★中国能源建设集团有限公司工程研究院 许继刚
电厂信息安全的防御重点
★中国能源建设集团有限公司工程研究院 许继刚
中国能源建设集团有限公司工程研究院副院长许继刚
本文介绍了电厂信息安全的三道重要防线,对电厂主要自动化系统信息安全的防御重点进行了讨论。针对控制系统,主要论述了DCS、DEH、BPS、ETS和辅助车间控制系统的信息安全防御重点。针对信息系统,主要论述了SIS和MIS的信息安全防御重点。
电厂;信息安全;防御
随着国家基础建设的快速发展,电力行业迎来了前所未有的建设高潮。截至到2016年6月底,全国发电总装机容量超过15.2亿千瓦,其中火电装机容量10.2亿千瓦,煤电高达9.2亿千瓦。大容量高参数发电机组在电网中的比例越来越高,百万千瓦级机组的数量牢牢稳居世界首位,大型机组在电网中的安全稳定性直接关乎到许继刚(1964- ),男,山东泰安人,教授级高工,博士,新世纪百千万人才工程国家级人选,国务院政府特殊津贴专家,现任中国能源建设集团有限公司工程研究院副院长,兼任电力行业热工自动化与信息标准化委员会副主任、电力行业热工自动化技术委员会副主任、中国自动化学会发电自动化专委会副主任、中国电机工程学会热工自动化专委会副主任、中国仪器仪表学会产品信息委员会副主任、中国仪器仪表学会自控工程设计委员会主任。国家标准《大中型火力发电厂设计规范》编制组副组长,行业标准《火力发电厂信息系统设计技术规定》编制组组长。供电的可靠性,大型电厂的信息安全也越发重要。处理好电厂控制系统和信息系统的安全,已经受到相关各方的关注。信息安全,已不仅仅是每个电厂需要重视的问题,还关系到电厂所在地区和国家的安全。
目前,电厂自动化系统五花八门,但总体上可以分为两个层次:第一个层次是控制系统,所有直接参与生产过程测量与控制的自动化系统均划归为该层次,包括机组分散控制系统(DCS)、汽机数字电液控制系统(DEH)、辅助车间控制系统等;第二个层次是信息系统,将电厂与信息有关的,不直接参与过程控制的自动化系统均归到信息系统,包括管理信息系统(MIS)、厂级监控信息系统(SIS)、视频监视系统、视频会议系统、门禁管理系统等。
如果按照两个大区进行安全分区的话,第一个层次的所有系统都可以化归为生产控制大区,第二个层次的所有系统可以化归为管理信息大区。如图1所示。
图1 电厂自动化系统分层示意图
我国将计算机信息系统的安全等级化分为五个等级:用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级、访问验证保护级,安全保护能力从第一级到第五级逐级增强。如果按此等级划分的话,电厂第一个层次的所有系统都是第五级,也就是访问验证保护级。而电厂第二个层次系统中,SIS、视频监视系统和门禁管理系统与生产运行的关系较为密切,可以化归为第四级,MIS、视频会议系统与生产运行不直接发生关系,则可以化归为第三级。
电厂信息安全的防范重点是设置好三道重要防线。第一道安全防线:电厂信息系统与外部系统的安全防线,即管理信息大区内系统与外部联系的防线。第二道安全防线:电厂控制系统与产品供货商的安全防线,即生产控制大区内系统与各自供货商的防线。第三道安全防线:电厂控制系统与电厂信息系统的安全防线,即生产控制大区内系统与管理信息大区内系统的防线。
前面介绍了电厂信息安全的三道重要防线,本文不对常规信息安全防护措施进行讨论,比如系统容错、主机冗余、双网配置以及防火墙、安全网关和防病毒软件等。只针对电厂关键控制系统和重要信息系统设计时的信息安全防御重点和容易忽视的问题进行讨论。本节将讨论关键控制系统的安全防御重点,下面将讨论主要信息系统的安全防御重点。
3.1 DCS的安全防御重点
电厂机组普遍采用DCS。DCS是电厂覆盖工艺系统最多,控制面最广的控制系统。DCS直接参与生产过程控制,是电厂安全运行的基本保障。对于DCS来说,信息安全的防御点主要在三个方面,一是DCS与供货厂商之间的安全防御,二是DCS与其他系统之间的安全防御,三是DCS人机交互的安全防御。
3.1.1 DCS与供货厂商之间的安全防御
