國(guó)家能源集團(tuán)樂(lè)東發(fā)電有限公司 方豐智

我國(guó)社會(huì)經(jīng)濟(jì)在發(fā)展過(guò)程中，火電廠作為重要能源提供機(jī)構(gòu)，既可以保障區(qū)域民生，還可以促進(jìn)區(qū)域經(jīng)濟(jì)發(fā)展。推廣應(yīng)用熱控自動(dòng)化技術(shù)，提升熱控系統(tǒng)安全性、可靠性水平，已經(jīng)成為火電廠經(jīng)營(yíng)管理的重點(diǎn)。自動(dòng)化技術(shù)的發(fā)展速度快，因此在火電廠生產(chǎn)中的應(yīng)用頻率高，尤其是熱控自動(dòng)化系統(tǒng)，直接影響發(fā)電機(jī)組的運(yùn)行。利用過(guò)程控制技術(shù)、計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)，全面維護(hù)熱控網(wǎng)絡(luò)的安全性。因此，要深入分析熱控系統(tǒng)網(wǎng)絡(luò)安全建設(shè)問(wèn)題，維護(hù)火電廠的生產(chǎn)效益。

1 熱控系統(tǒng)網(wǎng)絡(luò)架構(gòu)

火電廠熱控系統(tǒng)涉及軟硬件設(shè)施、通信設(shè)備等，對(duì)于不同的設(shè)備來(lái)說(shuō)，其處于不同的運(yùn)行狀態(tài)。利用分散控制系統(tǒng)可以保證熱控系統(tǒng)的運(yùn)行效益，提高網(wǎng)絡(luò)結(jié)構(gòu)的安全性?；痣姀S在運(yùn)行過(guò)程中，熱控系統(tǒng)網(wǎng)絡(luò)依賴計(jì)算機(jī)技術(shù)，對(duì)系統(tǒng)網(wǎng)絡(luò)安全管理的影響明顯。在計(jì)算機(jī)技術(shù)的支持下，能夠彌補(bǔ)分散控制系統(tǒng)的缺陷，網(wǎng)絡(luò)安全管理效果較佳。通過(guò)網(wǎng)絡(luò)安全管理，可以消除“信息孤島”現(xiàn)象，減少系統(tǒng)的網(wǎng)絡(luò)安全威脅，保障網(wǎng)絡(luò)結(jié)構(gòu)的安全系數(shù)[1]。火電廠在運(yùn)行過(guò)程中，應(yīng)當(dāng)聯(lián)合應(yīng)用計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)、通信技術(shù)、分散控制系統(tǒng)，開發(fā)網(wǎng)絡(luò)交換機(jī)、計(jì)算機(jī)網(wǎng)絡(luò)結(jié)構(gòu)，對(duì)系統(tǒng)生產(chǎn)過(guò)程進(jìn)行實(shí)時(shí)管控，同時(shí)提供資源管理、生產(chǎn)管理的數(shù)據(jù)資料，保障熱控系統(tǒng)網(wǎng)絡(luò)安全，全面提升網(wǎng)絡(luò)管理水平。

2 火電廠熱控系統(tǒng)網(wǎng)絡(luò)安全問(wèn)題

2.1 機(jī)組熱控保護(hù)問(wèn)題

當(dāng)前，科學(xué)技術(shù)日益完善，促進(jìn)了熱控保護(hù)技術(shù)的進(jìn)步發(fā)展，提升了熱控保護(hù)工作效率，且控制監(jiān)管范圍持續(xù)擴(kuò)大，能夠?qū)崿F(xiàn)全天候監(jiān)控。受到多方因素影響，百萬(wàn)機(jī)組熱控系統(tǒng)的故障問(wèn)題較多，涉及電源、電纜、熱控設(shè)備，檢修人員的技術(shù)能力也會(huì)引發(fā)故障問(wèn)題。機(jī)組熱控保護(hù)工作中，當(dāng)受到影響因素干擾后，會(huì)引發(fā)熱控保護(hù)問(wèn)題，致使熱控系統(tǒng)誤動(dòng)、拒動(dòng)，影響機(jī)組正常運(yùn)行。

機(jī)組熱控保護(hù)誤動(dòng)或拒動(dòng)作的原因如下：第一，在設(shè)計(jì)熱控系統(tǒng)時(shí)，與實(shí)際情況的差距大，控制邏輯不滿足標(biāo)準(zhǔn)要求。第二，保護(hù)信號(hào)的取信方式差別大，明顯不同于配置要求，且保護(hù)連鎖信號(hào)設(shè)備標(biāo)準(zhǔn)不達(dá)標(biāo)。第三，安裝與調(diào)控操作不合理，熱控技術(shù)的監(jiān)督與管理不到位。

