电力二次系统安全防护体系探讨

刘兆霞，景国锋，孙 刚

（1.山西漳泽电力股份有限公司河津发电分公司，山西 河津 043300；2.山西电力科学研究院，山西 太原 030001）

0 引言

近年来，信息技术在电力企业生产和管理过程中的广泛应用，提高了电力企业的生产运行和经营管理水平。而且随着自动化、通讯、计算机网络技术的飞速发展，电力系统网络安全问题也变得更加突出和重要。山西漳泽电力股份有限公司河津发电分公司作为山西省晋南地区的主流发电企业，特别注重生产和管理过程中的信息技术安全问题，加强电力二次系统的安全防护体系建设，力争达到“安全分区，网络专用，横向隔离，纵向认证”的要求，并从政策法规层面和技术方案层面，规定了各部门信息安全建设的具体措施。

1 二次系统安全防护体系构成

山西漳泽电力股份有限公司河津发电分公司目前的做法是根据相关规定把二次系统划分为生产控制大区和管理信息大区。生产控制大区又分为控制区和非控制区，控制区主要包括：1号—4号机组分散控制系统DCS（Distribution Control System）、电能计量系统、经济调度系统、保护管理系统等。非控制区主要包括厂级监控信息系统SIS（Supervisory Information System）。管理信息大区主要包括管理信息系统MIS（Management Information System）、办公自动化系统、企业内部网站等，见图1。

从图1可以看出，生产控制大区与管理信息大区之间布置有单向隔离装置，管理信息大区的SIS客户端也要通过隔离装置才能访问生产控制大区的SIS系统服务器，生产控制大区与上级调度部门数据通讯有纵向加密认证装置，从总体上讲可以满足电力二次系统安全防护要求，但还存在其他不完善的地方。

2 二次系统安全防护体系存在的风险

山西漳泽电力股份有限公司河津发电分公司的二次系统安全防护体系是分阶段逐步建成的，各系统之间网络互联缺乏统一规划，主要表现在只要两个系统之间有数据交换需求就连在一起，这种情况直接导致网络结构不清晰、系统间互联点多等问题，存在的风险也随之增大，从多方面进行风险分析有利于加强防范。

2.1 系统与外界接口增加

随着网上调度服务、数据大集中应用等需求的发展，电厂内部网络与许多中间业务的接口也逐渐增多，改变了一直以来电厂网络结构和业务系统的相对封闭性，使得安全问题不仅仅源于内部事件，来自外界的攻击也越来越多。网络应用的扩大，网络安全风险变得更加严重和复杂，原来由单个计算机安全事故或单台机组控制系统故障引起的损害可能通过网络传播到其他主机和系统，引起大范围的瘫痪和损失；另外，加上部分终端用户缺乏安全控制机制和对网络安全政策及防护意识的不足，这些风险可谓日益加重，主要表现有以下几点。

a）网络边界不清，无法对边界安全设备进行统一管理。

b）终端用户网络行为监控不到位，无法对终端行为进行策略管理。

c）应急恢复流程控制不完善，部分核心数据缺少数据备份和恢复措施，或技术上难以实现。

d）部分系统出现安全意识或管理薄弱等现象，缺乏安全管理规范和安全意识培养等。

图1 山西漳泽电力股份有限公司河津发电分公司电力二次系统安全防护网络拓扑图

2.2 各区域或系统间的访问机制有些依赖硬件设备

生产控制大区与管理信息大区之间虽然采用了单向隔离装置用于限制数据传输的单向性，但局部网络间有些还依赖防火墙技术进行防御，虽然在很大程度上抵御了病毒、恶意程序或外界网络等的入侵，但还存在一定的局限性。采取防火墙技术后，数据通信仍是双向的，无论哪种类型的防护手段，从本质上均处于“被动防御”，只有不断升级软件和硬件，才能防止已知病毒和常规攻击。而对未知病毒的防御则是有限的、滞后的。作为DCS与SIS系统间的网关(或其他类似设备)，如果受到攻击，即使没有攻击到DCS系统，也可能会在网络上增加额外数据处理量，最终将影响DCS系统的数据实时传递。对于安全性要求较高的电厂而言，是绝对不允许发生任何一次对DCS系统攻击的。因此，这些方法始终存在安全漏洞，无法从根本上杜绝网络安全隐患。

