1、1火电厂信息系统中的安全防护摘要:分析了调度数据网、SIS 与 MIS、SIS 与 DCS 通讯中存在的安全隐患,在网络、设备及数据等三方面提出一些能够提高系统安全的防护措施。 关键字:二次防护、SIS、MIS、DCS、边界隔离、第一平面、第二平面。 中图分类号:TM621 文献标识码: A 文章编号: 0 引言 随着计算机系统的迅猛发展,在电厂形成了一个复杂的计算机网络:控制网络、SIS 网络、MIS 网络,调度网络等等。众多的系统互连,内部网络开放,外部网络接入,从而产生了信息系统网络安全问题。如果网络和数据的安全没有保障,企业的重要信息就存在泄漏、被更改的危险。因此国家对电力数据网建设提
2、出一系列规范与标准,形成一套非常严密、可靠的防御体系。本文在电力二次防护要求基础上,对火电厂信息系统中可能存在的漏洞进行分析,并提出相关安全加固措施,降低安全风险,全面提高网络的可靠性和对业务的保障能力。 1 SIS 系统的二次防护总体要求 国家经贸委在 2002 年 6 月 8 日颁布的电网与电厂计算机监控系统及调度数据网络安全防护规定第 30 号令中特别提出电力系统安全防护2的基本原则:电力系统中,安全等级较高的系统不受安全等级较低系统的影响;电力监控系统的安全等级高于电力管理信息系统及办公自动化系统,各电力监控系统必须具备可靠性高的自身安全防护设施,不得与安全等级低的系统直接相连;电力监
3、控系统必须实现物理层面上与公用信息网络的安全隔离。 根据电力二次系统安全防护规定的要求,及各相关业务系统的重要程度、数据流程和安全要求,将典型电厂二次系统分为两个大区:生产控制大区和管理信息大区。还部署了调度第一、第二平面接入网络作为生产大区与省调度中心的连接专网。 1.1 生产控制大区 安全区:既实时生产过程控制区,用于监控机组的安全生产运行,执行生产过程中各类设备的数据采集和直接控制。典型的控制系统有:DCS、TDM、烟气脱硫、NCS、辅助控制等。其主要使用者为调度员和运行操作人员。安全区是安全防护的重点与核心,安全等级极高。 安全区:既非实时控制生产区,用于监视和采集实时数据,为控制决策
4、和结算交易等提供依据,常见的区系统有 SIS、ERTU、电力市场等。该区域安全等级低于区。 1.2 管理信息大区 该安全区中的业务系统或功能模块的典型特征为:实现电力生产的管理功能,但不具备控制功能,不在线运行,该区包括管理信息系统(MIS) 、办公自动化系统(OA)等,该区的外部通讯边界为发电企业的广域网路及 internet。SIS 镜像服务器、WEB 服务器也位于该区域,用于3区的实时数据库同步。 1.3 调度第一、第二平面接入网络 国家电网调度数据网第二平面由 2 级自治域组成,由国调、网调、省调、地调节点组成骨干自治域(骨干网),由各级调度直调厂站组成相应接入自治域(接入网)。骨干网
5、第一、第二平面在网络层面上相对独立,各接入网应通过 2 点分别接入骨干网双平面,形成独立双网、双归接入的网络模式。各电厂通过两套接入网络分别接入第一、第二平面。 2 SIS 系统安全防护 SIS 系统通过横向安全隔离装置向位于区的厂级管理信息系统传送数据,数据只能由区传送至区。区需部署防病毒服务器和补丁升级服务器作为安全控制大区的杀毒介质。因该系统严格与外网隔离,故区设备还须经由区和区之间的隔离防火墙连接区安全服务器升级病毒库和下载补丁,区的设备直接访问安全服务器升级病毒库和下载补丁。而安全服务器需通过调度网络连接省调的服务器完成病毒库升级和系统补丁升级。 由于 SIS 网络可以完全隔绝来自外
