火電廠(chǎng)的監控系統主要用于監視和控制生產(chǎn)過(guò)程，包括發(fā)電廠(chǎng)的主控制系統、外圍輔助控制系統、電氣二次系統等控制區實(shí)時(shí)系統，以及廠(chǎng)級監控信息系統等非控制區監控系統，其安全問(wèn)題一直受到國家和公眾的重點(diǎn)關(guān)注[4]。目前電力行業(yè)主要依據《電力監控系統安全防護規定》（發(fā)改委14號令）及能源局《電力監控系統安全防護總體方案》（36號文）及相關(guān)配套安全防護方案，按照“安全分區、網(wǎng)絡(luò )專(zhuān)用、橫向隔離[5]、縱向認證、綜合防護”的總體原則，強化邊界防護，同時(shí)加強內部安全措施和安全管理制度，提高系統整體安全防護能力。

本文主要對火電廠(chǎng)監控系統中的外圍輔助控制系統（以下簡(jiǎn)稱(chēng)：火電廠(chǎng)輔控系統）網(wǎng)絡(luò )安全防護技術(shù)進(jìn)行探討。

1　火電廠(chǎng)輔控系統網(wǎng)絡(luò )安全現狀

火電廠(chǎng)輔控系統包括全廠(chǎng)水、煤、灰三大部分及循環(huán)水、空壓機房、脫硫脫硝等其它輔助控制系統。其中水主要包括化學(xué)水處理、凝結水精處理、化學(xué)廢水處理、凈水站、汽水取樣、污水處理等，煤主要包括輸煤系統，灰主要包括除灰除渣系統。

火電廠(chǎng)輔控系統的特性決定了當前網(wǎng)絡(luò )安全不容樂(lè )觀(guān)的現狀。

1.1　輔控系統結構復雜

火電廠(chǎng)輔控系統結構復雜原因可以被歸為物理位置分散、網(wǎng)絡(luò )節點(diǎn)多和平臺軟件不統一這三類(lèi)。

（1）物理位置分散主要體現在PLC控制器、交換機、工控機位置分散

· 火電廠(chǎng)輔控系統內各子系統分散于生產(chǎn)區各個(gè)角落，子系統PLC控制器一般隨工藝設備就近安裝，并且部分子系統就地部署有操作員站/工程師站，例如凝結水精處理系統普遍就地部署操作員站用于樹(shù)脂再生等關(guān)鍵環(huán)節的監控；

· 火電廠(chǎng)輔控系統一般根據工藝功能特點(diǎn)設立相對集中的監控室，如化學(xué)集控室、除灰集控室、輸煤集控室，不同火電廠(chǎng)有所差異，部分系統單獨設置有集控室，例如遠程泵房集控室。

（2）網(wǎng)絡(luò )節點(diǎn)多

· 輔控系統建成后隨著(zhù)新機組擴建、工藝系統改造升級、環(huán)保需求等原因，子系統數量不斷增加，網(wǎng)絡(luò )節點(diǎn)數同步遞增；

· 火電廠(chǎng)輔控系統一體化概念的提出及落地，使輔控系統各子系統網(wǎng)絡(luò )通過(guò)交換機逐步連通，用于集中監控的工控機相繼部署，火電廠(chǎng)輔控系統內的網(wǎng)絡(luò )設備數量逐步增多；

· 為了保證系統可持續性的安全運行，火電廠(chǎng)輔控系統網(wǎng)絡(luò )設備和網(wǎng)絡(luò )介質(zhì)一般采用雙網(wǎng)冗余配置。

（3）平臺軟件不統一

· 一方面火電廠(chǎng)輔控系統內各子系統的建設時(shí)間不同，另一方面操作系統升級換代速度快，導致工控機使用的操作系統版本不統一；

· 火電廠(chǎng)輔控系統內上位機監控軟件不統一，輔控系統部分子系統的上位機軟件隨工藝設備整體交付、部分子系統由PLC控制改造成DCS控制等各類(lèi)原因造成上位機監控軟件品牌不同或者版本號不同。

輔控系統結構的復雜程度決定了開(kāi)展網(wǎng)絡(luò )安全防護工作的難度?；痣姀S(chǎng)輔控系統由不同部門(mén)運行和管理，很難對控制網(wǎng)絡(luò )進(jìn)行有效管控，更難保障各類(lèi)終端的安全。

