摘要：本文介紹了電廠信息安全的三道重要防線，對電廠主要自動化系統(tǒng)信息安全的防御重點進行了討論。針對控制系統(tǒng)，主要論述了DCS、DEH、BPS、ETS和輔助車間控制系統(tǒng)的信息安全防御重點。針對信息系統(tǒng)，主要論述了SIS和MIS的信息安全防御重點。

關(guān)鍵詞：電廠；信息安全；防御

中國能源建設集團有限公司工程研究院副院長 許繼剛

許繼剛(1964- )，男，山東泰安人，教授級高工，博士，新世紀百千萬人才工程國家級人選，國務院政府特殊津貼專家，現(xiàn)任中國能源建設集團有限公司工程研究院副院長，兼任電力行業(yè)熱工自動化與信息標準化委員會副主任、電力行業(yè)熱工自動化技術(shù)委員會副主任、中國自動化學會發(fā)電自動化專委會副主任、中國電機工程學會熱工自動化專委會副主任、中國儀器儀表學會產(chǎn)品信息委員會副主任、中國儀器儀表學會自控工程設計委員會主任。國家標準《大中型火力發(fā)電廠設計規(guī)范》編制組副組長，行業(yè)標準《火力發(fā)電廠信息系統(tǒng)設計技術(shù)規(guī)定》編制組組長。

1　引言

隨著國家基礎建設的快速發(fā)展，電力行業(yè)迎來了前所未有的建設高潮。截至到2016年6月底，全國發(fā)電總裝機容量超過15.2億千瓦，其中火電裝機容量10.2億千瓦，煤電高達9.2億千瓦。大容量高參數(shù)發(fā)電機組在電網(wǎng)中的比例越來越高，百萬千瓦級機組的數(shù)量牢牢穩(wěn)居世界首位，大型機組在電網(wǎng)中的安全穩(wěn)定性直接關(guān)乎到供電的可靠性，大型電廠的信息安全也越發(fā)重要。處理好電廠控制系統(tǒng)和信息系統(tǒng)的安全，已經(jīng)受到相關(guān)各方的關(guān)注。信息安全，已不僅僅是每個電廠需要重視的問題，還關(guān)系到電廠所在地區(qū)和國家的安全。

2　電廠信息安全的三道重要防線

目前，電廠自動化系統(tǒng)五花八門，但總體上可以分為兩個層次：第一個層次是控制系統(tǒng)，所有直接參與生產(chǎn)過程測量與控制的自動化系統(tǒng)均劃歸為該層次，包括機組分散控制系統(tǒng)（DCS）、汽機數(shù)字電液控制系統(tǒng)（DEH）、輔助車間控制系統(tǒng)等；第二個層次是信息系統(tǒng)，將電廠與信息有關(guān)的，不直接參與過程控制的自動化系統(tǒng)均歸到信息系統(tǒng)，包括管理信息系統(tǒng)（MIS）、廠級監(jiān)控信息系統(tǒng)（SIS）、視頻監(jiān)視系統(tǒng)、視頻會議系統(tǒng)、門禁管理系統(tǒng)等。

如果按照兩個大區(qū)進行安全分區(qū)的話，第一個層次的所有系統(tǒng)都可以化歸為生產(chǎn)控制大區(qū)，第二個層次的所有系統(tǒng)可以化歸為管理信息大區(qū)。如圖1所示。

圖1 電廠自動化系統(tǒng)分層示意圖

我國將計算機信息系統(tǒng)的安全等級化分為五個等級：用戶自主保護級、系統(tǒng)審計保護級、安全標記保護級、結(jié)構(gòu)化保護級、訪問驗證保護級，安全保護能力從第一級到第五級逐級增強。如果按此等級劃分的話，電廠第一個層次的所有系統(tǒng)都是第五級，也就是訪問驗證保護級。而電廠第二個層次系統(tǒng)中，SIS、視頻監(jiān)視系統(tǒng)和門禁管理系統(tǒng)與生產(chǎn)運行的關(guān)系較為密切，可以化歸為第四級，MIS、視頻會議系統(tǒng)與生產(chǎn)運行不直接發(fā)生關(guān)系，則可以化歸為第三級。

