电厂生产控制系统的网络信息安全

维普资讯 http://www.cqvip.com ２００８年第３期　上海电力　电厂生产控制系统的网络信息安全　翟德双　（淮沪煤电有限公司田集发电厂，安徽　淮南　２３２０９８）　摘要：电力生产控制系统和电力调度数据网的安全性和可靠性已成为一个非常紧迫的问题。文章介绍了电　厂生产控制系统网络信息安全防护工作的必要性，并以田集发电厂为例，阐述了电厂生产控制系统网络信息　安全分区及防护方案和措施，同时总结了电厂生产控制系统网络信息安全防护应注意的若干问题。　关键词：火电厂；生产控制系统；网络信息安全　中图分类号：ＴＰ３９３．０８　文献标识码：Ｂ　ｌ　引言　２合理划分安全分区　随着Ｉｎｔｅｒｎｅｔ技术的发展，电力广域网的应　电力生产控制系统必须与办公自动化系统实　用普及，原来相互独立的电力生产控制系统已　行有效安全隔离，电力调度数据网络须有与公共　经实现互联，形成覆盖全系统的信息网络，调度　信息网及因特网等实行物理隔离，重点强化边界　中心与电厂，电厂内部各系统之间的数据交换　防护，提高内部安全防护能力，保证电厂生产控制　日益频繁，在某种程度上，消除了信息孤岛。与　系统及重要数据的安全。严格按照“安全分区、网　此同时，病毒和黑客也日益猖獗，内部网络安全　络专用、横向隔离、纵向认证”的总体原则要求，以　问题日益突出，对电力系统的安全生产造成了　确保电力二次系统的安全。　威胁。　安全分区是构建电力生产控制系统信息安全　２０００年１０月１３日，四川二滩水电厂控制系　防护体系的结构基础。电厂内部所有网络系统划　统收到异常信号停机，７　Ｓ甩出力８９万ｋｗ，川渝　分为生产控制大区和管理信息大区，电厂生产控　电网几乎瓦解；２００１年１０月１日，银山公司生产　制系统应安放在生产控制大区。生产控制大区又　的故障录波装置出现所谓“时间逻辑炸弹”，该装　分为控制区（又称安全区Ｉ）和非控制区（又称安　置在全国电力系统共有１４０多套在运行，所幸此　全区ＩＩ），电厂应根据各系统的实时性、使用者、主　类装置仅相当于飞机的“黑匣子”，如此类设备用　要功能、设备使用场所、各业务系统问的相互关　在闭环控制系统的环节，则后果不堪设想；２００３　系、广域网通信的方式以及对电力系统的影响，将　年１２月３０日，龙泉、政平、鹅城换流站控制系统　各生产控制系统放置在相应的安全区内，以保证　发现病毒，系外方技术人员在系统调试过程中用　边界清晰，通信安全。　笔记本电脑上网所致ｌ＿】］。　以田集发电厂为例，生产控制系统网络安全　电力生产控制系统和电力调度数据网的安全　分区如表１所示，安全分区示意图如图１所示。　性和可靠性问题已经成为一个非常紧迫的问题，　表１　田集发电厂生产控制系统安全分区表　早已得到国家有关部门的重视，为确保电力监控　序号　控制系统名称　分　区　系统及电力调度数据网络的安全，抵御黑客、病　１　ＤＣＳ控制系统　毒、恶意代码等各种形式的恶意破坏和攻击，特别　２　ＮＣＳ网控系统　控制区（安全Ｉ区）　３　当地功能监视＆发电考核系统　是抵御集团式攻击，防止电力二次系统的崩溃或　４　ＦＦＣ电能量采集系统　瘫痪，以及由此造成的电力系统事故或大面积停　５　继电保护及故障信息管理系统　非控制区（安全Ⅱ区）　电事故，２００２年５月，国家经贸委发布第３０号令　６　ＳＩＳ系统　《电网和电厂计算机监控系统及调度数据网络安　全防护的规定》；２００４年１２月国家电监会下发第　３各类系统之间的隔离防护　５号令《电力二次系统安全防护规定》。　