6、部系统的攻击,因此系统安全方面的隐患主要来自系统本身的故障和输入介质(DVD 光驱,软盘)本身携带的病毒软件,针对以上两种安全隐患,设计了系统备份方案。根据二次防护的要求,在接口机与 SIS 实时/历史数据库之间设置了防火墙,从而保证了 SIS 应用与接口机之间的安全。此外,采用访问控制、身份认证、入侵检测等手段作为网络安全的基本措施,防止各类计算机病毒的4侵害、人为的破坏和 SIS 实时信息数据库的数据丢失。 3 网络安全防护 3.1 和控制网之间的安全防护 由于 SIS 网络在物理上和控制网络直接相连,因此必须设计完善的安全方案保证控制网络的运行不受 SIS 系统的影响。为此,我公司以下措
7、施保证控制网络的安全: SIS 系统只从控制系统读取实时信息,不对控制系统进行任何写入的操作。 SIS 系统只通过接口机和控制系统连接。接口机负责从控制系统中读取数据并发送到全厂实时/历史数据库。SIS 系统的其他部分(客户端,服务器等)无法直接对控制系统进行操作。 在接口机上安装杀毒软件,及时升级安全补丁,严格限制 U 盘的使用。 3.2 和调度网之间的安全防护 区与调度端有数据接口的二次系统包括:数据采集通信单元、功角测量装置。他们通过双链路连接到区的两台实时交换机上(一、二平面) ,交换机再连接各平面的纵向加密装置,分别通过两个数据网的接入路由器分别连接省调接入网和地调(网调)接入网的实
8、时 VPN 子网。 区与调度端有数据接口的二次系统包括电能量计量系统、保护信息管理子站和指令下发系统等,他们通过双链路连接到区的两台非实时交换机上(一、二平面) ,非实时交换机再连接各平面的防火墙,分别5通过两个数据网的接入路由器分别连接省调接入网和地调(网调)接入网的非实时 VPN 子网。 区主要运行电厂与电力调度通信中心之间的运行调度管理系统。只是通过路由器、防火墙、交换机与省调区连接,与其它区域之间无交互信息,用以实现管理信息区的相关业务与省调之间的互通。进行安全隔离时可采用通用的隔离设备(如硬件防火墙等) 。 3.3 和 MIS 网之间的安全防护 由于 MIS 系统和外部 Intern
9、et 网直接相联,因此 MIS 网的受外界攻击的概率较大,而 SIS 系统作为和生产控制系统直接相联的生产管理系统,安全防护等级要高于 MIS 系统,为了保证 SIS 网的实时/历史数据库中的信息向上传递到 MIS 侧,需要在 MIS 网和 SIS 网进行数据交互的接口间设立数据单向传递的安全隔离装置,采用南瑞公司生产的物理隔离器。SIS 系统只从控制系统读取实时信息,不对控制系统进行任何写入的操作。SIS 系统只通过接口机和控制系统连接。接口机负责从控制系统中读取数据并发送到全厂实时/历史数据库。SIS 系统的其他部分(客户端,服务器等)无法直接对控制系统进行操作。根据二次防护的要求,在接口
10、机与 SIS 实时/历史数据库之间设置了防火墙,从而保证了 SIS 应用与接口机之间的安全。 4 其他安全加固措施 SIS 系统只从控制系统读取实时信息,不对控制系统进行任何写入的操作。 区网络与区网络地址分配不同网段,在防火墙做严格访问控制6策略。 在区的采集交换机上对各接口机划分 VLAN,将接口机地址分别设为不同网段,并做访问控制,使各接口机间不能相互访问。 在生产控制大区核心交换机上做地址绑定,限制其他设备接入网络运行。 关闭接口机与服务器系统中的不必要的服务和端口。 5 结语 通过以上对 SIS 系统安全防护的加固措施,使得 SIS 系统有了较为可靠的安全保证。 参考文献: 1陈瑞华;马莲台电厂 SIS 安全防护设计及实现J;宁夏电力 2011年 05 期 2周原冰,丁书耕,潘亚利;SIS 工程的网络安全防护设计J;中国电力;2005 年 06 期 3胡勇;SIS 建设中的问题探讨J;中国电力;2005 年 06 期