電廠信息安全的防范重點是設置好三道重要防線。第一道安全防線：電廠信息系統(tǒng)與外部系統(tǒng)的安全防線，即管理信息大區(qū)內(nèi)系統(tǒng)與外部聯(lián)系的防線。第二道安全防線：電廠控制系統(tǒng)與產(chǎn)品供貨商的安全防線，即生產(chǎn)控制大區(qū)內(nèi)系統(tǒng)與各自供貨商的防線。第三道安全防線：電廠控制系統(tǒng)與電廠信息系統(tǒng)的安全防線，即生產(chǎn)控制大區(qū)內(nèi)系統(tǒng)與管理信息大區(qū)內(nèi)系統(tǒng)的防線。

3　關(guān)鍵控制系統(tǒng)的信息安全防御

前面介紹了電廠信息安全的三道重要防線，本文不對常規(guī)信息安全防護措施進行討論，比如系統(tǒng)容錯、主機冗余、雙網(wǎng)配置以及防火墻、安全網(wǎng)關(guān)和防病毒軟件等。只針對電廠關(guān)鍵控制系統(tǒng)和重要信息系統(tǒng)設計時的信息安全防御重點和容易忽視的問題進行討論。本節(jié)將討論關(guān)鍵控制系統(tǒng)的安全防御重點，下面將討論主要信息系統(tǒng)的安全防御重點。

3.1　DCS的安全防御重點

電廠機組普遍采用DCS。DCS是電廠覆蓋工藝系統(tǒng)最多，控制面最廣的控制系統(tǒng)。DCS直接參與生產(chǎn)過程控制，是電廠安全運行的基本保障。對于DCS來說，信息安全的防御點主要在三個方面，一是DCS與供貨廠商之間的安全防御，二是DCS與其他系統(tǒng)之間的安全防御，三是DCS人機交互的安全防御。

3.1.1　DCS與供貨廠商之間的安全防御

首先討論DCS與供貨廠商之間的安全防御。隨著計算機技術(shù)、網(wǎng)絡技術(shù)、通訊技術(shù)的迅猛發(fā)展，DCS廠商可以輕而易舉地獲取其供應的DCS的所有數(shù)據(jù)，也可以采取一定的手段對其所供的DCS進行遠程控制，這顯然存在安全隱患。尤其是目前一些百萬千瓦機組的DCS多采用國外進口產(chǎn)品，其中隱含的安全問題不容忽視。該安全不僅涉及電廠本身，一旦遇到戰(zhàn)爭等國際社會動蕩等情況，還會危及地區(qū)和國家的安全。妥善處理并杜絕電廠DCS與產(chǎn)品供貨商之間的信息安全隱患，是當前容易忽視的問題，需要提醒電廠建設方和設計方高度重視。

3.1.2　DCS與其他系統(tǒng)之間的安全防御

其次討論DCS與其他系統(tǒng)之間的安全防御。DCS是機組的主要控制系統(tǒng)，但并不是覆蓋全部機組工藝的控制系統(tǒng)。比如DEH、旁路控制系統(tǒng)（BPS）、汽機危機遮斷系統(tǒng)（ETS）等。如果這些控制系統(tǒng)未能納入DCS，則與DCS之間就有數(shù)據(jù)接口，但由于這些系統(tǒng)和DCS一樣處于同一個安全大區(qū)，來往數(shù)據(jù)已經(jīng)嚴格過濾，因此無需特別防御。

需要特別防御的是DCS與SIS之間的信息傳輸。DCS與SIS之間有大量的數(shù)據(jù)交換信息。目前的設計方案是，SIS與DCS之間應配置數(shù)據(jù)單向傳輸?shù)膶Ｓ酶綦x裝置，嚴禁SIS向DCS發(fā)送除采集數(shù)據(jù)所需通訊協(xié)議以外的任何信息。DCS的數(shù)據(jù)可以上傳至SIS，但SIS的數(shù)據(jù)不能直接下傳到DCS。

對于SIS需要完成負荷分配控制功能的電廠而言，必須滿足一定的前提條件并采取特別的設計方案。前提條件是：電網(wǎng)調(diào)度必須是調(diào)廠而不是直接調(diào)機組。設計方案是：此時的負荷控制命令應當由值長判斷決定后才能發(fā)送到DCS，而且必須由值班操作員確認后才能執(zhí)行。負荷控制命令宜通過硬接線方式下達。

