引调水工程控制系统及信息安全防护设计思考

李连全，李润伟

(河北省水利水电勘测设计研究院，天津 300250)

0　引言

我国北方各地水资源短缺、不平衡，为应对这种情况，近年来各地陆续实施了引调水工程[1-2]，典型工程为南水北调及其配套工程。这些工程均依据安全输水、精确量水原则思想，设置了不同级别的工业控制系统和网络安全系统[3-4]。因工程规模、工程等别、投入资金及设计者的不同，设计情况差别较大[5]。目前引调水工程中的安全控制系统中一般设置网闸、硬件防火墙，但设置位置和设置数量原则不统一，个别工程设计中仅设置有硬件防火墙。结合工程设计经验，针对大中型引调水工程控制系统和信息安全领域，本文提出了一种在正常运行工况下具有三层级架构的安全控制系统。

1　控制系统设计原则

(1)按“无人值班，少人值守”方案进行设计，既可实现站内监控，又能实现远程调度中心监控。

(2)系统采用成熟、可靠、标准化的硬件、软件、网络结构和系统，确保系统响应速度快、可靠性高、可维护性好、经济成本低、扩展性强。

(3)系统采用全开放、分布式系统结构，系统配置和设备选型能够适应计算机技术迅速发展的特点，具有先进性和向后兼容性，以充分保护用户的投资。

(4)系统采用冗余容错设计，重要的单元或模件采取冗余配置的方式，提高系统可靠性。

2　控制系统组成

2.1　系统总体结构

工程监控系统总体结构可以分为远程监控系统和现地监控系统两个部分，如图1所示。远程监控系统分为调度中心远程监控、管理处监测子系统，其中，调度中心远程监控实现工程总体指挥调度功能；管理处监测子系统实现所辖范围内工程应急调度和监测功能。现地站监控服务分为现地集中监控系统和现地站监控系统，其中，现地集中监控系统实现现地站全站集中控制功能；现地站监控系统实现现地设备现场控制功能。

图1　系统总体结构图

工程监控系统采用统一的调度监控服务平台架构。根据调度中心、管理处和现地站具有的业务需求，均需要监测功能；同时调度中心、现地站还需要控制功能。即：工程监控系统采用 “调度中心、现地站”二级控制模式。

对于关键监控平台节点采用冗余配置，例如泵站、重要闸站控制系统。远程监控系统与PLC之间采用专网进行数据交换。

现地监控系统与远程监控系统采用统一的软件平台，以保证数据的一致性、完整性以及无缝连接。

2.2　系统应用结构

根据系统的应用需求，整个系统的应用结构可以分为三层：调度中心、管理处、现地站。

调度中心是集中监测和实时控制中心，也是管理、维护中心。

管理处是该管理处所管辖范围的集中监测以及管理、维护中心。

现地站主要用于现场操作人员对本地设备的监测和控制，同时负责采集本地各种设备的实时信息，并及时通过专用数据通信网络将信息上传，接受并执行上层系统下发来的控制指令等。

根据调度需要，监控系统从总调中心、现地监控站都能够直接对现场设备进行监控。

2.3　系统配置结构

为了建立整个系统，需要在调度中心、管理处、现场站配置各种硬件设备和软件系统，建立各层监控系统；然后通过一个专用的数据通信网络，将各层监控系统有机地进行联结，建立一个统一、完整的监控应用系统，系统配置结构如图2所示。

3　系统总体控制功能

引调水工程的现场被控设备主要为闸门、泵、阀门等，按照控制方式分类，闸门控制方式分为两种：手动和自动。

(1)手动方式：只有在现地通过手动装置，能够进行泵、闸门、阀门控制。

(2)自动方式又分为远程控制和现地控制。

① 现地方式下，只能通过现地工控机或触摸屏进行泵、闸门、阀门控制。

② 远程方式下，调度中心通过工控机进行泵、闸门、阀门的远程控制。

图2　系统配置结构图

系统在正常情况下，控制方式为远程方式。对于控制权限，依据就近原则以及控制安全要求，现地控制的优先级最高，远程次之，即：现地闸(泵、阀)站级别最高，调度中心次之。当不同级别的用户控制同一闸门(泵、阀门)时，级别高的用户优先获得控制权。

