| 标题 | 电厂生产控制系统的网络信息安全 |
| 范文 | 陈彬 摘 要:在我国快速发展过程中,经济在快速发展,社会在不断进步,人们的生活质量在不断提高,对于电力的需求在不断加大,简要介绍了电厂生产控制系统网络信息安全防护工作的必要性,以田集发电厂为例阐述了电厂生产控制系统网络信息安全分区及防护方案和措施,最后总结了电厂生产控制系统网络信息安全防护应注意的问题。 关键词:电厂;生产控制系统;网络信息安全;防护 引言 随着我国经济的发展,发电厂信息安全的相关问题逐渐受到了人们的重视。在如今的发电厂发展过程中,计算机网络与信息系统基本得到普及。但是,在信息系统普及的情况下,黑客入侵、网络攻击等等问题,也为信息安全的问题埋下了隐患。本文采取理论分析法、文献分析法、归纳整理法及对比分析法等进行定性研究。为了对发电厂信息安全体系构建的问题进行完整地剖析,笔者查阅了大量关于发电厂信息安全体系构建方面的理论内容,掌握了在现代社会背景下,合理对发电厂信息安全体系构建问题进行研究的相关方法及运作方式,着力提升了本文的深度性。而通过文献分析法,笔者在查阅了相关人士对信息安全体系构建问题进行研究的文献、期刊的基础上,利用归纳整理法,重点对参考文献进行了全面分析、整理,使本文更具理论性和指导性。 1网络结构特点 生产控制网络是电力生产自动化、集约化的产物。它们广泛布置在我国大中型电厂、各级变电站之内。它们提供了厂、站内部各种状态信息,控制信息流动的信道,并且是直接面向生产的互连系统。电力微机控制技术的成熟和电力设备生产工艺的提高,使得我国厂、站内部的生产控制网络采用下图所示结构。具体地针对各控制点分别设置n个控制单元,各单元和主控室通过光缆相连。该网络由网关接人企业intranet,而企业in*ranet又接人internet。该网络具有以下特点:实时性强:和传统的主要用于资源共享的计算机网络不同,该网络设计理念主要是对变压器、母线进行实时准确控制。系统尤其强调通信的快速性和可靠性。控制单元智能化:将传统的基于布线逻辑式的控制机构全部转为微机控制,实现了数据采集、分析、决策和动作的一体化,有效节约了空间,简化了维护。多点可控:网络的互连使得倒闸,投保护等操作可在三级进行。①就地:现场操作;②本地主控室:经由本地网络发出操作命令;③internet八ntarnet:允许授权下在任何时间,任何地点对控制单元进行监控。通信规程标准化:我国对该网络通信制定了详细的规程。如适用于电网数据采集和监控系統以及调度所间以间答式规约转发实时运动信息的行业标准DL/T634一1997。 2电厂生产控制系统的网络信息安全 2.1当地功能监视&发电考核系统 远动当地功能及发电负荷考核子站系统,用于实现远动当地功能,接收华东网调或者安徽省调主站端的发电计划曲线,并配合完成AVC功能。与调度中心通过调度数据网交换机Ⅰ区,再经路由器与调度主站相互通讯;当地功能系统与FFC、NCS、FFC、AVC等系统或设备的连接采用串口方式进行通讯;通过国产的南瑞SYSKEEPER2000正向隔离装置与MIS系统和SIS系统相连,将数据单向送入MIS侧的镜像服务器、WEB发布服务器和SIS系统实时数据库,而不允许MIS和SIS系统访问本系统。 2.2重视践行技术+管理的理念,全面提升信息安全水平 随着计算机网络技术的飞速发展,服务器、交换机等网络设备和工控系统设备均不断在改进信息安全漏洞,这些设备在不同的环境下工作所表现出来的信息安全水平是有差异的。可以说没有任何哪一家的产品能做到绝对的安全。因此从提升水电站控制系统网络信息安全的角度出发,在已经选定的设备技术条件下,从实际运行角度出发,我们认为采用加强网络边界安全防护和内部管控相结合的思路,可以实现控制系统整体安全防护水平的全面提高。