(神华亿利能源有限责任公司电厂内蒙古014300)
摘要:随着国家基础建设的快速发展,电力行业迎来了前所未有的建设高潮。截至到2016年6月底,全国发电总装机容量超过15.2亿千瓦,其中火电装机容量10.2亿千瓦,煤电高达9.2亿千瓦。大容量高参数发电机组在电网中的比例越来越高,百万千瓦级机组的数量牢牢稳居世界首位,大型机组在电网中的安全稳定性直接关乎到供电的可靠性,大型电厂的信息安全也越发重要。处理好电厂控制系统和信息系统的安全,已经受到相关各方的关注。信息安全,已不仅仅是每个电厂需要重视的问题,还关系到电厂所在地区和国家的安全。
关键词:电厂;信息安全;防御重点
1、关键控制系统的信息安全防御
1.1DCS的安全防御重点
电厂机组普遍采用DCS。DCS是电厂覆盖工艺系统最多,控制面最广的控制系统。DCS直接参与生产过程控制,是电厂安全运行的基本保障。对于DCS来说,信息安全的防御点主要在三个方面,一是DCS与供货厂商之间的安全防御,二是DCS与其他系统之间的安全防御,三是DCS人机交互的安全防御。
1.1.1DCS与供货厂商之间的安全防御
首先讨论DCS与供货厂商之间的安全防御。随着计算机技术、网络技术、通讯技术的迅猛发展,DCS厂商可以轻而易举地获取其供应的DCS的所有数据,也可以采取一定的手段对其所供的DCS进行远程控制,这显然存在安全隐患。尤其是目前一些百万千瓦机组的DCS多采用国外进口产品,其中隐含的安全问题不容忽视。该安全不仅涉及电厂本身,一旦遇到战争等国际社会动荡等情况,还会危及地区和国家的安全。妥善处理并杜绝电厂DCS与产品供货商之间的信息安全隐患,是当前容易忽视的问题,需要提醒电厂建设方和设计方高度重视。
1.1.2DCS与其他系统之间的安全防御
其次讨论DCS与其他系统之间的安全防御。DCS是机组的主要控制系统,但并不是覆盖全部机组工艺的控制系统。比如DEH、旁路控制系统(BPS)、汽机危机遮断系统(ETS)等。如果这些控制系统未能纳入DCS,则与DCS之间就有数据接口,但由于这些系统和DCS一样处于同一个安全大区,来往数据已经严格过滤,因此无需特别防御。
需要特别防御的是DCS与SIS之间的信息传输。DCS与SIS之间有大量的数据交换信息。目前的设计方案是,SIS与DCS之间应配置数据单向传输的专用隔离装置,严禁SIS向DCS发送除采集数据所需通讯协议以外的任何信息。DCS的数据可以上传至SIS,但SIS的数据不能直接下传到DCS。
对于SIS需要完成负荷分配控制功能的电厂而言,必须满足一定的前提条件并采取特别的设计方案。前提条件是:电网调度必须是调厂而不是直接调机组。设计方案是:此时的负荷控制命令应当由值长判断决定后才能发送到DCS,而且必须由值班操作员确认后才能执行。负荷控制命令宜通过硬接线方式下达。当然,目前有的项目开始设置厂级DCS或其他厂级控制系统。如果设置了厂级控制系统,则机组DCS就不会直接与厂级信息系统发生数据联系,需要设置专用隔离装置的防御点就上移到了厂级控制系统。
1.1.3DCS人机交互的安全防御
DCS人机交互设备主要有操作员站和工程师站,在个别没有设置SIS的项目中还设置了值长站。值长站可以通过显示器进行监视,但不能操作。操作员站可以通过显示器监视并按设定的程序进行操作,但不能对系统进行任意修改和组态。值长站和操作员站没有对外的数据接口,不需要特别防御。工程师站是对DCS进行维护并可以修改组态的装置,也是外部入侵DCS的可能关口。对于工程师站来说,防御的主要措施,一方面是制定好电厂的管理机制,另外就是要设计好系统身份识别、访问控制机制和密码安全机制等。
1.2DEH的安全防御重点
对于DEH独立设置的系统,其安全防御重点和DCS一样,也分三个方面:一是DEH与供货厂商之间的安全防御,二是DEH与其他系统之间的安全防御,三是DEH人机交互的安全防御。和DCS有所区别的是,DEH不会接受SIS的任何指令,SIS的负荷分配控制指令通过DCS对DEH进行控制。
