摘要：本文介紹了電廠(chǎng)信息安全的三道重要防線(xiàn)，對電廠(chǎng)主要自動(dòng)化系統信息安全的防御重點(diǎn)進(jìn)行了討論。針對控制系統，主要論述了DCS、DEH、BPS、ETS和輔助車(chē)間控制系統的信息安全防御重點(diǎn)。針對信息系統，主要論述了SIS和MIS的信息安全防御重點(diǎn)。

關(guān)鍵詞：電廠(chǎng)；信息安全；防御

中國能源建設集團有限公司工程研究院副院長(cháng) 許繼剛

許繼剛(1964- )，男，山東泰安人，教授級高工，博士，新世紀百千萬(wàn)人才工程國家級人選，國務(wù)院政府特殊津貼專(zhuān)家，現任中國能源建設集團有限公司工程研究院副院長(cháng)，兼任電力行業(yè)熱工自動(dòng)化與信息標準化委員會(huì )副主任、電力行業(yè)熱工自動(dòng)化技術(shù)委員會(huì )副主任、中國自動(dòng)化學(xué)會(huì )發(fā)電自動(dòng)化專(zhuān)委會(huì )副主任、中國電機工程學(xué)會(huì )熱工自動(dòng)化專(zhuān)委會(huì )副主任、中國儀器儀表學(xué)會(huì )產(chǎn)品信息委員會(huì )副主任、中國儀器儀表學(xué)會(huì )自控工程設計委員會(huì )主任。國家標準《大中型火力發(fā)電廠(chǎng)設計規范》編制組副組長(cháng)，行業(yè)標準《火力發(fā)電廠(chǎng)信息系統設計技術(shù)規定》編制組組長(cháng)。

1　引言

隨著(zhù)國家基礎建設的快速發(fā)展，電力行業(yè)迎來(lái)了前所未有的建設高潮。截至到2016年6月底，全國發(fā)電總裝機容量超過(guò)15.2億千瓦，其中火電裝機容量10.2億千瓦，煤電高達9.2億千瓦。大容量高參數發(fā)電機組在電網(wǎng)中的比例越來(lái)越高，百萬(wàn)千瓦級機組的數量牢牢穩居世界首位，大型機組在電網(wǎng)中的安全穩定性直接關(guān)乎到供電的可靠性，大型電廠(chǎng)的信息安全也越發(fā)重要。處理好電廠(chǎng)控制系統和信息系統的安全，已經(jīng)受到相關(guān)各方的關(guān)注。信息安全，已不僅僅是每個(gè)電廠(chǎng)需要重視的問(wèn)題，還關(guān)系到電廠(chǎng)所在地區和國家的安全。

2　電廠(chǎng)信息安全的三道重要防線(xiàn)

目前，電廠(chǎng)自動(dòng)化系統五花八門(mén)，但總體上可以分為兩個(gè)層次：第一個(gè)層次是控制系統，所有直接參與生產(chǎn)過(guò)程測量與控制的自動(dòng)化系統均劃歸為該層次，包括機組分散控制系統（DCS）、汽機數字電液控制系統（DEH）、輔助車(chē)間控制系統等；第二個(gè)層次是信息系統，將電廠(chǎng)與信息有關(guān)的，不直接參與過(guò)程控制的自動(dòng)化系統均歸到信息系統，包括管理信息系統（MIS）、廠(chǎng)級監控信息系統（SIS）、視頻監視系統、視頻會(huì )議系統、門(mén)禁管理系統等。

如果按照兩個(gè)大區進(jìn)行安全分區的話(huà)，第一個(gè)層次的所有系統都可以化歸為生產(chǎn)控制大區，第二個(gè)層次的所有系統可以化歸為管理信息大區。如圖1所示。

圖1 電廠(chǎng)自動(dòng)化系統分層示意圖

我國將計算機信息系統的安全等級化分為五個(gè)等級：用戶(hù)自主保護級、系統審計保護級、安全標記保護級、結構化保護級、訪(fǎng)問(wèn)驗證保護級，安全保護能力從第一級到第五級逐級增強。如果按此等級劃分的話(huà)，電廠(chǎng)第一個(gè)層次的所有系統都是第五級，也就是訪(fǎng)問(wèn)驗證保護級。而電廠(chǎng)第二個(gè)層次系統中，SIS、視頻監視系統和門(mén)禁管理系統與生產(chǎn)運行的關(guān)系較為密切，可以化歸為第四級，MIS、視頻會(huì )議系統與生產(chǎn)運行不直接發(fā)生關(guān)系，則可以化歸為第三級。

