探讨智慧电厂下的数据网络安全体系

朱磊

（国家能源集团上湾热电厂，内蒙古 鄂尔多斯 017293）

0 引言

智慧电厂是我国电力事业不断改革发展的产物，更是提升电厂现代化发展的关键所在。智慧电厂的运行要从安全、生产及设备等几个方面的智慧进行思考，全面构建起电厂的智慧运行。数据网络安全问题是影响智慧电厂安全、可靠运行的关键所在，如何处理好该问题，需要电厂针对自身实际情况，构建起数据网络安全体系，确保智慧电厂的可持续发展。因此对于智慧电厂下的数据网络安全体系进行研究具有重要意义。

1 项目概述

国家能源集团该项目为此电厂的二期扩建工程，二期扩建工程总装机容量2×660MW，直接空冷发电机组。此次智能化电厂建设项目结合集团先进管理理念，通过云、大、物、移、智等新型技术手段，以需求为导向，实现智能化生产运行、主动安全管理和智能经营与决策等，在数据融合和技术融合的基础上，打造一体化管控平台，实现应用融合和安全融合，解决电厂各项生产经营管理问题[1]。为了更好达到智能化电厂建设目标，从以设备为中心的生产管理、以人为中心的安全管理和以财务为中心的经营管理三个方面，开展智能化电厂研究与建设工作。智能DCS系统建设是在机组DCS功能基础上，通过网络结构调整、智能硬件部署，形成智能发电运行控制平台。通过智慧电厂的建设，数据网络安全问题成为人们关注的重点，因此本文在该案例基础上，就智慧电厂下的数据网络安全体系进行介绍。

2 智慧电厂下的数据网络安全风险

2.1 互联网风险

智慧电网对于互联网的依赖性较高，尤其是在连成广域网之后，受到外部安全攻击的概率增加。安全攻击主要有网络病毒、钓鱼工具、等“黑客”手段，所以这些问题也成为智慧电厂数据网络安全风险的主要来源[2]。

2.2 内部网络风险

内部网风险是网络安全事件的主要来源，内部网络风险面临着更加严峻的形势。智慧电厂员工的不当操作，或者监管不力都会对内部网络安全造成极大影响，比如信息泄露、系统遭受攻击等。

2.3 安全监管风险

网络安全监管是确保智慧电网网络安全运行的重要手段，但是就目前来看，此电厂在一期项目中网络安全方面还是比较薄弱的，无法构建起网络安全体系，监管方法、技术等相对比较落后，无法为智慧电厂网络安全运行提供可靠支持。

3 智慧电厂下的数据网络安全体系的构建

针对新型的智慧电厂，需要在数据网络安全体系的构建过程中，该项目管理人员已经认识到数据网络安全的重要性，针对实际情况，制定可靠的构建策略。下面就对智慧电厂下的数据网络安全体系进行介绍：

3.1 系统建设方案

数据网络安全监管系统通过大数据的应用，构建起开放的平台架构设计，为便于模块的灵活布置，应用接口更为业界通用。系统架构可以分为展示层、监测层、大数据层、接入层与感知层五个模块[3]。在平台功能设计时，数据网络安全监管系统的应用，需要对安全风险进行识别与评估。在对网络漏洞进行挖掘时，需要通过端口扫描等途径，与指纹进行匹配，能快速对网络服务存在的安全隐患或者脆弱点进行分析，最终形成漏洞结果。通过威胁评估，可以对安全风险进行精准识别，并最终在系统应用下，将监测结果直观呈现出来。建设智慧化电厂统一网络安全保护平台，建立协同安全保护中心，实现网络空间立体协同防护，网络安全业务实现模块按需部署，集中实现网络边界接入安全保护、边界防火墙与入侵保护，有效管控非法外联与非法入网；内部网信空间的上网行为安全审计机制，有效处置内网病毒、系统漏洞缺陷及系统维护操作的安全隐患，建立边界保护、区域内网空间统一安全防护、网络通信传输加密保护，网络资产运行状态可实时监测的统一网络安全保护机制，实现网络安全统一监测指挥、各安全业务模块化具体负责安全事件处置的统一网络安全保护机制。