鑒于以上內(nèi)容，應(yīng)當(dāng)科學(xué)檢修、維護(hù)熱控保護(hù)系統(tǒng)，提高熱控保護(hù)的安全性。對(duì)于部分火電廠來(lái)說(shuō)，熱控保護(hù)系統(tǒng)存在較多缺陷，主要表現(xiàn)在軟件、硬件方面，養(yǎng)護(hù)與管理方法不先進(jìn)，在使用機(jī)械化檢修管理方式，始終堅(jiān)持程序化作業(yè)，增加物力、財(cái)力的浪費(fèi)，很難規(guī)避安全事故的發(fā)生。當(dāng)火電廠管理人員不了解熱控設(shè)備時(shí)，則會(huì)影響管理效果，降低設(shè)備質(zhì)量的合格率，嚴(yán)重影響機(jī)組熱控保護(hù)工作[2]。在日常工作中，須合理劃分熱控設(shè)備檢修、維護(hù)工作，全面提升機(jī)組熱控保護(hù)工作水平。

2.2 網(wǎng)絡(luò)安全建設(shè)問(wèn)題

2.2.1 主要問(wèn)題

火電廠內(nèi)部運(yùn)行過(guò)程中，信息安全可以維護(hù)系統(tǒng)安全。當(dāng)信息安全得不到保證，則會(huì)對(duì)熱控系統(tǒng)應(yīng)用產(chǎn)生影響。使用信息技術(shù)監(jiān)控時(shí)，要充分發(fā)揮信息技術(shù)安全的優(yōu)勢(shì)，以免引發(fā)如下問(wèn)題。

第一，技術(shù)人員在使用系統(tǒng)服務(wù)器時(shí)，計(jì)算機(jī)終端問(wèn)題較多，比如存在惡意程序。由于未科學(xué)管理系統(tǒng)與設(shè)備，致使病毒在設(shè)備運(yùn)行時(shí)入侵，對(duì)系統(tǒng)安全造成威脅。第二，熱控系統(tǒng)操作人員的技術(shù)不過(guò)關(guān)，只會(huì)操作老舊系統(tǒng)，對(duì)新系統(tǒng)的認(rèn)知不全面，致使系統(tǒng)安全漏洞多。第三，黑客入侵、攻擊等行為，對(duì)熱控系統(tǒng)檢修、防護(hù)的影響較大。當(dāng)發(fā)生不良故障問(wèn)題時(shí)，技術(shù)人員很難探究故障原因，也不能準(zhǔn)確定位故障位置，導(dǎo)致后續(xù)使用的不良問(wèn)題較多。第四，熱控系統(tǒng)運(yùn)行過(guò)程中，系統(tǒng)協(xié)議、場(chǎng)內(nèi)監(jiān)控信息未隔離。此外，火電廠使用落后的防火墻設(shè)施，很難引入?yún)f(xié)議機(jī)制，導(dǎo)致防火墻的防御作用不理想。

2.2.2 熱控系統(tǒng)感染病毒的實(shí)例分析

火電廠結(jié)合熱電系統(tǒng)、分散控制系統(tǒng)，全面分析網(wǎng)絡(luò)安全的管理事項(xiàng)，明確薄弱環(huán)節(jié)的缺陷，從根本上消除不良影響。如網(wǎng)絡(luò)入侵事件、分散控制網(wǎng)絡(luò)安全管理不到位等。如果無(wú)法及時(shí)改進(jìn)與處理，則會(huì)嚴(yán)重威脅熱控系統(tǒng)網(wǎng)絡(luò)安全。