所有生产控制系统的设计方案严格执行国　２９１—　维普资讯 http://www.cqvip.com 上海电力　２００８年第３期　控制Ｉ区　控制ＩＩ区　：Ｉ　　管理信息大区　目毪情思八　——————＿１－ｒ—————————————一　正向隔离　Ｔ　ＭＩＳ系统　ＳＩＳ系统　辅控系统　网夫机　—斗＿　ＮＣＳ系统　正嘲骚离　二　＝　正Ｉ镯离　当地功能及发电考核系统　Ｉ　竺皇璧兰　茎墨竺　Ｉ　硬件防火墙／硬中ＨＰＮ　臣堕堕　画　纵向加密认证／防火墙　纵向加密认证／防火墙　电力调度黼网（　实时子网（Ｉ区）　非实时子网（ＩＩ区）　图１　田集发电厂生产控制系统安全分区示意图　家、行业的有关安全防护的标准、法规、法令、规　据单向传送入ＳＩＳ系统而不会让ＳＩＳ系统将指令　定，建立严密的电力二次系统安全防护体系；在生　送入ＤＣＳ系统，这样保证了数据的单向性和系统　产控制大区与管理信息大区间采取接近于物理隔　安全性。　离强度的隔离装置；在生产控制大区各业务系统　３．２　ＮＣＳ系统　之间采用逻辑隔离，采用具有访问控制功能的网　网络控制系统（ＮＣＳ）为ＵＮＩＸ操作系统，具　络设备、防火墙或者相当功能的设施；生产控制大　有稳定、不易感染计算机病毒的特点。该系统采　区的各业务系统严禁采用ｗｅｂ发布功能和Ｅ—　用经过有关部门认证的国产正向网络安全隔离装　Ｍａｉｌ功能，所有防病毒系统的升级必须采用离线　置（南瑞ＳＹＳＫＥＥＰＥＲ２Ｏ０Ｏ）与ＳＩＳ系统进行单　升级方式；关键系统采用双机热备和冗余链路，保　向通信，将实时数据以报文形式主动传送给ＳＩＳ　证系统的高可靠性；接入电力二次系统的安全工　系统，而不允许ＳＩＳ系统访问ＮＣＳ系统索取数　区和安全Ⅱ区的安全产品选用，必须经过国家安　据，保证了ＮＣＳ系统的安全；另外，ＮＣＳ系统接　全部门或电力有关部门的认证；在所有电力二次　入调度数据网交换机工区再通过路由器接入省调　系统的安全工区和安全Ⅱ区的任何工作站和服务　系统，与其它系统和设备的通讯采用硬接线方式，　器均禁止以各种方式与互联网连接。　符合二次系统安全防护规定。　３．１　ＤＣＳ系统及全厂辅控系统　３．３　当地功能监视与发电考核系统　分散控制系统（ＤＣＳ）及全厂各辅助控制系统　远动当地功能及发电负荷考核子站系统，用于　皆是独立的网络系统，对外只与厂级监控信息系　实现远动当地功能，接收华东网调或者安徽省调主　统（ＳＩＳ）系统通信。ＤＣＳ及全厂各辅助控制系统　站端的发电计划曲线，并配合完成自动电压控制　与ＳＩＳ系统采取如下措施进行单向通信：ＤＣＳ系　（Ａ　Ｃ）功能。与调度中心通过调度数据网交换机工　统提供了ＯＰＣ服务器、ＤＭＺ交换机和内置防火　区，再经路由器与调度主站相互通信；当地功能系　墙的路由器三重隔离方式，防止外部接口的非法　统与ＦＦＣ、ＮＣＳ、　℃等系统或设备的连接采用串　侵入。ＯＰＣ服务器和ＳＩＳ的接口机都连接到　口方式进行通信；通过国产的南瑞ＳＹＳＫＥＥＰ—　ＤＣＳ的ＤＭＺ交换机上，通过ＤＣＳ交换机和内置　ＥＲ２０００正向网络安全隔离装置与ＭＩＳ系统和ＳＩＳ　防火墙的路由器的访问措施控制将ＤＣＳ系统数　系统相连，将数据单向送入ＭＩＳ侧的镜像服务器、　——　２９２——　维普资讯 http://www.cqvip.com