1.2　網(wǎng)絡(luò )安全防護成本高

同處于火電廠(chǎng)安全I區內的主控系統相比，輔控系統的安全域邊界龐大、結構復雜。若對輔控系統的安全域進(jìn)行細分，如按照水、煤、灰三大部分劃分為三個(gè)子安全區域。雖一定程度上可以解決大部分設備安全域劃分的問(wèn)題，但實(shí)際操作時(shí)仍然有部分設備同時(shí)存在于多個(gè)子安全區域內，如主機集控室內的某臺操作員站需要監控全廠(chǎng)輔控系統、輔網(wǎng)某臺接口機需要同時(shí)讀取水和灰系統數據等。

出現上述情況則需要對現有輔控系統進(jìn)行改造，增加網(wǎng)絡(luò )安全設備如防火墻或者相當功能的設備進(jìn)行邏輯隔離，這都額外增加設備成本及管理成本。輔控系統網(wǎng)絡(luò )安全防護建設成本將是主控系統的幾倍。

2　輔控系統網(wǎng)絡(luò )安全防護技術(shù)探討

火電廠(chǎng)輔控系統的復雜結構特性使得按照常規方案對其進(jìn)行安全防護加固的效果不佳或成本高昂，是否有一種適用于火電廠(chǎng)輔控系統這類(lèi)結構復雜的網(wǎng)絡(luò )安全防護技術(shù)？

2.1　輔控系統網(wǎng)絡(luò )安全基本要求

針對火電廠(chǎng)輔控系統，根據所在安全區域的安全防護要求，對用于監視和控制生產(chǎn)及供應過(guò)程的、基于計算機及網(wǎng)絡(luò )技術(shù)的業(yè)務(wù)系統及智能設備，以及作為基礎支撐的通信網(wǎng)絡(luò )等方面進(jìn)行安全防護，以消除風(fēng)險或將風(fēng)險控制在可接受的范圍。

為了保證火電廠(chǎng)輔控系統網(wǎng)絡(luò )安全，應該實(shí)行國家網(wǎng)絡(luò )安全等級保護制度，使其信息安全防護滿(mǎn)足信息安全等級保護的相關(guān)要求。

同時(shí)，火電廠(chǎng)輔控系統根據不同的功能特性，應劃分為不同的安全區域，安全區域之間應當采用具有訪(fǎng)問(wèn)控制功能的網(wǎng)絡(luò )設備、防火墻或者相當功能的設施，實(shí)現邏輯隔離。結合國家信息安全等級保護工作的相關(guān)要求，從上位機、網(wǎng)絡(luò )設備、惡意代碼防范、應用安全控制、審計等多個(gè)層面進(jìn)行信息安全的綜合防護。

2.2　交換機安全隔離域技術(shù)

在火電廠(chǎng)輔控系統網(wǎng)絡(luò )中，整個(gè)輔控系統內網(wǎng)是一個(gè)大的通信作用域，輔控系統內網(wǎng)中終端設備可以自由通訊，其中一臺終端設備感染病毒，便可能很快在輔控系統內網(wǎng)蔓延，感染其它終端設備。通常采用交換機劃分VLAN或者部署防火墻進(jìn)行網(wǎng)絡(luò )區域的邏輯隔離，但在火電廠(chǎng)輔控系統使用場(chǎng)景下均存在不足之處。特提出一種工業(yè)安全交換機，本身作為輔控系統的重要組成部分，具備內生的多重安全隔離域技術(shù)。該技術(shù)主要由網(wǎng)絡(luò )安全管理中心和工業(yè)安全交換機兩部分構成實(shí)現，網(wǎng)絡(luò )安全管理中心管理所有工業(yè)安全交換機。

具體的實(shí)現方式是火電廠(chǎng)輔控系統內，根據各終端之間的數據流制定合理的應用隔離域，在網(wǎng)絡(luò )安全管理中心創(chuàng )建隔離域用戶(hù)組、定義名稱(chēng)、定義用戶(hù)組的端口速率/廣播抑制/組播抑制等功能、劃歸工業(yè)安全交換機端口至各個(gè)隔離域、下發(fā)配置，工業(yè)安全交換機每個(gè)端口既可歸屬某一個(gè)組，也可歸屬多個(gè)組。

完成配置后，在內網(wǎng)形成多個(gè)用戶(hù)組，組內端口連接的終端之間可以相互通訊，不同組之間終端不能相互通訊；組與組可以是相互獨立的，也可以有交集。在內網(wǎng)形成多重虛擬隔離的網(wǎng)絡(luò )結構，并且不會(huì )改變輔控系統網(wǎng)絡(luò )的物理結構。

