火電廠熱控系統網絡安全建設探討

國家能源集團樂東發電有限公司 方豐智

我國社會經濟在發展過程中，火電廠作為重要能源提供機構，既可以保障區域民生，還可以促進區域經濟發展。推廣應用熱控自動化技術，提升熱控系統安全性、可靠性水平，已經成為火電廠經營管理的重點。自動化技術的發展速度快，因此在火電廠生產中的應用頻率高，尤其是熱控自動化系統，直接影響發電機組的運行。利用過程控制技術、計算機網絡技術，全面維護熱控網絡的安全性。因此，要深入分析熱控系統網絡安全建設問題，維護火電廠的生產效益。

1 熱控系統網絡架構

火電廠熱控系統涉及軟硬件設施、通信設備等，對于不同的設備來說，其處于不同的運行狀態。利用分散控制系統可以保證熱控系統的運行效益，提高網絡結構的安全性。火電廠在運行過程中，熱控系統網絡依賴計算機技術，對系統網絡安全管理的影響明顯。在計算機技術的支持下，能夠彌補分散控制系統的缺陷，網絡安全管理效果較佳。通過網絡安全管理，可以消除“信息孤島”現象，減少系統的網絡安全威脅，保障網絡結構的安全系數[1]。火電廠在運行過程中，應當聯合應用計算機網絡技術、通信技術、分散控制系統，開發網絡交換機、計算機網絡結構，對系統生產過程進行實時管控，同時提供資源管理、生產管理的數據資料，保障熱控系統網絡安全，全面提升網絡管理水平。

2 火電廠熱控系統網絡安全問題

2.1 機組熱控保護問題

當前，科學技術日益完善，促進了熱控保護技術的進步發展，提升了熱控保護工作效率，且控制監管范圍持續擴大，能夠實現全天候監控。受到多方因素影響，百萬機組熱控系統的故障問題較多，涉及電源、電纜、熱控設備，檢修人員的技術能力也會引發故障問題。機組熱控保護工作中，當受到影響因素干擾后，會引發熱控保護問題，致使熱控系統誤動、拒動，影響機組正常運行。

機組熱控保護誤動或拒動作的原因如下：第一，在設計熱控系統時，與實際情況的差距大，控制邏輯不滿足標準要求。第二，保護信號的取信方式差別大，明顯不同于配置要求，且保護連鎖信號設備標準不達標。第三，安裝與調控操作不合理，熱控技術的監督與管理不到位。

鑒于以上內容，應當科學檢修、維護熱控保護系統，提高熱控保護的安全性。對于部分火電廠來說，熱控保護系統存在較多缺陷，主要表現在軟件、硬件方面，養護與管理方法不先進，在使用機械化檢修管理方式，始終堅持程序化作業，增加物力、財力的浪費，很難規避安全事故的發生。當火電廠管理人員不了解熱控設備時，則會影響管理效果，降低設備質量的合格率，嚴重影響機組熱控保護工作[2]。在日常工作中，須合理劃分熱控設備檢修、維護工作，全面提升機組熱控保護工作水平。

2.2 網絡安全建設問題

2.2.1 主要問題

火電廠內部運行過程中，信息安全可以維護系統安全。當信息安全得不到保證，則會對熱控系統應用產生影響。使用信息技術監控時，要充分發揮信息技術安全的優勢，以免引發如下問題。

第一，技術人員在使用系統服務器時，計算機終端問題較多，比如存在惡意程序。由于未科學管理系統與設備，致使病毒在設備運行時入侵，對系統安全造成威脅。第二，熱控系統操作人員的技術不過關，只會操作老舊系統，對新系統的認知不全面，致使系統安全漏洞多。第三，黑客入侵、攻擊等行為，對熱控系統檢修、防護的影響較大。當發生不良故障問題時，技術人員很難探究故障原因，也不能準確定位故障位置，導致后續使用的不良問題較多。第四，熱控系統運行過程中，系統協議、場內監控信息未隔離。此外，火電廠使用落后的防火墻設施，很難引入協議機制，導致防火墻的防御作用不理想。

2.2.2 熱控系統感染病毒的實例分析

火電廠結合熱電系統、分散控制系統，全面分析網絡安全的管理事項，明確薄弱環節的缺陷，從根本上消除不良影響。如網絡入侵事件、分散控制網絡安全管理不到位等。如果無法及時改進與處理，則會嚴重威脅熱控系統網絡安全。

結合網絡入侵防范能力分析，分散控制系統網絡的人機接口，仍然以工業模式的USB接口、光盤方式為主[3]。但是在熱控系統內，外部病毒容易入侵網絡結構。針對分散控制系統來說，技術人員配置Windows系統。但由于系統的運行時間比較長，因此無法按時安裝、更新補丁，容易出現藍屏、死機等現象，嚴重威脅系統的運行效益。在分散控制系統的網絡體系中，技術人員沒有安裝防火墻、安全隔離網，也未切斷網絡結構的電路，致使內外部線路互聯，增加網絡入侵隱患，還會對熱控系統的網絡安全產生負面影響。圖1為熱控系統病毒傳播過程。

圖1 熱控系統病毒傳播過程

3 火電廠熱控系統網絡安全建設

3.1 網絡安全態勢感知系統

對于網絡安全態勢感知來說，必須在網絡環境下感知風險，以安全大數據作為基礎，高效識別和處理安全隱患。對于網絡空間出現的安全挑戰，則必須獲取信息數據平臺支持，發揮出網絡安全態勢感知技術的各項作用，掌控網絡安全狀態，做好科學規劃與響應工作。

