馬銘宏，王子豪，劉 悅

(1.國(guó)家能源集團(tuán)科學(xué)技術(shù)研究院有限公司沈陽(yáng)分公司，遼寧 沈陽(yáng) 110102；2.國(guó)能哈爾濱熱電有限公司，黑龍江 哈爾濱 150000)

1 電力監(jiān)控系統(tǒng)現(xiàn)狀

電力監(jiān)控系統(tǒng)通過(guò)計(jì)算機(jī)、通信設(shè)備、測(cè)控設(shè)備等，為發(fā)輸變配電系統(tǒng)提供實(shí)時(shí)數(shù)據(jù)采集、運(yùn)行狀態(tài)監(jiān)測(cè)及遠(yuǎn)程控制等輔助運(yùn)行手段，尤其是在火電廠的生產(chǎn)運(yùn)行中發(fā)揮了核心作用，可以有效提高火電企業(yè)管理監(jiān)控能力、降低運(yùn)作成本、提高生產(chǎn)效率，提高生產(chǎn)過(guò)程中異常工況的反應(yīng)速度[1]。

近年來(lái)，隨著火電廠自動(dòng)化水平的提高，越來(lái)越多的各種用途的計(jì)算機(jī)接入電廠生產(chǎn)系統(tǒng)，越來(lái)越多的信息交互渠道建立，電力生產(chǎn)系統(tǒng)網(wǎng)絡(luò)變得復(fù)雜且破綻百出。為有效保障電力系統(tǒng)網(wǎng)絡(luò)安全，國(guó)家發(fā)改委發(fā)布了《電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定》，國(guó)家能源局發(fā)布了《電力監(jiān)控系統(tǒng)安全防護(hù)總體方案》，提出了“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證”部署的大原則。對(duì)于火電廠而言，電力監(jiān)控系統(tǒng)安全防護(hù)工作既要構(gòu)建有效防護(hù)措施應(yīng)對(duì)外部惡意入侵，也要加強(qiáng)制度管理杜絕內(nèi)部的權(quán)限濫用、隔離防護(hù)不到位、人員安全意識(shí)差等問(wèn)題[2]。

2 事故案例分析

2.1 操作員感染蠕蟲(chóng)病毒

2017年某天，某火電廠600 MW機(jī)組運(yùn)行中，運(yùn)行人員發(fā)現(xiàn)2號(hào)操作員站界面卡頓，打開(kāi)畫(huà)面異常緩慢，很快相鄰操作員站均出現(xiàn)卡頓問(wèn)題，操作員被迫前往工程師站使用工程師站進(jìn)行監(jiān)盤(pán)操作；熱控維護(hù)人員檢查現(xiàn)場(chǎng)狀況后，采取斷網(wǎng)重啟查殺，有效避免了事故擴(kuò)大化，發(fā)現(xiàn)4臺(tái)操作員站均感染conficker蠕蟲(chóng)病毒，進(jìn)一步深入檢查發(fā)現(xiàn)原因是新增輔網(wǎng)系統(tǒng)操作員站調(diào)試期間廠家擅自使用U盤(pán)導(dǎo)致，后經(jīng)分別隔離查殺病毒后恢復(fù)。

2.2 DCS網(wǎng)絡(luò)癱瘓?zhí)鴻C(jī)

2020年某天，某火電廠2臺(tái)350 MW機(jī)組運(yùn)行中，信息班人員處理SIS系統(tǒng)上傳集團(tuán)公司數(shù)據(jù)中斷故障時(shí)，誤將1號(hào)機(jī)DCS網(wǎng)絡(luò)柜中B網(wǎng)段2號(hào)交換機(jī)23號(hào)接口與該網(wǎng)段1號(hào)交換機(jī)17號(hào)接口短接，使得DCS網(wǎng)絡(luò)形成環(huán)路，進(jìn)而導(dǎo)致DCS系統(tǒng)DPU負(fù)荷率超限，全廠DCS網(wǎng)絡(luò)癱瘓(該廠1、2號(hào)機(jī)網(wǎng)絡(luò)交換機(jī)均與公用系統(tǒng)網(wǎng)絡(luò)交換機(jī)連接)，造成2臺(tái)機(jī)組均事故跳閘。