多重安全隔離域的劃分示意圖如圖1所示。

圖1 發(fā)電廠(chǎng)輔控系統多重安全隔離域劃分示意圖

多重安全隔離域技術(shù)是基于工業(yè)安全交換機以下核心功能來(lái)實(shí)現的。

（1）柔性安全區

采用柔性安全區技術(shù)，用戶(hù)可以靈活劃分復雜網(wǎng)絡(luò )系統的安全域，突破單個(gè)交換機的功能局限，多個(gè)交換機之間實(shí)現功能融合，所有交換機端口可統一管控、自由劃分至指定安全域，達到1+1＞2的效果。最終體現為由隔離域用戶(hù)組組合構成的網(wǎng)絡(luò )安全區架構，隔離域用戶(hù)組之間邏輯隔離。

（2）訪(fǎng)問(wèn)控制

根據生產(chǎn)現場(chǎng)業(yè)務(wù)邏輯情況，設置隔離域用戶(hù)組訪(fǎng)問(wèn)控制策略，可深度綁定組內資產(chǎn)信息并固化，拒絕其他未授權的資產(chǎn)接入和服務(wù)請求。

安全域重疊部分的設備能夠跨多個(gè)安全域進(jìn)行數據交互，從數據流上是允許的，相應的也存在跳板式攻擊的可能。工業(yè)安全交換機支持對重疊區域的設備數據流進(jìn)行切片隔離傳輸，每個(gè)隔離域設備數據流具有獨立的邏輯通道。工業(yè)安全交換機提供技術(shù)，指導重疊區域的設備進(jìn)行安全加固與聯(lián)動(dòng)防護。

2.3　防范病毒蔓延和網(wǎng)絡(luò )攻擊技術(shù)

網(wǎng)絡(luò )病毒傳播的一個(gè)重要手段就是通過(guò)掃描網(wǎng)絡(luò )中的地址尋找下一個(gè)感染和攻擊的目標。病毒掃描攻擊過(guò)程如圖2所示。

圖2 病毒掃描攻擊過(guò)程示意圖

目前在火電廠(chǎng)輔控系統網(wǎng)絡(luò )中部署的防火墻等設備大多數采用被動(dòng)防御模式，主要采用預設的通訊協(xié)議、IP隔離、代碼過(guò)濾、包采集分析規則。而這些防護規則都不是原理性的防護規則，能夠被規避。例如上述這種掃描在尋找目標的過(guò)程，不包含惡意代碼，因此不會(huì )被傳統的防護措施如防病毒軟件判定為非法行為。

基于安全隔離域技術(shù)的網(wǎng)絡(luò )中，采用用戶(hù)組劃分最小安全隔離域，依托用戶(hù)組隔離技術(shù)和主機掃描偵聽(tīng)技術(shù)，一旦監測到超出安全域的掃描情況，工業(yè)安全交換機立刻定位該非法事件，并可采取進(jìn)一步的防范措施?；痣姀S(chǎng)輔控系統內的業(yè)務(wù)有一個(gè)共同特性，即建成后基本固定不變，包括網(wǎng)絡(luò )設備資產(chǎn)、數據流向、通訊協(xié)議、業(yè)務(wù)端口，有利于建立最小最優(yōu)的安全隔離域。合理劃分安全隔離域有利于工業(yè)安全交換機更早發(fā)現各類(lèi)未授權行為。

工業(yè)安全交換機通過(guò)實(shí)時(shí)監測數據源，能夠及時(shí)阻斷或告警病毒等的攻擊，病毒無(wú)法通過(guò)改變代碼特征、軟件端口號和掃描特征規避檢測，同時(shí)還能夠在一定程度上阻斷APT攻擊。

借助多重安全隔離域技術(shù)，只允許火電廠(chǎng)輔控系統正常通信的數據包到達相應終端，拒絕其他未授權的請求服務(wù)，從網(wǎng)絡(luò )系統層面阻斷了病毒蔓延和內部惡意攻擊者對網(wǎng)絡(luò )其他區域設備進(jìn)行攻擊的通道。

