韦志浩

广东大唐国际肇庆热电有限责任公司 广东 肇庆 526105

引言

发电厂在生产运营过程中，会有很多的因素造成网络与信息系统安全隐患，比如网络的不法分子黑客与网络间谍，另外发电厂的信息系统自身存在安全隐患时也会加大网络与信息系统安全风险[1]。从目前发电厂的网络与信息系统安全建设情况来看，在物理安全、网络安全、系统安全、数据安全及管理安全方面虽然已经取得了很好的成就，但依然存在着一些亟须解决的问题。按照《电力监控系统安全防护总体方案》的要求，发电厂在开展网络与信息系统安全建设时，要重点从技术措施、内部安全措施、安全管理制度这三个方面来着手，努力去提升网络与信息系统的整体安全性能。

1 进一步完善发电厂网络与信息系统

发电厂的各控制系统在网络与信息系统安全防护中发挥着重要的作用，且在网络信息共享的背景下，发电厂各个控制系统的安全管理已经逐渐趋于融合，因而必须做好各个控制系统的功能完善工作。总的来说，在发电厂网络与信息系统完善的过程中，要将重点放在三个方面，即过程自动控制系统、管理信息系统、厂级监控信息系统。

1.1 过程自动控制系统

在过程自动控制系统的功能完善中，要对发电厂生产过程中的一系列数据做好采集和控制。通过运用过程自动控制系统，可以获取到各类设备运行过程中的实时数据信息，这可以为网络与信息系统安全防护提供数据支撑。

1.2 厂级监控信息系统

厂级监控信息系统在协助发电厂开展网络与信息系统安全防护工作中发挥着重要的作用，同时所含有的系统功能也较多，务必给予高度的重视。总的来说，在厂级监控信息系统的功能完善中，要重点做好以下内容，即数据采集与处理、设备运行状态监测、负荷优化分配、运行统计与考核、控制系统优化、机组在线性能试验、运行优化、运行工况查询。

1.3 管理信息系统

利用现代计算机及网络通信技术加强发电厂的信息管理，通过对发电厂拥有的资源信息调查分析，建立正确的数据，加工处理并编制成各种信息资料及时提供给管理人员，以便管理人员及时了解公司现状，把握将来发电厂的发展路径。管理信息系统的关键期是在发电厂生产阶段，此阶段要将安全质量与进度这两方面的工作作为重点，并始终将经济运行管理和安全运行管理作为重点。

除此之外，在发电厂网络与信息系统的完善工作中，要做好物理安全、网络安全、系统安全、应用安全、数据安全和管理安全这6个方面的工作。比如在数据安全中，要重点做好数据的传输与存储工作，在数据传输过程中，可以使用数字签名技术来实现传输网络的加密与安全防护，以此充分确保数据传输过程中的安全性。在数据存储过程中，可以依赖数据备份和恢复技术，尤其是要做好数据的备份工作，确保数据丢失后可以立即恢复。再以应用安全为例来说，要结合发电厂当前的网络与信息系统安全的建设情况进一步去完善功能，需要重点建设好权限管理体系、用户身份认证体系，确保可以对不同的应用赋予对应性的访问权限，动态掌握用户的访问情况[2]。除此之外，安全管理制度的建立健全均要作为发电厂网络与信息系统完善的重点内容，包括操作管理、人员管理、维护管理、设备管理。

2 交换机安全隔离域技术

以目前发电厂普遍应用的辅控系统网络为例来说，其是一个大型且系统的通信作用域，当辅控系统网络中的某一个终端设备感染病毒时，可以在较短的时间内蔓延至整个系统内网，相关的终端设备就会受到感染。基于这一问题，目前发电厂多是应用交换机划分VLAN，也可以使用防火墙技术来对网络区域执行逻辑隔离。但在长时间的应用过程中发现，辅控系统网络存在着一定的不足之处，网络安全管理水平需要进一步去提升。目前所使用的工业安全交换机有着较高的应用优势，原因在于工业安全交换机本身便属于发电厂辅控系统的重要组成部分，含有多重安全隔离域技术，通过发挥网络安全管理中心和工业安全交换机的优势，可以很好的确保辅控系统网络的安全。

在工业安全交换机的应用过程中，工作人员要先对发电厂各个终端之间的数据流有充分的明确，结合实际情况去制定隔离域，并在网络安全管理中心来设置隔离域用户组和定义名称。在实际确定工业安全交换机的每一个端口时，既可以设定为同一个组，也可以归属为多个组。待完成基本的配置工作后，便可以在内网中形成用户组，这些用户组的端口连接终端可以达到相互通信的效果，但若是不同组，则不可以相互通信[3]。通过应用工业安全交换机，可在内网中形成多重虚拟隔离的网络结构，但辅控系统网络的物理结构并不会受到影响，也不会发生改变。

3 防范病毒蔓延和网络攻击技术

网络病毒传播对发电厂网络与信息系统安全管理质量有很大的影响，必须做好积极的防御工作。就针对网络病毒传播的手段来说，有一个最为重要的手段便是扫描网络中的地址，在此基础上来寻找感染和攻击目标。从当前发电厂的网络与信息系统安全建设来看，在系统网络中所使用的防火墙设备多数采用被动防御模式，防护规则涉及通信协议、包采集分析、IP隔离、代码过滤。但总的来说，这些防护规则均可以被规避，安全防护能力有很大的提升空间。在防范病毒蔓延和网络攻击技术中，所要做的工作主要有以下三点：

