引調水工程控制系統及信息安全防護設計思考

李連全，李潤偉

(河北省水利水電勘測設計研究院，天津 300250)

0　引言

我國北方各地水資源短缺、不平衡，為應對這種情況，近年來各地陸續實施了引調水工程[1-2]，典型工程為南水北調及其配套工程。這些工程均依據安全輸水、精確量水原則思想，設置了不同級別的工業控制系統和網絡安全系統[3-4]。因工程規模、工程等別、投入資金及設計者的不同，設計情況差別較大[5]。目前引調水工程中的安全控制系統中一般設置網閘、硬件防火墻，但設置位置和設置數量原則不統一，個別工程設計中僅設置有硬件防火墻。結合工程設計經驗，針對大中型引調水工程控制系統和信息安全領域，本文提出了一種在正常運行工況下具有三層級架構的安全控制系統。

1　控制系統設計原則

(1)按“無人值班，少人值守”方案進行設計，既可實現站內監控，又能實現遠程調度中心監控。

(2)系統采用成熟、可靠、標準化的硬件、軟件、網絡結構和系統，確保系統響應速度快、可靠性高、可維護性好、經濟成本低、擴展性強。

(3)系統采用全開放、分布式系統結構，系統配置和設備選型能夠適應計算機技術迅速發展的特點，具有先進性和向后兼容性，以充分保護用戶的投資。

(4)系統采用冗余容錯設計，重要的單元或模件采取冗余配置的方式，提高系統可靠性。

2　控制系統組成

2.1　系統總體結構

工程監控系統總體結構可以分為遠程監控系統和現地監控系統兩個部分，如圖1所示。遠程監控系統分為調度中心遠程監控、管理處監測子系統，其中，調度中心遠程監控實現工程總體指揮調度功能；管理處監測子系統實現所轄范圍內工程應急調度和監測功能。現地站監控服務分為現地集中監控系統和現地站監控系統，其中，現地集中監控系統實現現地站全站集中控制功能；現地站監控系統實現現地設備現場控制功能。

圖1　系統總體結構圖

工程監控系統采用統一的調度監控服務平臺架構。根據調度中心、管理處和現地站具有的業務需求，均需要監測功能；同時調度中心、現地站還需要控制功能。即：工程監控系統采用 “調度中心、現地站”二級控制模式。

對于關鍵監控平臺節點采用冗余配置，例如泵站、重要閘站控制系統。遠程監控系統與PLC之間采用專網進行數據交換。

現地監控系統與遠程監控系統采用統一的軟件平臺，以保證數據的一致性、完整性以及無縫連接。

2.2　系統應用結構

根據系統的應用需求，整個系統的應用結構可以分為三層：調度中心、管理處、現地站。

調度中心是集中監測和實時控制中心，也是管理、維護中心。

管理處是該管理處所管轄范圍的集中監測以及管理、維護中心。

現地站主要用于現場操作人員對本地設備的監測和控制，同時負責采集本地各種設備的實時信息，并及時通過專用數據通信網絡將信息上傳，接受并執行上層系統下發來的控制指令等。

根據調度需要，監控系統從總調中心、現地監控站都能夠直接對現場設備進行監控。

2.3　系統配置結構

為了建立整個系統，需要在調度中心、管理處、現場站配置各種硬件設備和軟件系統，建立各層監控系統；然后通過一個專用的數據通信網絡，將各層監控系統有機地進行聯結，建立一個統一、完整的監控應用系統，系統配置結構如圖2所示。

3　系統總體控制功能

引調水工程的現場被控設備主要為閘門、泵、閥門等，按照控制方式分類，閘門控制方式分為兩種：手動和自動。

(1)手動方式：只有在現地通過手動裝置，能夠進行泵、閘門、閥門控制。

(2)自動方式又分為遠程控制和現地控制。

① 現地方式下，只能通過現地工控機或觸摸屏進行泵、閘門、閥門控制。

② 遠程方式下，調度中心通過工控機進行泵、閘門、閥門的遠程控制。

圖2　系統配置結構圖

系統在正常情況下，控制方式為遠程方式。對于控制權限，依據就近原則以及控制安全要求，現地控制的優先級最高，遠程次之，即：現地閘(泵、閥)站級別最高，調度中心次之。當不同級別的用戶控制同一閘門(泵、閥門)時，級別高的用戶優先獲得控制權。