2.4　其它管理功能

火電廠(chǎng)輔控系統不僅需要進(jìn)行邊界防護，還需要重視內部網(wǎng)絡(luò )管控，才能落實(shí)輔控系統的綜合防護。網(wǎng)絡(luò )安全管理中心能夠和工業(yè)安全交換機聯(lián)動(dòng)，實(shí)現全方位的準入控制，完成對非合規設備自動(dòng)隔離及告警等，提升火電廠(chǎng)輔控系統網(wǎng)絡(luò )預警及恢復能力。網(wǎng)絡(luò )安全管理中心其它管理功能包括：

（1）終端接入控制

接入的終端設備在網(wǎng)絡(luò )端口進(jìn)行限制，只有經(jīng)授權地址的設備允許從端口接入至網(wǎng)絡(luò )，非授權設備接入該端口將被拒絕接入，防止非法設備從該端口進(jìn)入網(wǎng)絡(luò )從而造成危害。

（2）風(fēng)險主動(dòng)防御

全面監控網(wǎng)絡(luò )中每個(gè)端口的數據流向，快速、準確定位網(wǎng)絡(luò )風(fēng)險，風(fēng)險實(shí)時(shí)告警，封鎖可疑IP，關(guān)閉風(fēng)險端口。

（3）全面日志審計

對整個(gè)網(wǎng)絡(luò )中設備運行告警事件（設備電源告警、端口中斷告警、鏈路異常告警、冗余鏈路保護告警等）、設備配置操作記錄、網(wǎng)絡(luò )安全告警事件（異常網(wǎng)絡(luò )病毒掃描動(dòng)作、內部網(wǎng)絡(luò )攻擊掃描動(dòng)作等）、安全事件應急處理操作記錄等事件以及操作記錄進(jìn)行存儲，用于故障診斷和記錄分析。

（4）網(wǎng)絡(luò )拓撲自動(dòng)生成

網(wǎng)絡(luò )安全管理中心自動(dòng)生成網(wǎng)絡(luò )連接拓撲結構，動(dòng)態(tài)刷新鏈路狀態(tài)和網(wǎng)絡(luò )設備狀態(tài)。

2.5　技術(shù)特點(diǎn)及優(yōu)勢

在該技術(shù)不影響原有應用系統（水、煤、灰及其子系統）功能的情況下，通過(guò)將網(wǎng)絡(luò )系統的交換機升級為工業(yè)安全交換機，提高網(wǎng)絡(luò )系統運行維護的直觀(guān)性、可視性，提高生產(chǎn)控制網(wǎng)的安全性，增加生產(chǎn)控制網(wǎng)防范病毒和異常安全事件告警處理的能力。有如下技術(shù)特點(diǎn)：

（1）不改變原有網(wǎng)絡(luò )架構

原有的網(wǎng)絡(luò )架構和線(xiàn)纜布局繼續保持，僅需對交換機進(jìn)行升級。

（2）不影響網(wǎng)絡(luò )帶寬和實(shí)時(shí)性

網(wǎng)絡(luò )安全管理系統通過(guò)工業(yè)安全交換機內置的網(wǎng)絡(luò )管理芯片實(shí)現對網(wǎng)絡(luò )設備的運行狀態(tài)、告警信息的采集及動(dòng)作指令下發(fā)，獨立于工業(yè)安全交換機的交換芯片，對應用數據的轉發(fā)沒(méi)有影響，確保應用數據的實(shí)時(shí)性和網(wǎng)絡(luò )帶寬的充裕性。

（3）直觀(guān)的網(wǎng)絡(luò )管理和運行監視

全圖形化的操作界面，使得網(wǎng)絡(luò )管理能夠直觀(guān)和簡(jiǎn)化，運維管理人員能夠對全網(wǎng)運行狀況一目了然。

（4）安全策略的集中配置和下發(fā)

在安全管理中心對全網(wǎng)的安全策略進(jìn)行集中配置和調整，一鍵下發(fā)至全網(wǎng)的工業(yè)安全交換機中，方便了全網(wǎng)的安全管理和配置過(guò)程。

（5）未知病毒和網(wǎng)絡(luò )風(fēng)險的告警和隔離

根據數據流向判定非法的通訊請求，未知病毒同樣能夠檢測和防范，尤其適用于工業(yè)控制系統這種位于封閉網(wǎng)絡(luò )、病毒庫升級不方便以及必須運行在一些無(wú)法升級安全補丁的老舊系統中的環(huán)境。