結(jié)合網(wǎng)絡(luò)入侵防范能力分析，分散控制系統(tǒng)網(wǎng)絡(luò)的人機(jī)接口，仍然以工業(yè)模式的USB接口、光盤方式為主[3]。但是在熱控系統(tǒng)內(nèi)，外部病毒容易入侵網(wǎng)絡(luò)結(jié)構(gòu)。針對(duì)分散控制系統(tǒng)來(lái)說(shuō)，技術(shù)人員配置Windows系統(tǒng)。但由于系統(tǒng)的運(yùn)行時(shí)間比較長(zhǎng)，因此無(wú)法按時(shí)安裝、更新補(bǔ)丁，容易出現(xiàn)藍(lán)屏、死機(jī)等現(xiàn)象，嚴(yán)重威脅系統(tǒng)的運(yùn)行效益。在分散控制系統(tǒng)的網(wǎng)絡(luò)體系中，技術(shù)人員沒(méi)有安裝防火墻、安全隔離網(wǎng)，也未切斷網(wǎng)絡(luò)結(jié)構(gòu)的電路，致使內(nèi)外部線路互聯(lián)，增加網(wǎng)絡(luò)入侵隱患，還會(huì)對(duì)熱控系統(tǒng)的網(wǎng)絡(luò)安全產(chǎn)生負(fù)面影響。圖1為熱控系統(tǒng)病毒傳播過(guò)程。

圖1 熱控系統(tǒng)病毒傳播過(guò)程

3 火電廠熱控系統(tǒng)網(wǎng)絡(luò)安全建設(shè)

3.1 網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)

對(duì)于網(wǎng)絡(luò)安全態(tài)勢(shì)感知來(lái)說(shuō)，必須在網(wǎng)絡(luò)環(huán)境下感知風(fēng)險(xiǎn)，以安全大數(shù)據(jù)作為基礎(chǔ)，高效識(shí)別和處理安全隱患。對(duì)于網(wǎng)絡(luò)空間出現(xiàn)的安全挑戰(zhàn)，則必須獲取信息數(shù)據(jù)平臺(tái)支持，發(fā)揮出網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)的各項(xiàng)作用，掌控網(wǎng)絡(luò)安全狀態(tài)，做好科學(xué)規(guī)劃與響應(yīng)工作。

在網(wǎng)絡(luò)態(tài)勢(shì)感知系統(tǒng)中，涉及主站系統(tǒng)、采集裝置。在不同層次設(shè)置布設(shè)主站系統(tǒng)，對(duì)網(wǎng)絡(luò)安全進(jìn)行實(shí)時(shí)化監(jiān)測(cè)，同時(shí)具備日志審計(jì)功能、預(yù)測(cè)分析功能。在各級(jí)調(diào)控中心、各級(jí)發(fā)電廠、局域網(wǎng)內(nèi)部，則布設(shè)采集裝置，采集和分析系統(tǒng)網(wǎng)絡(luò)安全數(shù)據(jù)，并且與主站系統(tǒng)完成通信。主站系統(tǒng)、采集裝置，均采用數(shù)據(jù)網(wǎng)絡(luò)實(shí)現(xiàn)通信[4]。

3.2 數(shù)據(jù)流量限制

通過(guò)網(wǎng)絡(luò)流量，能夠充分反映出網(wǎng)絡(luò)性能特點(diǎn)，從而采取科學(xué)的流量控制策略。針對(duì)交換器端口，則要配置限制數(shù)據(jù)流量功能，避免數(shù)據(jù)信息被大量轉(zhuǎn)發(fā)，從而出現(xiàn)網(wǎng)絡(luò)通信擁堵現(xiàn)象。分散控制系統(tǒng)運(yùn)行過(guò)程中，如果出現(xiàn)網(wǎng)絡(luò)接口故障、虛擬斷點(diǎn)閉合故障，就會(huì)增加網(wǎng)絡(luò)數(shù)據(jù)發(fā)送負(fù)荷?；痣姀S采用分散控制系統(tǒng)時(shí)，需要通過(guò)光纖通道、智能交換機(jī)，形成冗余雙環(huán)網(wǎng)結(jié)構(gòu)，保證兩條環(huán)形網(wǎng)絡(luò)同步運(yùn)行。交換機(jī)負(fù)責(zé)數(shù)據(jù)的存儲(chǔ)、轉(zhuǎn)發(fā)功能，因此在網(wǎng)絡(luò)系統(tǒng)中的作用顯著。在公用系統(tǒng)網(wǎng)絡(luò)中，機(jī)組網(wǎng)絡(luò)交換機(jī)、核心交換機(jī)，均要滿足系統(tǒng)網(wǎng)絡(luò)運(yùn)行要求。分散控制系統(tǒng)運(yùn)行期間，技術(shù)人員要定期升級(jí)交換器。對(duì)于網(wǎng)絡(luò)故障隱患，則要完善在線監(jiān)測(cè)功能、報(bào)警功能，高效處理不良現(xiàn)象，避免擴(kuò)大事故范圍。對(duì)于故障產(chǎn)生成因，交換器廠家應(yīng)當(dāng)使用以太網(wǎng)標(biāo)準(zhǔn)協(xié)議，減少極端環(huán)境下的網(wǎng)絡(luò)回路缺陷，切實(shí)保護(hù)網(wǎng)絡(luò)安全。