根據調水業務需要、用戶業務管理需要和“集中控制”原則，調度中心具備調度權限和權限管理功能。

一般情況下，閘(泵、閥)站按照調度中心下發的調度指令對閘門(泵、閥門)進行啟閉操作，以滿足沿線分水和等壓力控制要求。

當遇到緊急情況時，一方面，閘(泵、閥)站可根據實際情況對本閘(泵、閥)站進行啟閉操作；另一方面，可啟用區域應急調度監測系統進行區域集中調度監測，同時發出告警信息，報告緊急情況和處理操作，以便調度中心應急調度系統自動制定應急調度方案，各閘(泵、閥)站按照應急調度指令對閘門(泵、閥門)進行統一的啟閉操作。

4　信息流程

系統的信息流程分為監測信息流程和控制信息流程兩類，監測信息流程是自下而上，控制信息流程為自上而下。

4.1　監測信息流程

(1)正常情況下，調度中心直接與各現地監控站通信，從現地監控站獲取所需數據信息。

監測信息的傳輸是自現地監控站(泵站、閘站、閥站)至調度中心，由調度中心經由業務內網至管理處。監測信息流程如圖3所示。

圖3　正常監測信息流程圖

(2)非正常情況(應急狀態)下，區域應急調度站與各現場監控站通信，從現場監控站獲取所需數據信息。

監測信息的傳輸是自現地監控站(泵站、閘站、分水口門)至區域應急調度站。

監測信息流程如圖4所示。

圖4　非正常監測信息流程圖

4.2　控制信息流程

控制信息主要包括調度指令、控制指令、權限控制信息、配置信息、請求信息等。

(1)正常情況下，調度中心直接下發調度、控制指令到現地監控站。管理處不具有調度控制權限，但可以自調度中心獲取調度、控制指令信息。

管理處可按照本身的權限，通過相關的數據庫，取得和訪問監測數據和歷史數據。控制信息流程如圖5所示。

圖5　正常控制信息流程圖

(2)非正常情況。

① 總調中心至現地站的連接發生中斷時，總調中心以其他通信方式直接下發調度指令到現地站。由現地站依據調度指令對本站設備直接進行控制。

② 當總調中心無法下發調度指令到現地站時。此時由區域應急調度站(管理處)對所屬區域的現地站進行統一調度。區域應急調度站向所轄現地站發送調度指令，由現地站依據調度指令對本站設備直接進行控制。

5　通信網絡及安全防護

5.1　通信網絡

為了建立一個統一、完整、安全、可靠、穩定、高效的工程監控系統，必須配置一個專用的控制數據通信網絡，以便實現調度中心監控系統、區域應急調度監測系統、管理處監測系統以及現地監控系統之間的數據交換。

(1)應用網絡結構

從物理結構上看，該網絡系統可以分為三層：總調中心層、管理處層、現場網絡接入層，如圖6所示。

根據對計算機網絡系統承載信息的分析和網絡流量、流向分析，本工程按控制專網、業務內網和業務外網組建計算機網絡系統。

① 控制專網用于承載實時性要求最強、安全性要求最高的泵、閘站、閥門的監控信息，即承載閘站、閥門監控系統的信息。

② 業務內網用于承載各類應用系統及視頻監視系統的信息。

③ 業務外網用于承載互聯網的信息。

三個網絡之間由網閘或防火墻隔離。控制專網的安全性要求最高，需要做到物理隔離，通過物理網閘實現與業務內網隔離；控制專網不與業務外網相連，業務內網與業務外網之間通過防火墻實現信息互訪。

(2)系統功能

本系統可以分為三層。

① 第一層：上端監控層

上端監控層主要包括在調度中心、管理處所建立的遠程工程監控系統。

② 第二層：網絡通信層

網絡通信層主要包括兩部分：

局域網通信：包括上端監控層中的調度中心的本地局域網通信以及現場監控站點內部的局域網通信。

圖6　應用網絡結構圖

遠程通信：包括調度中心、現場監控站之間的遠程數據通信。調度中心與現場監控站之間的通信采用專用控制網。

③ 第三層：本地監控層

本地監控層(現地控制單元級)由PLC、智能儀表、傳感器、變送器、執行機構、專用數據(信息)采集設備以及通信設備等組成，獨立完成本地監控點的數據采集、控制和管理功能。同時，通過網絡通信，為上端監控系統提供可靠的現場實時數據，以及接受上端監控系統發來的控制和參數設定指令。