首先讨论DCS与供货厂商之间的安全防御。随着计算机技术、网络技术、通讯技术的迅猛发展,DCS厂商可以轻而易举地获取其供应的DCS的所有数据,也可以采取一定的手段对其所供的DCS进行远程控制,这显然存在安全隐患。尤其是目前一些百万千瓦机组的DCS多采用国外进口产品,其中隐含的安全问题不容忽视。该安全不仅涉及电厂本身,一旦遇到战争等国际社会动荡等情况,还会危及地区和国家的安全。妥善处理并杜绝电厂DCS与产品供货商之间的信息安全隐患,是当前容易忽视的问题,需要提醒电厂建设方和设计方高度重视。
3.1.2 DCS与其他系统之间的安全防御
其次讨论DCS与其他系统之间的安全防御。DCS是机组的主要控制系统,但并不是覆盖全部机组工艺的控制系统。比如DEH、旁路控制系统(BPS)、汽机危机遮断系统(ETS)等。如果这些控制系统未能纳入DCS,则与DCS之间就有数据接口,但由于这些系统和DCS一样处于同一个安全大区,来往数据已经严格过滤,因此无需特别防御。
需要特别防御的是DCS与SIS之间的信息传输。DCS与SIS之间有大量的数据交换信息。目前的设计方案是,SIS与DCS之间应配置数据单向传输的专用隔离装置,严禁SIS向DCS发送除采集数据所需通讯协议以外的任何信息。DCS的数据可以上传至SIS,但SIS的数据不能直接下传到DCS。
对于SIS需要完成负荷分配控制功能的电厂而言,必须满足一定的前提条件并采取特别的设计方案。前提条件是:电网调度必须是调厂而不是直接调机组。设计方案是:此时的负荷控制命令应当由值长判断决定后才能发送到DCS,而且必须由值班操作员确认后才能执行。负荷控制命令宜通过硬接线方式下达。
当然,目前有的项目开始设置厂级DCS或其他厂级控制系统。如果设置了厂级控制系统,则机组DCS就不会直接与厂级信息系统发生数据联系,需要设置专用隔离装置的防御点就上移到了厂级控制系统。
3.1.3 DCS人机交互的安全防御
DCS人机交互设备主要有操作员站和工程师站,在个别没有设置SIS的项目中还设置了值长站。
值长站可以通过显示器进行监视,但不能操作。操作员站可以通过显示器监视并按设定的程序进行操作,但不能对系统进行任意修改和组态。值长站和操作员站没有对外的数据接口,不需要特别防御。
工程师站是对DCS进行维护并可以修改组态的装置,也是外部入侵DCS的可能关口。对于工程师站来说,防御的主要措施,一方面是制定好电厂的管理机制,另外就是要设计好系统身份识别、访问控制机制和密码安全机制等。
综上所述,DCS的安全防御重点如图2所示。
图2 DCS安全防御重点示意图
3.2 DEH的安全防御重点
DEH是电厂机组控制系统中和DCS一样重要的系统,而且在大多数项目中,DEH已经和DCS融为一体。对于DEH已经纳入DCS的系统,其安全防御由DCS统筹,无须特别设计。
对于DEH独立设置的系统,其安全防御重点和DCS一样,也分三个方面:一是DEH与供货厂商之间的安全防御,二是DEH与其他系统之间的安全防御,三是DEH人机交互的安全防御。和DCS有所区别的是,DEH不会接受SIS的任何指令,SIS的负荷分配控制指令通过DCS对DEH进行控制。
3.3 其他机组控制系统的安全防御重点
除了DCS和DEH外,电厂机组还有其他一些主要的控制系统,比如旁路控制系统(BPS)、汽机危机遮断系统(ETS)和锅炉炉膛安全监控系统(FSSS)。
首先讨论BPS。目前绝大多数BPS已经纳入DCS,对于已经纳入DCS的系统,不需要特别考虑安全防御措施。对于少数独立设置的BPS来说,需重点考虑的问题只有一个,就是切断BPS与供货商之间的信息联络。和BPS发生信号联系的都是DCS、DEH等控制系统,BPS不直接与SIS等信息系统发生联系,所以只需要设置常规的逻辑隔离,无须采取特别防御。由于BPS不设置独立的操作员站、工程师站等人机接口设备,因此也不存在人机交互的安全防御问题。
ETS和FSSS是电厂核心保护系统。FSSS目前基本上都纳入DCS,由DCS统一进行防护。ETS除与DCS和DEH有信号联系外,基本不与外界发生信号联系,需要防护的主要是防止ETS与供货商之间的信息联络,像所有其他控制系统一样,切断有可能的远程控制,防止电厂被攻陷。
3.4 辅助车间控制系统的安全防御重点
电厂至少有十几个辅助车间,早期的辅助车间控制系统是各自独立的,随着自动化技术、网络技术、通讯技术的快速发展,辅助车间控制系统发展迅速,集中控制度越来越高,目前正在设计和运行的发电厂,集中度较低的基本上只有三个集中控制网络,即煤、灰、水集中控制网络。集中度高的,全厂辅助车间统一为一个辅助车间集中控制网络。