3.3 網(wǎng)絡(luò)結(jié)構(gòu)

參考分散控制系統(tǒng)的畫面，推測(cè)網(wǎng)絡(luò)回路狀態(tài)，持續(xù)轉(zhuǎn)發(fā)并重復(fù)數(shù)據(jù)，嚴(yán)重影響畫面監(jiān)控功能，容易造成網(wǎng)絡(luò)通訊癱瘓。技術(shù)人員處理時(shí)，參考電廠主流網(wǎng)絡(luò)結(jié)構(gòu)，對(duì)現(xiàn)有網(wǎng)絡(luò)通訊結(jié)構(gòu)進(jìn)行調(diào)整。公用系統(tǒng)、1#、2#機(jī)組為對(duì)等地位，分支控制系統(tǒng)處于獨(dú)立狀態(tài)。針對(duì)1#、2#機(jī)組交換機(jī)，則改為熱備用關(guān)系。針對(duì)其他子系統(tǒng)，則接入網(wǎng)絡(luò)體系內(nèi)，設(shè)置單向隔離裝置。分支控制系統(tǒng)，占據(jù)虛擬網(wǎng)絡(luò)，若未經(jīng)過(guò)路由，則無(wú)法實(shí)現(xiàn)跨網(wǎng)絡(luò)訪問(wèn)。通過(guò)設(shè)置虛擬網(wǎng)段，可以確保各分支控制系統(tǒng)的獨(dú)立性。

應(yīng)用此類結(jié)構(gòu)，既可以確保1#、2#機(jī)組數(shù)據(jù)的物理隔離效果，還可以擴(kuò)展公共網(wǎng)絡(luò)，形成多功能應(yīng)用系統(tǒng)。因此，將火電廠劃分為若干個(gè)功能區(qū)，電廠控制1區(qū)，選用最優(yōu)安全隔離法，投入獨(dú)立控制系統(tǒng)。人孔系統(tǒng)運(yùn)行過(guò)程中，技術(shù)人員將其分為引水網(wǎng)安全管理、主控安全隔離等區(qū)域。針對(duì)安全隔離網(wǎng)關(guān)來(lái)說(shuō)，技術(shù)人員主要部署SIS接口，通過(guò)隔離網(wǎng)絡(luò)，可以將熱控系統(tǒng)連接在一起，快速轉(zhuǎn)化協(xié)議。當(dāng)SIS接口出現(xiàn)病毒時(shí)，基本不會(huì)對(duì)其他結(jié)構(gòu)產(chǎn)生影響，保障熱控系統(tǒng)的運(yùn)行安全，特別是網(wǎng)絡(luò)安全。圖2為熱控系統(tǒng)最優(yōu)安全隔離域。

圖2 熱控系統(tǒng)最優(yōu)安全隔離域

3.4 熱控系統(tǒng)內(nèi)部網(wǎng)絡(luò)安全管控

火電廠要持續(xù)加強(qiáng)邊界防護(hù)能力，高度重視內(nèi)部網(wǎng)絡(luò)管理，加強(qiáng)熱控系統(tǒng)的防護(hù)效果。對(duì)于火電廠來(lái)說(shuō)，熱控系統(tǒng)的分布位置分散，并由不同部門管理，因此很難對(duì)計(jì)算機(jī)終端操作進(jìn)行限制，無(wú)關(guān)人員可以隨意接入非授權(quán)設(shè)備，從而影響熱控系統(tǒng)的網(wǎng)絡(luò)安全。當(dāng)網(wǎng)絡(luò)安全管控效果不佳，很難確保計(jì)算機(jī)終端的安全。針對(duì)熱控內(nèi)部網(wǎng)絡(luò)體系來(lái)說(shuō)，計(jì)算機(jī)終端涉及較多安全隱患，逐步威脅到內(nèi)部網(wǎng)絡(luò)安全。對(duì)此，技術(shù)人員應(yīng)當(dāng)保障熱控系統(tǒng)安全，尤其是網(wǎng)絡(luò)安全，這已經(jīng)成為火電廠的發(fā)展挑戰(zhàn)。