（6）安全事件的實(shí)時(shí)告警和處理

所有安全事件實(shí)時(shí)告警，并可選擇進(jìn)行相關(guān)的應急處理，如阻斷訪(fǎng)問(wèn)或者封閉端口。

（7）網(wǎng)絡(luò )和安全事件的記錄及分析

網(wǎng)絡(luò )設備的異常事件以及安全事件計入日志文件，并進(jìn)行關(guān)聯(lián)分析。

工業(yè)安全交換機在火電廠(chǎng)輔控系統內具有明顯的技術(shù)優(yōu)勢。工業(yè)安全交換機提供的不是邊界的單點(diǎn)防護，而是深入到整個(gè)網(wǎng)絡(luò )內全面立體的安全加固，封閉式的多重安全隔離域技術(shù)構成柔性安全區，能夠滿(mǎn)足復雜場(chǎng)景下的應用需求。

3　結語(yǔ)

火電廠(chǎng)輔控系統是火電廠(chǎng)生產(chǎn)過(guò)程中重要的后勤保障系統，也是生產(chǎn)控制區的網(wǎng)絡(luò )安全短板。本文探討的火電廠(chǎng)輔控系統網(wǎng)絡(luò )安全技術(shù)立足于多年輔控系統相關(guān)工作經(jīng)驗，致力于提高火電廠(chǎng)輔控系統的防護能力，滿(mǎn)足國家信息安全等級保護工作的相關(guān)要求，對監控系統多個(gè)層面進(jìn)行信息安全的綜合防護。針對火電廠(chǎng)輔控系統網(wǎng)絡(luò )安全設計的改進(jìn)技術(shù)具有特定的優(yōu)勢，適用于各行業(yè)外圍輔助系統網(wǎng)絡(luò )安全防護需求，具有一定的推廣實(shí)踐價(jià)值。

作者簡(jiǎn)介：

劉　劍（1964-），男，工程師，大專(zhuān)學(xué)歷，現就職于浙江浙能電力股份有限公司臺州發(fā)電廠(chǎng)，主要從事發(fā)電廠(chǎng)熱工自動(dòng)化檢修、技術(shù)管理。

參考文獻：

[1] 范科峰, 高林, 姚相振, 等. 工業(yè)控制系統信息安全指南[M]. 北京: 科學(xué)出版社, 2016 : 32 - 36.

[2] 周慎學(xué), 范淵, 夏克晁, 等. 臺二電廠(chǎng)工控系統信息安全防護體系的建設[J]. 中國電力, 2017, 50 (8) : 53 - 57.

[3] 肖建榮. 工業(yè)控制系統信息安全[M]. 北京: 電子工業(yè)出版社, 2015 : 88 - 90.

[4] 張燕, 張劍. 論我國電力系統及其自動(dòng)化發(fā)展現狀及趨勢[J]. 山東工業(yè)技術(shù), 2016, (5) : 169．

[5] 高小芊, 羅超. 電力監控系統網(wǎng)絡(luò )安全監測裝置功能及實(shí)施[J]. 通訊世界, 2019, (4) : 176 – 177.

[6] 王菊. 發(fā)電廠(chǎng)調度自動(dòng)化系統事次防護探討[J]. 數字技術(shù)與應用, 2012, (9) : 181.

[7] 張瑤瑤, 胡斌, 路天峰, 等. 調度自動(dòng)化系統及數據網(wǎng)絡(luò )的安全防護研究[J]. 工程技術(shù)研究, 2019, (9) : 240 – 241.

[8] 李煒. 先進(jìn)控制技術(shù)在DCS中的應用與研究[D]. 太原: 太原理工大學(xué), 2004.

[9] 蔣存勇. 電力監控系統網(wǎng)絡(luò )安全分析[J]. 網(wǎng)絡(luò )安全和信息化, 2020, (11) : 126 - 128.

[10] 胡朝輝, 王方立. 電力監控系統通信安全技術(shù)研究[J]. 電子技術(shù)應用, 2017, 43 (3) : 21 - 24.

[11] 馬建偉, 萬(wàn)會(huì )江, 王向東. 電力監控系統網(wǎng)絡(luò )安全的現狀與改進(jìn)方法[J]. 信息與電腦(理論版), 2017, (22) : 187 - 188.

[12] 胡倩云. 電力監控系統網(wǎng)絡(luò )安全防護體系建設[J]. 技術(shù)與市場(chǎng), 2020, (04) : 95 - 96.

摘自《自動(dòng)化博覽》2021年4月刊