上述2次事故均為典型的電力監(jiān)控系統(tǒng)安全防護(hù)工作不到位造成的機(jī)組跳機(jī)事故，分別屬于設(shè)備管理不當(dāng)和人員操作不當(dāng)，都是可以避免發(fā)生的不必要事故。

3 部署規(guī)定

根據(jù)國(guó)家能源局2015年發(fā)布的36號(hào)文，即《電力監(jiān)控系統(tǒng)安全防護(hù)總體方案等安全防護(hù)方案和評(píng)估規(guī)范》，各發(fā)電集團(tuán)結(jié)合自己企業(yè)具體情況，分別制定了適應(yīng)自身企業(yè)的電力監(jiān)控系統(tǒng)安全防護(hù)總體方案，作為下屬各火電廠的執(zhí)行準(zhǔn)則，火電廠電力監(jiān)控系統(tǒng)安全防護(hù)總體策略如圖1所示。

圖1 火電廠電力監(jiān)控系統(tǒng)安全防護(hù)總體策略

3.1 安全分區(qū)

主要是指火電廠需要將廠內(nèi)所有基于計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的業(yè)務(wù)系統(tǒng)根據(jù)系統(tǒng)用途，劃分為生產(chǎn)控制大區(qū)和管理信息大區(qū)，再根據(jù)重要性和對(duì)生產(chǎn)的影響程度把生產(chǎn)控制大區(qū)細(xì)分為控制區(qū)及非控制區(qū)，重點(diǎn)保護(hù)那些直接影響機(jī)組運(yùn)行的系統(tǒng)。

3.2 網(wǎng)絡(luò)專用

火電廠的生產(chǎn)控制大區(qū)必須通過(guò)專用網(wǎng)絡(luò)才能連接電力調(diào)度數(shù)據(jù)網(wǎng)，在專用通道上需要使用獨(dú)立的網(wǎng)絡(luò)設(shè)備組網(wǎng)，在物理層面上實(shí)現(xiàn)與廠內(nèi)其他數(shù)據(jù)網(wǎng)的安全隔離。一般情況下該網(wǎng)絡(luò)交換機(jī)設(shè)置由調(diào)度指定廠家直接完成，數(shù)據(jù)備份也是存在調(diào)度側(cè)，電廠僅作為用戶使用該網(wǎng)絡(luò)。

對(duì)不具備設(shè)立調(diào)度數(shù)據(jù)網(wǎng)的小型電廠，應(yīng)通過(guò)專線電話撥號(hào)、無(wú)線通信等方式接入對(duì)應(yīng)調(diào)度機(jī)構(gòu)的安全接入?yún)^(qū)。

3.3 橫向隔離

在生產(chǎn)控制和管理信息2個(gè)大區(qū)之間必須部署電力專用橫向單向安全隔離裝置。生產(chǎn)控制大區(qū)內(nèi)部不同的安全區(qū)之間應(yīng)當(dāng)采用具有訪問(wèn)控制功能的網(wǎng)絡(luò)設(shè)備、安全可靠的硬件防火墻，實(shí)現(xiàn)邏輯隔離。

3.4 縱向認(rèn)證

火電廠生產(chǎn)控制大區(qū)與調(diào)度數(shù)據(jù)網(wǎng)的縱向連接處應(yīng)當(dāng)設(shè)置電力專用縱向加密認(rèn)證裝置，實(shí)現(xiàn)雙向身份認(rèn)證、數(shù)據(jù)加密和訪問(wèn)控制。

參與電網(wǎng)系統(tǒng)AGC、AVC調(diào)節(jié)的廠站，必須在調(diào)度數(shù)據(jù)邊界配置縱向認(rèn)證裝置或網(wǎng)關(guān)進(jìn)行安全防護(hù)。對(duì)于不參與調(diào)節(jié)或者沒(méi)有使用DCS系統(tǒng)的火電廠，邊界配置可以酌情簡(jiǎn)化。

