国家能源集团乐东发电有限公司 方丰智
我国社会经济在发展过程中,火电厂作为重要能源提供机构,既可以保障区域民生,还可以促进区域经济发展。推广应用热控自动化技术,提升热控系统安全性、可靠性水平,已经成为火电厂经营管理的重点。自动化技术的发展速度快,因此在火电厂生产中的应用频率高,尤其是热控自动化系统,直接影响发电机组的运行。利用过程控制技术、计算机网络技术,全面维护热控网络的安全性。因此,要深入分析热控系统网络安全建设问题,维护火电厂的生产效益。
火电厂热控系统涉及软硬件设施、通信设备等,对于不同的设备来说,其处于不同的运行状态。利用分散控制系统可以保证热控系统的运行效益,提高网络结构的安全性。火电厂在运行过程中,热控系统网络依赖计算机技术,对系统网络安全管理的影响明显。在计算机技术的支持下,能够弥补分散控制系统的缺陷,网络安全管理效果较佳。通过网络安全管理,可以消除“信息孤岛”现象,减少系统的网络安全威胁,保障网络结构的安全系数[1]。火电厂在运行过程中,应当联合应用计算机网络技术、通信技术、分散控制系统,开发网络交换机、计算机网络结构,对系统生产过程进行实时管控,同时提供资源管理、生产管理的数据资料,保障热控系统网络安全,全面提升网络管理水平。
当前,科学技术日益完善,促进了热控保护技术的进步发展,提升了热控保护工作效率,且控制监管范围持续扩大,能够实现全天候监控。受到多方因素影响,百万机组热控系统的故障问题较多,涉及电源、电缆、热控设备,检修人员的技术能力也会引发故障问题。机组热控保护工作中,当受到影响因素干扰后,会引发热控保护问题,致使热控系统误动、拒动,影响机组正常运行。
机组热控保护误动或拒动作的原因如下:第一,在设计热控系统时,与实际情况的差距大,控制逻辑不满足标准要求。第二,保护信号的取信方式差别大,明显不同于配置要求,且保护连锁信号设备标准不达标。第三,安装与调控操作不合理,热控技术的监督与管理不到位。
鉴于以上内容,应当科学检修、维护热控保护系统,提高热控保护的安全性。对于部分火电厂来说,热控保护系统存在较多缺陷,主要表现在软件、硬件方面,养护与管理方法不先进,在使用机械化检修管理方式,始终坚持程序化作业,增加物力、财力的浪费,很难规避安全事故的发生。当火电厂管理人员不了解热控设备时,则会影响管理效果,降低设备质量的合格率,严重影响机组热控保护工作[2]。在日常工作中,须合理划分热控设备检修、维护工作,全面提升机组热控保护工作水平。
2.2.1 主要问题
火电厂内部运行过程中,信息安全可以维护系统安全。当信息安全得不到保证,则会对热控系统应用产生影响。使用信息技术监控时,要充分发挥信息技术安全的优势,以免引发如下问题。
第一,技术人员在使用系统服务器时,计算机终端问题较多,比如存在恶意程序。由于未科学管理系统与设备,致使病毒在设备运行时入侵,对系统安全造成威胁。第二,热控系统操作人员的技术不过关,只会操作老旧系统,对新系统的认知不全面,致使系统安全漏洞多。第三,黑客入侵、攻击等行为,对热控系统检修、防护的影响较大。当发生不良故障问题时,技术人员很难探究故障原因,也不能准确定位故障位置,导致后续使用的不良问题较多。第四,热控系统运行过程中,系统协议、场内监控信息未隔离。此外,火电厂使用落后的防火墙设施,很难引入协议机制,导致防火墙的防御作用不理想。
2.2.2 热控系统感染病毒的实例分析
火电厂结合热电系统、分散控制系统,全面分析网络安全的管理事项,明确薄弱环节的缺陷,从根本上消除不良影响。如网络入侵事件、分散控制网络安全管理不到位等。如果无法及时改进与处理,则会严重威胁热控系统网络安全。
结合网络入侵防范能力分析,分散控制系统网络的人机接口,仍然以工业模式的USB接口、光盘方式为主[3]。但是在热控系统内,外部病毒容易入侵网络结构。针对分散控制系统来说,技术人员配置Windows系统。但由于系统的运行时间比较长,因此无法按时安装、更新补丁,容易出现蓝屏、死机等现象,严重威胁系统的运行效益。在分散控制系统的网络体系中,技术人员没有安装防火墙、安全隔离网,也未切断网络结构的电路,致使内外部线路互联,增加网络入侵隐患,还会对热控系统的网络安全产生负面影响。图1为热控系统病毒传播过程。
图1 热控系统病毒传播过程
对于网络安全态势感知来说,必须在网络环境下感知风险,以安全大数据作为基础,高效识别和处理安全隐患。对于网络空间出现的安全挑战,则必须获取信息数据平台支持,发挥出网络安全态势感知技术的各项作用,掌控网络安全状态,做好科学规划与响应工作。