熱控系統(tǒng)運(yùn)行過(guò)程中，針對(duì)網(wǎng)絡(luò)安全問(wèn)題，要求技術(shù)人員做好準(zhǔn)入控制工作，將其作為安全管理要點(diǎn)。通過(guò)準(zhǔn)入控制技術(shù)，技術(shù)人員能夠?qū)K端狀態(tài)進(jìn)行監(jiān)控，遠(yuǎn)離危險(xiǎn)終端。在準(zhǔn)入控制技術(shù)、網(wǎng)絡(luò)安全技術(shù)的支持下，可以積極防范安全隱患，保證熱控系統(tǒng)的安全性，降低事故率。與信息系統(tǒng)網(wǎng)絡(luò)管理相比，熱控系統(tǒng)網(wǎng)絡(luò)的結(jié)構(gòu)、流量多。如果網(wǎng)絡(luò)準(zhǔn)入控制平臺(tái)不完善，就要投入網(wǎng)絡(luò)管理軟件、工控衛(wèi)士軟件，提高熱控系統(tǒng)網(wǎng)絡(luò)的規(guī)范性水平，減少安全隱患。利用網(wǎng)絡(luò)管理軟件，能夠提高網(wǎng)絡(luò)拓?fù)涞目梢暬?。參考最?yōu)安全隔離域名，做好VLAN的劃分工作，同時(shí)綁定MAC地址，關(guān)閉交換機(jī)端口。

火電廠提高安全管理水平，嚴(yán)格控制交換機(jī)訪問(wèn)，將空閑端口進(jìn)行關(guān)閉，這樣可以避免IP沖突問(wèn)題。對(duì)于熱控系統(tǒng)來(lái)說(shuō)，操作員站點(diǎn)、服務(wù)器均要設(shè)置白名單，主機(jī)可允許應(yīng)用軟件運(yùn)行，對(duì)其他軟件運(yùn)行進(jìn)行組織，避免執(zhí)行惡意代碼，減少非法外聯(lián)現(xiàn)象[5]。通過(guò)白名單軟件，可以阻止高風(fēng)險(xiǎn)設(shè)備接入，如USB設(shè)備、移動(dòng)硬盤。

4 火電廠熱控系統(tǒng)網(wǎng)絡(luò)安全建設(shè)實(shí)際應(yīng)用分析

火電廠熱控系統(tǒng)內(nèi)，需要采集輸煤系統(tǒng)運(yùn)行數(shù)據(jù)。在具體運(yùn)行中，病毒入侵或攻擊運(yùn)行系統(tǒng)，會(huì)利用SIS接口感染整個(gè)內(nèi)部結(jié)構(gòu)系統(tǒng)，導(dǎo)致病毒擴(kuò)散到SIS結(jié)構(gòu)內(nèi)，攻擊每臺(tái)運(yùn)行計(jì)算機(jī)，出現(xiàn)藍(lán)屏、死機(jī)問(wèn)題，導(dǎo)致火電廠運(yùn)行崩潰。針對(duì)此種情況，要持續(xù)加強(qiáng)熱控系統(tǒng)的內(nèi)部結(jié)構(gòu)管理效果，將電廠劃分為不同工作區(qū)，隔離電場(chǎng)的數(shù)據(jù)安全，同時(shí)在不同區(qū)域內(nèi)設(shè)置獨(dú)立運(yùn)行系統(tǒng)，將電廠熱控系統(tǒng)分為安全隔離區(qū)、其他安全隔離區(qū)。不同等級(jí)區(qū)域的劃分，將SIS接口位置設(shè)置安全隔離網(wǎng)關(guān)，以隔離網(wǎng)關(guān)方式轉(zhuǎn)換熱控系統(tǒng)的數(shù)據(jù)，防止SIS接口位置出現(xiàn)病毒感染現(xiàn)象，規(guī)避整個(gè)網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)的病毒感染問(wèn)題。

綜上所述，為了加強(qiáng)網(wǎng)絡(luò)安全防護(hù)能力，火電廠要建設(shè)熱控系統(tǒng)網(wǎng)絡(luò)安全架構(gòu)。投入前期，應(yīng)當(dāng)密切監(jiān)測(cè)網(wǎng)絡(luò)系統(tǒng)運(yùn)行的安全性，要展示出網(wǎng)絡(luò)系統(tǒng)的安全價(jià)值。同時(shí)，技術(shù)人員負(fù)責(zé)監(jiān)管熱控系統(tǒng)的安全行為，完善火電廠的安全結(jié)構(gòu)，推動(dòng)火電廠的高效化發(fā)展。