電廠(chǎng)信息安全的防范重點(diǎn)是設置好三道重要防線(xiàn)。第一道安全防線(xiàn)：電廠(chǎng)信息系統與外部系統的安全防線(xiàn)，即管理信息大區內系統與外部聯(lián)系的防線(xiàn)。第二道安全防線(xiàn)：電廠(chǎng)控制系統與產(chǎn)品供貨商的安全防線(xiàn)，即生產(chǎn)控制大區內系統與各自供貨商的防線(xiàn)。第三道安全防線(xiàn)：電廠(chǎng)控制系統與電廠(chǎng)信息系統的安全防線(xiàn)，即生產(chǎn)控制大區內系統與管理信息大區內系統的防線(xiàn)。

3　關(guān)鍵控制系統的信息安全防御

前面介紹了電廠(chǎng)信息安全的三道重要防線(xiàn)，本文不對常規信息安全防護措施進(jìn)行討論，比如系統容錯、主機冗余、雙網(wǎng)配置以及防火墻、安全網(wǎng)關(guān)和防病毒軟件等。只針對電廠(chǎng)關(guān)鍵控制系統和重要信息系統設計時(shí)的信息安全防御重點(diǎn)和容易忽視的問(wèn)題進(jìn)行討論。本節將討論關(guān)鍵控制系統的安全防御重點(diǎn)，下面將討論主要信息系統的安全防御重點(diǎn)。

3.1　DCS的安全防御重點(diǎn)

電廠(chǎng)機組普遍采用DCS。DCS是電廠(chǎng)覆蓋工藝系統最多，控制面最廣的控制系統。DCS直接參與生產(chǎn)過(guò)程控制，是電廠(chǎng)安全運行的基本保障。對于DCS來(lái)說(shuō)，信息安全的防御點(diǎn)主要在三個(gè)方面，一是DCS與供貨廠(chǎng)商之間的安全防御，二是DCS與其他系統之間的安全防御，三是DCS人機交互的安全防御。

3.1.1　DCS與供貨廠(chǎng)商之間的安全防御

首先討論DCS與供貨廠(chǎng)商之間的安全防御。隨著(zhù)計算機技術(shù)、網(wǎng)絡(luò )技術(shù)、通訊技術(shù)的迅猛發(fā)展，DCS廠(chǎng)商可以輕而易舉地獲取其供應的DCS的所有數據，也可以采取一定的手段對其所供的DCS進(jìn)行遠程控制，這顯然存在安全隱患。尤其是目前一些百萬(wàn)千瓦機組的DCS多采用國外進(jìn)口產(chǎn)品，其中隱含的安全問(wèn)題不容忽視。該安全不僅涉及電廠(chǎng)本身，一旦遇到戰爭等國際社會(huì )動(dòng)蕩等情況，還會(huì )危及地區和國家的安全。妥善處理并杜絕電廠(chǎng)DCS與產(chǎn)品供貨商之間的信息安全隱患，是當前容易忽視的問(wèn)題，需要提醒電廠(chǎng)建設方和設計方高度重視。

3.1.2　DCS與其他系統之間的安全防御

其次討論DCS與其他系統之間的安全防御。DCS是機組的主要控制系統，但并不是覆蓋全部機組工藝的控制系統。比如DEH、旁路控制系統（BPS）、汽機危機遮斷系統（ETS）等。如果這些控制系統未能納入DCS，則與DCS之間就有數據接口，但由于這些系統和DCS一樣處于同一個(gè)安全大區，來(lái)往數據已經(jīng)嚴格過(guò)濾，因此無(wú)需特別防御。

需要特別防御的是DCS與SIS之間的信息傳輸。DCS與SIS之間有大量的數據交換信息。目前的設計方案是，SIS與DCS之間應配置數據單向傳輸的專(zhuān)用隔離裝置，嚴禁SIS向DCS發(fā)送除采集數據所需通訊協(xié)議以外的任何信息。DCS的數據可以上傳至SIS，但SIS的數據不能直接下傳到DCS。

對于SIS需要完成負荷分配控制功能的電廠(chǎng)而言，必須滿(mǎn)足一定的前提條件并采取特別的設計方案。前提條件是：電網(wǎng)調度必須是調廠(chǎng)而不是直接調機組。設計方案是：此時(shí)的負荷控制命令應當由值長(cháng)判斷決定后才能發(fā)送到DCS，而且必須由值班操作員確認后才能執行。負荷控制命令宜通過(guò)硬接線(xiàn)方式下達。

