內容摘要：本文根據火電廠(chǎng)控制系統特點(diǎn)，指出控制系統信息安全防護應與互聯(lián)網(wǎng)系統信息安全防護具有不同安全工作策略，并對當前控制系統供應側和應用側兩個(gè)信息安全戰場(chǎng)的互相協(xié)調和促進(jìn)進(jìn)行了探討。最后，作者還對控制大區和管理大區隔離問(wèn)題以及DCS信息安全認證和測試這兩個(gè)具體問(wèn)題提出了一些想法。

關(guān)鍵詞：火電廠(chǎng)；控制系統；信息安全；策略

1 我國工業(yè)控制系統信息安全發(fā)展態(tài)勢

從2011年底起，國家各部委發(fā)布了一系列關(guān)于工業(yè)控制系統信息安全的文件，把工控信息安全列為“事關(guān)經(jīng)濟發(fā)展、社會(huì )穩定和國家安全”的重要戰略，受到國家層面的高度重視。

在國家層面的推動(dòng)下，工控信息安全工作轟轟烈烈展開(kāi)，大批行政指令以及標準應運而生；在行政和市場(chǎng)雙重動(dòng)力的推動(dòng)下，安全信息產(chǎn)業(yè)如雨后春筍般發(fā)展，工控信息安全產(chǎn)業(yè)聯(lián)盟迅速壯大。這種形勢下，我國電力、石化、鋼鐵等各大行業(yè)的集團和公司面臨著(zhù)如何迅速研究工控信息安全這個(gè)新課題，學(xué)習這一系列文件精神和標準，加強工控信息安全管理，研究采取恰當的信息安全技術(shù)措施等，積極穩妥地把工控信息安全工作踏踏實(shí)實(shí)地開(kāi)展起來(lái)這一系列緊迫任務(wù)。

但是，當前面臨的困難是，從事信息安全產(chǎn)業(yè)的公司大多不太熟悉特點(diǎn)各異的各行業(yè)工控系統，有時(shí)還不免把工控系統視作一個(gè)互聯(lián)網(wǎng)信息系統去思考和防護；而從事工控系統應用行業(yè)的人們大多還來(lái)不及了解信息安全技術(shù)，主導制定本行業(yè)的相關(guān)標準和本行業(yè)控制系統信息安全的工作策略，并推動(dòng)兩支力量的緊密配合。這正是當前面臨的困境和作者力圖要與同仁們一起學(xué)習和探討的問(wèn)題。

2 從工控系統特點(diǎn)出發(fā)正確制定信息安全發(fā)展策略

火電廠(chǎng)控制系統與傳統信息系統相比，相對來(lái)說(shuō)，與外部完全開(kāi)放的互聯(lián)網(wǎng)聯(lián)系極少，分布地域有限，接觸人員較少，而對實(shí)時(shí)性、穩定性和可靠性卻要求極高。這正是我們制定火電廠(chǎng)控制系統信息安全工作策略的基本出發(fā)點(diǎn)。

為了形象起見(jiàn)，我們以人類(lèi)抵抗疾病為例。人要不生病，一方面要自身強壯，不斷提高肌體的免疫系統和自修復能力；另一方面，要盡可能營(yíng)造一個(gè)良好的外部環(huán)境（不要忽冷忽熱，空氣中污染物少，無(wú)彌漫的病菌和病毒）。人類(lèi)積累了豐富的經(jīng)驗，根據實(shí)際情況采取非常適當的保護措施。例如，對于一般人來(lái)說(shuō)，他們改變環(huán)境的可行性較差。因此，確保自身強壯以及發(fā)現病兆及時(shí)吃藥修復等是其保護自己的主要手段。但是，對于新生兒，因為自身免疫系統還比較脆弱，短時(shí)間也不可能馬上提高。剛出生時(shí)醫生也有條件將其暫時(shí)置于無(wú)菌恒溫保護箱中哺養，以隔絕惡劣的環(huán)境。

信息安全與人類(lèi)抵抗病十分相似。

對于一般互聯(lián)網(wǎng)信息系統，分布地域極廣，接觸人員多而雜，因此信息安全策略重點(diǎn)，除了在適當地點(diǎn)采取一些防火墻等隔離措施外，主要依靠提高自身健壯性，以及查殺病毒等措施防御信息安全。