根据调水业务需要、用户业务管理需要和“集中控制”原则，调度中心具备调度权限和权限管理功能。

一般情况下，闸(泵、阀)站按照调度中心下发的调度指令对闸门(泵、阀门)进行启闭操作，以满足沿线分水和等压力控制要求。

当遇到紧急情况时，一方面，闸(泵、阀)站可根据实际情况对本闸(泵、阀)站进行启闭操作；另一方面，可启用区域应急调度监测系统进行区域集中调度监测，同时发出告警信息，报告紧急情况和处理操作，以便调度中心应急调度系统自动制定应急调度方案，各闸(泵、阀)站按照应急调度指令对闸门(泵、阀门)进行统一的启闭操作。

4　信息流程

系统的信息流程分为监测信息流程和控制信息流程两类，监测信息流程是自下而上，控制信息流程为自上而下。

4.1　监测信息流程

(1)正常情况下，调度中心直接与各现地监控站通信，从现地监控站获取所需数据信息。

监测信息的传输是自现地监控站(泵站、闸站、阀站)至调度中心，由调度中心经由业务内网至管理处。监测信息流程如图3所示。

图3　正常监测信息流程图

(2)非正常情况(应急状态)下，区域应急调度站与各现场监控站通信，从现场监控站获取所需数据信息。

监测信息的传输是自现地监控站(泵站、闸站、分水口门)至区域应急调度站。

监测信息流程如图4所示。

图4　非正常监测信息流程图

4.2　控制信息流程

控制信息主要包括调度指令、控制指令、权限控制信息、配置信息、请求信息等。

(1)正常情况下，调度中心直接下发调度、控制指令到现地监控站。管理处不具有调度控制权限，但可以自调度中心获取调度、控制指令信息。

管理处可按照本身的权限，通过相关的数据库，取得和访问监测数据和历史数据。控制信息流程如图5所示。

图5　正常控制信息流程图

(2)非正常情况。

① 总调中心至现地站的连接发生中断时，总调中心以其他通信方式直接下发调度指令到现地站。由现地站依据调度指令对本站设备直接进行控制。

② 当总调中心无法下发调度指令到现地站时。此时由区域应急调度站(管理处)对所属区域的现地站进行统一调度。区域应急调度站向所辖现地站发送调度指令，由现地站依据调度指令对本站设备直接进行控制。

5　通信网络及安全防护

5.1　通信网络

为了建立一个统一、完整、安全、可靠、稳定、高效的工程监控系统，必须配置一个专用的控制数据通信网络，以便实现调度中心监控系统、区域应急调度监测系统、管理处监测系统以及现地监控系统之间的数据交换。

(1)应用网络结构

从物理结构上看，该网络系统可以分为三层：总调中心层、管理处层、现场网络接入层，如图6所示。

根据对计算机网络系统承载信息的分析和网络流量、流向分析，本工程按控制专网、业务内网和业务外网组建计算机网络系统。

① 控制专网用于承载实时性要求最强、安全性要求最高的泵、闸站、阀门的监控信息，即承载闸站、阀门监控系统的信息。

② 业务内网用于承载各类应用系统及视频监视系统的信息。

③ 业务外网用于承载互联网的信息。

三个网络之间由网闸或防火墙隔离。控制专网的安全性要求最高，需要做到物理隔离，通过物理网闸实现与业务内网隔离；控制专网不与业务外网相连，业务内网与业务外网之间通过防火墙实现信息互访。

(2)系统功能

本系统可以分为三层。

① 第一层：上端监控层

上端监控层主要包括在调度中心、管理处所建立的远程工程监控系统。

② 第二层：网络通信层

网络通信层主要包括两部分：

局域网通信：包括上端监控层中的调度中心的本地局域网通信以及现场监控站点内部的局域网通信。

图6　应用网络结构图

远程通信：包括调度中心、现场监控站之间的远程数据通信。调度中心与现场监控站之间的通信采用专用控制网。

③ 第三层：本地监控层

本地监控层(现地控制单元级)由PLC、智能仪表、传感器、变送器、执行机构、专用数据(信息)采集设备以及通信设备等组成，独立完成本地监控点的数据采集、控制和管理功能。同时，通过网络通信，为上端监控系统提供可靠的现场实时数据，以及接受上端监控系统发来的控制和参数设定指令。

