陳政熙

(上海工業(yè)自動化儀表研究院有限公司，上海 200233)

0 引言

工業(yè)控制系統(tǒng)包括分布式控制系統(tǒng)(distributed control system,DCS)、數(shù)據(jù)采集與監(jiān)視控制系統(tǒng)、現(xiàn)場總線控制系統(tǒng)、可編程邏輯控制器等。工業(yè)控制系統(tǒng)廣泛應(yīng)用于能源、電力、水務(wù)、軌道交通、航空航天等行業(yè)，是關(guān)鍵基礎(chǔ)設(shè)施運行的“大腦”和“中樞”。

隨著兩化融合進程的深入，越來越多的信息技術(shù)運用于工業(yè)場景，與工業(yè)控制技術(shù)相融合，推動了工業(yè)企業(yè)轉(zhuǎn)型升級；同時，逐步打破了工業(yè)控制系統(tǒng)的“孤島”模式，導(dǎo)致蠕蟲、病毒、木馬、黑客攻擊等威脅向工業(yè)生產(chǎn)系統(tǒng)滲透。而火力發(fā)電廠工控系統(tǒng)高可靠性和高可用性要求又限制了安全技術(shù)在工控網(wǎng)絡(luò)中的應(yīng)用，導(dǎo)致系統(tǒng)存在巨大的安全風(fēng)險。

本文論述的火力發(fā)電廠工控系統(tǒng)安全，主要是功能安全和信息安全。

1 火力發(fā)電廠工控系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)

火力發(fā)電廠生產(chǎn)網(wǎng)絡(luò)分為現(xiàn)場設(shè)備層、現(xiàn)場控制層、過程監(jiān)控層及生產(chǎn)管理層，包括三大主機設(shè)備及其主控系統(tǒng)，以及水煤灰、脫硫、脫硝等輔助系統(tǒng)。其工藝過程非常復(fù)雜，必須通過先進的分布式控制系統(tǒng)(distributed control system,DCS)來實現(xiàn)機組的自動化控制。其中，主控系統(tǒng)包括汽輪機數(shù)字電液控制系統(tǒng)、汽輪機旁路控制系統(tǒng)、順序控制系統(tǒng)、燃料管理系統(tǒng)、機組協(xié)調(diào)控制系統(tǒng)、電氣控制系統(tǒng)等。目前，國內(nèi)最大單機容量的1 000 MW級機組主控系統(tǒng)大約有12 000個I/O測點(含模擬量和數(shù)字量)，輔助系統(tǒng)(含水網(wǎng)、灰網(wǎng)、輸煤網(wǎng)等)和公用系統(tǒng)也大約有10 000個I/O測點，600 MW級機組主控系統(tǒng)大約有8 000個I/O測點，300 MW級機組主控系統(tǒng)大約有6 000個I/O測點。

典型火力發(fā)電廠工控系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)如圖1所示。

圖1 典型火力發(fā)電廠工控系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)圖

2 火力發(fā)電廠工控系統(tǒng)安全現(xiàn)狀分析

2.1 火力發(fā)電廠工控系統(tǒng)功能安全現(xiàn)狀

在火力發(fā)電廠中，安全風(fēng)險最高的設(shè)備無疑是鍋爐、汽輪機和發(fā)電機，一旦發(fā)生事故，會對人身和設(shè)備造成重大危害。其中，爐膛放炮、煤粉倉爆炸及制粉系統(tǒng)爆炸、飛車事故等鍋爐和汽輪機故障均會造成嚴(yán)重的人身傷害。因此，為了避免發(fā)生此類傷害，發(fā)電機組控制系統(tǒng)應(yīng)具有高可靠性、高安全性和高可用性，即在任何情況下均能將鍋爐和汽輪機置于安全狀態(tài)且不誤動作。IEC 61508等功能安全標(biāo)準(zhǔn)(流程工業(yè)功能安全標(biāo)準(zhǔn)為IEC 61508:2010 Functional safety of E/E/ PEsafety-related systems及IEC 61511:2003 Functional safety-Safety instrumented systems for the process industry sector)發(fā)布后，許多國家強制規(guī)定將經(jīng)過第三方檢驗檢測機構(gòu)認證的功能安全系統(tǒng)用于保護火電廠三大主力設(shè)備。