對于工控系統，特別是火電廠(chǎng)控制系統，它與外部互聯(lián)網(wǎng)聯(lián)系較少，分布地域有限，接觸人員較少。因此，對火電廠(chǎng)應該首先把重點(diǎn)放在為控制系統營(yíng)造一個(gè)良好環(huán)境上。也就是說(shuō)，盡可能與充斥病毒和惡意攻擊的源泉隔離，包括從互聯(lián)網(wǎng)進(jìn)來(lái)的外部入侵，以及企業(yè)內外人員從內部的直接感染和入侵。前者可采取電力行業(yè)中證明行之有效的硬件網(wǎng)絡(luò )單向傳輸裝置（單向物理隔離裝置）等技術(shù)手段；后者則主要通過(guò)加強目前電廠(chǎng)內比較忽視和薄弱的信息安全管理措施?；痣姀S(chǎng)控制系統采取這種信息安全策略可以達到事半功倍的效果。

從當前國內外出現的不少工控系統遭受惡意攻擊和植入病毒導致的嚴重事故來(lái)看，幾乎大多數是沒(méi)有或者隔離措施非常薄弱經(jīng)互聯(lián)網(wǎng)端侵入，或者通過(guò)企業(yè)內外人員從內部直接植入病毒導致。

當然，我們不能忽視提高控制系統自身健壯性的各種努力和措施，以便萬(wàn)一惡意攻擊和病毒侵入的情況下仍能萬(wàn)無(wú)一失確保安全。但是，開(kāi)展這方面工作，特別是在已經(jīng)投運的控制系統上進(jìn)行這方面工作要特別慎重，這不僅因為這些工作代價(jià)較高，而且在當前信息安全產(chǎn)業(yè)中不少公司還不太熟悉相關(guān)行業(yè)工控系統特點(diǎn)，有些產(chǎn)品在工控系統中應用尚不成熟，而火電廠(chǎng)控制系統廠(chǎng)家對自身產(chǎn)品信息安全狀態(tài)研究剛剛開(kāi)始，或者由于種種原因沒(méi)有介入和積極配合的情況下風(fēng)險較高。這不是聳人聽(tīng)聞，實(shí)踐已經(jīng)發(fā)生，有的電廠(chǎng)為此已經(jīng)付出了DCS停擺，機組誤跳的事故代價(jià)。

3 火電廠(chǎng)控制系統供應側和應用側兩個(gè)信息安全戰場(chǎng)的不同策略及相互協(xié)調

火電廠(chǎng)控制系統，主要是DCS，不僅是保證功能安全的基礎，也是提高自身健壯性，確保信息安全的關(guān)鍵，它包括供應側和應用側兩個(gè)信息安全戰場(chǎng)。

在DCS供應側提高自身健壯性，并通過(guò)驗收測收，確保系統信息安全有許多明顯的優(yōu)點(diǎn)。它可以非常協(xié)調地融入信息安全策略，可以離線(xiàn)進(jìn)行危險性較大的滲透性測試，發(fā)現的漏洞對應用其控制系統的電廠(chǎng)具有一定的通用性等。此外，DCS供應側在提高信息安全方面積累的經(jīng)驗和措施，培養起來(lái)的隊伍，也將有助于現有電廠(chǎng)DCS的測試評估，以及安全加固等直接升級服務(wù)或配合服務(wù)。

與信息安全產(chǎn)業(yè)的公司提供服務(wù)擴大了公司的市場(chǎng)不同，DCS供應側提高其信息安全水平增加了DCS成本。因此，為了推動(dòng)DCS供應側提高信息安全水平，除了目前已經(jīng)在發(fā)揮作用的行政手段外，我們還必須加強市場(chǎng)手段的動(dòng)力。為此，當前我們電力行業(yè)應盡快從信息安全角度著(zhù)手制定DCS準入標準，制定火電廠(chǎng)DCS信息安全技術(shù)標準和驗收測試標準，以及招標用典型技術(shù)規范書(shū)等。

火電廠(chǎng)DCS應用側，是當前最緊迫面臨現實(shí)信息安全風(fēng)險，而且范圍極廣的戰場(chǎng)，必須迅速有步驟地點(diǎn)面結合提高信息安全，降低風(fēng)險。具體意見(jiàn)如下：

