電廠信息安全的防御重點

★中國能源建設集團有限公司工程研究院 許繼剛

電廠信息安全的防御重點

★中國能源建設集團有限公司工程研究院 許繼剛

中國能源建設集團有限公司工程研究院副院長許繼剛

本文介紹了電廠信息安全的三道重要防線，對電廠主要自動化系統信息安全的防御重點進行了討論。針對控制系統，主要論述了DCS、DEH、BPS、ETS和輔助車間控制系統的信息安全防御重點。針對信息系統，主要論述了SIS和MIS的信息安全防御重點。

電廠；信息安全；防御

1 引言

隨著國家基礎建設的快速發展，電力行業迎來了前所未有的建設高潮。截至到2016年6月底，全國發電總裝機容量超過15.2億千瓦，其中火電裝機容量10.2億千瓦，煤電高達9.2億千瓦。大容量高參數發電機組在電網中的比例越來越高，百萬千瓦級機組的數量牢牢穩居世界首位，大型機組在電網中的安全穩定性直接關乎到許繼剛(1964- )，男，山東泰安人，教授級高工，博士，新世紀百千萬人才工程國家級人選，國務院政府特殊津貼專家，現任中國能源建設集團有限公司工程研究院副院長，兼任電力行業熱工自動化與信息標準化委員會副主任、電力行業熱工自動化技術委員會副主任、中國自動化學會發電自動化專委會副主任、中國電機工程學會熱工自動化專委會副主任、中國儀器儀表學會產品信息委員會副主任、中國儀器儀表學會自控工程設計委員會主任。國家標準《大中型火力發電廠設計規范》編制組副組長，行業標準《火力發電廠信息系統設計技術規定》編制組組長。供電的可靠性，大型電廠的信息安全也越發重要。處理好電廠控制系統和信息系統的安全，已經受到相關各方的關注。信息安全，已不僅僅是每個電廠需要重視的問題，還關系到電廠所在地區和國家的安全。

2 電廠信息安全的三道重要防線

目前，電廠自動化系統五花八門，但總體上可以分為兩個層次：第一個層次是控制系統，所有直接參與生產過程測量與控制的自動化系統均劃歸為該層次，包括機組分散控制系統（DCS）、汽機數字電液控制系統（DEH）、輔助車間控制系統等；第二個層次是信息系統，將電廠與信息有關的，不直接參與過程控制的自動化系統均歸到信息系統，包括管理信息系統（MIS）、廠級監控信息系統（SIS）、視頻監視系統、視頻會議系統、門禁管理系統等。

如果按照兩個大區進行安全分區的話，第一個層次的所有系統都可以化歸為生產控制大區，第二個層次的所有系統可以化歸為管理信息大區。如圖1所示。

圖1 電廠自動化系統分層示意圖

我國將計算機信息系統的安全等級化分為五個等級：用戶自主保護級、系統審計保護級、安全標記保護級、結構化保護級、訪問驗證保護級，安全保護能力從第一級到第五級逐級增強。如果按此等級劃分的話，電廠第一個層次的所有系統都是第五級，也就是訪問驗證保護級。而電廠第二個層次系統中，SIS、視頻監視系統和門禁管理系統與生產運行的關系較為密切，可以化歸為第四級，MIS、視頻會議系統與生產運行不直接發生關系，則可以化歸為第三級。

電廠信息安全的防范重點是設置好三道重要防線。第一道安全防線：電廠信息系統與外部系統的安全防線，即管理信息大區內系統與外部聯系的防線。第二道安全防線：電廠控制系統與產品供貨商的安全防線，即生產控制大區內系統與各自供貨商的防線。第三道安全防線：電廠控制系統與電廠信息系統的安全防線，即生產控制大區內系統與管理信息大區內系統的防線。

3 關鍵控制系統的信息安全防御

前面介紹了電廠信息安全的三道重要防線，本文不對常規信息安全防護措施進行討論，比如系統容錯、主機冗余、雙網配置以及防火墻、安全網關和防病毒軟件等。只針對電廠關鍵控制系統和重要信息系統設計時的信息安全防御重點和容易忽視的問題進行討論。本節將討論關鍵控制系統的安全防御重點，下面將討論主要信息系統的安全防御重點。

3.1 DCS的安全防御重點

電廠機組普遍采用DCS。DCS是電廠覆蓋工藝系統最多，控制面最廣的控制系統。DCS直接參與生產過程控制，是電廠安全運行的基本保障。對于DCS來說，信息安全的防御點主要在三個方面，一是DCS與供貨廠商之間的安全防御，二是DCS與其他系統之間的安全防御，三是DCS人機交互的安全防御。