當然，目前有的項目開(kāi)始設置廠(chǎng)級DCS或其他廠(chǎng)級控制系統。如果設置了廠(chǎng)級控制系統，則機組DCS就不會(huì )直接與廠(chǎng)級信息系統發(fā)生數據聯(lián)系，需要設置專(zhuān)用隔離裝置的防御點(diǎn)就上移到了廠(chǎng)級控制系統。

3.1.3　DCS人機交互的安全防御

DCS人機交互設備主要有操作員站和工程師站，在個(gè)別沒(méi)有設置SIS的項目中還設置了值長(cháng)站。

值長(cháng)站可以通過(guò)顯示器進(jìn)行監視，但不能操作。操作員站可以通過(guò)顯示器監視并按設定的程序進(jìn)行操作，但不能對系統進(jìn)行任意修改和組態(tài)。值長(cháng)站和操作員站沒(méi)有對外的數據接口，不需要特別防御。

工程師站是對DCS進(jìn)行維護并可以修改組態(tài)的裝置，也是外部入侵DCS的可能關(guān)口。對于工程師站來(lái)說(shuō)，防御的主要措施，一方面是制定好電廠(chǎng)的管理機制，另外就是要設計好系統身份識別、訪(fǎng)問(wèn)控制機制和密碼安全機制等。

綜上所述，DCS的安全防御重點(diǎn)如圖2所示。

圖2 DCS安全防御重點(diǎn)示意圖

3.2　DEH的安全防御重點(diǎn)

DEH是電廠(chǎng)機組控制系統中和DCS一樣重要的系統，而且在大多數項目中，DEH已經(jīng)和DCS融為一體。對于DEH已經(jīng)納入DCS的系統，其安全防御由DCS統籌，無(wú)須特別設計。

對于DEH獨立設置的系統，其安全防御重點(diǎn)和DCS一樣，也分三個(gè)方面：一是DEH與供貨廠(chǎng)商之間的安全防御，二是DEH與其他系統之間的安全防御，三是DEH人機交互的安全防御。和DCS有所區別的是，DEH不會(huì )接受SIS的任何指令，SIS的負荷分配控制指令通過(guò)DCS對DEH進(jìn)行控制。

3.3　其他機組控制系統的安全防御重點(diǎn)

除了DCS和DEH外，電廠(chǎng)機組還有其他一些主要的控制系統，比如旁路控制系統（BPS）、汽機危機遮斷系統（ETS）和鍋爐爐膛安全監控系統（FSSS）。

首先討論BPS。目前絕大多數BPS已經(jīng)納入DCS，對于已經(jīng)納入DCS的系統，不需要特別考慮安全防御措施。對于少數獨立設置的BPS來(lái)說(shuō)，需重點(diǎn)考慮的問(wèn)題只有一個(gè)，就是切斷BPS與供貨商之間的信息聯(lián)絡(luò )。和BPS發(fā)生信號聯(lián)系的都是DCS、DEH等控制系統，BPS不直接與SIS等信息系統發(fā)生聯(lián)系，所以只需要設置常規的邏輯隔離，無(wú)須采取特別防御。由于BPS不設置獨立的操作員站、工程師站等人機接口設備，因此也不存在人機交互的安全防御問(wèn)題。

ETS和FSSS是電廠(chǎng)核心保護系統。FSSS目前基本上都納入DCS，由DCS統一進(jìn)行防護。ETS除與DCS和DEH有信號聯(lián)系外，基本不與外界發(fā)生信號聯(lián)系，需要防護的主要是防止ETS與供貨商之間的信息聯(lián)絡(luò )，像所有其他控制系統一樣，切斷有可能的遠程控制，防止電廠(chǎng)被攻陷。

3.4　輔助車(chē)間控制系統的安全防御重點(diǎn)

電廠(chǎng)至少有十幾個(gè)輔助車(chē)間，早期的輔助車(chē)間控制系統是各自獨立的，隨著(zhù)自動(dòng)化技術(shù)、網(wǎng)絡(luò )技術(shù)、通訊技術(shù)的快速發(fā)展，輔助車(chē)間控制系統發(fā)展迅速，集中控制度越來(lái)越高，目前正在設計和運行的發(fā)電廠(chǎng)，集中度較低的基本上只有三個(gè)集中控制網(wǎng)絡(luò )，即煤、灰、水集中控制網(wǎng)絡(luò )。集中度高的，全廠(chǎng)輔助車(chē)間統一為一個(gè)輔助車(chē)間集中控制網(wǎng)絡(luò )。