(3)网络逻辑结构

从逻辑结构上看，该网络系统具备扁平化结构，网络上的所有节点都可以相互访问(在具备权限的前提下)，即：调度中心可以直接访问到现场的PLC，可以直接将控制指令下发到现场监控站；现场监控站或PLC可以直接上传数据到调度中心。

5.2　安全防护

系统采用多级安全措施，组成一套完善的安全体系，以保证系统运行过程中的安全。系统的安全措施分为五级：设备级、网络级、操作系统级、数据库级和应用级。

(1)设备级

设备级安全防护包括信息安全防护和功能安全防护。信息安全防护方面，在关键设备PLC上，设置密码保护，通过验证用户身份和权限，防止非法用户的访问和操作。功能安全防护方面，在编写PLC控制逻辑时,从荷重保护、限位保护和过载等多个方面来避免一些特殊情况可能对设备造成的危害，通过功能安全的防护措施，从而保证系统遭受非法入侵时也不会造成严重的控制设备损坏。

(2)网络级

系统运行于控制专网，控制专网具有完善的网络安全防护措施，确保网络运行安全和网上传输数据的安全。

设置防火墙，在区域边界实现流量的深度监测、防范常见网络攻击、提供基于某些特征(如IP地址、URL及某些应用)的过滤等功能，根据不同安全域部署多级防火墙。为了实现数据通信的安全性，第一级防火墙应具备VPN网关(IPSec和SSL)功能。考虑到业务内网与互联网互联，来自外界的安全风险较大，因此建议部署二级防火墙，而且第一级防火墙、第二级防火墙与入侵检测系统实现联动。

控制专网与业务内网、业务内网与业务外网之间，以及业务内网与其他水利机构的内网之间，在核心节点部署网闸，实现有效隔离。

(3)操作系统级

系统选用安全性能较好的Linux操作系统，并加装病毒监控系统。在系统运行前和运行中，要经常对操作系统进行安全漏洞检查和系统加固，以免因操作系统漏洞而影响监控系统的安全。

(4)数据库级

在数据库中为系统设置了访问数据库的用户和密码，即数据库账户。只有数据库账户才能对数据库进行访问。另外，面向普通用户的系统不直接访问数据库，而是通过系统服务访问数据库，这样相当于在普通用户和数据库间增加了一道保护屏障，从而防止数据库漏洞导致数据库直接裸露在用户面前的风险。

(5)应用级

系统为用户设置密码和相应权限，每个用户在进入系统时，都要经过身份和权限的认证。另外，系统在服务层的监控对象内也设置了用户和口令，对每个访问和操作监控对象的用户及其权限进行进一步的认证，从而保证非法用户无法登入系统，

登入用户无法从事越权操作。

6　结束语

引调水工程中广泛采用自动化控制系统，并且普遍采用PLC控制，具有控制层级多、控制方式多样、控制权限设定复杂等特点。随着国家对工业控制领域网络信息安全的重视，信息安全设计已提升到一个新的高度。本文结合工程实际设计情况，针对引调水工程控制和网络安全，提出一个具有普遍性和实用性的设计方法，对其他引调水工程的设计具有一定的借鉴性。

[1] 杨铁树,张同生.河北省南水北调配套工程监控系统设计特点[J].水科学与工程技术,2015(3):52-55.

[2] 于国安,宋厚清,孙水英，等.胶东供水工程通信与自动化系统设计研究[J].水利水电技术,2003,34 (5):60-62.

[3] 李劲.大型调水工程信息安全解决方案研究[J].电信技术,2014 (11):99-104.

[4] 詹全忠.水利网络与信息安全体系基本技术要求[J].信息网络安全,2010 (6):85-86.

[5] 叶茂，刘盈斐，王冠华.水利科研院所信息安全等级保护测评及制度探讨[J].水利技术监督,2014,22(6):39-42.