當然，目前有的項目開始設置廠級DCS或其他廠級控制系統(tǒng)。如果設置了廠級控制系統(tǒng)，則機組DCS就不會直接與廠級信息系統(tǒng)發(fā)生數(shù)據(jù)聯(lián)系，需要設置專用隔離裝置的防御點就上移到了廠級控制系統(tǒng)。

3.1.3　DCS人機交互的安全防御

DCS人機交互設備主要有操作員站和工程師站，在個別沒有設置SIS的項目中還設置了值長站。

值長站可以通過顯示器進行監(jiān)視，但不能操作。操作員站可以通過顯示器監(jiān)視并按設定的程序進行操作，但不能對系統(tǒng)進行任意修改和組態(tài)。值長站和操作員站沒有對外的數(shù)據(jù)接口，不需要特別防御。

工程師站是對DCS進行維護并可以修改組態(tài)的裝置，也是外部入侵DCS的可能關(guān)口。對于工程師站來說，防御的主要措施，一方面是制定好電廠的管理機制，另外就是要設計好系統(tǒng)身份識別、訪問控制機制和密碼安全機制等。

綜上所述，DCS的安全防御重點如圖2所示。

圖2 DCS安全防御重點示意圖

3.2　DEH的安全防御重點

DEH是電廠機組控制系統(tǒng)中和DCS一樣重要的系統(tǒng)，而且在大多數(shù)項目中，DEH已經(jīng)和DCS融為一體。對于DEH已經(jīng)納入DCS的系統(tǒng)，其安全防御由DCS統(tǒng)籌，無須特別設計。

對于DEH獨立設置的系統(tǒng)，其安全防御重點和DCS一樣，也分三個方面：一是DEH與供貨廠商之間的安全防御，二是DEH與其他系統(tǒng)之間的安全防御，三是DEH人機交互的安全防御。和DCS有所區(qū)別的是，DEH不會接受SIS的任何指令，SIS的負荷分配控制指令通過DCS對DEH進行控制。

3.3　其他機組控制系統(tǒng)的安全防御重點

除了DCS和DEH外，電廠機組還有其他一些主要的控制系統(tǒng)，比如旁路控制系統(tǒng)（BPS）、汽機危機遮斷系統(tǒng)（ETS）和鍋爐爐膛安全監(jiān)控系統(tǒng)（FSSS）。

首先討論BPS。目前絕大多數(shù)BPS已經(jīng)納入DCS，對于已經(jīng)納入DCS的系統(tǒng)，不需要特別考慮安全防御措施。對于少數(shù)獨立設置的BPS來說，需重點考慮的問題只有一個，就是切斷BPS與供貨商之間的信息聯(lián)絡。和BPS發(fā)生信號聯(lián)系的都是DCS、DEH等控制系統(tǒng)，BPS不直接與SIS等信息系統(tǒng)發(fā)生聯(lián)系，所以只需要設置常規(guī)的邏輯隔離，無須采取特別防御。由于BPS不設置獨立的操作員站、工程師站等人機接口設備，因此也不存在人機交互的安全防御問題。

ETS和FSSS是電廠核心保護系統(tǒng)。FSSS目前基本上都納入DCS，由DCS統(tǒng)一進行防護。ETS除與DCS和DEH有信號聯(lián)系外，基本不與外界發(fā)生信號聯(lián)系，需要防護的主要是防止ETS與供貨商之間的信息聯(lián)絡，像所有其他控制系統(tǒng)一樣，切斷有可能的遠程控制，防止電廠被攻陷。

3.4　輔助車間控制系統(tǒng)的安全防御重點

電廠至少有十幾個輔助車間，早期的輔助車間控制系統(tǒng)是各自獨立的，隨著自動化技術(shù)、網(wǎng)絡技術(shù)、通訊技術(shù)的快速發(fā)展，輔助車間控制系統(tǒng)發(fā)展迅速，集中控制度越來越高，目前正在設計和運行的發(fā)電廠，集中度較低的基本上只有三個集中控制網(wǎng)絡，即煤、灰、水集中控制網(wǎng)絡。集中度高的，全廠輔助車間統(tǒng)一為一個輔助車間集中控制網(wǎng)絡。

