電廠廠級監控信息系統網絡安全存在的問題及對策

宋沅珍

摘 要：如今信息技術快速發展，信息水平以及網絡安全成為電廠生產發展的重要影響因素，所以電廠必須要提高對這方面的重視程度，建立完善的廠級監控信息系統，使電廠范圍內的信息得到有效的共享，保證監控管理效果的順利實現。在電廠廠級監控信息系統網絡建設運行中不可避免會出現安全問題，為此必須要提出有效的對策進行處理，使網絡數據傳輸更加安全。

關鍵詞：電廠；廠級監控；信息系統；網絡安全；問題；對策

如今SIS不斷發展進步，電廠開始有了自己比較復雜的計算機網絡系統。而隨著系統之間關聯程度的提高，內部網絡開放，外部網絡接入，安全問題就成為十分重要的一部分內容，就需要發揮監控系統的優勢作用使安全問題得到妥善的處理。若安全問題不能很好的處理，電廠信息就容易丟失、篡改。而且我國已經有SIS與MIS網絡連接造成系統癱瘓的情況，所以必須要建立完善的安全防御系統，維護網絡系統的安全。

一、電廠廠級監控系統的特點分析

電廠廠級監控系統的對象主要是生產過程，并建立全廠范圍內的歷史與實時數據的網絡平臺，從而能夠更加更加優化便利的服務提供給生產過程，保證建立的監控管理信息系統能夠實現全過程的監管。電廠廠級監控系統的建立需要有信息技術、計算機技術、控制理論以及人工智能作為基礎和前提，實現集成自動化系統的設計。該系統其實就是對電廠內部機組DCS以及外圍PLC控制系統的運行進行優化控制管理[1]，能夠使電廠中的辦公系統與生產控制系統有效的連接。對電廠整個單臺機組以及輔助系統的實時信息進行收集、分析、預算以及優化，為不同單元機組運行提供科學的參考依據，并科學的調整單元控制方案，保證資源的配置能夠達到最優的狀態。

二、SIS網絡系統的安全問題分析

SIS與企業的利益之間有著十分緊密的聯系，如果SIS系統被不安全因素入侵，必然會造成無法挽回的損失與嚴重的后果，所以必須要對其安全性提出較高的要求。此外，MIS網絡中也有很多不穩定的因素，如用戶數量、通信量不穩定、安全管理制度落實難度大，軟件使用多樣化、容易受到病毒感染并且傳播病毒[2]，與網絡連接容易受到不法分子侵害等。可見，SIS與MIS連接時是有很多安全隱患的，為了保證網絡信息系統的安全性，必須要對數據庫的安全問題進行妥善的處理，在連接SIS與MIS時需要單方向的傳輸數據。比較常見的MIS與SIS數據通訊方法主要有以下幾種，下面就簡要的分析。

（一）MIS與SIS直接連接

MIS與SIS直接連接就是講路由器設置在其連接的位置上，并限制源地址以及目的地址。MIS中與通訊服務器連接的只有一臺機器，建立二者的通訊關系。SIS是電力監控系統，而MIS是屬于電力管理信息系統以及辦公自動化系統。SIS是不能與安全性低的MIS系統直接連接的[3]，因此將MIS與SIS直接連接的方法不可行的。

（二）使用獨立的MIS、SIS子網絡

這種方法就是將一臺帶有不同網卡的網橋計算機設置在MIS與SIS之間，然后接入到兩個網絡中，使數據信息通訊順利完成。但是對于網絡底層驅動而言，訪問網絡的層面是透明的，也就是說可以隨意對網絡進行訪問。如果從底層訪問網絡沒有限制，就容易使信息系統受到嚴重的安全威脅。這種使用一臺帶有不同網卡的網橋計算機連接不同數據網絡其實就是在硬件上使數據信息有了物理通路，若計算機程序被攻擊，MIS與SIS就相當于處于相同的網絡中[4]，不管發生何種操作都是沒有限制的，這種后果是極為嚴重的，所以這種方法的安全隱患也是比較大的。

（三）防火墻技術

防火墻技術使用的分別是硬件防火墻和軟件防火墻，依據不同種類可以被分為基于路由器的包過濾的防火墻和基于通用操作系統或專用安全操作系統的防火墻。防火墻抵御攻擊的方法主要有控制訪問、阻擋惡意報文、掃描病毒等。而使用防火墻技術數據依舊能夠雙向互動，也就是說不管使用何種方法都不是主動的進行防御，因此安全隱患是無法避免的，也不能使網絡安全問題從根本上得到處理。

為此就需要積極地對軟件以及硬件進行升級更新，從而有效的防范常規病毒的攻擊，但是對于未知的病毒，這種防御方法還是有一定滯后性的，所以還需要大量的資源對防火墻設備進行維護。與此同時，若網橋受到攻擊，不管SIS是不是被攻擊了，都會產生成本，使得SIS數據信息的傳遞受到影響。電站對安全性有很高要求，是不允許SIS被攻擊的。

