朱磊

（國家能源集團(tuán)上灣熱電廠，內(nèi)蒙古 鄂爾多斯 017293）

0 引言

智慧電廠是我國電力事業(yè)不斷改革發(fā)展的產(chǎn)物，更是提升電廠現(xiàn)代化發(fā)展的關(guān)鍵所在。智慧電廠的運(yùn)行要從安全、生產(chǎn)及設(shè)備等幾個(gè)方面的智慧進(jìn)行思考，全面構(gòu)建起電廠的智慧運(yùn)行。數(shù)據(jù)網(wǎng)絡(luò)安全問題是影響智慧電廠安全、可靠運(yùn)行的關(guān)鍵所在，如何處理好該問題，需要電廠針對自身實(shí)際情況，構(gòu)建起數(shù)據(jù)網(wǎng)絡(luò)安全體系，確保智慧電廠的可持續(xù)發(fā)展。因此對于智慧電廠下的數(shù)據(jù)網(wǎng)絡(luò)安全體系進(jìn)行研究具有重要意義。

1 項(xiàng)目概述

國家能源集團(tuán)該項(xiàng)目為此電廠的二期擴(kuò)建工程，二期擴(kuò)建工程總裝機(jī)容量2×660MW，直接空冷發(fā)電機(jī)組。此次智能化電廠建設(shè)項(xiàng)目結(jié)合集團(tuán)先進(jìn)管理理念，通過云、大、物、移、智等新型技術(shù)手段，以需求為導(dǎo)向，實(shí)現(xiàn)智能化生產(chǎn)運(yùn)行、主動安全管理和智能經(jīng)營與決策等，在數(shù)據(jù)融合和技術(shù)融合的基礎(chǔ)上，打造一體化管控平臺，實(shí)現(xiàn)應(yīng)用融合和安全融合，解決電廠各項(xiàng)生產(chǎn)經(jīng)營管理問題[1]。為了更好達(dá)到智能化電廠建設(shè)目標(biāo)，從以設(shè)備為中心的生產(chǎn)管理、以人為中心的安全管理和以財(cái)務(wù)為中心的經(jīng)營管理三個(gè)方面，開展智能化電廠研究與建設(shè)工作。智能DCS系統(tǒng)建設(shè)是在機(jī)組DCS功能基礎(chǔ)上，通過網(wǎng)絡(luò)結(jié)構(gòu)調(diào)整、智能硬件部署，形成智能發(fā)電運(yùn)行控制平臺。通過智慧電廠的建設(shè)，數(shù)據(jù)網(wǎng)絡(luò)安全問題成為人們關(guān)注的重點(diǎn)，因此本文在該案例基礎(chǔ)上，就智慧電廠下的數(shù)據(jù)網(wǎng)絡(luò)安全體系進(jìn)行介紹。

2 智慧電廠下的數(shù)據(jù)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)

2.1 互聯(lián)網(wǎng)風(fēng)險(xiǎn)

智慧電網(wǎng)對于互聯(lián)網(wǎng)的依賴性較高，尤其是在連成廣域網(wǎng)之后，受到外部安全攻擊的概率增加。安全攻擊主要有網(wǎng)絡(luò)病毒、釣魚工具、等“黑客”手段，所以這些問題也成為智慧電廠數(shù)據(jù)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的主要來源[2]。

2.2 內(nèi)部網(wǎng)絡(luò)風(fēng)險(xiǎn)

內(nèi)部網(wǎng)風(fēng)險(xiǎn)是網(wǎng)絡(luò)安全事件的主要來源，內(nèi)部網(wǎng)絡(luò)風(fēng)險(xiǎn)面臨著更加嚴(yán)峻的形勢。智慧電廠員工的不當(dāng)操作，或者監(jiān)管不力都會對內(nèi)部網(wǎng)絡(luò)安全造成極大影響，比如信息泄露、系統(tǒng)遭受攻擊等。

2.3 安全監(jiān)管風(fēng)險(xiǎn)

網(wǎng)絡(luò)安全監(jiān)管是確保智慧電網(wǎng)網(wǎng)絡(luò)安全運(yùn)行的重要手段，但是就目前來看，此電廠在一期項(xiàng)目中網(wǎng)絡(luò)安全方面還是比較薄弱的，無法構(gòu)建起網(wǎng)絡(luò)安全體系，監(jiān)管方法、技術(shù)等相對比較落后，無法為智慧電廠網(wǎng)絡(luò)安全運(yùn)行提供可靠支持。