２００８年第３期　上海电力　ＷＥＢ发布服务器和ＳＩＳ系统实时数据库，而不允　许ＭＩＳ和ＳＩＳ系统访问本系统。　４　结语　３．４　ＦＦＣ电能量采集系统　经过合理划分安全分区、实施横向隔离访问　工程设计采用兰吉尔ＦＦＣ电能量采集装置，　措施，使电厂的各控制系统在相对封闭的安全区　该系统与厂内其它系统不存在网络方式连接，只　内各自安全运行，又可以与其它系统进行共享数　通过拨号方式或网络通信方式与调度端电能量计　据，实现了整个电厂的信息的安全摆渡。　量系统连接。　但是，网络信息安全防护工作是“三分技术，　（１）拨号方式：通过ＭｏＤＥＭ接口，由调度　七分管理”，技术措施不可能解决一切问题，据美　主站端向厂站端单向拨号，采集电厂端的电量数　国联邦调查局（ＦＢＩ）统计，７０　以上的网络攻击　据，电厂端只接受调度端电能量计量系统的拨入　行为都来自企业内部，因此更需要加强内部管理，　请求，且使用专用通信协议，不需要采取安全防护　切实做好网络信息安全防护工作，确保电力监控　措施，完全符合电力二次系统安全防护的要求。　系统及电力调度数据网络的安全，从而保证整个　（２）网络通信方式：采用ＴＣＰ／ＩＰ协议，通过　电网的安全。为此，电厂（尤其是新建电厂）从工　电力调度数据网交换机Ⅱ区及路由器的访问措　程设计和基建起，还应做好以下工作：　施，向调度传输电厂端的电量数据。　（１）进行工程设计时严格遵守国家经贸委第　３．５继电保护及故障信息管理系统　３０号令《电网与电厂计算机监控系统及调度数据　本系统的设计不与厂内其它系统有网络通　网络安全防护规定》和国家电监会第５号令《电力　信，通过网关和路由器的访问策略，接入电力调度　二次系统防护规定》；　数据网交换机Ⅱ区端口后，经过路由器与华东网　（２）工程招标和基建期间，要求生产控制系　调及安徽省调的主站系统进行数据通信。　统相关的设备和系统的供应商严格遵守防护规　３．６　ＳｌＳ系统　定，并承诺所提供的系统和设备中不包含任何安　ＳＩＳ系统无生产控制功能，所以在设计时将　全隐患，否则将承担由此引起的连带责任。　其放在控制区Ⅱ区，是一个独立的网络系统，ＳＩＳ　（３）加强员工网络信息安全教育和培训，增强　网络安全防护设计时考虑了两个方面的内容，分　全员网络信息安全意识，让所有相关员工了解、掌　别是下层控制系统层以及ＭＩＳ层：　握并严格执行企业网络安全策略，防止来自内部　（１）控制系统层：ＳＩＳ系统与控制系统同属　的攻击、越权、误用和泄密。　于二次系统安全的控制大区，中间采用网关隔离。　（４）制定完善的网络系统信息安全管理制度，明　ＳＩＳ为每个控制系统划分独立的ＶＬＡＮ，在进行　确各部门各专业的责任，做到分级管理，责任到人。　通信的同时实现不同网段之间的隔离，这样能够　（５）建立信息安全评估制度，采取以自评估为　有效隔离不同网段之间的广播，减少网络负荷。　主、联合评估为辅的方式，将网络信息安全评估纳　不同网段之间采用网关进行隔离的同时在每台接　入电力系统安全评价体系。　口机上安装诺顿防病毒软件，防止意外情况下病　（６）建立健全电力网络信息安全的防护和应　毒入侵。由于ＳＩＳ网以及与ＳＩＳ相连的控制系统　急机制，制定应急预案。制定切实可行的网络系　网络属于电厂内网，网内节点数量少，方便进行管　统信息安全防护应急预案，使发生网络信息安全　理，所以上述网络方案基本能够满足生产网络安　事故时，能做出迅速反应，消除事故影响，防止事　全防护的需要。　故范围的扩大，避免波及电网稳定。　（２）ＭＩＳ层：ＳＩＳ系统与ＭＩＳ系统处在不同　参考文献：　的安全区，中间使用了南瑞的正向物理隔离装置　Ｅｌｉ李毅松．电力二次安全防护Ｅｃ］．网络及信息安全技术研讨　ＳＹＳＫＥＥＰＥＲ２０００进行正向隔离，该产品经过了　会交流材料．北京：２００５．　国家公安部鉴定，是电力二次系统防护相关文件　收稿臼期：２００８—０６一ｌＯ　中推荐的品牌，保证了ＳＩＳ的系统的数据单向送　作者简介：翟德双（１９６７一），男，安徽无为人，高级工程师，　入ＭＩＳ系统而ＭＩＳ系统的数据不送入ＳＩＳ系统　从事火电厂生产技术管理工作。　的单向数据传输，保证了ＳＩＳ系统的安全性。　（责任编辑：杜建军）　２９３——