文献标识码:B文章编号:1003-0492 (2021) 04-090-04中图分类号:TP277
The Investigation o f Information Protection of the Power Plant's Auxiliary Control System ★刘剑(浙江浙能电力股份有限公司台州发电厂,浙江台州318000)
摘要:本文基于火电厂辅控系统的安全运行要求,对火电厂辅控系统网 络安全防护技术进行研究,阐述了火电厂辅控系统现阶段及未来维护过 程中存在的网络安全问题,分析了网络安全防护的基本要求,针对火电 厂辅控系统网络安全防护技术进行探讨,提出一种改进技术,为辅控系 统网络安全防护提供技术参考。
关键词:火电厂;辅控系统;网络安全;防护技术
Abstract:This report investigates th e inform ation protection tech n o lo gy o f the p o w er plan t's auxiliary control system, b ased on th e safe operation requirem ents o f p o w er plant's auxiliary control system. Next, it illustrates th e existing inform ation security problem s occurred during m aintenance o f th e p o w er plan t's auxiliary control system. This report also analyzes the basic requirem ents o f inform ation security, and d iscu sses th e information p ro te ctio n te c h n o lo g y o f
th e p o w e r p la n t's a u x ilia ry c o n tro l system, pu t fo rw a rd im p ro v e d te c h n o lo g y, w h ich p r o v id e s re fe re n ce s for th e inform ation protection o f auxiliary control system.
K ey words:P o w er plant; Auxiliary con trol system; Inform ation security;
Protection te c h n o lo g y
火电厂的监控系统主要用于监视和控制生产过
程,包括发电厂的主控制系统、外围辅助控制系统、电
气二次系统等控制区实时系统,以及厂级监控信息系统
等非控制区监控系统,其安全问题一直受到国家和公众
的重点关注|41。目前电力行业主要依据《电力监控系统
安全防护规定》(发改委14号令)及能源局《电力监控
系统安全防护总体方案》(36号文)及相关配套安全防
护方案,按照“安全分区、网络专用、横向隔离151、纵
向认证、综合防护”的总体原则,强化边界防护,同时
加强内部安全措施和安全管理制度,提高系统整体安全
防护能力。
本文主要对火电厂监控系统中的外围辅助控制系
统(以下简称:火电厂辅控系统)网络安全防护技术逬
行探讨。1火电厂辅控系统网络安全现状
火电厂辅控系统包括全厂水、煤、灰三大部分及
循环水、空压机房、脱硫脱硝等其它辅助控制系统。其
中水主要包括化学水处理、凝结水精处理、化学废水处
理、净水站、汽水取样、污水处理等,煤主要包括输煤
系统,灰主要包括除灰除渣系统。
火电厂辅控系统的特性决定了当前网络安全不容
乐观的现状。
1.1辅控系统结构复杂
火电厂辅控系统结构复杂原因可以被归为物理位
置分散、网络节点多和平台软件不统一这三类。