下面以全廠(chǎng)設置一個(gè)輔助車(chē)間集中控制網(wǎng)絡(luò )為例進(jìn)行討論。雖然輔助車(chē)間控制系統沒(méi)有前面討論的機組控制系統那么重要，但是仍然處在第一個(gè)層次，即生產(chǎn)控制大區。輔助車(chē)間集中控制網(wǎng)絡(luò )的安全防御重點(diǎn)和DCS一樣，也分三個(gè)方面：一是輔助車(chē)間集中控制網(wǎng)絡(luò )與供貨廠(chǎng)商之間的安全防御，二是輔助車(chē)間集中控制網(wǎng)絡(luò )與其他系統之間的安全防御，三是輔助車(chē)間集中控制網(wǎng)絡(luò )人機交互的安全防御。

和DCS有所區別的是，輔助車(chē)間集中控制網(wǎng)絡(luò )不會(huì )接受SIS的任何指令，輔助車(chē)間的運行根據機組的運行需要確定。

4　主要信息系統的信息安全防御

4.1　SIS的安全防御重點(diǎn)

SIS是電廠(chǎng)的運行數據中心，處于電廠(chǎng)所有自動(dòng)化系統的中心位置，它主要的部件是實(shí)時(shí)/歷史數據庫，實(shí)時(shí)/歷史數據庫需要采集電廠(chǎng)絕大多數自動(dòng)化系統的主要數據，又將部分數據傳給MIS和其他管理系統。

4.1.1　SIS與其他系統之間的安全防御

SIS防御的重點(diǎn)是，必須切斷所有從實(shí)時(shí)/歷史數據庫讀取數據的系統對SIS的入侵，這些系統包括MIS、上級主管單位的生產(chǎn)管理系統、在線(xiàn)仿真系統等。在實(shí)時(shí)/歷史數據庫與所有讀取數據的系統之間應配置數據單向傳輸的專(zhuān)用隔離裝置，它們可以從實(shí)時(shí)/歷史數據庫讀取數據，但絕不允許反向輸入數據。

4.1.2　SIS人機交互的安全防御

SIS的人機交互設備和DCS不太一樣，SIS有功能站、值長(cháng)站、工程師站和監視終端設備等。

功能站可以按照功能分為負荷分配調度站、計算與性能分析站、網(wǎng)絡(luò )管理維護站、應用軟件管理維護站等，這些功能站只要有人機交互，如計算與性能分析站，就要注意防御，一方面是制定好電廠(chǎng)的管理機制，另外還要設計好系統身份識別、訪(fǎng)問(wèn)控制機制和密碼安全機制等，防止一般人員擅自進(jìn)入并改變程序。

值長(cháng)站可以通過(guò)顯示器進(jìn)行監視，但不能操作。監視終端設備同樣也只能通過(guò)顯示器進(jìn)行監視而不能操作。值長(cháng)站和監視終端設備沒(méi)有對外的數據接口，不需要特別防御。

工程師站是對SIS進(jìn)行維護并可以修改組態(tài)的裝置，也是外部入侵SIS的可能關(guān)口。對于工程師站來(lái)說(shuō)，需要采取和功能站一樣的防御措施。

4.2　MIS的安全防御重點(diǎn)

相對于SIS而言，MIS的安全等級略低，可以采取和其他工業(yè)企業(yè)相同的信息安全防御措施。MIS對外的聯(lián)系主要有：與上級主管單位進(jìn)行信息交換，與地區政府部門(mén)進(jìn)行環(huán)保數據對接，與公共服務(wù)機構進(jìn)行市場(chǎng)運營(yíng)等數據交流，與設計單位、建設單位、調試單位、監理單位等進(jìn)行建設過(guò)程中的數據移交，與國際互聯(lián)網(wǎng)等公共網(wǎng)絡(luò )進(jìn)行接口等。只要這些聯(lián)系的方式是通過(guò)電子介質(zhì)傳輸，就會(huì )存在信息安全的威脅。建設好電廠(chǎng)信息系統與所有外部系統的信息安全屏障，是電廠(chǎng)設計和運行時(shí)首當其沖需要考慮的問(wèn)題。

5　結語(yǔ)

本文針對電廠(chǎng)關(guān)鍵控制系統和主要信息系統的信息安全防御問(wèn)題進(jìn)行了討論。針對控制系統，主要討論了DCS、DEH、BPS、ETS和輔助車(chē)間控制系統的信息安全重點(diǎn)防御。針對信息系統，主要討論了SIS和MIS的信息安全重點(diǎn)防御。隨著(zhù)數字化電廠(chǎng)的推進(jìn)及智能化電廠(chǎng)的建設，電廠(chǎng)信息安全問(wèn)題必將越來(lái)越得到各方重視。

摘自《自動(dòng)化博覽》2017年3月刊