控系統(tǒng)安全規(guī)范，嚴(yán)格執(zhí)行外來人員、外接設(shè)備、外接介質(zhì)管理，加強(qiáng)補(bǔ)丁、防病毒管理，并注重工控與信息安全的復(fù)合型技術(shù)人才培養(yǎng)。建立健全工控系統(tǒng)安全防護(hù)全生命周期管理體系，將信息安全防護(hù)滲透到可研、設(shè)計(jì)、施工、調(diào)試、運(yùn)行等各階段工作中，實(shí)現(xiàn)全方位、全過程的覆蓋。在工控系統(tǒng)上線運(yùn)行前或機(jī)組檢修期間開展以漏洞掃描為主體的系統(tǒng)風(fēng)險(xiǎn)評(píng)估，通過安全運(yùn)維服務(wù)工具就地對(duì)工控系統(tǒng)和網(wǎng)絡(luò)進(jìn)行安全掃描。包括操作系統(tǒng)漏洞掃描、組態(tài)軟件漏洞掃描；機(jī)組主控DCS包含的DPU以及機(jī)組輔控PLC等控制器漏洞掃描。建立健全工控事件應(yīng)急工作機(jī)制，預(yù)防為主、平戰(zhàn)結(jié)合、快速反應(yīng)、科學(xué)處置，加強(qiáng)風(fēng)險(xiǎn)監(jiān)測(cè)，開展信息報(bào)送和通報(bào)，提高工控安全事件應(yīng)急處置能力。

2.2大型火力發(fā)電廠工控系統(tǒng)安全防護(hù)效果

2.2.1上線前安全檢測(cè)

在系統(tǒng)上線前完成對(duì)整個(gè)工控區(qū)域信息安全風(fēng)險(xiǎn)分析、安全漏洞評(píng)估等管控措施，實(shí)現(xiàn)對(duì)系統(tǒng)中存在的安全風(fēng)險(xiǎn)提前驗(yàn)證，以便在上線前對(duì)工控系統(tǒng)按照國家法令、行業(yè)規(guī)范進(jìn)行安全加固，并把對(duì)工控系統(tǒng)的穩(wěn)定性影響降到最低。

2.2.2運(yùn)行中異常行為檢測(cè)

基于對(duì)工控協(xié)議的通信報(bào)文進(jìn)行采集與深度解析，利用人工智能算法建立工控通信模型基線，實(shí)現(xiàn)對(duì)工控網(wǎng)絡(luò)異常行為進(jìn)行檢測(cè)及告警，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)攻擊，減少系統(tǒng)停運(yùn)風(fēng)險(xiǎn)，并可以為安全事故的調(diào)查，提供詳實(shí)的數(shù)據(jù)支持。

2.2.3運(yùn)維過程安全管控

建立工控網(wǎng)絡(luò)連接實(shí)時(shí)視圖，圖形化顯示監(jiān)控范圍內(nèi)的所有IT設(shè)備信息、網(wǎng)絡(luò)連接信息，實(shí)現(xiàn)對(duì)工控設(shè)備的實(shí)時(shí)安全管控，并可實(shí)現(xiàn)對(duì)IT設(shè)備運(yùn)行歷史數(shù)據(jù)的長期存儲(chǔ)，提高工控網(wǎng)絡(luò)故障分析能力及安全管理效率。

結(jié)束語：

總之，加強(qiáng)工控系統(tǒng)安全防護(hù)管理體系研究，對(duì)大型火力發(fā)電廠的發(fā)展有重要意義。本文通過對(duì)發(fā)電廠工控系統(tǒng)安全現(xiàn)狀分析，指出現(xiàn)階段大型火力發(fā)電廠工控系統(tǒng)所面臨的信息安全風(fēng)險(xiǎn)，并根據(jù)這些風(fēng)險(xiǎn)提出了相應(yīng)的安全防護(hù)思路，介紹了現(xiàn)階段可行的工控系統(tǒng)信息安全防護(hù)手段，在管理和技術(shù)角度建立行之有效的工控系統(tǒng)防護(hù)體系。

參考文獻(xiàn)：

[1]王鐘瑋. 大型火力發(fā)電廠前期管理與投資控制的研究[J]. 建材與裝飾，2015（48）：145-146.

[2]賈鵬飛. 大型火力發(fā)電廠鍋爐事故的預(yù)防措施[J]. 技術(shù)與市場(chǎng)，2015，22（06）：299+301.

[3]朱世順，黃益彬，朱應(yīng)飛，張小飛. 工業(yè)控制系統(tǒng)信息安全防護(hù)關(guān)鍵技術(shù)研究[J]. 電力信息與通信技術(shù)，2013，11（11）：106-109.

[4]鄒春明，鄭志千，劉智勇，陳良漢，陳敏超. 電力二次安全防護(hù)技術(shù)在工業(yè)控制系統(tǒng)中的應(yīng)用[J]. 電網(wǎng)技術(shù)，2013，37（11）：3227-3232.