(1)物理位置分散主要体现在PLC控制器、交换 机、工控机位置分散
•火电厂辅控系统内各子系统分散于生产区各个角
落,子系统PLC控制器一般随工艺设备就近安装,并且
部分子系统就地部署有操作员站/工程师站,例如凝结
水精处理系统普遍就地部署操作员站用于树脂再生等关
键环节的监控;
•火电厂辅控系统一般根据工艺功能特点设立相对
集中的监控室,如化学集控室、除灰集控室、输煤集
控室,不同火电厂有所差异,部分系统单独设置有集控
室,例如远程泵房集控室。
(2)网络节点多
•辅控系统建成后随着新机组扩建、工艺系统改造
升级、环保需求等原因,子系统数量不断增加,网络节
点数同步递增;
•火电厂辅控系统一体化概念的提出及落地,使辅
控系统各子系统网络通过交换机逐步连通,用于集中监
控的工控机相继部署,火电厂辅控系统内的网络设备数
量逐步增多;
•为了保证系统可持续性的安全运行,火电厂辅控 系统网络设备和网络介质一般采用双网冗余配置。
(3)平台软件不统一
•一方面火电厂辅控系统内各子系统的建设时间不 同,另一方面操作系统升级换代速度快,导致工控机使 用的操作系统版本不统一;
•火电厂辅控系统内上位机监控软件不统一,辅控 系统部分子系统的上位机软件随工艺设备整体交付、部 分子系统由PLC控制改造成DCS控制等各类原因造成上 位机监控软件品牌不同或者版本号不同。
辅控系统结构的复杂程度决定了开展网络安全防 护工作的难度。火电厂辅控系统由不同部门运行和管 理,很难对控制网络逬行有效管控,更难保障各类终端 的安全。
1.2网络安全防护成本高
同处于火电厂安全I区内的主控系统相比,辅控系 统的安全域边界庞大、结构复杂。若对辅控系统的安全 域进行细分,如按照水、煤、灰三大部分划分为三个子 安全区域。虽一定程度上可以解决大部
分设备安全域划 分的问题,但实际操作时仍然有部分设备同时存在于多 个子安全区域内,如主机集控室内的某台操作员站需要 监控全厂辅控系统、辅网某台接口机需要同时读取水和 灰系统数据等。
出现上述情况则需要对现有辅控系统进行改造,增加网络安全设备如防火墙或者相当功能的设备进行逻 辑隔离,这都额外增加设备成本及管理成本。辅控系统 网络安全防护建设成本将是主控系统的几倍。
2辅控系统网络安全防护技术探讨
火电厂辅控系统的复杂结构特性使得按照常规方 案对其进行安全防护加固的效果不佳或成本高昂,是否 有一种适用于火电厂辅控系统这类结构复杂的网络安全 防护技术?
2.1辅控系统网络安全基本要求
针对火电厂辅控系统,根据所在安全区域的安全 防护要求,对用于监视和控制生产及供应过程的、基于 计算机及网络技术的业务系统及智能设备,以及作为基 础支撑的通信网络等方面进行安全防护,以消除风险或 将风险控制在可接受的范围。
为了保证火电厂辅控系统网络安全,应该实行国家网络安全等级保护制度,使其信息安全防护满足信息 安全等级保护的相关要求。
同时,火电厂辅控系统根据不同的功能特性,应 划分为不同的安全区域,安全区域之间应当采用具有访 问控制功能的网络设备、防火墙或者相当功能的设施,实现逻辑隔离。结合国家信息安全等级保护工作的相关 要求,从上位机、网络设备、恶意代码防范、应用安全 控制、审计等多个层面进行信息安全的综合防护。
2.2交换机安全隔离域技术
在火电厂辅控系统网络中,整个辅控系统内网是 一个大的通信作用域,辅控系统内网中终端设备可以自 由通讯,其中一台终端设备感染病毒,便可能很快在辅 控系统内网蔓延,感染其它终端设备。通常采用交换机 划分VLAN或者部署防火墙进行网络区域的逻辑隔离,但在火电厂辅控系统使用场景下均存在不足之处。特提 出一种工业安全交换机,本身作为辅控系统的重要组成 部分,具备内生的多重安全隔离域技术。该技术主要由 网络安全管理中心和工业安全交换机两部分构成实现,网络安全管理中心管理所有工业安全交换机。
具体的实现方式是火电厂辅控系统内,根据各终 端之间的数据流制定合理的应用隔离域,在网络安全管 理中心创建隔离域用户组、定义名称、定义用户组的端 口速率/广播抑制/组播抑制等功能、划归工业安全交换 机端口至各个隔离域、下发配置,工业安全交换机每个 端口既可归属某一个组,也可归属多个组。