下面以全廠設置一個輔助車間集中控制網(wǎng)絡為例進行討論。雖然輔助車間控制系統(tǒng)沒有前面討論的機組控制系統(tǒng)那么重要，但是仍然處在第一個層次，即生產(chǎn)控制大區(qū)。輔助車間集中控制網(wǎng)絡的安全防御重點和DCS一樣，也分三個方面：一是輔助車間集中控制網(wǎng)絡與供貨廠商之間的安全防御，二是輔助車間集中控制網(wǎng)絡與其他系統(tǒng)之間的安全防御，三是輔助車間集中控制網(wǎng)絡人機交互的安全防御。

和DCS有所區(qū)別的是，輔助車間集中控制網(wǎng)絡不會接受SIS的任何指令，輔助車間的運行根據(jù)機組的運行需要確定。

4　主要信息系統(tǒng)的信息安全防御

4.1　SIS的安全防御重點

SIS是電廠的運行數(shù)據(jù)中心，處于電廠所有自動化系統(tǒng)的中心位置，它主要的部件是實時/歷史數(shù)據(jù)庫，實時/歷史數(shù)據(jù)庫需要采集電廠絕大多數(shù)自動化系統(tǒng)的主要數(shù)據(jù)，又將部分數(shù)據(jù)傳給MIS和其他管理系統(tǒng)。

4.1.1　SIS與其他系統(tǒng)之間的安全防御

SIS防御的重點是，必須切斷所有從實時/歷史數(shù)據(jù)庫讀取數(shù)據(jù)的系統(tǒng)對SIS的入侵，這些系統(tǒng)包括MIS、上級主管單位的生產(chǎn)管理系統(tǒng)、在線仿真系統(tǒng)等。在實時/歷史數(shù)據(jù)庫與所有讀取數(shù)據(jù)的系統(tǒng)之間應配置數(shù)據(jù)單向傳輸?shù)膶Ｓ酶綦x裝置，它們可以從實時/歷史數(shù)據(jù)庫讀取數(shù)據(jù)，但絕不允許反向輸入數(shù)據(jù)。

4.1.2　SIS人機交互的安全防御

SIS的人機交互設備和DCS不太一樣，SIS有功能站、值長站、工程師站和監(jiān)視終端設備等。

功能站可以按照功能分為負荷分配調(diào)度站、計算與性能分析站、網(wǎng)絡管理維護站、應用軟件管理維護站等，這些功能站只要有人機交互，如計算與性能分析站，就要注意防御，一方面是制定好電廠的管理機制，另外還要設計好系統(tǒng)身份識別、訪問控制機制和密碼安全機制等，防止一般人員擅自進入并改變程序。

值長站可以通過顯示器進行監(jiān)視，但不能操作。監(jiān)視終端設備同樣也只能通過顯示器進行監(jiān)視而不能操作。值長站和監(jiān)視終端設備沒有對外的數(shù)據(jù)接口，不需要特別防御。

工程師站是對SIS進行維護并可以修改組態(tài)的裝置，也是外部入侵SIS的可能關(guān)口。對于工程師站來說，需要采取和功能站一樣的防御措施。

4.2　MIS的安全防御重點

相對于SIS而言，MIS的安全等級略低，可以采取和其他工業(yè)企業(yè)相同的信息安全防御措施。MIS對外的聯(lián)系主要有：與上級主管單位進行信息交換，與地區(qū)政府部門進行環(huán)保數(shù)據(jù)對接，與公共服務機構(gòu)進行市場運營等數(shù)據(jù)交流，與設計單位、建設單位、調(diào)試單位、監(jiān)理單位等進行建設過程中的數(shù)據(jù)移交，與國際互聯(lián)網(wǎng)等公共網(wǎng)絡進行接口等。只要這些聯(lián)系的方式是通過電子介質(zhì)傳輸，就會存在信息安全的威脅。建設好電廠信息系統(tǒng)與所有外部系統(tǒng)的信息安全屏障，是電廠設計和運行時首當其沖需要考慮的問題。

5　結(jié)語

本文針對電廠關(guān)鍵控制系統(tǒng)和主要信息系統(tǒng)的信息安全防御問題進行了討論。針對控制系統(tǒng)，主要討論了DCS、DEH、BPS、ETS和輔助車間控制系統(tǒng)的信息安全重點防御。針對信息系統(tǒng)，主要討論了SIS和MIS的信息安全重點防御。隨著數(shù)字化電廠的推進及智能化電廠的建設，電廠信息安全問題必將越來越得到各方重視。

摘自《自動化博覽》2017年3月刊