火電廠電力監控系統安全防護應用

馬銘宏，王子豪，劉 悅

(1.國家能源集團科學技術研究院有限公司沈陽分公司，遼寧 沈陽 110102；2.國能哈爾濱熱電有限公司，黑龍江 哈爾濱 150000)

1 電力監控系統現狀

電力監控系統通過計算機、通信設備、測控設備等，為發輸變配電系統提供實時數據采集、運行狀態監測及遠程控制等輔助運行手段，尤其是在火電廠的生產運行中發揮了核心作用，可以有效提高火電企業管理監控能力、降低運作成本、提高生產效率，提高生產過程中異常工況的反應速度[1]。

近年來，隨著火電廠自動化水平的提高，越來越多的各種用途的計算機接入電廠生產系統，越來越多的信息交互渠道建立，電力生產系統網絡變得復雜且破綻百出。為有效保障電力系統網絡安全，國家發改委發布了《電力監控系統安全防護規定》，國家能源局發布了《電力監控系統安全防護總體方案》，提出了“安全分區、網絡專用、橫向隔離、縱向認證”部署的大原則。對于火電廠而言，電力監控系統安全防護工作既要構建有效防護措施應對外部惡意入侵，也要加強制度管理杜絕內部的權限濫用、隔離防護不到位、人員安全意識差等問題[2]。

2 事故案例分析

2.1 操作員感染蠕蟲病毒

2017年某天，某火電廠600 MW機組運行中，運行人員發現2號操作員站界面卡頓，打開畫面異常緩慢，很快相鄰操作員站均出現卡頓問題，操作員被迫前往工程師站使用工程師站進行監盤操作；熱控維護人員檢查現場狀況后，采取斷網重啟查殺，有效避免了事故擴大化，發現4臺操作員站均感染conficker蠕蟲病毒，進一步深入檢查發現原因是新增輔網系統操作員站調試期間廠家擅自使用U盤導致，后經分別隔離查殺病毒后恢復。

2.2 DCS網絡癱瘓跳機

2020年某天，某火電廠2臺350 MW機組運行中，信息班人員處理SIS系統上傳集團公司數據中斷故障時，誤將1號機DCS網絡柜中B網段2號交換機23號接口與該網段1號交換機17號接口短接，使得DCS網絡形成環路，進而導致DCS系統DPU負荷率超限，全廠DCS網絡癱瘓(該廠1、2號機網絡交換機均與公用系統網絡交換機連接)，造成2臺機組均事故跳閘。

上述2次事故均為典型的電力監控系統安全防護工作不到位造成的機組跳機事故，分別屬于設備管理不當和人員操作不當，都是可以避免發生的不必要事故。

3 部署規定

根據國家能源局2015年發布的36號文，即《電力監控系統安全防護總體方案等安全防護方案和評估規范》，各發電集團結合自己企業具體情況，分別制定了適應自身企業的電力監控系統安全防護總體方案，作為下屬各火電廠的執行準則，火電廠電力監控系統安全防護總體策略如圖1所示。

圖1 火電廠電力監控系統安全防護總體策略

3.1 安全分區

主要是指火電廠需要將廠內所有基于計算機和網絡技術的業務系統根據系統用途，劃分為生產控制大區和管理信息大區，再根據重要性和對生產的影響程度把生產控制大區細分為控制區及非控制區，重點保護那些直接影響機組運行的系統。

3.2 網絡專用

火電廠的生產控制大區必須通過專用網絡才能連接電力調度數據網，在專用通道上需要使用獨立的網絡設備組網，在物理層面上實現與廠內其他數據網的安全隔離。一般情況下該網絡交換機設置由調度指定廠家直接完成，數據備份也是存在調度側，電廠僅作為用戶使用該網絡。

對不具備設立調度數據網的小型電廠，應通過專線電話撥號、無線通信等方式接入對應調度機構的安全接入區。

3.3 橫向隔離

在生產控制和管理信息2個大區之間必須部署電力專用橫向單向安全隔離裝置。生產控制大區內部不同的安全區之間應當采用具有訪問控制功能的網絡設備、安全可靠的硬件防火墻，實現邏輯隔離。