在國內(nèi)，功能安全主要應(yīng)用于石化、軌道交通、汽車電子等行業(yè)，在電力行業(yè)中尚未廣泛應(yīng)用。GB 50049-2011 《小型火力發(fā)電廠設(shè)計規(guī)范》及GB 50660-2011 《大中型火力發(fā)電廠設(shè)計規(guī)范》規(guī)定：較危險的關(guān)鍵部位應(yīng)設(shè)置安全系統(tǒng)或緊急停車系統(tǒng)，對主控設(shè)備安全保護系統(tǒng)納入主控系統(tǒng)時，只提出應(yīng)單獨冗余設(shè)置控制器，未專門規(guī)定安全保護系統(tǒng)須采用特定的軟硬件，也未規(guī)定須對安全保護系統(tǒng)各聯(lián)鎖回路進行安全分析和評價。在電力行業(yè)通用的《火力發(fā)電廠分散控制系統(tǒng)(DCS)技術(shù)規(guī)范書》中，也只是提出了“賣方也可以在投標(biāo)書中根據(jù)自己的工程經(jīng)驗提供可靠性更高的故障安全型控制器和I/O模件，作為可選方案供買方選擇”的原則。但在工程實際應(yīng)用中，各投標(biāo)商為了降低成本、贏得項目，一般情況下都不提供安全型產(chǎn)品。因此，目前國內(nèi)大多數(shù)火力發(fā)電廠主要采用硬件冗余(控制器冗余、I/O模塊冗余、電源模塊冗余和通信總線冗余)以及聯(lián)鎖順序控制，實現(xiàn)三大主機設(shè)備的保護[1-2]。

隨著等同于IEC 61508功能安全標(biāo)準(zhǔn)的國家標(biāo)準(zhǔn)GB/T 20438-2006和GB/T 21109-2007的頒布，以及相關(guān)政策的推動，我國火力發(fā)電廠安全系統(tǒng)及功能安全方面的研究將會有突破性的進展。

2.2 火力發(fā)電廠工控系統(tǒng)信息安全現(xiàn)狀

為了保障電力信息系統(tǒng)安全，自2005年起，原電監(jiān)委先后組織制定了《電力二次系統(tǒng)安全防護規(guī)定》和《電力二次系統(tǒng)安全防護總體方案》等6個配套文件，指導(dǎo)和規(guī)范電力行業(yè)二次系統(tǒng)安全防護工作，推動了電力二次系統(tǒng)安全防護體系的建立和完善。電力企業(yè)按照電力二次系統(tǒng)安全防護的總體要求，從規(guī)章制度、組織體系、人員管理、安全分區(qū)等方面開展了一系列富有成效的工作，初步建立了電力二次系統(tǒng)安全防護體系。該體系具體包括《省級及以上調(diào)度中心二次系統(tǒng)安全防護方案》、《地、縣級調(diào)度中心二次系統(tǒng)安全防護方案》、《配電二次系統(tǒng)安全防護方案》等供配電側(cè)安全防護方案，以及風(fēng)電、光伏、燃氣電廠、核電站等發(fā)電側(cè)的二次系統(tǒng)安全防護技術(shù)規(guī)定。電力二次系統(tǒng)安全防護體系的建立和完善，極大地提高了電力行業(yè)安全防護的整體水平。電力二次系統(tǒng)安全防護體系如圖2所示。

