大型火力發(fā)電廠工控系統(tǒng)安全防護管理體系研究

1、    大型火力發(fā)電廠工控系統(tǒng)安全防護管理體系研究    耿少輝摘 要：目前，火電仍然是我國電能的重要來源。加強火力發(fā)電廠方面的研究，有助于保證人們的用電安全。而信息技術(shù)的高速發(fā)展給大型火力發(fā)電廠工控系統(tǒng)信息安全帶來了巨大挑戰(zhàn)，而國內(nèi)外層出不窮的工控安全事件將工控安全防護建設(shè)提上了日程。本文闡述了近年來國內(nèi)外工控安全事件及我國在工控領(lǐng)域發(fā)布的法規(guī)文件，分析了現(xiàn)階段大型火力發(fā)電廠工控系統(tǒng)安全方面存在的問題和挑戰(zhàn)，以及結(jié)合當(dāng)前網(wǎng)絡(luò)安全防護水平，從管理和技術(shù)角度提出了現(xiàn)階段可行的大型火力發(fā)電廠工控系統(tǒng)安全防護體系提升手段，并分析該防護體系，對發(fā)電廠工控系統(tǒng)整體

2、安全防護水平提升的意義。關(guān)鍵詞：發(fā)電廠；工控系統(tǒng)；安全防護體系引言：當(dāng)前背景下，經(jīng)濟的發(fā)展，對電能的要求越來越高。在大型火力發(fā)電廠中，工控產(chǎn)品也越來越多采用通用軟件及通用協(xié)議，工控系統(tǒng)以各種方式與外界網(wǎng)絡(luò)聯(lián)通，高度信息化使得工控系統(tǒng)更容易受到病毒、木馬的攻擊。另一方面，發(fā)電廠工控系統(tǒng)的穩(wěn)定性、實時性、可靠性要求又限制了網(wǎng)絡(luò)安全技術(shù)的應(yīng)用，給安全防護帶來了巨大的挑戰(zhàn)，導(dǎo)致發(fā)電廠工控系統(tǒng)信息安全問題日益突出。1大型火力發(fā)電廠工控系統(tǒng)安全防護現(xiàn)狀目前，我國的各大型火力發(fā)電廠工控系統(tǒng)安全防護水平已有明顯提高，工控安全防護技術(shù)手段進一步完善，各電廠均按規(guī)定進行安全防護，網(wǎng)絡(luò)安全設(shè)備的配置進一步完善。但是

3、在工控系統(tǒng)安全管理方式及技術(shù)手段上還存在一系列的不足：運維管理存在不足，安全職責(zé)劃分不清，問題整改不到位，設(shè)備管理臺賬記錄不全；網(wǎng)絡(luò)配置管理不完善，網(wǎng)絡(luò)拓撲圖未能及時更新，與實際情況不一致，工控系統(tǒng)設(shè)備清單不全；應(yīng)急預(yù)案可操作性差，流于形式，預(yù)案演練的效果及經(jīng)驗總結(jié)不到位，滾動修編等工作未有效開展等。這些問題的存在，都制約了大型火力發(fā)電廠工控系統(tǒng)安全防護的提升。2大型火力發(fā)電廠工控系統(tǒng)安全防護體系2.1提升大型火力發(fā)電廠工控安全防護水平2.1.1加強工控網(wǎng)絡(luò)安全監(jiān)測系統(tǒng)建設(shè)工控網(wǎng)絡(luò)安全監(jiān)測系統(tǒng)能發(fā)現(xiàn)工控環(huán)境中的惡意攻擊流量、非法操作流量、異常流量等，及時發(fā)現(xiàn)工控環(huán)境中的風(fēng)險。網(wǎng)絡(luò)異常檢測功能基

4、于對工控協(xié)議的通信報文進行采集與深度解析，對當(dāng)前工控協(xié)議通信行為與基線進行對比，對偏離基線的行為進行檢測并告警。例如：異常指令操作、非法設(shè)備接入、異常訪問關(guān)系等告警。2.1.2加強it監(jiān)控系統(tǒng)建設(shè)利用sis系統(tǒng)現(xiàn)有的成熟產(chǎn)品和組件，通過對生產(chǎn)控制大區(qū)的it資產(chǎn)的接口部署及配置，對it設(shè)備運行數(shù)據(jù)進行實時自動采集，包括：電力調(diào)度網(wǎng)絡(luò)運行狀況、sis系統(tǒng)服務(wù)器運行狀況、sis系統(tǒng)生產(chǎn)數(shù)據(jù)采集接口運行狀況、生產(chǎn)控制大區(qū)服務(wù)器軟件系統(tǒng)運行狀況、服務(wù)器硬件運行狀況、服務(wù)器網(wǎng)絡(luò)通訊狀況、各關(guān)鍵交換機路由器運行狀況等。能夠?qū)σ陨蠑?shù)據(jù)的長期可靠存儲及建模，實現(xiàn)利用sis系統(tǒng)客戶端快速方便的查看以上數(shù)據(jù)的歷史趨

