火力发电厂控制系统的纵深防御

随着热工自动化技术的不断发展，工业以太网在控制网络的不断普及和应用，火力发电厂的主控系统与辅助车间的控制已脱离每个系统采用独立控制的模式，而采用实时数据库对控制系统的生产数据进行集中采集并进行存储。信息化在电厂控制网络的应用有效地提高了生产效率、降低发电生产成本、提升控制水平，但也使控制系统的信息安全面临更大的威胁和挑战，主控系统及辅控网络的纵深防御体系亟待建立和完善。

目前电厂的辅控网络建设主要分为两种拓扑结构，一种是树形网络，设置两层控制网。上层网络为辅助车间集中监控网（辅控网），下层为水网、煤网、灰网、脱硫四个车间级控制主干网，其他子系统直接连接辅控网；水网的锅炉补给水处理系统、凝结水精处理系统、工业废水程控系统、生活污水程控系统等集中连接至水网上层网络，再连接至辅控网络；辅控网络内设有两台热备的数据服务器，采集PLC的数据和现场仪表的数据，存储和管理数据库；多台操作员站对辅控网络下的各底层程控系统进行集中监控。另一种是双星型结构，主要由两台辅控网络核心交换机和2N个终端子交换机组成（N代表辅助车间的数量）。这样的网络结构使通讯线路分为A、B两个链路，两个链路互为热备用，相互独立互不影响。各外围的辅助控制系统均直接连至辅控网络核心交换机，包括除灰控制系统、除渣控制系统、电除尘控制系统、脱硫控制系统、凝结水精处理及化学加药取样控制系统、空调制冷控制系统、空压机控制系统、锅炉补给水处理系统、化学水处理预脱盐系统、制氢站、循环水加药处理系统、工业废水处理系统、输煤控制系统等，由集中监控室进行集中监控。

电厂主控车间、辅控网络等的集中监控大大提高了控制系统的运维效率，也大大节约了人力成本，但同时也使得一个车间或节点的信息安全威胁对整个控制网络的安全造成影响。早期电厂的控制系统鲜有信息安全事件出现，目前随着信息化的大力发展以及国际形势的错综变化，电厂等国家基础性能源企业的控制系统的信息安全事件频繁发生。国内已经有多家火力发电厂出现辅控网络计算机和服务器感染病毒或者网络风暴等网络问题造成控制系统出现故障的情况发生。

面对电力行业工业信息安全的严峻形势，国家各部委纷纷出台相关政策和措施推动电力行业信息安全防护的发展，尤以2014年12月发布的国标GB/T 30976.1-2014《工业控制系统信息安全第1部分：评估规范》，GB/T 30976.2-2014《工业控制系统信息安全第2部分：验收规范》，国家发改委2014年第14号令《电力监控系统安全防护规定》，国家能源局2015年第36号令《国家能源局关于印发电力监控系统安全防护总结方案等安全防护方案和评估规范的通知》等对行业信息安全的发展提出了指导性意见。国家能源局2015年36号文件附件4《发电厂监控系统安全防护方案》对火力发电企业的信息安全防护方案作了指导性意见，主要总结为以下几点：

（1）生产控制大区与管理信息大区之间通信应当部署电力专用横向单向安全隔离装置。

（2）控制区与非控制区之间应当采用具有访问控制功能的网络设备、安全可靠的硬件防火墙或者相当功能的设备，实现逻辑隔离、报文过滤、访问控制等功能。

（3）控制区内的各机组监控系统之间、机组监控系统与控制系统之间、同一机组的不同功能的监控系统之间，尤其是机组监控系统与输变电部分控制系统之间，根据需要可以采取一定强度的逻辑访问控制措施，如防火墙、VLAN等。

（4）如果发电厂生产控制大区中的业务系统与环保、安全等政府部门进行数据传输，其边界防护采用防火墙、VPN和租用专线等方式。

（5）发电厂厂级监控系统等关键应用系统的主服务器，以及网络边界处的通信网关机、Web服务器等，应当采用安全加固的操作系统。加固方式包括：安全配置、安全补丁、采用专业软件强化操作系统访问控制能力以及配置安全的应用程序。

依据国家能源局2015年36号文件的指示意见，青岛海天炜业自动化控制系统有限公司结合多年投身工业控制系统信息安全防护的经验和项目应用情况，总结出一套针对火力发电厂控制系统安全防护的解决方案。网络拓扑防护简单示意图如图1所示。

（1）单向隔离。在实时监控信息系统与办公网络的接口部署电力专用单向隔离网闸，控制数据只能由SIS网络流向MIS网络，有效防止因特网的病毒侵入至电厂生产网络，这一防护手段已在业内得到广泛认可和应用。

（2）网络安全。在各电子设备交换机之间与辅控网络核心交换机之间，历史数据站与实时数据库之间部署Guard工业防火墙，实现各控制系统之间、SIS网络与控制系统之间的安全隔离，利用“白名单”防护机制和实时报警来实现主动防御来自上层信息网络的攻击，有效控制ARP攻击，网络异常流量以及网络广播对控制网络造成的影响。

（3）终端防护。在集中监控室的操作员站，数据冗余服务器，各设备间的操作员站上部署Intrust可信计算安全平台及客户端，有效地对Windows XP系统停服后操作员的系统漏洞进行防护，在系统级对USB传输介质进行识别和管控，在芯片级依赖可信计算技术对操作员站等PC终端进行主机加固和防护，有效防止计算机后门程序、木马、病毒、数据扫描、秘钥数据块攻击以及黑客攻击等多元化的风险和信息安全威胁。

（4）安全审计。工控安全管理平台SMP是专门针对工控网络行为审计记录的智能分析管理软件，具备强大的审计日志存储查询功能。可以对海量的审计数据进行实时监控和网络行为态势分析，使系统安全运维人员能够通过实时日志展示画面随时监控正在发生的不同级别审计日志和报警信息，也可以通过安全管理平台的条件查询、统计、筛选、图表展示和态势分析算法模型等强大的功能迅速判断，得出网络健康状况，最终自动获得详细的统计分析报告和事件处置方式建议，实现系统安全运维管理的实时性、完整性、自动化、智能化。

本文以纵深防御的防护理念为核心，结合国家能源局关于电厂信息安全的指导文件以及我公司在电厂安全防护的项目经验，推出一套基于单向隔离网闸、可信计算、Guard工业防火墙、SMP安全管理平台的纵深防御的解决方案，实现了发电厂工业控制系统信息安全的纵深防御，能切实有效地保护工控系统远离木马、蠕虫、黑客等各种威胁和攻击，保障企业生产安全稳定运行。