大型火力發(fā)電廠工控系統(tǒng)安全防護管理體系研究

耿少輝

摘 要：目前，火電仍然是我國電能的重要來源。加強火力發(fā)電廠方面的研究，有助于保證人們的用電安全。而信息技術(shù)的高速發(fā)展給大型火力發(fā)電廠工控系統(tǒng)信息安全帶來了巨大挑戰(zhàn)，而國內(nèi)外層出不窮的工控安全事件將工控安全防護建設提上了日程。本文闡述了近年來國內(nèi)外工控安全事件及我國在工控領域發(fā)布的法規(guī)文件，分析了現(xiàn)階段大型火力發(fā)電廠工控系統(tǒng)安全方面存在的問題和挑戰(zhàn)，以及結(jié)合當前網(wǎng)絡安全防護水平，從管理和技術(shù)角度提出了現(xiàn)階段可行的大型火力發(fā)電廠工控系統(tǒng)安全防護體系提升手段，并分析該防護體系，對發(fā)電廠工控系統(tǒng)整體安全防護水平提升的意義。

關(guān)鍵詞：發(fā)電廠；工控系統(tǒng)；安全防護體系

引言：

當前背景下，經(jīng)濟的發(fā)展，對電能的要求越來越高。在大型火力發(fā)電廠中，工控產(chǎn)品也越來越多采用通用軟件及通用協(xié)議，工控系統(tǒng)以各種方式與外界網(wǎng)絡聯(lián)通，高度信息化使得工控系統(tǒng)更容易受到病毒、木馬的攻擊。另一方面，發(fā)電廠工控系統(tǒng)的穩(wěn)定性、實時性、可靠性要求又限制了網(wǎng)絡安全技術(shù)的應用，給安全防護帶來了巨大的挑戰(zhàn)，導致發(fā)電廠工控系統(tǒng)信息安全問題日益突出。

1大型火力發(fā)電廠工控系統(tǒng)安全防護現(xiàn)狀

目前，我國的各大型火力發(fā)電廠工控系統(tǒng)安全防護水平已有明顯提高，工控安全防護技術(shù)手段進一步完善，各電廠均按規(guī)定進行安全防護，網(wǎng)絡安全設備的配置進一步完善。但是在工控系統(tǒng)安全管理方式及技術(shù)手段上還存在一系列的不足：運維管理存在不足，安全職責劃分不清，問題整改不到位，設備管理臺賬記錄不全；網(wǎng)絡配置管理不完善，網(wǎng)絡拓撲圖未能及時更新，與實際情況不一致，工控系統(tǒng)設備清單不全；應急預案可操作性差，流于形式，預案演練的效果及經(jīng)驗總結(jié)不到位，滾動修編等工作未有效開展等。這些問題的存在，都制約了大型火力發(fā)電廠工控系統(tǒng)安全防護的提升。

2大型火力發(fā)電廠工控系統(tǒng)安全防護體系

2.1提升大型火力發(fā)電廠工控安全防護水平

2.1.1加強工控網(wǎng)絡安全監(jiān)測系統(tǒng)建設

工控網(wǎng)絡安全監(jiān)測系統(tǒng)能發(fā)現(xiàn)工控環(huán)境中的惡意攻擊流量、非法操作流量、異常流量等，及時發(fā)現(xiàn)工控環(huán)境中的風險。網(wǎng)絡異常檢測功能基于對工控協(xié)議的通信報文進行采集與深度解析，對當前工控協(xié)議通信行為與基線進行對比，對偏離基線的行為進行檢測并告警。例如：異常指令操作、非法設備接入、異常訪問關(guān)系等告警。

2.1.2加強IT監(jiān)控系統(tǒng)建設

利用SIS系統(tǒng)現(xiàn)有的成熟產(chǎn)品和組件，通過對生產(chǎn)控制大區(qū)的IT資產(chǎn)的接口部署及配置，對IT設備運行數(shù)據(jù)進行實時自動采集，包括：電力調(diào)度網(wǎng)絡運行狀況、SIS系統(tǒng)服務器運行狀況、SIS系統(tǒng)生產(chǎn)數(shù)據(jù)采集接口運行狀況、生產(chǎn)控制大區(qū)服務器軟件系統(tǒng)運行狀況、服務器硬件運行狀況、服務器網(wǎng)絡通訊狀況、各關(guān)鍵交換機路由器運行狀況等。能夠?qū)σ陨蠑?shù)據(jù)的長期可靠存儲及建模，實現(xiàn)利用SIS系統(tǒng)客戶端快速方便的查看以上數(shù)據(jù)的歷史趨勢及最新數(shù)據(jù)變化情況，以便在發(fā)生故障之后可以利用歷史數(shù)據(jù)進行故障原因分析。