3.1應迅速全面開(kāi)展下列三方面工作

（1）全面核查DCS與SIS及互聯(lián)網(wǎng)間是否真正貫徹落實(shí)了發(fā)改委2014年14號令和國家能源局2015年36號文附件中關(guān)于配置單向物理隔離的規定，沒(méi)有加裝必須盡快配置，已配置的要檢查是否符合要求。

（2）迅速按照《工業(yè)控制系統信息安全防護指南》加強內部安全管理，杜絕內部和外部人員非法接近操作、介入或在現場(chǎng)總線(xiàn)及其它接入系統上偷掛攻擊設備等，并適度開(kāi)展一些風(fēng)險較小的安全測評項目。

上述兩項工作，在已投運系統上實(shí)施難度較低，實(shí)施風(fēng)險相對較低，但是卻能起到抵御當前大部分潛在病毒侵襲和惡意攻擊的風(fēng)險。

（3）通過(guò)試點(diǎn)，逐步開(kāi)展對已運DCS進(jìn)行較為深入的安全測評，適度增加信息安全技術(shù)措施，待取得經(jīng)驗后，再組織力量全面推廣，把我國火電廠(chǎng)控制系統信息安全提高到一個(gè)新的水平。為了提高這項工作的總體效益，建議針對國內火電廠(chǎng)應用的各種型號的DCS品牌出發(fā)，各大電力集團互相協(xié)調，統籌規劃，選擇十個(gè)左右試點(diǎn)電廠(chǎng)，由應用單位上級領(lǐng)導組織，國家級或重點(diǎn)的測評機構、實(shí)驗室技術(shù)指導，相關(guān)DCS供應商、優(yōu)秀信息安全產(chǎn)品生產(chǎn)商以及電廠(chǎng)負責DCS的工程師一起成立試點(diǎn)小組。這樣不僅可以融合DCS廠(chǎng)家的經(jīng)驗，包括

他們已經(jīng)開(kāi)展的信息安全測評和信息安全加強措施，減少不必要的某些現場(chǎng)直接工作帶來(lái)的較大風(fēng)險。也有利于當前復合人才缺乏的情況下，確保工控系統技術(shù)和工控系統信息安全技術(shù)無(wú)縫融合，防止發(fā)生故障而影響安全生產(chǎn)（目前已經(jīng)有電廠(chǎng)在測試和加入安全措施導致

DCS故障而停機的事件）。

4 DCS信息安全若干具體問(wèn)題的建議

4.1關(guān)于控制大區和管理大區隔離的問(wèn)題

根據國家發(fā)改委2014年14號令頒發(fā)的《電力監控系統安全防護規定》，以及國家能源局36號文附件《電力監控系統安全防護總體方案》的要求：

（1）生產(chǎn)拉制大區和管理信息大區之間通信應當部署專(zhuān)用橫向單向安全隔離裝置，是橫向防護的關(guān)鍵設備。

（2）生產(chǎn)控制大區內的控制區與非控制區之間應當采取具有訪(fǎng)問(wèn)功能的設施，實(shí)現邏輯隔離。

2016年修訂的電力行業(yè)標準《火電廠(chǎng)廠(chǎng)級監控信息系統技術(shù)條件》（DL/T 924-2016）對隔離問(wèn)題做了新的補充規定：

（1）當MIS網(wǎng)絡(luò )不與互聯(lián)網(wǎng)連接時(shí)，宜采用SIS與MIS共用同一網(wǎng)絡(luò )，在生產(chǎn)控制系統與SIS之間安裝硬件的網(wǎng)絡(luò )單向傳輸裝置（單向物理隔離裝置）。

（2）當MIS網(wǎng)絡(luò )與互聯(lián)網(wǎng)連接時(shí)，宜采用SIS網(wǎng)絡(luò )獨立于MIS網(wǎng)絡(luò )，并加裝硬件的網(wǎng)絡(luò )單向傳輸裝置（單向物理隔離裝置），而在生產(chǎn)控制系統與SIS之間安裝硬件防火墻隔離。

