火力發電廠工控系統安全現狀分析

陳政熙

(上海工業自動化儀表研究院有限公司，上海 200233)

0 引言

工業控制系統包括分布式控制系統(distributed control system,DCS)、數據采集與監視控制系統、現場總線控制系統、可編程邏輯控制器等。工業控制系統廣泛應用于能源、電力、水務、軌道交通、航空航天等行業，是關鍵基礎設施運行的“大腦”和“中樞”。

隨著兩化融合進程的深入，越來越多的信息技術運用于工業場景，與工業控制技術相融合，推動了工業企業轉型升級；同時，逐步打破了工業控制系統的“孤島”模式，導致蠕蟲、病毒、木馬、黑客攻擊等威脅向工業生產系統滲透。而火力發電廠工控系統高可靠性和高可用性要求又限制了安全技術在工控網絡中的應用，導致系統存在巨大的安全風險。

本文論述的火力發電廠工控系統安全，主要是功能安全和信息安全。

1 火力發電廠工控系統網絡結構

火力發電廠生產網絡分為現場設備層、現場控制層、過程監控層及生產管理層，包括三大主機設備及其主控系統，以及水煤灰、脫硫、脫硝等輔助系統。其工藝過程非常復雜，必須通過先進的分布式控制系統(distributed control system,DCS)來實現機組的自動化控制。其中，主控系統包括汽輪機數字電液控制系統、汽輪機旁路控制系統、順序控制系統、燃料管理系統、機組協調控制系統、電氣控制系統等。目前，國內最大單機容量的1 000 MW級機組主控系統大約有12 000個I/O測點(含模擬量和數字量)，輔助系統(含水網、灰網、輸煤網等)和公用系統也大約有10 000個I/O測點，600 MW級機組主控系統大約有8 000個I/O測點，300 MW級機組主控系統大約有6 000個I/O測點。

典型火力發電廠工控系統網絡結構如圖1所示。

圖1 典型火力發電廠工控系統網絡結構圖

2 火力發電廠工控系統安全現狀分析

2.1 火力發電廠工控系統功能安全現狀

在火力發電廠中，安全風險最高的設備無疑是鍋爐、汽輪機和發電機，一旦發生事故，會對人身和設備造成重大危害。其中，爐膛放炮、煤粉倉爆炸及制粉系統爆炸、飛車事故等鍋爐和汽輪機故障均會造成嚴重的人身傷害。因此，為了避免發生此類傷害，發電機組控制系統應具有高可靠性、高安全性和高可用性，即在任何情況下均能將鍋爐和汽輪機置于安全狀態且不誤動作。IEC 61508等功能安全標準(流程工業功能安全標準為IEC 61508:2010 Functional safety of E/E/ PEsafety-related systems及IEC 61511:2003 Functional safety-Safety instrumented systems for the process industry sector)發布后，許多國家強制規定將經過第三方檢驗檢測機構認證的功能安全系統用于保護火電廠三大主力設備。

在國內，功能安全主要應用于石化、軌道交通、汽車電子等行業，在電力行業中尚未廣泛應用。GB 50049-2011 《小型火力發電廠設計規范》及GB 50660-2011 《大中型火力發電廠設計規范》規定：較危險的關鍵部位應設置安全系統或緊急停車系統，對主控設備安全保護系統納入主控系統時，只提出應單獨冗余設置控制器，未專門規定安全保護系統須采用特定的軟硬件，也未規定須對安全保護系統各聯鎖回路進行安全分析和評價。在電力行業通用的《火力發電廠分散控制系統(DCS)技術規范書》中，也只是提出了“賣方也可以在投標書中根據自己的工程經驗提供可靠性更高的故障安全型控制器和I/O模件，作為可選方案供買方選擇”的原則。但在工程實際應用中，各投標商為了降低成本、贏得項目，一般情況下都不提供安全型產品。因此，目前國內大多數火力發電廠主要采用硬件冗余(控制器冗余、I/O模塊冗余、電源模塊冗余和通信總線冗余)以及聯鎖順序控制，實現三大主機設備的保護[1-2]。

隨著等同于IEC 61508功能安全標準的國家標準GB/T 20438-2006和GB/T 21109-2007的頒布，以及相關政策的推動，我國火力發電廠安全系統及功能安全方面的研究將會有突破性的進展。

2.2 火力發電廠工控系統信息安全現狀

為了保障電力信息系統安全，自2005年起，原電監委先后組織制定了《電力二次系統安全防護規定》和《電力二次系統安全防護總體方案》等6個配套文件，指導和規范電力行業二次系統安全防護工作，推動了電力二次系統安全防護體系的建立和完善。電力企業按照電力二次系統安全防護的總體要求，從規章制度、組織體系、人員管理、安全分區等方面開展了一系列富有成效的工作，初步建立了電力二次系統安全防護體系。該體系具體包括《省級及以上調度中心二次系統安全防護方案》、《地、縣級調度中心二次系統安全防護方案》、《配電二次系統安全防護方案》等供配電側安全防護方案，以及風電、光伏、燃氣電廠、核電站等發電側的二次系統安全防護技術規定。電力二次系統安全防護體系的建立和完善，極大地提高了電力行業安全防護的整體水平。電力二次系統安全防護體系如圖2所示。