2.1.3加強工控防火墻建設

使用工控防火墻將各工控OPC和SIS接口機之間的鏈接進行邏輯隔離，工控防火墻在繼承了傳統(tǒng)防火墻的基礎功能外，結(jié)合工控網(wǎng)絡特點，可更深層次的防護工控網(wǎng)絡中的攻擊。采用透明模式部署，并開啟故障旁路功能，不改變原有的網(wǎng)絡拓撲，確保正常業(yè)務不受影響；通過對工控協(xié)議深度分析，制定相應的工控網(wǎng)絡訪問控制策略，有效防止網(wǎng)絡內(nèi)異常流量通過，保證網(wǎng)絡安全。

2.1.4加強工控安全管控體系建設

這要求不斷完善管理制度建設，明確責任分工，信息部門加強技術(shù)監(jiān)督，工控設備部門加強防范意識，在“兩化”融合趨勢下，打破傳統(tǒng)專業(yè)分界壁壘，協(xié)同開展工作，進一步落實電力監(jiān)控系統(tǒng)安全規(guī)范，嚴格執(zhí)行外來人員、外接設備、外接介質(zhì)管理，加強補丁、防病毒管理，并注重工控與信息安全的復合型技術(shù)人才培養(yǎng)。建立健全工控系統(tǒng)安全防護全生命周期管理體系，將信息安全防護滲透到可研、設計、施工、調(diào)試、運行等各階段工作中，實現(xiàn)全方位、全過程的覆蓋。在工控系統(tǒng)上線運行前或機組檢修期間開展以漏洞掃描為主體的系統(tǒng)風險評估，通過安全運維服務工具就地對工控系統(tǒng)和網(wǎng)絡進行安全掃描。包括操作系統(tǒng)漏洞掃描、組態(tài)軟件漏洞掃描；機組主控DCS包含的DPU以及機組輔控PLC等控制器漏洞掃描。建立健全工控事件應急工作機制，預防為主、平戰(zhàn)結(jié)合、快速反應、科學處置，加強風險監(jiān)測，開展信息報送和通報，提高工控安全事件應急處置能力。

2.2大型火力發(fā)電廠工控系統(tǒng)安全防護效果

2.2.1上線前安全檢測

在系統(tǒng)上線前完成對整個工控區(qū)域信息安全風險分析、安全漏洞評估等管控措施，實現(xiàn)對系統(tǒng)中存在的安全風險提前驗證，以便在上線前對工控系統(tǒng)按照國家法令、行業(yè)規(guī)范進行安全加固，并把對工控系統(tǒng)的穩(wěn)定性影響降到最低。

2.2.2運行中異常行為檢測

基于對工控協(xié)議的通信報文進行采集與深度解析，利用人工智能算法建立工控通信模型基線，實現(xiàn)對工控網(wǎng)絡異常行為進行檢測及告警，及時發(fā)現(xiàn)網(wǎng)絡攻擊，減少系統(tǒng)停運風險，并可以為安全事故的調(diào)查，提供詳實的數(shù)據(jù)支持。

2.2.3運維過程安全管控

建立工控網(wǎng)絡連接實時視圖，圖形化顯示監(jiān)控范圍內(nèi)的所有IT設備信息、網(wǎng)絡連接信息，實現(xiàn)對工控設備的實時安全管控，并可實現(xiàn)對IT設備運行歷史數(shù)據(jù)的長期存儲，提高工控網(wǎng)絡故障分析能力及安全管理效率。

結(jié)束語：

總之，加強工控系統(tǒng)安全防護管理體系研究，對大型火力發(fā)電廠的發(fā)展有重要意義。本文通過對發(fā)電廠工控系統(tǒng)安全現(xiàn)狀分析，指出現(xiàn)階段大型火力發(fā)電廠工控系統(tǒng)所面臨的信息安全風險，并根據(jù)這些風險提出了相應的安全防護思路，介紹了現(xiàn)階段可行的工控系統(tǒng)信息安全防護手段，在管理和技術(shù)角度建立行之有效的工控系統(tǒng)防護體系。

參考文獻：

[1]王鐘瑋. 大型火力發(fā)電廠前期管理與投資控制的研究[J]. 建材與裝飾，2015（48）：145-146.

[2]賈鵬飛. 大型火力發(fā)電廠鍋爐事故的預防措施[J]. 技術(shù)與市場，2015，22（06）：299+301.

[3]朱世順，黃益彬，朱應飛，張小飛. 工業(yè)控制系統(tǒng)信息安全防護關(guān)鍵技術(shù)研究[J]. 電力信息與通信技術(shù)，2013，11（11）：106-109.

[4]鄒春明，鄭志千，劉智勇，陳良漢，陳敏超. 電力二次安全防護技術(shù)在工業(yè)控制系統(tǒng)中的應用[J]. 電網(wǎng)技術(shù)，2013，37（11）：3227-3232.