5、勢及最新數(shù)據(jù)變化情況，以便在發(fā)生故障之后可以利用歷史數(shù)據(jù)進行故障原因分析。2.1.3加強工控防火墻建設(shè)使用工控防火墻將各工控opc和sis接口機之間的鏈接進行邏輯隔離，工控防火墻在繼承了傳統(tǒng)防火墻的基礎(chǔ)功能外，結(jié)合工控網(wǎng)絡(luò)特點，可更深層次的防護工控網(wǎng)絡(luò)中的攻擊。采用透明模式部署，并開啟故障旁路功能，不改變原有的網(wǎng)絡(luò)拓撲，確保正常業(yè)務(wù)不受影響；通過對工控協(xié)議深度分析，制定相應(yīng)的工控網(wǎng)絡(luò)訪問控制策略，有效防止網(wǎng)絡(luò)內(nèi)異常流量通過，保證網(wǎng)絡(luò)安全。2.1.4加強工控安全管控體系建設(shè)這要求不斷完善管理制度建設(shè)，明確責(zé)任分工，信息部門加強技術(shù)監(jiān)督，工控設(shè)備部門加強防范意識，在“兩化”融合趨勢下，打破傳統(tǒng)專業(yè)

6、分界壁壘，協(xié)同開展工作，進一步落實電力監(jiān)控系統(tǒng)安全規(guī)范，嚴格執(zhí)行外來人員、外接設(shè)備、外接介質(zhì)管理，加強補丁、防病毒管理，并注重工控與信息安全的復(fù)合型技術(shù)人才培養(yǎng)。建立健全工控系統(tǒng)安全防護全生命周期管理體系，將信息安全防護滲透到可研、設(shè)計、施工、調(diào)試、運行等各階段工作中，實現(xiàn)全方位、全過程的覆蓋。在工控系統(tǒng)上線運行前或機組檢修期間開展以漏洞掃描為主體的系統(tǒng)風(fēng)險評估，通過安全運維服務(wù)工具就地對工控系統(tǒng)和網(wǎng)絡(luò)進行安全掃描。包括操作系統(tǒng)漏洞掃描、組態(tài)軟件漏洞掃描；機組主控dcs包含的dpu以及機組輔控plc等控制器漏洞掃描。建立健全工控事件應(yīng)急工作機制，預(yù)防為主、平戰(zhàn)結(jié)合、快速反應(yīng)、科學(xué)處置，加強風(fēng)險

7、監(jiān)測，開展信息報送和通報，提高工控安全事件應(yīng)急處置能力。2.2大型火力發(fā)電廠工控系統(tǒng)安全防護效果2.2.1上線前安全檢測在系統(tǒng)上線前完成對整個工控區(qū)域信息安全風(fēng)險分析、安全漏洞評估等管控措施，實現(xiàn)對系統(tǒng)中存在的安全風(fēng)險提前驗證，以便在上線前對工控系統(tǒng)按照國家法令、行業(yè)規(guī)范進行安全加固，并把對工控系統(tǒng)的穩(wěn)定性影響降到最低。2.2.2運行中異常行為檢測基于對工控協(xié)議的通信報文進行采集與深度解析，利用人工智能算法建立工控通信模型基線，實現(xiàn)對工控網(wǎng)絡(luò)異常行為進行檢測及告警，及時發(fā)現(xiàn)網(wǎng)絡(luò)攻擊，減少系統(tǒng)停運風(fēng)險，并可以為安全事故的調(diào)查，提供詳實的數(shù)據(jù)支持。2.2.3運維過程安全管控建立工控網(wǎng)絡(luò)連接實時視圖

8、，圖形化顯示監(jiān)控范圍內(nèi)的所有it設(shè)備信息、網(wǎng)絡(luò)連接信息，實現(xiàn)對工控設(shè)備的實時安全管控，并可實現(xiàn)對it設(shè)備運行歷史數(shù)據(jù)的長期存儲，提高工控網(wǎng)絡(luò)故障分析能力及安全管理效率。結(jié)束語：總之，加強工控系統(tǒng)安全防護管理體系研究，對大型火力發(fā)電廠的發(fā)展有重要意義。本文通過對發(fā)電廠工控系統(tǒng)安全現(xiàn)狀分析，指出現(xiàn)階段大型火力發(fā)電廠工控系統(tǒng)所面臨的信息安全風(fēng)險，并根據(jù)這些風(fēng)險提出了相應(yīng)的安全防護思路，介紹了現(xiàn)階段可行的工控系統(tǒng)信息安全防護手段，在管理和技術(shù)角度建立行之有效的工控系統(tǒng)防護體系。參考文獻：1王鐘瑋. 大型火力發(fā)電廠前期管理與投資控制的研究j. 建材與裝飾，2015（48）：145-146.2賈鵬飛. 大型火力發(fā)電廠鍋爐事故的預(yù)防措施j. 技術(shù)與市場，2015，22（06）：299+301.3朱世順，黃益彬，朱應(yīng)飛，張小飛. 工業(yè)控制系統(tǒng)信