根椐當前嚴峻的網(wǎng)絡(luò )安全形勢，應當重新思考單向物理隔離裝置這個(gè)行之有效的關(guān)鍵安全措施的設置點(diǎn)問(wèn)題。建議無(wú)論是剛才提到的哪一種情況，單向物理隔離裝置均應設置在生產(chǎn)控制系統（DCS）與SIS之間，理由是：

（1）生產(chǎn)控制系統（DCS）對電廠(chǎng)人身設備危害和社會(huì )影響極大，而且危險事件瞬間爆發(fā)。因此，一定要把防控惡意操作、網(wǎng)絡(luò )攻擊和傳播病毒的區域限制在盡可能小的范圍內，這樣可以最大限度提高電廠(chǎng)控制系統應對網(wǎng)絡(luò )危害的能力。

（2）SIS是全廠(chǎng)性的，涉及人員相對廣泛，跟每臺機組均有聯(lián)系。因此，一旦隔離屏障被攻破，故障將是全廠(chǎng)性的，事故危害面相對較大。

4.2DCS信息安全認證和測試驗收問(wèn)題

火電廠(chǎng)在推廣應用DCS的30年歷史中，從一開(kāi)始就適時(shí)提出了供編制招標技術(shù)規范書(shū)參考的典型技術(shù)規范書(shū)，進(jìn)而逐步形成了標準， 明確規定了功能規范、性能指標以及驗收測試等一系列要求。隨后又根據發(fā)展適時(shí)增加了對電磁兼容性和功能安全等級認證的要求。當前，為確保得到信息安全的DCS產(chǎn)品，歷史經(jīng)驗可以借鑒。

作者認為，宜首先對控制系統供應側開(kāi)展阿基里斯認證（Achilles Communications Certification，簡(jiǎn)稱(chēng)ACC）作為當前提高DCS信息安全的突破口。

眾所周知，ACC已得到全球前十大自動(dòng)化公司中八個(gè)公司的確認，并對其產(chǎn)品進(jìn)行認證；工業(yè)領(lǐng)域眾多全球企業(yè)巨頭，均已對其產(chǎn)品供應商提供的產(chǎn)品強制要求必須通過(guò)ACC認證。目前，ACC事實(shí)上已成為國際上公認的行業(yè)標準。國內參與石化和電廠(chǎng)市場(chǎng)競爭的不少外國主流DCS均已通過(guò)了ACC一級認證。至于國產(chǎn)主流DCS廠(chǎng)家，他們大多也看到了ACC認證是進(jìn)入國際市場(chǎng)的門(mén)檻，也嗅到了國內市場(chǎng)未來(lái)的傾向，都在積極為達到ACC一級認證而努力（緊迫性程度明顯與行業(yè)客戶(hù)對ACC認證緊迫性要求有關(guān)）。此外，我國也已建立了進(jìn)行測試認證的合格機構，具備了國內就地認證的條件。

根據調查判斷，如果我們電力行業(yè)側開(kāi)始編制技術(shù)規范書(shū)將ACC一級認證納入要求，相信在行政推動(dòng)和市場(chǎng)促進(jìn)雙重動(dòng)力下，國產(chǎn)主流DCS在一年多時(shí)間內通過(guò)ACC一級認證是可以做到的。

除ACC認證外，如前所述，當前還急需編制招標用火電廠(chǎng)信息安全技術(shù)規范和驗收測試標準，使用戶(hù)在采購時(shí)對其信息安全的保障有據可依。

從源頭抓起，取得經(jīng)驗，必將有利于在運DCS信息安全工作，少走彎路。

5 結語(yǔ)

與早期自下而上逐步推廣應用DCS不同，加強工控信息安全工作是由上而下發(fā)動(dòng)，一下子就轟轟烈烈展開(kāi)了，這使電力行業(yè)有點(diǎn)措手不及。但是，“軍令”如山，必須快步跟上，轟轟烈烈，同時(shí)也要少走彎路。迅速制定正確的信息安全工作策略，才能把各種力量凝聚在一個(gè)正確方向上，協(xié)同戰斗，確?；痣姀S(chǎng)控制系統信息安全工作健康向前發(fā)展。

作者簡(jiǎn)介：侯子良（1935-），男，上海人，教授級高級工程師，主要從事電廠(chǎng)熱工自動(dòng)化行業(yè)管理、規劃設計研究等方面工作。

摘自《自動(dòng)化博覽》2017年7月刊