下面以全厂设置一个辅助车间集中控制网络为例进行讨论。虽然辅助车间控制系统没有前面讨论的机组控制系统那么重要,但是仍然处在第一个层次,即生产控制大区。辅助车间集中控制网络的安全防御重点和DCS一样,也分三个方面:一是辅助车间集中控制网络与供货厂商之间的安全防御,二是辅助车间集中控制网络与其他系统之间的安全防御,三是辅助车间集中控制网络人机交互的安全防御。
和DCS有所区别的是,辅助车间集中控制网络不会接受SIS的任何指令,辅助车间的运行根据机组的运行需要确定。
4.1 SIS的安全防御重点
SIS是电厂的运行数据中心,处于电厂所有自动化系统的中心位置,它主要的部件是实时/历史数据库,实时/历史数据库需要采集电厂绝大多数自动化系统的主要数据,又将部分数据传给MIS和其他管理系统。
4.1.1 SIS与其他系统之间的安全防御
SIS防御的重点是,必须切断所有从实时/历史数据库读取数据的系统对SIS的入侵,这些系统包括MIS、上级主管单位的生产管理系统、在线仿真系统等。在实时/历史数据库与所有读取数据的系统之间应配置数据单向传输的专用隔离装置,它们可以从实时/历史数据库读取数据,但绝不允许反向输入数据。
4.1.2 SIS人机交互的安全防御
SIS的人机交互设备和DCS不太一样,SIS有功能站、值长站、工程师站和监视终端设备等。
功能站可以按照功能分为负荷分配调度站、计算与性能分析站、网络管理维护站、应用软件管理维护站等,这些功能站只要有人机交互,如计算与性能分析站,就要注意防御,一方面是制定好电厂的管理机制,另外还要设计好系统身份识别、访问控制机制和密码安全机制等,防止一般人员擅自进入并改变程序。
值长站可以通过显示器进行监视,但不能操作。监视终端设备同样也只能通过显示器进行监视而不能操作。值长站和监视终端设备没有对外的数据接口,不需要特别防御。
工程师站是对SIS进行维护并可以修改组态的装置,也是外部入侵SIS的可能关口。对于工程师站来说,需要采取和功能站一样的防御措施。
4.2 MIS的安全防御重点
相对于SIS而言,MIS的安全等级略低,可以采取和其他工业企业相同的信息安全防御措施。MIS对外的联系主要有:与上级主管单位进行信息交换,与地区政府部门进行环保数据对接,与公共服务机构进行市场运营等数据交流,与设计单位、建设单位、调试单位、监理单位等进行建设过程中的数据移交,与国际互联网等公共网络进行接口等。只要这些联系的方式是通过电子介质传输,就会存在信息安全的威胁。建设好电厂信息系统与所有外部系统的信息安全屏障,是电厂设计和运行时首当其冲需要考虑的问题。
本文针对电厂关键控制系统和主要信息系统的信息安全防御问题进行了讨论。针对控制系统,主要讨论了DCS、DEH、BPS、ETS和辅助车间控制系统的信息安全重点防御。针对信息系统,主要讨论了SIS和MIS的信息安全重点防御。随着数字化电厂的推进及智能化电厂的建设,电厂信息安全问题必将越来越得到各方重视。AP
The Focus of Information Safety Defense in Power Plant
This paper introduces the three important defense lines for information safety in power plant, and discusses the defensive key of information security in the main automation system of power plant. For the control system, this paper mainly discusses the information safety defenses of DCS, DEH, BPS, ETS and auxiliary workshop control system. For the information system, this paper mainly discusses the information safety defenses of SIS and MIS.
Power plant; Information safety; Defense