具体地说,加强网络边界安全防护就是“关好大门”,把好这一道关就能极大降低来自外部网络或系统的安全威胁;加强内部管控则是“锁好抽屉”,通过采取技术手段和有效的管理措施并加以严格执行,能够有效防范来自内部的安全风险。 2.3建立相关防护系统 笔者认为,基于发电厂信息安全体系现状,想要真正构建安全体系,防止网络入侵、黑客介入,就必须着手建立相关的防护系统。所谓防护系统,也就是网络入侵防护系统,其主要用于及时发现黑客攻击,并进行抵御,甚至消灭。这一种具体的计算机网络安全技术,能够在较好地发现入侵者的基础上,识别对计算机的非法访问行为,从而对其进行隔离处理。而想要真正建立相关防护系统,发电厂内部技术人员就必须在互联网的出入口处,串联部署IPS,这样基本能够实现网络出口防护。无论是由内到外,还是由外到内,层层布控,为整个系统提供互联网的从网络层、应用层到内容层的深程度全防护。另外,笔者个人认为,相关技术人员还有必要在核心的交换机上,旁路部署IPS,主要是由内网到内网。在平时,相关的技术人员就可以将内网中的部分重点服务器,从其流量镜像转到IPS上,这样做的目的,主要是对这些服务器流量的安全性进行实时监控、访问。而如果在网络中出现了相关的、严重的黑客事件,或者是具体的异常情况,那么相关人员就可以完全将出现的问题部分流量镜像到IPS上,之后进行具体的安全性分析,这样能够较快地找到具体的攻击来源和异常情况。 2.4SIS系统 SIS系统无生产控制功能,所以在设计时将其放在控制区Ⅱ区,是一个独立的网络系统,SIS网络安全防护设计时考虑了两个方面的内容,分别是下层控制系统层以及MIS层:控制系统层:SIS系统与控制系统同属于二次系统安全的控制大区,中间采用网关隔离。SIS为每个控制系统划分独立的VLAN,在进行通讯的同时实现不同网段之间的隔离,这样能够有效隔离不同网段之间的广播,减少网络负荷。不同网段之间采用网关进行隔离的同时在每台接口机上安装诺顿防病毒软件,防止意外情况下病毒入侵。由于SIS网以及与SIS相连的控制系统网络属于电厂内网,网内节点数量少,方便进行管理,所以上述网络方案基本能够满足生产网络安全防护的需要。MIS层:SIS系统与MIS系统处在不同的安全区,中间使用了南瑞的正向物理隔离装置syskeeper2000进行正向隔离,该产品经过了国家公安部鉴定,是电力二次系统防护相关文件中推荐的品牌,保证了SIS的系统的数据单向送入MIS系统而MIS系统的数据不送入SIS系统的单向数据传输,保证了SIS系统的安全性。 结语 水电站开展信息安全测评工作,通过现场检查、专家建议和持续改进,确实能使我们的信息安全防护水平得到了一定提高,使信息安全防护意识得到增强。同时,也应该客观地看到,目前的信息安全测评和测试工作还存在一定改进空间,还可以更加切合实际需要,以便更好地为电站乃至电力系统安全生产服务。我国电力企业数量众多,其控制系统的网络信息安全防护能力和水平参差不齐,现场运行环境各不相同,如何能够客观地分析其存在的安全隐患并给出整改建议是设备生产厂商、运行单位和测评专家们需要共同研究的重要问题。对于工控设备和系统的测试,则需要搭建更贴近现场实际应用的测试环境,从而使得测试结果更有针对性、更具说服力。 参考文献: [1]高永强.网络安全技术与应用大典[M].北京:清华大学出版社,2003. [2]国家电力监管委员会(第5号令).电力二次系统安全防护规定[M].北京:中国电力出版社,2004. [3]国家电力监管委员会.电力二次系统安全防护总体方案[R].北京:国家电力监管委员会,2006. |
| 随便看 |
|
科学优质学术资源、百科知识分享平台,免费提供知识科普、生活经验分享、中外学术论文、各类范文、学术文献、教学资料、学术期刊、会议、报纸、杂志、工具书等各类资源检索、在线阅读和软件app下载服务。