完成配置后,在内网形成多个用户组,组内端口 连接的终端之间可以相互通讯,不同组之间终端不能相 互通讯;组与组可以是相互独立的,也可以有交集。在 内网形成多重虚拟隔离的网络结构,并且不会改变辅控 系统网络的物理结构。
多重安全隔离域的划分示意图如图1所示。
「•S I S
m
承«衣o u、tt 灣••
图l 发电厂辅控系统多重安全隔离域划分示意图
多重安全隔离域技术是基于工业安全交换机以下核 心功能来实现的。
(1)柔性安全区
采用柔性安全区技术,用户可以灵活划分复杂网络 系统的安全域,突破单个交换机的功能局限,多个交换 机之间实现功能融合,所有交换机端口可统一管控、自由划分至指定安全域,达到1+1>2的效果。最终体现 为由隔离域用户组组合构成的网络安全区架构,隔离域 用户组之间逻辑隔离。
(2)访问控制
根据生产现场业务逻辑情况,设置隔离域用户组访 问控制策略,可深度绑定组内资产信息并固化,拒绝其 他未授权的资产接入和服务请求。
安全域重叠部分的设备能够跨多个安全域进行数据 交互,从数据流上是允许的,相应的也存在跳板式攻击 的可能。工业安全交换机支持对重叠区域的设备数据流 进行切片隔离传输,每个隔离域设备数据流具有独立的 逻辑通道。工业安全交换机提供技术,指导重叠区域的 设备进行安全加固与联动防护。
2.3防范病毒蔓延和网络攻击技术
网络病毒传播的一个重要手段就是通过扫描网络中 的地址寻下一个感染和攻击的目标。病毒扫描攻击过 程如图2所示。
图2病毒扫描攻击过程示意图目前在火电厂辅控系统网络中部署的防火墙等设备 大多数采用被动防御模式,主要采用预设的通讯协议、IP隔离、代码过滤、包采集分析规则。而这些防护规则 都不是原理性的防护规则,能够被规避。例如上述这种 扫描在寻目标的过程,不包含恶意代码,因此不会被 传统的防护措施如防病毒软件判定为非法行为。
基于安全隔离域技术的网络中,采用用户组划分最 小安全隔离域,依托用户组隔离技术和主机扫描侦听技 术,一旦监测到超出安全域的扫描情况,工业安全交换 机立刻定位该非法事件,并可采取逬一步的防范措施。
火电厂辅控系统内的业务有一个共同特性,即建 成后基本固定不变,包括网络设备资产、数据流向、通讯协议、业务端口,有利于建立最小最优的安全隔离 域。合理划分安全隔离域有利于工业安全交换机更早发 现各类未授权行为。
工业安全交换机通过实时监测数据源,能够及时 阻断或告警病毒等的攻击,病毒无法通过改变代码特 征、软件端口号和扫描特征规避检测,同时还能够在一 定程度上阻断APT攻击。
借助多重安全隔离域技术,只允许火电厂辅控系 统正常通信的数据包到达相应终端,拒绝其他未授权的 请求服务,从网络系统层面阻断了病毒蔓延和内部恶意 攻击者对网络其他区域设备进行攻击的通道。
2.4其它管理功能
火电厂辅控系统不仅需要进行边界防护,还需要 重视内部网络管控,才能落实辅控系统的综合防护。
网络安全管理中心能够和工业安全交换机联动,实现全方位的准入控制,完成对非合规设备自动隔离
及 告警等,提升火电厂辅控系统网络预警及恢复能力。网络安全管理中心其它管理功能包括:
(1)终端接入控制
接入的终端设备在网络端口进行限制,只有经授 权地址的设备允许从端口接入至网络,非授权设备接入 该端口将被拒绝接入,防止非法设备从该端口进入网络 从而造成危害。
(2)风险主动防御
全面监控网络中每个端口的数据流向,快速、准 确定位网络风险,风险实时告警,封锁可疑IP,关闭风 险端口。
(3)全面日志审计
对整个网络中设备运行告警事件(设备电源告警、端口中断告警、链路异常告警、冗余链路保护告警 等)、设备配置操作记录、网络安全告警事件(异常网 络病毒扫描动作、内部网络攻击扫描动作等)、安全事 件应急处理操作记录等事件以及操作记录进行存储,用 于故障诊断和记录分析。
(4)网络拓扑自动生成
网络安全管理中心自动生成网络连接拓扑结构,动态刷新链路状态和网络设备状态。
2.5技术特点及优势