①在安全隔离域技术的网络体系中，借助用户组来划分最小安全隔离域，并使用主机扫描侦听技术、用户组隔离技术。若是在监测过程中发现存在超出安全域的情况，则依托于工业安全交换机的风险认定功能可以立即定义风险，并对非法事件进行定位，采取行之有效的防范措施。②在发电厂的辅控系统中，网络设备资产、数据流向、业务端口均有着共同的一个特性，即在完成建设工作后基本上不会发生改变。基于这一特性，可以设置最佳的安全隔离域，可以更好地协助工业安全交换机来完成未授权行为的监测与管理。具体来说，在应用工业安全交换机的过程中，可以对数据源进行实时监测，一些攻击可以被实时阻断或告警，病毒无法顺利通过工业安全交换机的监测，这大大增强了安全监管能力，且一定程度上可以去阻断APT攻击。③在应用多重安全隔离域技术的过程中，发电厂要注意一点，即要对多重安全隔离域技术的应用功能作适当的规范，比如要确保正常的数据包可以顺利传输至相应的终端，未被授权的请求服务要全面拒绝，以此有效阻断病毒蔓延和内部恶意攻击，始终确保发电厂网络与信息系统的安全性能。

4 网络安全管理中心

对于发电厂的网络与信息系统的安全管理来说，不单单要做好边界防护工作，更要注重内部网络管控，以此对发电厂的网络与信息系统执行综合性的防护。网络安全管理中心在发电厂的信息系统安全防护中发挥着十分关键性的作用，比如可以与安全准入系统建立联动关系，形成准入控制体制，对一些非合规的设备可以及时隔离与告警，这非常有助于网络系统预警功能的提升。如图1就是网络安全管理中心的应用功能。基于发电厂网络与信息系统安全防护的需求，在网络安全管理中心建设过程中，要将重点放在放在四个方面，即终端接入控制、风险主动防御、全面日志审计、网络拓扑自动生成。

图1 网络安全管理中心的应用功能

例如在终端接入控制中，要对所接入的终端设备进行限制和管理，只有经授权地址的设备方可允许进入到网络中，对非法设备要加大防范力度，严防对网络安全造成危害。在风险主动防御中，要对网络中每一个IP进行精准快速的监测定位，及时发现网络风险，并对其中的一些可疑IP要及时封锁。在全面日志审计中，收集发电厂系统中常见的安全设备、网络设备、数据库、服务器、应用系统、主机等设备所产生的日志，包括运行、警告、操作、消息、状态等，并进行存储、监控、审计、分析、报警和响应。

5 发电厂网络与信息系统安全管理——以智慧电厂为例

发电厂的网络与信息系统安全管理工作复杂性较高，设备可靠性的要求较高，对实际管理的能力有着较高的要求，如何展开信息化和智能化的管理是尤为关键的。当前发电厂所开展的网络与信息系统安全管理工作虽然取得了较好的成效，但也存在着一些较为尖锐的问题，比如缺乏在线监测与评估，再比如未能有效落实预防性的维修工作，影响着网络与信息系统安全管理的成效。针对于此，需要考虑去构建基于多种智慧手段的管理体系和模式，以求实现发电厂的智慧化管理。在信息时代下，发电厂在开展网络与信息系统的安全管理工作时，可以依赖的科学技术手段有很多，主要有云计算、移动应用、大数据、人工智能、物联网，均可以与发电厂的网络与信息系统安全相结合，最终实现发电厂的横向管理和纵向管理。从当前一些发电厂所构建的智慧化管理体系来说，已经可以实现四个方面的能力:一是网络与信息系统风险的全面感知，二是网络与信息系统风险的预测预警，三是网络与信息系统安全管理的协同优化，四是网络与信息系统安全管理的科学决策。可以说，基于这四个方面的优势与功能，可以让发电厂网络与信息系统安全管理更加的精细化和动态化，发电厂的运营管理水平可以大大提升，非常值得推广应用。

发电厂在智慧电厂的建设中，可以重点从六个方面来着手，即智能连接、智慧应用、智慧决策层、智能平台、统一运维、主动安全。在智能连接中，主要使用物联网技术，借助物联网技术可以将发电厂的生产设备、传感器、智能仪表、监控设备、智能门禁联系起来，可以由此而构建一个智能网络系统，对发电厂网络与信息系统安全管理十分有利。在智能平台中，可以使用虚拟化技术，以此来对基础设施实施统一化的管理与调控。更为重要的一点是，在优质资源平台的帮助下，物联网和大数据平台均可以对发电厂的运行进行数据分析，实现数据的分析与治理，上层智慧管理可以有更多的支持信息，对发电厂的智慧化管理有十分大的裨益。在主动安全中，发电厂的网络与信息系统安全管理工作必须要实现横向隔离和纵向加密，这需要借助大数据技术的主动防御能力，对网络与信息数据实施全面的预判。在统一运维中，发电厂网络与信息系统安全管理是一项复杂性的工作，如何实现精准化的运维是非常值得探究的。

5 结束语

发电厂网络与信息系统安全建设是一项长期性的工作，且有着很强的复杂性，后续依然要加大研究力度，做好网络安全系统的安全加固和防护。在网络与信息系统安全建设中，发电厂要重点做好技术措施、内部安全措施、安全管理制度这三个方面的工作，并尝试建设“互联网+”设备运行信息管理系统，进一步增强发电厂网络与信息系统安全能力。