圖2 電力二次系統(tǒng)安全防護體系

隨著電力行業(yè)的快速發(fā)展，原《電力二次系統(tǒng)安全防護規(guī)定》已不再適應(yīng)現(xiàn)行電力安全的需求。國家發(fā)展和改革委員會于2014年8月1日發(fā)布了《電力監(jiān)控系統(tǒng)安全防護規(guī)定》(第14號令)。為了加強電力監(jiān)控系統(tǒng)安全防護工作，根據(jù)國家發(fā)改委第14號令要求，國家能源局制定了《電力監(jiān)控系統(tǒng)安全防護總體方案》(國能安全[2015]36號)。該方案確定了電力監(jiān)控系統(tǒng)安全防護體系的總體框架，細化了電力監(jiān)控系統(tǒng)安全防護總體原則，定義了通用和專用的安全防護技術(shù)與設(shè)備。其總體原則為：安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認證[3-4]。

經(jīng)過多年的發(fā)展，電力行業(yè)逐步形成了具有較完善行業(yè)特點的安全防護體系。尤其在信息安全等級保護工作方面，電力行業(yè)率先全面貫徹并且落實國家信息安全等級保護制度，取得了良好成效，保障了電力行業(yè)重要信息系統(tǒng)安全。

電力監(jiān)控系統(tǒng)安全防護總體框架結(jié)構(gòu)如圖3所示。

圖3 電力監(jiān)控系統(tǒng)安全防護總體框架結(jié)構(gòu)圖

2.3 火力發(fā)電廠工控安全防護存在的主要問題

雖然《電力監(jiān)控系統(tǒng)安全防護總體方案》中包含了發(fā)電、變電、配電、調(diào)度等多個環(huán)節(jié)，也將整個電力監(jiān)控系統(tǒng)按照生產(chǎn)控制和管理信息兩個大區(qū)分類，但該防護方案更多的只是通過簡單的安全隔離裝置、加密認證、防火墻等防護手段或方法加以邊界性的防范，屬于網(wǎng)絡(luò)安全和信息安全防護的范疇，并未真正體現(xiàn)工控系統(tǒng)安全的核心(如本質(zhì)安全、功能安全)。針對復(fù)雜的火力發(fā)電自動化領(lǐng)域，將功能安全納入工控安全范疇，并考慮功能安全與網(wǎng)絡(luò)安全、信息安全的融合至關(guān)重要。

在信息安全防護方面，目前火電廠熱控系統(tǒng)中的各種服務(wù)器及操作員站，尤其是安全儀表系統(tǒng)(safety instrument system,SIS)接口機之類的熱控邊緣服務(wù)器，缺乏技術(shù)手段保證專機專用，更缺乏注冊表防護措施。另外，火電廠熱控系統(tǒng)里面的各種服務(wù)器及操作員站，雖然在制度上限制使用U盤等拷貝工具，但是并不能真正杜絕USB接入的安全隱患。

火電廠熱控系統(tǒng)中無控制網(wǎng)訪問行為和流量日志審計措施，并且其熱控系統(tǒng)缺乏對各類數(shù)據(jù)包(包括工業(yè)協(xié)議和TCP/IP協(xié)議)進行快速、有針對性的捕獲與深度解析的措施。一旦出現(xiàn)網(wǎng)絡(luò)故障及異常現(xiàn)象，將無法進行有針對性的定位和攻擊路徑分析，無法對已檢測到的相關(guān)潛在安全威脅進行深度分析和定位。火電廠熱控系統(tǒng)中缺乏工控協(xié)議實時、精準(zhǔn)識別的防護措施(如OPC協(xié)議只讀，Modbus協(xié)議讀、寫等)。

3 火力發(fā)電廠工控系統(tǒng)安全運行有效對策

3.1 提升系統(tǒng)本體安全水平

火力發(fā)電自動化領(lǐng)域工控安全應(yīng)該從“強化基礎(chǔ)”出發(fā)，從設(shè)備級、系統(tǒng)級、管理級3個角度分層和協(xié)調(diào)融合考慮。設(shè)備級用于提升每個控制器、I/O設(shè)備的功能安全和信息安全防御能力。系統(tǒng)級考慮設(shè)計安全的控制系統(tǒng)架構(gòu)，提升控制系統(tǒng)的整體功能安全和信息安全功能。管理級則加強規(guī)范管理、完善安全策略，增強控制系統(tǒng)的信息安全功能[5]。