在网络态势感知系统中,涉及主站系统、采集装置。在不同层次设置布设主站系统,对网络安全进行实时化监测,同时具备日志审计功能、预测分析功能。在各级调控中心、各级发电厂、局域网内部,则布设采集装置,采集和分析系统网络安全数据,并且与主站系统完成通信。主站系统、采集装置,均采用数据网络实现通信[4]。
通过网络流量,能够充分反映出网络性能特点,从而采取科学的流量控制策略。针对交换器端口,则要配置限制数据流量功能,避免数据信息被大量转发,从而出现网络通信拥堵现象。分散控制系统运行过程中,如果出现网络接口故障、虚拟断点闭合故障,就会增加网络数据发送负荷。火电厂采用分散控制系统时,需要通过光纤通道、智能交换机,形成冗余双环网结构,保证两条环形网络同步运行。交换机负责数据的存储、转发功能,因此在网络系统中的作用显著。在公用系统网络中,机组网络交换机、核心交换机,均要满足系统网络运行要求。分散控制系统运行期间,技术人员要定期升级交换器。对于网络故障隐患,则要完善在线监测功能、报警功能,高效处理不良现象,避免扩大事故范围。对于故障产生成因,交换器厂家应当使用以太网标准协议,减少极端环境下的网络回路缺陷,切实保护网络安全。
参考分散控制系统的画面,推测网络回路状态,持续转发并重复数据,严重影响画面监控功能,容易造成网络通讯瘫痪。技术人员处理时,参考电厂主流网络结构,对现有网络通讯结构进行调整。公用系统、1#、2#机组为对等地位,分支控制系统处于独立状态。针对1#、2#机组交换机,则改为热备用关系。针对其他子系统,则接入网络体系内,设置单向隔离装置。分支控制系统,占据虚拟网络,若未经过路由,则无法实现跨网络访问。通过设置虚拟网段,可以确保各分支控制系统的独立性。
应用此类结构,既可以确保1#、2#机组数据的物理隔离效果,还可以扩展公共网络,形成多功能应用系统。因此,将火电厂划分为若干个功能区,电厂控制1区,选用最优安全隔离法,投入独立控制系统。人孔系统运行过程中,技术人员将其分为引水网安全管理、主控安全隔离等区域。针对安全隔离网关来说,技术人员主要部署SIS接口,通过隔离网络,可以将热控系统连接在一起,快速转化协议。当SIS接口出现病毒时,基本不会对其他结构产生影响,保障热控系统的运行安全,特别是网络安全。图2为热控系统最优安全隔离域。
图2 热控系统最优安全隔离域
火电厂要持续加强边界防护能力,高度重视内部网络管理,加强热控系统的防护效果。对于火电厂来说,热控系统的分布位置分散,并由不同部门管理,因此很难对计算机终端操作进行限制,无关人员可以随意接入非授权设备,从而影响热控系统的网络安全。当网络安全管控效果不佳,很难确保计算机终端的安全。针对热控内部网络体系来说,计算机终端涉及较多安全隐患,逐步威胁到内部网络安全。对此,技术人员应当保障热控系统安全,尤其是网络安全,这已经成为火电厂的发展挑战。
热控系统运行过程中,针对网络安全问题,要求技术人员做好准入控制工作,将其作为安全管理要点。通过准入控制技术,技术人员能够对终端状态进行监控,远离危险终端。在准入控制技术、网络安全技术的支持下,可以积极防范安全隐患,保证热控系统的安全性,降低事故率。与信息系统网络管理相比,热控系统网络的结构、流量多。如果网络准入控制平台不完善,就要投入网络管理软件、工控卫士软件,提高热控系统网络的规范性水平,减少安全隐患。利用网络管理软件,能够提高网络拓扑的可视化水平。参考最优安全隔离域名,做好VLAN的划分工作,同时绑定MAC地址,关闭交换机端口。
火电厂提高安全管理水平,严格控制交换机访问,将空闲端口进行关闭,这样可以避免IP冲突问题。对于热控系统来说,操作员站点、服务器均要设置白名单,主机可允许应用软件运行,对其他软件运行进行组织,避免执行恶意代码,减少非法外联现象[5]。通过白名单软件,可以阻止高风险设备接入,如USB设备、移动硬盘。
火电厂热控系统内,需要采集输煤系统运行数据。在具体运行中,病毒入侵或攻击运行系统,会利用SIS接口感染整个内部结构系统,导致病毒扩散到SIS结构内,攻击每台运行计算机,出现蓝屏、死机问题,导致火电厂运行崩溃。针对此种情况,要持续加强热控系统的内部结构管理效果,将电厂划分为不同工作区,隔离电场的数据安全,同时在不同区域内设置独立运行系统,将电厂热控系统分为安全隔离区、其他安全隔离区。不同等级区域的划分,将SIS接口位置设置安全隔离网关,以隔离网关方式转换热控系统的数据,防止SIS接口位置出现病毒感染现象,规避整个网络系统结构的病毒感染问题。
综上所述,为了加强网络安全防护能力,火电厂要建设热控系统网络安全架构。投入前期,应当密切监测网络系统运行的安全性,要展示出网络系统的安全价值。同时,技术人员负责监管热控系统的安全行为,完善火电厂的安全结构,推动火电厂的高效化发展。