2.3 控制区各系统缺少行之有效的防病毒系统

一般可能认为在生产控制大区和信息管理大区之间安装物理隔离装置，二次系统网络与办公系统网络进行隔离，病毒就不会传入到生产控制大区，但其实忽视了病毒的传播方式是多方式、多途径的。例如：病毒可以通过工作人员的移动介质或远程控制通道传入到生产控制大区，进而破坏DCS系统或经济调度系统等重要的二次应用系统。总之，为防止病毒的肆意破坏，必须从管理和技术层次组建行之有效的防病毒系统。

2.4 数据备份方法较单一

现有的系统安全措施主要是以防火墙和物理隔离装置为核心，只在一定程度上改善了系统的安全保障，但由于网络防护技术通常滞后于花样不断翻新的黑客攻击技术，故现有的网络防护技术不可能绝对地保障网络安全。为此，要使系统被破坏后的损失降低到最小，就必须构筑起系统的最后一道防线，即数据备份和恢复机制。就目前而言，各系统的备份形式比较单一，如1号、2号机组DCS系统使用磁带进行备份，3号、4号机组DCS系统使用光盘或硬盘进行备份，其他系统的备份形式也如此。这样的备份形式并不能确保每次系统恢复都能成功，所以，这条防线还有待于继续补充和完善。

3 防护体系的安全对策

通过对风险来源的分析有助于企业采取必要的防范措施，不论从管理理念还是系统配置上都必须以安全为中心，确保整个二次系统安全、稳定地为企业服务。

3.1 加强公司内部网络管理和强化信息安全意识

首先，内部的自主管理必须把电力二次防护体系的建设与维护工作放在重要的位置，不仅要在制度上严格要求并狠抓落实，而且更要在人的层面上加强管理。各相关部门或人员都必须严格遵守已制定的安全策略、标准、过程和程序，加强宣传工作，强化员工的信息安全意识，端正态度，并且给予必要的培训，使得这项工作真正做到制度化、程序化、规范化，切实落到实处。山西漳泽电力股份有限公司河津发电分公司就二次防护体系的建设情况多次进行自查和评估活动，分别从规章制度、组织机构、人员管理、总体防护体系、网络安全、系统安全等方面着手进行，总体来说，生产大区的信息安全保障工作形式较好，从人员管理、设备管理、隔离防御等方面加强了系统安全，基本可以杜绝外来人员或网络的侵扰，以确保生产大区内的信息安全。

3.2 确保硬件隔离措施到位

DCS系统以及重要辅机的控制系统在与SIS、MIS等信息管理系统的通讯链接上，目前使用单项隔离装置或加装防火墙等措施，做到网络独立、数据单向传输。单单依靠防火墙技术会存在一定的安全风险，在此基础上加装单向隔离装置以加强对生产控制大区及信息管理大区间数据传输的管理。硬件通道上对外仅提供一个网络输入口和一个网络输出口，分别连接内网和外网，通过将输入口的输出网线切断和将输出口的输入网线切断及网络驱动级单向控制技术，实现单向完全隔断同外网的一切连接，同时，可实现从内网到外网的单向数据传输功能，杜绝来自外网的侵袭。总之，在硬件设施上基本确保网络安全。

3.3 加强防病毒管理和使用多种备份形式

在病毒防护方面，工作重点是将计算机的输入输出设备进行技术屏蔽，对运行及维护人员可使用的系统功能进行限制，基本上切断内部网络病毒传播的途径。为确保系统安全，尽量切断远程控制和维护功能，加强自身的技术力量，充分利用磁带机或光盘等存储介质定期对系统进行备份，并分类存储或异地存储，以多种备份形式应付各种紧急状况。另外，山西漳泽电力股份有限公司河津发电分公司内部也从资源储备、应急保障等其他方面做了大量的工作并加以规范。通过安全客户端、安全策略服务器、接入设备以及防病毒软件的联动，可以将不符合安全要求的终端限制在“隔离区”内，防止“危险”终端对网络安全的损害，避免“易感”终端受病毒、蠕虫的攻击，从而大幅度提升了网络抵御新兴安全威胁的能力。

4 结束语

对于电厂而言，二次防护系统的安全至关重要，需要各种防护技术和防护制度相结合，才能形成完整、可靠的二次防护体系。不仅如此，在日常工作中，更应加强对二次防护系统的风险评估工作，定期检查安全措施是否到位，管理制度是否落实，硬件防护体系的安全策略是否合理，数据备份是否可靠，这样才能真正发现系统的安全隐患并及时消除，形成技术和制度双管齐下，打造二次防护体系的安全基石。