在網絡態勢感知系統中，涉及主站系統、采集裝置。在不同層次設置布設主站系統，對網絡安全進行實時化監測，同時具備日志審計功能、預測分析功能。在各級調控中心、各級發電廠、局域網內部，則布設采集裝置，采集和分析系統網絡安全數據，并且與主站系統完成通信。主站系統、采集裝置，均采用數據網絡實現通信[4]。

3.2 數據流量限制

通過網絡流量，能夠充分反映出網絡性能特點，從而采取科學的流量控制策略。針對交換器端口，則要配置限制數據流量功能，避免數據信息被大量轉發，從而出現網絡通信擁堵現象。分散控制系統運行過程中，如果出現網絡接口故障、虛擬斷點閉合故障，就會增加網絡數據發送負荷。火電廠采用分散控制系統時，需要通過光纖通道、智能交換機，形成冗余雙環網結構，保證兩條環形網絡同步運行。交換機負責數據的存儲、轉發功能，因此在網絡系統中的作用顯著。在公用系統網絡中，機組網絡交換機、核心交換機，均要滿足系統網絡運行要求。分散控制系統運行期間，技術人員要定期升級交換器。對于網絡故障隱患，則要完善在線監測功能、報警功能，高效處理不良現象，避免擴大事故范圍。對于故障產生成因，交換器廠家應當使用以太網標準協議，減少極端環境下的網絡回路缺陷，切實保護網絡安全。

3.3 網絡結構

參考分散控制系統的畫面，推測網絡回路狀態，持續轉發并重復數據，嚴重影響畫面監控功能，容易造成網絡通訊癱瘓。技術人員處理時，參考電廠主流網絡結構，對現有網絡通訊結構進行調整。公用系統、1#、2#機組為對等地位，分支控制系統處于獨立狀態。針對1#、2#機組交換機，則改為熱備用關系。針對其他子系統，則接入網絡體系內，設置單向隔離裝置。分支控制系統，占據虛擬網絡，若未經過路由，則無法實現跨網絡訪問。通過設置虛擬網段，可以確保各分支控制系統的獨立性。

應用此類結構，既可以確保1#、2#機組數據的物理隔離效果，還可以擴展公共網絡，形成多功能應用系統。因此，將火電廠劃分為若干個功能區，電廠控制1區，選用最優安全隔離法，投入獨立控制系統。人孔系統運行過程中，技術人員將其分為引水網安全管理、主控安全隔離等區域。針對安全隔離網關來說，技術人員主要部署SIS接口，通過隔離網絡，可以將熱控系統連接在一起，快速轉化協議。當SIS接口出現病毒時，基本不會對其他結構產生影響，保障熱控系統的運行安全，特別是網絡安全。圖2為熱控系統最優安全隔離域。

圖2 熱控系統最優安全隔離域

3.4 熱控系統內部網絡安全管控

火電廠要持續加強邊界防護能力，高度重視內部網絡管理，加強熱控系統的防護效果。對于火電廠來說，熱控系統的分布位置分散，并由不同部門管理，因此很難對計算機終端操作進行限制，無關人員可以隨意接入非授權設備，從而影響熱控系統的網絡安全。當網絡安全管控效果不佳，很難確保計算機終端的安全。針對熱控內部網絡體系來說，計算機終端涉及較多安全隱患，逐步威脅到內部網絡安全。對此，技術人員應當保障熱控系統安全，尤其是網絡安全，這已經成為火電廠的發展挑戰。

熱控系統運行過程中，針對網絡安全問題，要求技術人員做好準入控制工作，將其作為安全管理要點。通過準入控制技術，技術人員能夠對終端狀態進行監控，遠離危險終端。在準入控制技術、網絡安全技術的支持下，可以積極防范安全隱患，保證熱控系統的安全性，降低事故率。與信息系統網絡管理相比，熱控系統網絡的結構、流量多。如果網絡準入控制平臺不完善，就要投入網絡管理軟件、工控衛士軟件，提高熱控系統網絡的規范性水平，減少安全隱患。利用網絡管理軟件，能夠提高網絡拓撲的可視化水平。參考最優安全隔離域名，做好VLAN的劃分工作，同時綁定MAC地址，關閉交換機端口。

火電廠提高安全管理水平，嚴格控制交換機訪問，將空閑端口進行關閉，這樣可以避免IP沖突問題。對于熱控系統來說，操作員站點、服務器均要設置白名單，主機可允許應用軟件運行，對其他軟件運行進行組織，避免執行惡意代碼，減少非法外聯現象[5]。通過白名單軟件，可以阻止高風險設備接入，如USB設備、移動硬盤。

4 火電廠熱控系統網絡安全建設實際應用分析

火電廠熱控系統內，需要采集輸煤系統運行數據。在具體運行中，病毒入侵或攻擊運行系統，會利用SIS接口感染整個內部結構系統，導致病毒擴散到SIS結構內，攻擊每臺運行計算機，出現藍屏、死機問題，導致火電廠運行崩潰。針對此種情況，要持續加強熱控系統的內部結構管理效果，將電廠劃分為不同工作區，隔離電場的數據安全，同時在不同區域內設置獨立運行系統，將電廠熱控系統分為安全隔離區、其他安全隔離區。不同等級區域的劃分，將SIS接口位置設置安全隔離網關，以隔離網關方式轉換熱控系統的數據，防止SIS接口位置出現病毒感染現象，規避整個網絡系統結構的病毒感染問題。

綜上所述，為了加強網絡安全防護能力，火電廠要建設熱控系統網絡安全架構。投入前期，應當密切監測網絡系統運行的安全性，要展示出網絡系統的安全價值。同時，技術人員負責監管熱控系統的安全行為，完善火電廠的安全結構，推動火電廠的高效化發展。