可見，不管使用何種方法都不能使網絡安全問題從根本上得到消除，必須要講SIS計算機中容易受到攻擊的所有途徑全部堵住，從而使SIS和MIS有效連接，有效的獲得實時信息。

三、SIS網絡安全問題的處理策略

為使電廠生產管理信息與實時信息得到有效的傳遞，需要將專用硬件設備與軟件有效結合，這種方法的原理是這樣的，通過硬件設備，只有SIS信息能夠傳輸到MIS網絡中，而MIS網絡中的信息是不能發送到SIS網絡中的。使用這種方法能夠使數據單向傳輸，使SIS網絡的安全隱患問題得到妥善的處理。結合電廠的實際情況，需要使用以下策略方法。

首先，對于SIS數據傳輸，將專用的數據采集前置接口機作為網橋，將數據網橋網絡與DCS歷史站服務器相結合，對測點信息進行實時的采集，使DCS格式的數據信息轉變為SIS的信息格式，并利用專門的數據傳輸接口，通過隔離網閘使數據能夠單向的傳輸到SIS實時服務器中，然后再利用專門的數傳輸接口通過隔離網閘使屬于能夠單向的傳輸到SIS鏡像服務器以及WEB服務器中[5]，共享到MIS網絡中。SIS回路中的信息是不能被傳輸到DCS回路中的，從而使DCS控制回路的安全性更高。

對于網絡安全，要VLAN劃分核心交換機，互聯網進入到電廠時需要先通過防火墻，然后通過核心交換機，對核心交換機進行網段劃分，從而限制其網絡訪問。劃分的網段分別是1網段、88網段和99網段。SIS系統鏡像服務器與web服務器網絡的ip配置是99網段[6]，限制其對外網訪問，能夠很好的減少由于服務器訪問網絡而產生的安全隱患。

四、設置維護網絡安全的防護隔離器

結合上述的方法可以設置網絡安全防護隔離器，涉及2臺嵌入式工業計算機、計算機中需要具備常規的功能，1臺計算機與SIS系統相連，另外1臺與MIS系統連接。嵌入式計算機中需要使用專門的硬件通訊設備，保證數據能夠單向的進行傳輸，計算機間沒有雙向的數據交流，并且設備還需要滿足相關的規定要求。使用網絡安全防護隔離器能夠在硬件上使數據只能夠從SIS單向傳輸到MIS系統，絕對不會出現數據從MIS系統傳輸到SIS中的通道，即使在MIS側受到了干擾、攻擊等[7]，也不會對SIS產生任何的影響。能夠從硬件上保證數據是絕對單向傳輸的，只能從SIS系統傳輸到MIS系統，不會反向傳輸。此外還可以應用到現有的通用網絡中，結合實際需要定制，滿足多種協議需要，比如TCP/IP等通用網絡以及用戶專用協議等。

五、結語

總之，若想要計算機、系統等不能向調度自動化等實時控制系統的服務器等進行書寫數據，單純的使用防火墻等簡單的設備是不安全、不可靠的。在SIS與MIS進行網絡互聯時，二者是不能直接連接的，需要有專門的安全隔離設施，并且這種隔離設施是滿足國家相關標準的，得到國家認證的。在相同計算機中安裝多塊網卡作為網橋以及安裝防火墻的方法，SIS與MIS系統之間的數據信息依舊可以雙向交流，與很多不安全因素。為此必須要設置專門的網絡安全防護隔離器，講硬件設備與軟件有機結合，使數據能夠順利實現單向傳輸，并保證只能進行單向傳輸。開發軟件時，需要滿足現有的通用網絡需要，結合實際情況定制。網絡安全防護隔離器是電力系統中的重要網絡防護產品，其應用前景是比較好的。

參考文獻：

[1]梁巖.電廠廠級監控信息系統網絡安全存在的問題及對策[J].通訊世界，2016（10）：192.

[2]司姍姍.針對電廠廠級監控信息系統的相關研究[J].科技創新與應用，2016（04）：66.

[3]曲成華.電廠廠級監控信息系統的設計與實現[J].信息系統工程，2013（08）：42+27.

[4]李波，蔣恒.廠級監控信息系統在電廠中的應用[J].重慶電力高等專科學校學報，2013，18（01）：63-66.

[5]黃冬蘭，吳國瑛.電廠信息系統SIS與MIS一體化[J].工業控制計算機，2012，25（09）：110-111+113.

[6]張亞軍，要曉輝，紀波.廠級監控信息系統（SIS）在電廠中的應用[J].電腦知識與技術，2011，7（08）：1945-1946+1952.

[7]朱劍鋒.基于多智能體和XML Web Services技術的電廠級監控信息系統設計[J].科技傳播，2010（08）：113-114.