3.1.1 DCS與供貨廠商之間的安全防御

首先討論DCS與供貨廠商之間的安全防御。隨著計算機技術、網絡技術、通訊技術的迅猛發展，DCS廠商可以輕而易舉地獲取其供應的DCS的所有數據，也可以采取一定的手段對其所供的DCS進行遠程控制，這顯然存在安全隱患。尤其是目前一些百萬千瓦機組的DCS多采用國外進口產品，其中隱含的安全問題不容忽視。該安全不僅涉及電廠本身，一旦遇到戰爭等國際社會動蕩等情況，還會危及地區和國家的安全。妥善處理并杜絕電廠DCS與產品供貨商之間的信息安全隱患，是當前容易忽視的問題，需要提醒電廠建設方和設計方高度重視。

3.1.2 DCS與其他系統之間的安全防御

其次討論DCS與其他系統之間的安全防御。DCS是機組的主要控制系統，但并不是覆蓋全部機組工藝的控制系統。比如DEH、旁路控制系統（BPS）、汽機危機遮斷系統（ETS）等。如果這些控制系統未能納入DCS，則與DCS之間就有數據接口，但由于這些系統和DCS一樣處于同一個安全大區，來往數據已經嚴格過濾，因此無需特別防御。

需要特別防御的是DCS與SIS之間的信息傳輸。DCS與SIS之間有大量的數據交換信息。目前的設計方案是，SIS與DCS之間應配置數據單向傳輸的專用隔離裝置，嚴禁SIS向DCS發送除采集數據所需通訊協議以外的任何信息。DCS的數據可以上傳至SIS，但SIS的數據不能直接下傳到DCS。

對于SIS需要完成負荷分配控制功能的電廠而言，必須滿足一定的前提條件并采取特別的設計方案。前提條件是：電網調度必須是調廠而不是直接調機組。設計方案是：此時的負荷控制命令應當由值長判斷決定后才能發送到DCS，而且必須由值班操作員確認后才能執行。負荷控制命令宜通過硬接線方式下達。

當然，目前有的項目開始設置廠級DCS或其他廠級控制系統。如果設置了廠級控制系統，則機組DCS就不會直接與廠級信息系統發生數據聯系，需要設置專用隔離裝置的防御點就上移到了廠級控制系統。

3.1.3 DCS人機交互的安全防御

DCS人機交互設備主要有操作員站和工程師站，在個別沒有設置SIS的項目中還設置了值長站。

值長站可以通過顯示器進行監視，但不能操作。操作員站可以通過顯示器監視并按設定的程序進行操作，但不能對系統進行任意修改和組態。值長站和操作員站沒有對外的數據接口，不需要特別防御。

工程師站是對DCS進行維護并可以修改組態的裝置，也是外部入侵DCS的可能關口。對于工程師站來說，防御的主要措施，一方面是制定好電廠的管理機制，另外就是要設計好系統身份識別、訪問控制機制和密碼安全機制等。

綜上所述，DCS的安全防御重點如圖2所示。

圖2 DCS安全防御重點示意圖

3.2 DEH的安全防御重點

DEH是電廠機組控制系統中和DCS一樣重要的系統，而且在大多數項目中，DEH已經和DCS融為一體。對于DEH已經納入DCS的系統，其安全防御由DCS統籌，無須特別設計。

對于DEH獨立設置的系統，其安全防御重點和DCS一樣，也分三個方面：一是DEH與供貨廠商之間的安全防御，二是DEH與其他系統之間的安全防御，三是DEH人機交互的安全防御。和DCS有所區別的是，DEH不會接受SIS的任何指令，SIS的負荷分配控制指令通過DCS對DEH進行控制。

3.3 其他機組控制系統的安全防御重點

除了DCS和DEH外，電廠機組還有其他一些主要的控制系統，比如旁路控制系統（BPS）、汽機危機遮斷系統（ETS）和鍋爐爐膛安全監控系統（FSSS）。

首先討論BPS。目前絕大多數BPS已經納入DCS，對于已經納入DCS的系統，不需要特別考慮安全防御措施。對于少數獨立設置的BPS來說，需重點考慮的問題只有一個，就是切斷BPS與供貨商之間的信息聯絡。和BPS發生信號聯系的都是DCS、DEH等控制系統，BPS不直接與SIS等信息系統發生聯系，所以只需要設置常規的邏輯隔離，無須采取特別防御。由于BPS不設置獨立的操作員站、工程師站等人機接口設備，因此也不存在人機交互的安全防御問題。