3.2 运用到的核心技术

智慧电厂下的数据网络安全体系的构建会运用到大数据技术、数据融合技术等几种技术，具体如表1所示。

表1 核心技术

3.3 漏洞挖掘

在对漏洞进行挖掘期间，可以通过漏洞挖掘检测系统的应用，为工控安全漏洞库及设备库等提供丰富、全面的工控协议测试用例库、模糊测试引擎。常见的工控协议主要包括Modbus、Profinet等，通过定制开发与协议智能测试等，对私有位置协议模式提供具体解决方案[4]。

智慧电厂利用漏洞挖掘系统，可以对漏洞产生的根源进行精准定位，对攻击原理进行梳理，然后捕获数据包，这时可以对所捕获的数据包进行漏洞分析[5]。这样管理人员可以对数据进行修改，然后从数据包的分析结果出发，开展性能测试工作，并最终找到漏洞出现的根本原因。当有潜在的网络数据信息安全漏洞时，能快速识别漏洞，评价漏洞等级，并具有针对性的进行完善。

3.4 工控协议漏洞分析

工控协议漏洞分析的基本原理是模糊测试，模糊测试在实际应用中的方法主要有预生成测试用例、自动协议生成测试、随机生成输入等几种。以模糊测试为基础，构建起通信协议动态随机分析测试框架，对同性协议健壮性检测评估系统进行建设。通过这样的方式对工控协议漏洞进行分析。

3.5 脆弱点分析

智慧电厂在进行脆弱点分析时，需要使用静态扫描、模糊测试等综合方法，通过静态扫描对被测系统进行扫描，然后呈现匹配的报告。对于业务逻辑的脆弱点，则可以在逆向还原的方式下发现。在对程序进行测试时，可以利用Fuzz技术实现，对程序执行的状态进行测试，将可能存在的bug数据记录进行筛选，精准定位漏洞脆弱点。

3.6 威胁评估

智慧电厂通过威胁评估，对存在的网络数据安全问题进行及时发现，分析的主要模块为威胁分析、流量分析等几个模块。该平台在实际应用中，支持的工控和IT协议数量达到70种，对网络安全控制中的系统、设备等中的威胁因素进行有效识别，然后可以地网络安全风险进行评价，将漏洞分析在报告中进行详细分析，为管理人员提供可靠参考。

3.7 智能报警

智能报警应综合采用机理建模、数据分析、人工智能等先进技术，优化报警能力，大幅度减少无效报警，快速定位报警根源，保证操作人员有足够的响应时间，并能够提供适当鉴别信息和做出指导，提高机组的监控品质。智能报警的软硬件要求具体如表2所示。

表2 软硬件要求

3.8 工业防火墙及隔离装置

原有的防火墙无法满足新的网络数据安全问题，需要使用工业防火墙，对原有的防火墙就代替，并增加工业隔离器，采用横向隔离，纵向加密等手段确保网络攻击无法获进入工控系统内，在简单的ACL控制下，无法对各类攻击进行有效应对，但是工业防火墙在应用之后，能将网络中的攻击流量进行深层次的检测。工业防火墙在关键系统与非关键系统的隔离过程中，能通过分离SIS系统网络及控制系统网络完成此项工作。

4 结语

智慧电厂是我国电力事业改革的重要步骤，通过智慧电厂的建立，能提升电厂的生产与运营水平，为我国特色社会主义事业建设提供支持。数据网络安全问题成为影响智慧电厂发展的关键所在，因此需要针对实际情况，制定数据网络安全体系，确保智慧电厂的可靠、安全运行，减少由于网络数据安全而造成的经济损失，实现我国电力事业的可持续发展。