3 智慧電廠下的數(shù)據(jù)網(wǎng)絡(luò)安全體系的構(gòu)建

針對新型的智慧電廠，需要在數(shù)據(jù)網(wǎng)絡(luò)安全體系的構(gòu)建過程中，該項(xiàng)目管理人員已經(jīng)認(rèn)識到數(shù)據(jù)網(wǎng)絡(luò)安全的重要性，針對實(shí)際情況，制定可靠的構(gòu)建策略。下面就對智慧電廠下的數(shù)據(jù)網(wǎng)絡(luò)安全體系進(jìn)行介紹：

3.1 系統(tǒng)建設(shè)方案

數(shù)據(jù)網(wǎng)絡(luò)安全監(jiān)管系統(tǒng)通過大數(shù)據(jù)的應(yīng)用，構(gòu)建起開放的平臺架構(gòu)設(shè)計(jì)，為便于模塊的靈活布置，應(yīng)用接口更為業(yè)界通用。系統(tǒng)架構(gòu)可以分為展示層、監(jiān)測層、大數(shù)據(jù)層、接入層與感知層五個(gè)模塊[3]。在平臺功能設(shè)計(jì)時(shí)，數(shù)據(jù)網(wǎng)絡(luò)安全監(jiān)管系統(tǒng)的應(yīng)用，需要對安全風(fēng)險(xiǎn)進(jìn)行識別與評估。在對網(wǎng)絡(luò)漏洞進(jìn)行挖掘時(shí)，需要通過端口掃描等途徑，與指紋進(jìn)行匹配，能快速對網(wǎng)絡(luò)服務(wù)存在的安全隱患或者脆弱點(diǎn)進(jìn)行分析，最終形成漏洞結(jié)果。通過威脅評估，可以對安全風(fēng)險(xiǎn)進(jìn)行精準(zhǔn)識別，并最終在系統(tǒng)應(yīng)用下，將監(jiān)測結(jié)果直觀呈現(xiàn)出來。建設(shè)智慧化電廠統(tǒng)一網(wǎng)絡(luò)安全保護(hù)平臺，建立協(xié)同安全保護(hù)中心，實(shí)現(xiàn)網(wǎng)絡(luò)空間立體協(xié)同防護(hù)，網(wǎng)絡(luò)安全業(yè)務(wù)實(shí)現(xiàn)模塊按需部署，集中實(shí)現(xiàn)網(wǎng)絡(luò)邊界接入安全保護(hù)、邊界防火墻與入侵保護(hù)，有效管控非法外聯(lián)與非法入網(wǎng)；內(nèi)部網(wǎng)信空間的上網(wǎng)行為安全審計(jì)機(jī)制，有效處置內(nèi)網(wǎng)病毒、系統(tǒng)漏洞缺陷及系統(tǒng)維護(hù)操作的安全隱患，建立邊界保護(hù)、區(qū)域內(nèi)網(wǎng)空間統(tǒng)一安全防護(hù)、網(wǎng)絡(luò)通信傳輸加密保護(hù)，網(wǎng)絡(luò)資產(chǎn)運(yùn)行狀態(tài)可實(shí)時(shí)監(jiān)測的統(tǒng)一網(wǎng)絡(luò)安全保護(hù)機(jī)制，實(shí)現(xiàn)網(wǎng)絡(luò)安全統(tǒng)一監(jiān)測指揮、各安全業(yè)務(wù)模塊化具體負(fù)責(zé)安全事件處置的統(tǒng)一網(wǎng)絡(luò)安全保護(hù)機(jī)制。

3.2 運(yùn)用到的核心技術(shù)

智慧電廠下的數(shù)據(jù)網(wǎng)絡(luò)安全體系的構(gòu)建會運(yùn)用到大數(shù)據(jù)技術(shù)、數(shù)據(jù)融合技術(shù)等幾種技術(shù)，具體如表1所示。

表1 核心技術(shù)

3.3 漏洞挖掘

在對漏洞進(jìn)行挖掘期間，可以通過漏洞挖掘檢測系統(tǒng)的應(yīng)用，為工控安全漏洞庫及設(shè)備庫等提供豐富、全面的工控協(xié)議測試用例庫、模糊測試引擎。常見的工控協(xié)議主要包括Modbus、Profinet等，通過定制開發(fā)與協(xié)議智能測試等，對私有位置協(xié)議模式提供具體解決方案[4]。

智慧電廠利用漏洞挖掘系統(tǒng)，可以對漏洞產(chǎn)生的根源進(jìn)行精準(zhǔn)定位，對攻擊原理進(jìn)行梳理，然后捕獲數(shù)據(jù)包，這時(shí)可以對所捕獲的數(shù)據(jù)包進(jìn)行漏洞分析[5]。這樣管理人員可以對數(shù)據(jù)進(jìn)行修改，然后從數(shù)據(jù)包的分析結(jié)果出發(fā)，開展性能測試工作，并最終找到漏洞出現(xiàn)的根本原因。當(dāng)有潛在的網(wǎng)絡(luò)數(shù)據(jù)信息安全漏洞時(shí)，能快速識別漏洞，評價(jià)漏洞等級，并具有針對性的進(jìn)行完善。