圖2 電力二次系統安全防護體系

隨著電力行業的快速發展，原《電力二次系統安全防護規定》已不再適應現行電力安全的需求。國家發展和改革委員會于2014年8月1日發布了《電力監控系統安全防護規定》(第14號令)。為了加強電力監控系統安全防護工作，根據國家發改委第14號令要求，國家能源局制定了《電力監控系統安全防護總體方案》(國能安全[2015]36號)。該方案確定了電力監控系統安全防護體系的總體框架，細化了電力監控系統安全防護總體原則，定義了通用和專用的安全防護技術與設備。其總體原則為：安全分區、網絡專用、橫向隔離、縱向認證[3-4]。

經過多年的發展，電力行業逐步形成了具有較完善行業特點的安全防護體系。尤其在信息安全等級保護工作方面，電力行業率先全面貫徹并且落實國家信息安全等級保護制度，取得了良好成效，保障了電力行業重要信息系統安全。

電力監控系統安全防護總體框架結構如圖3所示。

圖3 電力監控系統安全防護總體框架結構圖

2.3 火力發電廠工控安全防護存在的主要問題

雖然《電力監控系統安全防護總體方案》中包含了發電、變電、配電、調度等多個環節，也將整個電力監控系統按照生產控制和管理信息兩個大區分類，但該防護方案更多的只是通過簡單的安全隔離裝置、加密認證、防火墻等防護手段或方法加以邊界性的防范，屬于網絡安全和信息安全防護的范疇，并未真正體現工控系統安全的核心(如本質安全、功能安全)。針對復雜的火力發電自動化領域，將功能安全納入工控安全范疇，并考慮功能安全與網絡安全、信息安全的融合至關重要。

在信息安全防護方面，目前火電廠熱控系統中的各種服務器及操作員站，尤其是安全儀表系統(safety instrument system,SIS)接口機之類的熱控邊緣服務器，缺乏技術手段保證專機專用，更缺乏注冊表防護措施。另外，火電廠熱控系統里面的各種服務器及操作員站，雖然在制度上限制使用U盤等拷貝工具，但是并不能真正杜絕USB接入的安全隱患。

火電廠熱控系統中無控制網訪問行為和流量日志審計措施，并且其熱控系統缺乏對各類數據包(包括工業協議和TCP/IP協議)進行快速、有針對性的捕獲與深度解析的措施。一旦出現網絡故障及異常現象，將無法進行有針對性的定位和攻擊路徑分析，無法對已檢測到的相關潛在安全威脅進行深度分析和定位。火電廠熱控系統中缺乏工控協議實時、精準識別的防護措施(如OPC協議只讀，Modbus協議讀、寫等)。

3 火力發電廠工控系統安全運行有效對策

3.1 提升系統本體安全水平

火力發電自動化領域工控安全應該從“強化基礎”出發，從設備級、系統級、管理級3個角度分層和協調融合考慮。設備級用于提升每個控制器、I/O設備的功能安全和信息安全防御能力。系統級考慮設計安全的控制系統架構，提升控制系統的整體功能安全和信息安全功能。管理級則加強規范管理、完善安全策略，增強控制系統的信息安全功能[5]。

3.2 強化系統被動防護機制

對火力發電廠生產控制網絡關鍵節點和邊界采取必要的訪問控制措施，以達到安全防護的目的。采用“固”、“隔”、“監”的策略，對系統環境進行安全過濾，包括劃分不同級別的安全區域、采用物理和環境安全防護措施、部署邊界安全防護設備、設置遠程訪問控制策略及安裝主機安全防護軟件等。引入縱深防御理念是目前業內廣泛接受的工控系統信息安全解決方案之一。工控系統的縱深防御是指在非安全區與安全區之間設置多層次的保護措施。由于火力發電廠工控系統的網絡層次分明，縱深防御理念非常適用于該領域的工控系統[6-7]。

3.3 建立主動防御安全保障體系

被動防護機制對火力發電自動化領域工控安全防護體系至關重要。以固定的防護策略和靜態防護來面對威脅進行監測和抵御，雖然在一定程度上防止了蠕蟲病毒的擴散，抵御了外部黑客攻擊等網絡威脅，但針對“零日”漏洞、內部員工的惡意行為等威脅難以發揮效果。該機制在面對復雜、異構、大量私有通信協議的工控系統時難免會捉襟見肘。為進一步解決工控安全問題，可在被動安全防護機制基礎上建立主動防御安全保障體系。基于態勢感知、監測預警、可信計算技術、數字證書的主動防御安全保障體系，能夠最大程度地對惡意行為和惡意威脅進行診斷和抵御。

3.4 落實安全風險評估工作

工控安全風險評估是實現工控安全防護的前提。風險評估的結果是建立工控安全防護策略的有效依據。通過風險評估，能全面地挖掘系統存在的安全問題和潛在威脅。工控系統與普通的IT系統不同，工控系統具有專用協議多、系統實時性和可靠性要求高、網絡結構復雜等特點。因此，應結合工控系統的特點，開展兩個層面的安全風險評估：一是針對功能安全的風險分析與評價，二是基于IT系統風險評估原理的工控系統信息安全風險評估。同時，火力發電自動化領域的工控系統作為關鍵基礎設施，其系統安全風險評估應該覆蓋系統的全生命周期，包括系統設計、開發、運維及報廢階段。

4 結束語

從目前來看，火力發電自動化領域工控安全形勢比較嚴峻，功能安全問題和信息安全問題相互影響；同時，行業內也缺乏既從事自動化系統集成又從事信息安全能力較強的企業，即缺乏考慮功能安全和信息安全綜合防護能力的企業。因此，為在火力發電自動化領域開展深入研發、實施和推廣應用工控安全技術，必須將發電企業、電力高校、研究院所、工控廠家、信息安全企業等有機結合，全面開展產學研用的實質性深入合作。