在该技术不影响原有应用系统(
水、煤、灰及其子
系统)功能的情况下,通过将网络系统的交换机升级为工 业安全交换机,提高网络系统运行维护的直观性、可视 性,提高生产控制网的安全性,增加生产控制网防范病毒 和异常安全事件告警处理的能力。有如下技术特点:
(1)不改变原有网络架构
原有的网络架构和线缆布局继续保持,仅需对交 换机进行升级。
(2)不影响网络带宽和实时性
网络安全管理系统通过工业安全交换机内置的网 络管理芯片实现对网络设备的运行状态、告警信息的采 集及动作指令下发,独立于工业安全交换机的交换芯 片,对应用数据的转发没有影响,确保应用数据的实时 性和网络带宽的充裕性。
(3)直观的网络管理和运行监视
全图形化的操作界面,使得网络管理能够直观和 简化,运维管理人员能够对全网运行状况一目了然。
(4)安全策略的集中配置和下发
在安全管理中心对全网的安全策略进行集中配置 和调整,一键下发至全网的工业安全交换机中,方便了 全网的安全管理和配置过程。
(5)未知病毒和网络风险的告警和隔离
根据数据流向判定非法的通讯请求,未知病毒同样能够检测和防范,尤其适用于工业控制系统这种位于 封闭网络、病毒库升级不方便以及必须运行在一些无法 升级安全补丁的老旧系统中的环境。
(6)安全事件的实时告警和处理
所有安全事件实时告警,并可选择进行相关的应急处理,如阻断访问或者封闭端口。
(7)网络和安全事件的记录及分析
网络设备的异常事件以及安全事件计入日志文件,并进行关联分析。
工业安全交换机在火电厂辅控系统内具有明显的技术优势。工业安全交换机提供的不是边界的单点防护,而是深入到整个网络内全面立体的安全加固,封闭 式的多重安全隔离域技术构成柔性安全区,能够满足复 杂场景下的应用需求。
3结语
火电厂辅控系统是火电厂生产过程中重要的后勤保障系统,也是生产控制区的网络安全短板。本文探讨 的火电厂辅控系统网络安全技术立足于多年辅控系统相 关工作经验,致力于提高火电厂辅控系统的防护能力,满足国家信息安全等级保护工作的相关要求,对监控系 统多个层面进行信息安全的综合防护。针对火电厂辅控 系统网络安全设计的改进技术具有特定的优势,适用于 各行业外围辅助系统网络安全防护需求,具有一定的推 广实践价值。KB
作者简介:
刘剑(1964-),男,工程师,大专学历,现就职于 浙江浙能电力股份有限公司台州发电厂,主要从事发 电厂热工自动化检修、技术管理。
参考文献:
[1] 范科峰,高林,姚相振,等.工业控制系统信息安全指南[M].北京:科学出版社,2016 :32 -36.
[2] 周慎学,范渊,夏克晃,等.台二电厂工控系统信息安全防护体系的建设[J]•中国电力,2017,50 (8):53 -57.
[3] 肖建荣.工业控制系统信息安全[M].北京:电子工业出版社,2015 :88 -90.
[4] 张燕,张剑.论我国电力系统及其自动化发展现状及趋势[J].山东工业技术,2016, (5): 169.
[5] 高小芊,罗超.电力监控系统网络安全监测装置功能及实施[J].通讯世界,2019,⑷:176 - 177.
[6] 王菊.发电厂调度自动化系统事次防护探讨[J].数字技术与应用,2012, (9):181.
[7] 张瑶瑶,胡斌,路天峰,等.调度自动化系统及数据网络的安全防护研究[J].工程技术研究,2019, (9):240 - 241.
[8] 李炜.先进控制技术在DCS中的应用与研究[D].太原:太原理工大学,2004.
[9] 蒋存勇.电力监控系统网络安全分析[J].网络安全和信息化,2020,(11):126 -128.
[10] 胡朝辉,王方立.电力监控系统通信安全技术研究[」].电子技术应用,2017,43 (3):21 - 24.
[11] 马建伟,万会江,王向东.电力监控系统网络安全的现状与改进方法[J].信息与电脑(理论版),2017, (22):187 -188.
[12] 胡倩云.电力监控系统网络安全防护体系建设[J].技术与市场,2020, (04):95 -96.