(3)網絡邏輯結構

從邏輯結構上看，該網絡系統具備扁平化結構，網絡上的所有節點都可以相互訪問(在具備權限的前提下)，即：調度中心可以直接訪問到現場的PLC，可以直接將控制指令下發到現場監控站；現場監控站或PLC可以直接上傳數據到調度中心。

5.2　安全防護

系統采用多級安全措施，組成一套完善的安全體系，以保證系統運行過程中的安全。系統的安全措施分為五級：設備級、網絡級、操作系統級、數據庫級和應用級。

(1)設備級

設備級安全防護包括信息安全防護和功能安全防護。信息安全防護方面，在關鍵設備PLC上，設置密碼保護，通過驗證用戶身份和權限，防止非法用戶的訪問和操作。功能安全防護方面，在編寫PLC控制邏輯時,從荷重保護、限位保護和過載等多個方面來避免一些特殊情況可能對設備造成的危害，通過功能安全的防護措施，從而保證系統遭受非法入侵時也不會造成嚴重的控制設備損壞。

(2)網絡級

系統運行于控制專網，控制專網具有完善的網絡安全防護措施，確保網絡運行安全和網上傳輸數據的安全。

設置防火墻，在區域邊界實現流量的深度監測、防范常見網絡攻擊、提供基于某些特征(如IP地址、URL及某些應用)的過濾等功能，根據不同安全域部署多級防火墻。為了實現數據通信的安全性，第一級防火墻應具備VPN網關(IPSec和SSL)功能。考慮到業務內網與互聯網互聯，來自外界的安全風險較大，因此建議部署二級防火墻，而且第一級防火墻、第二級防火墻與入侵檢測系統實現聯動。

控制專網與業務內網、業務內網與業務外網之間，以及業務內網與其他水利機構的內網之間，在核心節點部署網閘，實現有效隔離。

(3)操作系統級

系統選用安全性能較好的Linux操作系統，并加裝病毒監控系統。在系統運行前和運行中，要經常對操作系統進行安全漏洞檢查和系統加固，以免因操作系統漏洞而影響監控系統的安全。

(4)數據庫級

在數據庫中為系統設置了訪問數據庫的用戶和密碼，即數據庫賬戶。只有數據庫賬戶才能對數據庫進行訪問。另外，面向普通用戶的系統不直接訪問數據庫，而是通過系統服務訪問數據庫，這樣相當于在普通用戶和數據庫間增加了一道保護屏障，從而防止數據庫漏洞導致數據庫直接裸露在用戶面前的風險。

(5)應用級

系統為用戶設置密碼和相應權限，每個用戶在進入系統時，都要經過身份和權限的認證。另外，系統在服務層的監控對象內也設置了用戶和口令，對每個訪問和操作監控對象的用戶及其權限進行進一步的認證，從而保證非法用戶無法登入系統，

登入用戶無法從事越權操作。

6　結束語

引調水工程中廣泛采用自動化控制系統，并且普遍采用PLC控制，具有控制層級多、控制方式多樣、控制權限設定復雜等特點。隨著國家對工業控制領域網絡信息安全的重視，信息安全設計已提升到一個新的高度。本文結合工程實際設計情況，針對引調水工程控制和網絡安全，提出一個具有普遍性和實用性的設計方法，對其他引調水工程的設計具有一定的借鑒性。

[1] 楊鐵樹,張同生.河北省南水北調配套工程監控系統設計特點[J].水科學與工程技術,2015(3):52-55.

[2] 于國安,宋厚清,孫水英，等.膠東供水工程通信與自動化系統設計研究[J].水利水電技術,2003,34 (5):60-62.

[3] 李勁.大型調水工程信息安全解決方案研究[J].電信技術,2014 (11):99-104.

[4] 詹全忠.水利網絡與信息安全體系基本技術要求[J].信息網絡安全,2010 (6):85-86.

[5] 葉茂，劉盈斐，王冠華.水利科研院所信息安全等級保護測評及制度探討[J].水利技術監督,2014,22(6):39-42.