3.4 工控協(xié)議漏洞分析

工控協(xié)議漏洞分析的基本原理是模糊測試，模糊測試在實(shí)際應(yīng)用中的方法主要有預(yù)生成測試用例、自動協(xié)議生成測試、隨機(jī)生成輸入等幾種。以模糊測試為基礎(chǔ)，構(gòu)建起通信協(xié)議動態(tài)隨機(jī)分析測試框架，對同性協(xié)議健壯性檢測評估系統(tǒng)進(jìn)行建設(shè)。通過這樣的方式對工控協(xié)議漏洞進(jìn)行分析。

3.5 脆弱點(diǎn)分析

智慧電廠在進(jìn)行脆弱點(diǎn)分析時(shí)，需要使用靜態(tài)掃描、模糊測試等綜合方法，通過靜態(tài)掃描對被測系統(tǒng)進(jìn)行掃描，然后呈現(xiàn)匹配的報(bào)告。對于業(yè)務(wù)邏輯的脆弱點(diǎn)，則可以在逆向還原的方式下發(fā)現(xiàn)。在對程序進(jìn)行測試時(shí)，可以利用Fuzz技術(shù)實(shí)現(xiàn)，對程序執(zhí)行的狀態(tài)進(jìn)行測試，將可能存在的bug數(shù)據(jù)記錄進(jìn)行篩選，精準(zhǔn)定位漏洞脆弱點(diǎn)。

3.6 威脅評估

智慧電廠通過威脅評估，對存在的網(wǎng)絡(luò)數(shù)據(jù)安全問題進(jìn)行及時(shí)發(fā)現(xiàn)，分析的主要模塊為威脅分析、流量分析等幾個(gè)模塊。該平臺在實(shí)際應(yīng)用中，支持的工控和IT協(xié)議數(shù)量達(dá)到70種，對網(wǎng)絡(luò)安全控制中的系統(tǒng)、設(shè)備等中的威脅因素進(jìn)行有效識別，然后可以地網(wǎng)絡(luò)安全風(fēng)險(xiǎn)進(jìn)行評價(jià)，將漏洞分析在報(bào)告中進(jìn)行詳細(xì)分析，為管理人員提供可靠參考。

3.7 智能報(bào)警

智能報(bào)警應(yīng)綜合采用機(jī)理建模、數(shù)據(jù)分析、人工智能等先進(jìn)技術(shù)，優(yōu)化報(bào)警能力，大幅度減少無效報(bào)警，快速定位報(bào)警根源，保證操作人員有足夠的響應(yīng)時(shí)間，并能夠提供適當(dāng)鑒別信息和做出指導(dǎo)，提高機(jī)組的監(jiān)控品質(zhì)。智能報(bào)警的軟硬件要求具體如表2所示。

表2 軟硬件要求

3.8 工業(yè)防火墻及隔離裝置

原有的防火墻無法滿足新的網(wǎng)絡(luò)數(shù)據(jù)安全問題，需要使用工業(yè)防火墻，對原有的防火墻就代替，并增加工業(yè)隔離器，采用橫向隔離，縱向加密等手段確保網(wǎng)絡(luò)攻擊無法獲進(jìn)入工控系統(tǒng)內(nèi)，在簡單的ACL控制下，無法對各類攻擊進(jìn)行有效應(yīng)對，但是工業(yè)防火墻在應(yīng)用之后，能將網(wǎng)絡(luò)中的攻擊流量進(jìn)行深層次的檢測。工業(yè)防火墻在關(guān)鍵系統(tǒng)與非關(guān)鍵系統(tǒng)的隔離過程中，能通過分離SIS系統(tǒng)網(wǎng)絡(luò)及控制系統(tǒng)網(wǎng)絡(luò)完成此項(xiàng)工作。

4 結(jié)語

智慧電廠是我國電力事業(yè)改革的重要步驟，通過智慧電廠的建立，能提升電廠的生產(chǎn)與運(yùn)營水平，為我國特色社會主義事業(yè)建設(shè)提供支持。數(shù)據(jù)網(wǎng)絡(luò)安全問題成為影響智慧電廠發(fā)展的關(guān)鍵所在，因此需要針對實(shí)際情況，制定數(shù)據(jù)網(wǎng)絡(luò)安全體系，確保智慧電廠的可靠、安全運(yùn)行，減少由于網(wǎng)絡(luò)數(shù)據(jù)安全而造成的經(jīng)濟(jì)損失，實(shí)現(xiàn)我國電力事業(yè)的可持續(xù)發(fā)展。