3.4 縱向認證

火電廠生產控制大區與調度數據網的縱向連接處應當設置電力專用縱向加密認證裝置，實現雙向身份認證、數據加密和訪問控制。

參與電網系統AGC、AVC調節的廠站，必須在調度數據邊界配置縱向認證裝置或網關進行安全防護。對于不參與調節或者沒有使用DCS系統的火電廠，邊界配置可以酌情簡化。

4 某火電廠實際解決方案

針對上述宏觀的部署要求，以某火電廠的實施方案為例，闡述火電廠網絡安全防護布局，該火電廠電力監控系統安全防護部署如圖2所示[4]。

圖2 生產監控系統網絡安全防護部署示意圖

4.1 系統劃分

根據國家及集團上級公司的相關規定，先是將全廠監控系統劃分為生產控制大區和管理信息大區2部分，再根據子系統的重要性和對一次系統的影響程度將生產控制大區分為控制區(又稱安全Ⅰ區，安全等級最高，包括操作員站等)和非控制區(又稱安全Ⅱ區，安全等級次之，包括接口站等)，具體分區情況見表1。

表1 某火電企業電力監控系統及設備安全分區表

4.2 等保定級

該火電廠電力監控系統根據國家網絡安全等級保護定級指南，廠內各子系統等級保護定級情況見表2[5]。

表2 廠內生產監控系統等級保護定級表

定級為3級的子系統需要每年進行1次等保測評，2級的子系統每2年進行1次測評。

4.3 網絡專用

調度數據網使用專用通道組網，部署經國家指定部門檢測認證的電力專用縱向加密認證裝置，支持SM2算法，同時實現與電力調度端雙向身份認證、數據加密和訪問控制。廠內的電力調度數據網劃分為邏輯隔離的實時子網和非實時子網，分別連接控制區和非控制區；實時子網和非實時子網間邏輯隔離采用了靜態路由連接。

管理制度上要求禁止非授權設備私自連接內部網絡行為，包括給非授權設備共享熱點等行為。

4.4 橫向隔離

采用不同強度的安全隔離設備使各安全區中的業務系統得到有效保護，關鍵是將實時監控系統與辦公自動化系統等實行有效安全隔離，隔離強度接近或達到物理隔離。在安全區Ⅰ/Ⅱ與安全區Ⅲ的邊界布置隔離裝置，是安全區Ⅰ/Ⅱ橫向防護的要點。

4.5 縱向認證

采用認證、加密、訪問控制等手段，在實現數據遠方安全傳輸的同時，對縱向邊界進行安全防護。根據以上幾點部署準則，統計該廠生產監控系統安全設備部署詳情見表3。

表3 生產監控系統安全設備部署表

上述安全設備在部署之前，均經由DCS設備廠家進行兼容性測試，確保系統無誤后，在測試計算機上安裝測試，無異常后，才能接入正式生產監控系統，投入保護。

4.6 其他方面

a.計算機主機。主要是加強主機設備管理，禁止主機設備使用雙網卡方式進行跨安全區連接，禁用物理端口(包括光盤驅動和USB接口等)、無線裝置等網絡接入端口。

b.計算機操作系統。一方面要加強登錄管理，對連續失敗登陸次數進行限制、定期修改密碼、不使用弱口令、對默認賬戶的訪問權限進行限制等；另一方面要加強使用人員的管理，外來人員使用電力監控系統網絡必須提出書面申請，履行審查、如果密碼保管者調離崗位，新的密碼保管者必須立即更新密碼或者刪除原用戶名。

c.第三方設備的管理。移動存儲設備在使用前必須要進行病毒檢查，作為數據備份的存儲設備應妥善保管，定期檢查備份數據有效性。機房、電子間等電力監控系統重點區域應配置電子門禁系統或24 h連續視頻監控系統，視頻監控記錄保存30天以上。控制系統程序安裝、數據備份應采用光盤形式[6]。

5 問題與不足

雖然該廠基本按照規定部署監控系統防護措施，但是仍有一些紕漏之處。物理環境方面：由于機房是利用原有房間改造而成，因此缺乏漏水檢測及報警設施、機房無擋水壩等防止積水轉移和滲透的措施，并且機房內未采用防靜電地板。通信網絡方面：沒有采用有效可信的技術對通信設備的程序引導、系統程序、重要配置參數進行可信驗證。

6 結語

當前，隨著國家對于信息安全、網絡安全重視程度的提高，各發電集團持續推進火電企業的電力監控系統安全防護工作，各火電廠中對于電力監控系統安全防護工作已經逐步展開，整個系統的安全防護趨于完備。然而安全工作任重道遠，整個系統部署仍有不足，存在專用防護軟件的推廣與選擇品牌良莠不齊、認證機構眾多等問題。并且火電廠從業人員仍需持續教育，一方面安全防護專業人員要定期培訓學習，保證專業知識能力與時俱進；另一方面也要對廠內其他工作人員加強安全防護教育，提高安全防護意識，共同筑建網絡安全防護墻。