大型火力發電廠工控系統安全防護管理體系研究

耿少輝

摘 要：目前，火電仍然是我國電能的重要來源。加強火力發電廠方面的研究，有助于保證人們的用電安全。而信息技術的高速發展給大型火力發電廠工控系統信息安全帶來了巨大挑戰，而國內外層出不窮的工控安全事件將工控安全防護建設提上了日程。本文闡述了近年來國內外工控安全事件及我國在工控領域發布的法規文件，分析了現階段大型火力發電廠工控系統安全方面存在的問題和挑戰，以及結合當前網絡安全防護水平，從管理和技術角度提出了現階段可行的大型火力發電廠工控系統安全防護體系提升手段，并分析該防護體系，對發電廠工控系統整體安全防護水平提升的意義。

關鍵詞：發電廠；工控系統；安全防護體系

引言：

當前背景下，經濟的發展，對電能的要求越來越高。在大型火力發電廠中，工控產品也越來越多采用通用軟件及通用協議，工控系統以各種方式與外界網絡聯通，高度信息化使得工控系統更容易受到病毒、木馬的攻擊。另一方面，發電廠工控系統的穩定性、實時性、可靠性要求又限制了網絡安全技術的應用，給安全防護帶來了巨大的挑戰，導致發電廠工控系統信息安全問題日益突出。

1大型火力發電廠工控系統安全防護現狀

目前，我國的各大型火力發電廠工控系統安全防護水平已有明顯提高，工控安全防護技術手段進一步完善，各電廠均按規定進行安全防護，網絡安全設備的配置進一步完善。但是在工控系統安全管理方式及技術手段上還存在一系列的不足：運維管理存在不足，安全職責劃分不清，問題整改不到位，設備管理臺賬記錄不全；網絡配置管理不完善，網絡拓撲圖未能及時更新，與實際情況不一致，工控系統設備清單不全；應急預案可操作性差，流于形式，預案演練的效果及經驗總結不到位，滾動修編等工作未有效開展等。這些問題的存在，都制約了大型火力發電廠工控系統安全防護的提升。

2大型火力發電廠工控系統安全防護體系

2.1提升大型火力發電廠工控安全防護水平

2.1.1加強工控網絡安全監測系統建設

工控網絡安全監測系統能發現工控環境中的惡意攻擊流量、非法操作流量、異常流量等，及時發現工控環境中的風險。網絡異常檢測功能基于對工控協議的通信報文進行采集與深度解析，對當前工控協議通信行為與基線進行對比，對偏離基線的行為進行檢測并告警。例如：異常指令操作、非法設備接入、異常訪問關系等告警。

2.1.2加強IT監控系統建設

利用SIS系統現有的成熟產品和組件，通過對生產控制大區的IT資產的接口部署及配置，對IT設備運行數據進行實時自動采集，包括：電力調度網絡運行狀況、SIS系統服務器運行狀況、SIS系統生產數據采集接口運行狀況、生產控制大區服務器軟件系統運行狀況、服務器硬件運行狀況、服務器網絡通訊狀況、各關鍵交換機路由器運行狀況等。能夠對以上數據的長期可靠存儲及建模，實現利用SIS系統客戶端快速方便的查看以上數據的歷史趨勢及最新數據變化情況，以便在發生故障之后可以利用歷史數據進行故障原因分析。

2.1.3加強工控防火墻建設

使用工控防火墻將各工控OPC和SIS接口機之間的鏈接進行邏輯隔離，工控防火墻在繼承了傳統防火墻的基礎功能外，結合工控網絡特點，可更深層次的防護工控網絡中的攻擊。采用透明模式部署，并開啟故障旁路功能，不改變原有的網絡拓撲，確保正常業務不受影響；通過對工控協議深度分析，制定相應的工控網絡訪問控制策略，有效防止網絡內異常流量通過，保證網絡安全。

2.1.4加強工控安全管控體系建設

這要求不斷完善管理制度建設，明確責任分工，信息部門加強技術監督，工控設備部門加強防范意識，在“兩化”融合趨勢下，打破傳統專業分界壁壘，協同開展工作，進一步落實電力監控系統安全規范，嚴格執行外來人員、外接設備、外接介質管理，加強補丁、防病毒管理，并注重工控與信息安全的復合型技術人才培養。建立健全工控系統安全防護全生命周期管理體系，將信息安全防護滲透到可研、設計、施工、調試、運行等各階段工作中，實現全方位、全過程的覆蓋。在工控系統上線運行前或機組檢修期間開展以漏洞掃描為主體的系統風險評估，通過安全運維服務工具就地對工控系統和網絡進行安全掃描。包括操作系統漏洞掃描、組態軟件漏洞掃描；機組主控DCS包含的DPU以及機組輔控PLC等控制器漏洞掃描。建立健全工控事件應急工作機制，預防為主、平戰結合、快速反應、科學處置，加強風險監測，開展信息報送和通報，提高工控安全事件應急處置能力。

2.2大型火力發電廠工控系統安全防護效果

2.2.1上線前安全檢測

在系統上線前完成對整個工控區域信息安全風險分析、安全漏洞評估等管控措施，實現對系統中存在的安全風險提前驗證，以便在上線前對工控系統按照國家法令、行業規范進行安全加固，并把對工控系統的穩定性影響降到最低。

2.2.2運行中異常行為檢測

基于對工控協議的通信報文進行采集與深度解析，利用人工智能算法建立工控通信模型基線，實現對工控網絡異常行為進行檢測及告警，及時發現網絡攻擊，減少系統停運風險，并可以為安全事故的調查，提供詳實的數據支持。

2.2.3運維過程安全管控

建立工控網絡連接實時視圖，圖形化顯示監控范圍內的所有IT設備信息、網絡連接信息，實現對工控設備的實時安全管控，并可實現對IT設備運行歷史數據的長期存儲，提高工控網絡故障分析能力及安全管理效率。

結束語：

總之，加強工控系統安全防護管理體系研究，對大型火力發電廠的發展有重要意義。本文通過對發電廠工控系統安全現狀分析，指出現階段大型火力發電廠工控系統所面臨的信息安全風險，并根據這些風險提出了相應的安全防護思路，介紹了現階段可行的工控系統信息安全防護手段，在管理和技術角度建立行之有效的工控系統防護體系。

參考文獻：

[1]王鐘瑋. 大型火力發電廠前期管理與投資控制的研究[J]. 建材與裝飾，2015（48）：145-146.

[2]賈鵬飛. 大型火力發電廠鍋爐事故的預防措施[J]. 技術與市場，2015，22（06）：299+301.

[3]朱世順，黃益彬，朱應飛，張小飛. 工業控制系統信息安全防護關鍵技術研究[J]. 電力信息與通信技術，2013，11（11）：106-109.

[4]鄒春明，鄭志千，劉智勇，陳良漢，陳敏超. 電力二次安全防護技術在工業控制系統中的應用[J]. 電網技術，2013，37（11）：3227-3232.