ETS和FSSS是電廠核心保護系統。FSSS目前基本上都納入DCS，由DCS統一進行防護。ETS除與DCS和DEH有信號聯系外，基本不與外界發生信號聯系，需要防護的主要是防止ETS與供貨商之間的信息聯絡，像所有其他控制系統一樣，切斷有可能的遠程控制，防止電廠被攻陷。

3.4 輔助車間控制系統的安全防御重點

電廠至少有十幾個輔助車間，早期的輔助車間控制系統是各自獨立的，隨著自動化技術、網絡技術、通訊技術的快速發展，輔助車間控制系統發展迅速，集中控制度越來越高，目前正在設計和運行的發電廠，集中度較低的基本上只有三個集中控制網絡，即煤、灰、水集中控制網絡。集中度高的，全廠輔助車間統一為一個輔助車間集中控制網絡。

下面以全廠設置一個輔助車間集中控制網絡為例進行討論。雖然輔助車間控制系統沒有前面討論的機組控制系統那么重要，但是仍然處在第一個層次，即生產控制大區。輔助車間集中控制網絡的安全防御重點和DCS一樣，也分三個方面：一是輔助車間集中控制網絡與供貨廠商之間的安全防御，二是輔助車間集中控制網絡與其他系統之間的安全防御，三是輔助車間集中控制網絡人機交互的安全防御。

和DCS有所區別的是，輔助車間集中控制網絡不會接受SIS的任何指令，輔助車間的運行根據機組的運行需要確定。

4 主要信息系統的信息安全防御

4.1 SIS的安全防御重點

SIS是電廠的運行數據中心，處于電廠所有自動化系統的中心位置，它主要的部件是實時/歷史數據庫，實時/歷史數據庫需要采集電廠絕大多數自動化系統的主要數據，又將部分數據傳給MIS和其他管理系統。

4.1.1 SIS與其他系統之間的安全防御

SIS防御的重點是，必須切斷所有從實時/歷史數據庫讀取數據的系統對SIS的入侵，這些系統包括MIS、上級主管單位的生產管理系統、在線仿真系統等。在實時/歷史數據庫與所有讀取數據的系統之間應配置數據單向傳輸的專用隔離裝置，它們可以從實時/歷史數據庫讀取數據，但絕不允許反向輸入數據。

4.1.2 SIS人機交互的安全防御

SIS的人機交互設備和DCS不太一樣，SIS有功能站、值長站、工程師站和監視終端設備等。

功能站可以按照功能分為負荷分配調度站、計算與性能分析站、網絡管理維護站、應用軟件管理維護站等，這些功能站只要有人機交互，如計算與性能分析站，就要注意防御，一方面是制定好電廠的管理機制，另外還要設計好系統身份識別、訪問控制機制和密碼安全機制等，防止一般人員擅自進入并改變程序。

值長站可以通過顯示器進行監視，但不能操作。監視終端設備同樣也只能通過顯示器進行監視而不能操作。值長站和監視終端設備沒有對外的數據接口，不需要特別防御。

工程師站是對SIS進行維護并可以修改組態的裝置，也是外部入侵SIS的可能關口。對于工程師站來說，需要采取和功能站一樣的防御措施。

4.2 MIS的安全防御重點

相對于SIS而言，MIS的安全等級略低，可以采取和其他工業企業相同的信息安全防御措施。MIS對外的聯系主要有：與上級主管單位進行信息交換，與地區政府部門進行環保數據對接，與公共服務機構進行市場運營等數據交流，與設計單位、建設單位、調試單位、監理單位等進行建設過程中的數據移交，與國際互聯網等公共網絡進行接口等。只要這些聯系的方式是通過電子介質傳輸，就會存在信息安全的威脅。建設好電廠信息系統與所有外部系統的信息安全屏障，是電廠設計和運行時首當其沖需要考慮的問題。

5 結語

本文針對電廠關鍵控制系統和主要信息系統的信息安全防御問題進行了討論。針對控制系統，主要討論了DCS、DEH、BPS、ETS和輔助車間控制系統的信息安全重點防御。針對信息系統，主要討論了SIS和MIS的信息安全重點防御。隨著數字化電廠的推進及智能化電廠的建設，電廠信息安全問題必將越來越得到各方重視。AP

The Focus of Information Safety Defense in Power Plant

This paper introduces the three important defense lines for information safety in power plant, and discusses the defensive key of information security in the main automation system of power plant. For the control system, this paper mainly discusses the information safety defenses of DCS, DEH, BPS, ETS and auxiliary workshop control system. For the information system, this paper mainly discusses the information safety defenses of SIS and MIS.

Power plant; Information safety; Defense