1.3其他机组控制系统的安全防御重点
除了DCS和DEH外,电厂机组还有其他一些主要的控制系统,比如旁路控制系统(BPS)、汽机危机遮断系统(ETS)和锅炉炉膛安全监控系统(FSSS)。首先讨论BPS。目前绝大多数BPS已经纳入DCS,对于已经纳入DCS的系统,不需要特别考虑安全防御措施。对于少数独立设置的BPS来说,需重点考虑的问题只有一个,就是切断BPS与供货商之间的信息联络。和BPS发生信号联系的都是DCS、DEH等控制系统,BPS不直接与SIS等信息系统发生联系,所以只需要设置常规的逻辑隔离,无须采取特别防御。由于BPS不设置独立的操作员站、工程师站等人机接口设备,因此也不存在人机交互的安全防御问题。
ETS和FSSS是电厂核心保护系统。FSSS目前基本上都纳入DCS,由DCS统一进行防护。ETS除与DCS和DEH有信号联系外,基本不与外界发生信号联系,需要防护的主要是防止ETS与供货商之间的信息联络,像所有其他控制系统一样,切断有可能的远程控制,防止电厂被攻陷。
1.4辅助车间控制系统的安全防御重点
电厂至少有十几个辅助车间,早期的辅助车间控制系统是各自独立的,随着自动化技术、网络技术、通讯技术的快速发展,辅助车间控制系统发展迅速,集中控制度越来越高,目前正在设计和运行的发电厂,集中度较低的基本上只有三个集中控制网络,即煤、灰、水集中控制网络。集中度高的,全厂辅助车间统一为一个辅助车间集中控制网络。
2、主要信息系统的信息安全防御
2.1SIS的安全防御重点
SIS是电厂的运行数据中心,处于电厂所有自动化系统的中心位置,它主要的部件是实时/历史数据库,实时/历史数据库需要采集电厂绝大多数自动化系统的主要数据,又将部分数据传给MIS和其他管理系统。
2.1.1SIS与其他系统之间的安全防御
SIS防御的重点是,必须切断所有从实时/历史数据库读取数据的系统对SIS的入侵,这些系统包括MIS、上级主管单位的生产管理系统、在线仿真系统等。在实时/历史数据库与所有读取数据的系统之间应配置数据单向传输的专用隔离装置,它们可以从实时/历史数据库读取数据,但绝不允许反向输入数据。
2.1.2SIS人机交互的安全防御
SIS的人机交互设备和DCS不太一样,SIS有功能站、值长站、工程师站和监视终端设备等。功能站可以按照功能分为负荷分配调度站、计算与性能分析站、网络管理维护站、应用软件管理维护站等,这些功能站只要有人机交互,如计算与性能分析站,就要注意防御,一方面是制定好电厂的管理机制,另外还要设计好系统身份识别、访问控制机制和密码安全机制等,防止一般人员擅自进入并改变程序。值长站可以通过显示器进行监视,但不能操作。监视终端设备同样也只能通过显示器进行监视而不能操作。值长站和监视终端设备没有对外的数据接口,不需要特别防御。
2.2MIS的安全防御重点
相对于SIS而言,MIS的安全等级略低,可以采取和其他工业企业相同的信息安全防御措施。MIS对外的联系主要有:与上级主管单位进行信息交换,与地区政府部门进行环保数据对接,与公共服务机构进行市场运营等数据交流,与设计单位、建设单位、调试单位、监理单位等进行建设过程中的数据移交,与国际互联网等公共网络进行接口等。只要这些联系的方式是通过电子介质传输,就会存在信息安全的威胁。建设好电厂信息系统与所有外部系统的信息安全屏障,是电厂设计和运行时首当其冲需要考虑的问题。
3、结语
本文针对电厂关键控制系统和主要信息系统的信息安全防御问题进行了讨论。针对控制系统,主要讨论了DCS、DEH、BPS、ETS和辅助车间控制系统的信息安全重点防御。针对信息系统,主要讨论了SIS和MIS的信息安全重点防御。随着数字化电厂的推进及智能化电厂的建设,电厂信息安全问题必将越来越得到各方重视。
参考文献
[1]胡炎,董名垂,韩英铎.电力工业信息安全的思考[J].电力系统自动化,2002,26(7):1-4,12.
[2]李文武,王先培,孟波,等.电力行业信息安全体系结构初探[J].中国电力,2002,35(5):76.79.