基于DCS系統的信息安全自動化控制設計與研究

鄭攀建 杭州和利時自動化有限公司

引言：自動化技術已經在運行電力系統的工作中得到了廣泛的推廣和應用，自動化技術中的信息傳輸部分是所有工作的基礎部分，但是在實際工作中電力自動化通信技術還遇到許多問題點。所以，在電力自動化通信中如何保證信息安全問題受到了廣泛的關注。

1 電力自動化通信防護體系的概述

通信防護體系是一個系統性很強的工程，包含很多專業(yè)知識，如自動化技術、通信技術、網絡技術和計算機技術等，是多種現代化技術組成的一種綜合性技術。通信防護體系的主要作用是對電力自動化通信系統的開發(fā)和運轉做出技術性指導，并進行安全穩(wěn)定的管理。而這種職能的實現主要依靠信息安全模型，這樣就能很好地確保電力系統的安全，提高電力系統的穩(wěn)定性，增強電力系統運行的影響。通信防護體系的運行過程實際上是對電力系統進行監(jiān)督，利用對信息的收集、處理和分析來進一步掌握電力系統的穩(wěn)定性。如果電力系統的安全性穩(wěn)定性急劇降低，那么警報裝置就會做出反應，提醒工作人員及時發(fā)現問題并予以解決，從而大大降低電力系統信息泄露的幾率。

2 DCS系統分析

集散控制系統也稱為分布式控制系統(distributedcontrolsystem，DCS)，其綜合了計算機和通信，以及顯示與控制四大模塊，能夠對在系統中的各種設備進行分散獨立的控制，并且將控制結果進行集中管理。DCS系統具有多控制模式、多組態(tài)方法等特點，使其深受自動控制領域的喜愛。一個優(yōu)秀的DCS自動控制系統，不僅可以幫助用戶從系統中實時獲取當前設備的運行狀態(tài)與工藝參數等情況，還有助于對設備運行狀態(tài)進行自我優(yōu)化，實現對在線設備的自我管理、自我維護，提高設備的工作效率、提高系統的穩(wěn)定性能，以助于用戶效益最大最優(yōu)化。一個典型的DCS系統結構組成圖如圖1所示。DCS系統對連續(xù)或者間斷數據的采集、存儲以及檢索可通過數據庫來實現。數據庫可以做為DCS系統中數據與人機交互的數據倉庫。由于電力系統信息網絡需要對大量的數據進行處理、傳送以及與用戶交互。數據庫是DCS系統實現控制過程信息化的重要因素。因此數據庫是電力系統中，DCS系統信息安全自動化控制的一個重要環(huán)節(jié)。DCS系統通過將信息的采集，以及對設備的控制分離開來，使其分別分布在多個不同的工作現場。將設備的操作與監(jiān)測集中于一個或多個指定工作現場。這有助于將工作現場的危險進行分散，同時也有助于將各個設備按功能需求進行分布式布局，讓各個設備分散的完成各自的任務，減免設備間的串擾。DCS系統優(yōu)秀的控制與監(jiān)測功能使其被廣泛應用于化工制造、醫(yī)藥生產以及電力控制等多個技術領域。通信技術的快速發(fā)展為DCS系統的優(yōu)化提供了強大的通信渠道。DCS系統借助于通信技術已經朝著硬件標準化、通信協議標準化、計算機技術標準化的方向發(fā)展，使得DCS系統能夠兼容更多的工業(yè)控制系統，使得DCS系統的分散化控制功能更強大。

圖1 DCS系統結構組成示意圖

3 保證信息安全的方法及改善措施

3.1 利用多層次的加密保護信息

由于網絡信息手段應用越來越廣泛，為了保證傳達信息的可靠性和準確性，完成信息傳遞的網絡化過程，使用最多的手段是信息加密。其中，多是憑借對網絡的鏈路進行設密、信息傳遞的端口進行設密、混合加密等3種加密手段，對經常接觸到的網絡訊息進行加密。

3.2 強化防火墻安全水平

合理的利用防火墻可以幫助系統選擇一個合適的安全鏈接點。同時通過對防火墻的具體功能分析，可以將防火墻看為一個分離器，卻有具有限制和分析的功能。電力企業(yè)想要提升信息的安全防護水平，防止電力系統被攻擊、侵入，所以電力企業(yè)的相關工作人員就應該不停地改善建設防火墻，做好事后的善后工作，讓防火墻發(fā)揮它的最大作用。