3.2 強化系統(tǒng)被動防護機制

對火力發(fā)電廠生產(chǎn)控制網(wǎng)絡(luò)關(guān)鍵節(jié)點和邊界采取必要的訪問控制措施，以達到安全防護的目的。采用“固”、“隔”、“監(jiān)”的策略，對系統(tǒng)環(huán)境進行安全過濾，包括劃分不同級別的安全區(qū)域、采用物理和環(huán)境安全防護措施、部署邊界安全防護設(shè)備、設(shè)置遠程訪問控制策略及安裝主機安全防護軟件等。引入縱深防御理念是目前業(yè)內(nèi)廣泛接受的工控系統(tǒng)信息安全解決方案之一。工控系統(tǒng)的縱深防御是指在非安全區(qū)與安全區(qū)之間設(shè)置多層次的保護措施。由于火力發(fā)電廠工控系統(tǒng)的網(wǎng)絡(luò)層次分明，縱深防御理念非常適用于該領(lǐng)域的工控系統(tǒng)[6-7]。

3.3 建立主動防御安全保障體系

被動防護機制對火力發(fā)電自動化領(lǐng)域工控安全防護體系至關(guān)重要。以固定的防護策略和靜態(tài)防護來面對威脅進行監(jiān)測和抵御，雖然在一定程度上防止了蠕蟲病毒的擴散，抵御了外部黑客攻擊等網(wǎng)絡(luò)威脅，但針對“零日”漏洞、內(nèi)部員工的惡意行為等威脅難以發(fā)揮效果。該機制在面對復(fù)雜、異構(gòu)、大量私有通信協(xié)議的工控系統(tǒng)時難免會捉襟見肘。為進一步解決工控安全問題，可在被動安全防護機制基礎(chǔ)上建立主動防御安全保障體系?；趹B(tài)勢感知、監(jiān)測預(yù)警、可信計算技術(shù)、數(shù)字證書的主動防御安全保障體系，能夠最大程度地對惡意行為和惡意威脅進行診斷和抵御。

3.4 落實安全風(fēng)險評估工作

工控安全風(fēng)險評估是實現(xiàn)工控安全防護的前提。風(fēng)險評估的結(jié)果是建立工控安全防護策略的有效依據(jù)。通過風(fēng)險評估，能全面地挖掘系統(tǒng)存在的安全問題和潛在威脅。工控系統(tǒng)與普通的IT系統(tǒng)不同，工控系統(tǒng)具有專用協(xié)議多、系統(tǒng)實時性和可靠性要求高、網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜等特點。因此，應(yīng)結(jié)合工控系統(tǒng)的特點，開展兩個層面的安全風(fēng)險評估：一是針對功能安全的風(fēng)險分析與評價，二是基于IT系統(tǒng)風(fēng)險評估原理的工控系統(tǒng)信息安全風(fēng)險評估。同時，火力發(fā)電自動化領(lǐng)域的工控系統(tǒng)作為關(guān)鍵基礎(chǔ)設(shè)施，其系統(tǒng)安全風(fēng)險評估應(yīng)該覆蓋系統(tǒng)的全生命周期，包括系統(tǒng)設(shè)計、開發(fā)、運維及報廢階段。

4 結(jié)束語

從目前來看，火力發(fā)電自動化領(lǐng)域工控安全形勢比較嚴(yán)峻，功能安全問題和信息安全問題相互影響；同時，行業(yè)內(nèi)也缺乏既從事自動化系統(tǒng)集成又從事信息安全能力較強的企業(yè)，即缺乏考慮功能安全和信息安全綜合防護能力的企業(yè)。因此，為在火力發(fā)電自動化領(lǐng)域開展深入研發(fā)、實施和推廣應(yīng)用工控安全技術(shù)，必須將發(fā)電企業(yè)、電力高校、研究院所、工控廠家、信息安全企業(yè)等有機結(jié)合，全面開展產(chǎn)學(xué)研用的實質(zhì)性深入合作。