4 某火電廠實(shí)際解決方案

針對(duì)上述宏觀的部署要求，以某火電廠的實(shí)施方案為例，闡述火電廠網(wǎng)絡(luò)安全防護(hù)布局，該火電廠電力監(jiān)控系統(tǒng)安全防護(hù)部署如圖2所示[4]。

圖2 生產(chǎn)監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全防護(hù)部署示意圖

4.1 系統(tǒng)劃分

根據(jù)國(guó)家及集團(tuán)上級(jí)公司的相關(guān)規(guī)定，先是將全廠監(jiān)控系統(tǒng)劃分為生產(chǎn)控制大區(qū)和管理信息大區(qū)2部分，再根據(jù)子系統(tǒng)的重要性和對(duì)一次系統(tǒng)的影響程度將生產(chǎn)控制大區(qū)分為控制區(qū)(又稱安全Ⅰ區(qū)，安全等級(jí)最高，包括操作員站等)和非控制區(qū)(又稱安全Ⅱ區(qū)，安全等級(jí)次之，包括接口站等)，具體分區(qū)情況見(jiàn)表1。

表1 某火電企業(yè)電力監(jiān)控系統(tǒng)及設(shè)備安全分區(qū)表

4.2 等保定級(jí)

該火電廠電力監(jiān)控系統(tǒng)根據(jù)國(guó)家網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南，廠內(nèi)各子系統(tǒng)等級(jí)保護(hù)定級(jí)情況見(jiàn)表2[5]。

表2 廠內(nèi)生產(chǎn)監(jiān)控系統(tǒng)等級(jí)保護(hù)定級(jí)表

定級(jí)為3級(jí)的子系統(tǒng)需要每年進(jìn)行1次等保測(cè)評(píng)，2級(jí)的子系統(tǒng)每2年進(jìn)行1次測(cè)評(píng)。

4.3 網(wǎng)絡(luò)專用

調(diào)度數(shù)據(jù)網(wǎng)使用專用通道組網(wǎng)，部署經(jīng)國(guó)家指定部門(mén)檢測(cè)認(rèn)證的電力專用縱向加密認(rèn)證裝置，支持SM2算法，同時(shí)實(shí)現(xiàn)與電力調(diào)度端雙向身份認(rèn)證、數(shù)據(jù)加密和訪問(wèn)控制。廠內(nèi)的電力調(diào)度數(shù)據(jù)網(wǎng)劃分為邏輯隔離的實(shí)時(shí)子網(wǎng)和非實(shí)時(shí)子網(wǎng)，分別連接控制區(qū)和非控制區(qū)；實(shí)時(shí)子網(wǎng)和非實(shí)時(shí)子網(wǎng)間邏輯隔離采用了靜態(tài)路由連接。

管理制度上要求禁止非授權(quán)設(shè)備私自連接內(nèi)部網(wǎng)絡(luò)行為，包括給非授權(quán)設(shè)備共享熱點(diǎn)等行為。

4.4 橫向隔離

采用不同強(qiáng)度的安全隔離設(shè)備使各安全區(qū)中的業(yè)務(wù)系統(tǒng)得到有效保護(hù)，關(guān)鍵是將實(shí)時(shí)監(jiān)控系統(tǒng)與辦公自動(dòng)化系統(tǒng)等實(shí)行有效安全隔離，隔離強(qiáng)度接近或達(dá)到物理隔離。在安全區(qū)Ⅰ/Ⅱ與安全區(qū)Ⅲ的邊界布置隔離裝置，是安全區(qū)Ⅰ/Ⅱ橫向防護(hù)的要點(diǎn)。

4.5 縱向認(rèn)證

采用認(rèn)證、加密、訪問(wèn)控制等手段，在實(shí)現(xiàn)數(shù)據(jù)遠(yuǎn)方安全傳輸?shù)耐瑫r(shí)，對(duì)縱向邊界進(jìn)行安全防護(hù)。根據(jù)以上幾點(diǎn)部署準(zhǔn)則，統(tǒng)計(jì)該廠生產(chǎn)監(jiān)控系統(tǒng)安全設(shè)備部署詳情見(jiàn)表3。