3.3 采用摘要算法的方法安全保障網絡信息

摘要算法不需要密鑰加密，而且經過其加密的信息不容易被破解，只有相同的明文輸入以及一樣的摘要算法同時滿足，才能夠獲得一致的密文。進行網絡可靠性和準確性的研究過程中，可采用摘要計算這一理念完成對數據準確度和可靠度的保證，即將數據傳遞過程中的數據分段，對其實施摘要計算，使得摘要信息附屬在顯示的明文上，用來驗證傳遞的數據和內容是不是準確和全面，從而進一步確定網絡傳遞的數據是不是全面、可靠。

4 信息安全自動化控制設計

本文借助工業(yè)以太網設計了一個基于DCS系統的信息安全自動化控制系統。該系統分為中央管理中心以及控制現場兩個部分，該系統的拓撲結構圖如圖2所示。

圖2 DCS系統信息安全自動化控制系統拓撲圖

從圖2可見，該系統由三個控制站點以及一個工程師工作站和操作員工作站組成。位于模擬屏前方的控制站PLC0站點，負責對各設備的工作狀態(tài)進行采集，并將采集結果通過R S232通信方式傳送至模擬屏進行顯示監(jiān)測。其中通過R S232傳送數據時，采用CRC校驗方法對傳送數據進行處理，以確保數據信息傳送的安全。CRC校驗是一種線性的分組碼，對于需要傳送的K位信息編碼M1，M0)，將其視為多項式系數。然后在該多項式尾部添加r個0后可得：

將(1)式做為被除式，然后再利用一個r次的多項式G(x)做除法，以獲取商Q(x)以及余式R(x)：

CRC校驗通過模2除法以及按位異或操作實現，整個校驗計算過程中不考慮進位以及借位。因此通過這種計算模式可得：

由此可見，當電力設備兩端傳送的數據到達終點設備時，能被同一多項式G(x)所除，則表示數據信息安全到達，沒有遭到攻擊被篡改或者丟失。否者表示數據信息出錯，丟棄數據。控制站PLC1站點位于電力系統業(yè)務數據接入端，負責接收用戶的接入信息。該站點接收到用戶的請求信息后，先通過預定驗算策略對該信息進行安全性能以及權限進行驗證核對。若接入信息無害而且符合業(yè)務辦理需求，則對該請求信息進行加密，通過光纖或者無線網絡發(fā)送至光纖收發(fā)器，供其他站點采集該數據。控制站PLC2站點位于電力系統設備運轉數據接入端，負責接收設備運轉過程中的工作數據接收，以及設備運轉狀態(tài)監(jiān)測數據采集。當有數據交互時，數據先要通過PLC2站點“消毒”。該站點通過信息安全策略，對接入的數據進行安全性分析以及必要性處理。當接入數據屬于安全范疇，并且該數據有必要接入到中央管理中心，才將該數據通過光纖網絡或無線網絡傳送至中央管理中心的光纖收發(fā)器，供中央管理中心的其他站點使用。對于中央管理中心的多個工作站點，每個站點都賦有其各自的權限。若用戶需要對中央管理中心的某站點進行使用，必須通過驗證相應的權限后，該站點才能使用，否則該站點處于自鎖狀態(tài)。同樣，對于外部數據要接入該站點時，也需要在傳輸的協議中包含對應的權限驗證碼，待該站點通過驗證策略核驗驗證碼相符后，方可接入該站點。否則將外部請求接入數據做為異常數據丟棄，并傳入異常數據數據庫進行備份。通過這種分散式的站點設置，使得各個工作站點的功能專業(yè)化。同時使得各個工作站點的數據形成先分散，后聚集，再分散的效果。從而使得接入信息預先被隔離處理，保證了系統各個站點的信息安全風險分散化。

結語：現代社會是一個信息化社會，網絡信息技術迅猛發(fā)展，信息的傳遞更加迅速。電力系統是我國十分重要的基礎設施，電力系統的發(fā)展要依靠網絡信息技術，達到信息的自動化。本文通過DCS系統，提出了基于DCS系統的信息安全自動化控制設計與研究。通過DCS系統設計了電力系統信息安全系統。該系統分為中央管理中心與控制現場，并根據擠入數據的差異性設計了不同的驗證策略。