表3 生產(chǎn)監(jiān)控系統(tǒng)安全設(shè)備部署表

上述安全設(shè)備在部署之前，均經(jīng)由DCS設(shè)備廠家進(jìn)行兼容性測(cè)試，確保系統(tǒng)無(wú)誤后，在測(cè)試計(jì)算機(jī)上安裝測(cè)試，無(wú)異常后，才能接入正式生產(chǎn)監(jiān)控系統(tǒng)，投入保護(hù)。

4.6 其他方面

a.計(jì)算機(jī)主機(jī)。主要是加強(qiáng)主機(jī)設(shè)備管理，禁止主機(jī)設(shè)備使用雙網(wǎng)卡方式進(jìn)行跨安全區(qū)連接，禁用物理端口(包括光盤(pán)驅(qū)動(dòng)和USB接口等)、無(wú)線裝置等網(wǎng)絡(luò)接入端口。

b.計(jì)算機(jī)操作系統(tǒng)。一方面要加強(qiáng)登錄管理，對(duì)連續(xù)失敗登陸次數(shù)進(jìn)行限制、定期修改密碼、不使用弱口令、對(duì)默認(rèn)賬戶的訪問(wèn)權(quán)限進(jìn)行限制等；另一方面要加強(qiáng)使用人員的管理，外來(lái)人員使用電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)必須提出書(shū)面申請(qǐng)，履行審查、如果密碼保管者調(diào)離崗位，新的密碼保管者必須立即更新密碼或者刪除原用戶名。

c.第三方設(shè)備的管理。移動(dòng)存儲(chǔ)設(shè)備在使用前必須要進(jìn)行病毒檢查，作為數(shù)據(jù)備份的存儲(chǔ)設(shè)備應(yīng)妥善保管，定期檢查備份數(shù)據(jù)有效性。機(jī)房、電子間等電力監(jiān)控系統(tǒng)重點(diǎn)區(qū)域應(yīng)配置電子門(mén)禁系統(tǒng)或24 h連續(xù)視頻監(jiān)控系統(tǒng)，視頻監(jiān)控記錄保存30天以上?？刂葡到y(tǒng)程序安裝、數(shù)據(jù)備份應(yīng)采用光盤(pán)形式[6]。

5 問(wèn)題與不足

雖然該廠基本按照規(guī)定部署監(jiān)控系統(tǒng)防護(hù)措施，但是仍有一些紕漏之處。物理環(huán)境方面：由于機(jī)房是利用原有房間改造而成，因此缺乏漏水檢測(cè)及報(bào)警設(shè)施、機(jī)房無(wú)擋水壩等防止積水轉(zhuǎn)移和滲透的措施，并且機(jī)房?jī)?nèi)未采用防靜電地板。通信網(wǎng)絡(luò)方面：沒(méi)有采用有效可信的技術(shù)對(duì)通信設(shè)備的程序引導(dǎo)、系統(tǒng)程序、重要配置參數(shù)進(jìn)行可信驗(yàn)證。

6 結(jié)語(yǔ)

當(dāng)前，隨著國(guó)家對(duì)于信息安全、網(wǎng)絡(luò)安全重視程度的提高，各發(fā)電集團(tuán)持續(xù)推進(jìn)火電企業(yè)的電力監(jiān)控系統(tǒng)安全防護(hù)工作，各火電廠中對(duì)于電力監(jiān)控系統(tǒng)安全防護(hù)工作已經(jīng)逐步展開(kāi)，整個(gè)系統(tǒng)的安全防護(hù)趨于完備。然而安全工作任重道遠(yuǎn)，整個(gè)系統(tǒng)部署仍有不足，存在專用防護(hù)軟件的推廣與選擇品牌良莠不齊、認(rèn)證機(jī)構(gòu)眾多等問(wèn)題。并且火電廠從業(yè)人員仍需持續(xù)教育，一方面安全防護(hù)專業(yè)人員要定期培訓(xùn)學(xué)習(xí)，保證專業(yè)知識(shí)能力與時(shí)俱進(jìn)；另一方面也要對(duì)廠內(nèi)其他工作人員加強(qiáng)安全防護(hù)教育，提高安全防護(hù)意識(shí)，共同筑建網(wǎng)絡(luò)安全防護(hù)墻。