华能莱芜发电有限公司 张兰庆 柯 波 杨柏依 北京能为科技股份有限公司 夏 阳 张彩端

随着数字信息化技术在电厂内的普遍应用，其引发的信息安全问题也因各类信息安全事故的发生日渐凸显。与日常的信息安全问题不同，电厂燃料信息安全系统事故引起的不仅是单纯意义上的个人信息的泄露，而是会造成厂内控制系统故障，直接对厂内的设备运行安全、信息安全以及人员安全等构成威胁[1]。尤其是厂内燃料系统，其需对电厂燃料量、燃料煤质、燃料价格以及燃料系统设备运行参数等敏感数据信息进行监测传输，同时智能燃料系统为实现燃料掺配方案的制定、燃料自动化堆取以及燃料采购计划制定等自动化操作，增加了一系列软件与硬件设备，并将其添加至SIS系统，这对系统的信息安全管控提出了一定要求。

为保证燃料信息的安全性，需针对厂级监控系统构架及特点进行安全性分析，并制定出具有针对性、符合信息安全防范要求的解决方案，以避免燃料系统发生燃料数据信息篡改、丢失或系统遭受病毒、恶意软件侵袭等安全问题的发生[1-2]。

1 自动化控制系统构架及特点

我国电力体制改革提出网厂分离、竞价上网，该改革不仅对电厂管理有一定要求，还需在厂内信息化建设中加强整合软件与硬件资源，综合考虑管理信息系统以及各生产控制系统的有序集成，实现厂内全范围的一体化管控[2]。目前，电厂自动化控制主要由集散控制系统（DCS）、管理信息系统（MIS）以及厂级监控信息系统（SIS）三层结构组成。其中MIS和DCS系统在可靠性与安全性方面存在一定差异，无法直接进行耦合，因此需要SIS系统建立起DSC与MIS系统间的桥梁，而SIS系统在为MIS提供生产实时数据服务的同时，又作为DCS系统的上一级对DCS系统进行查漏补缺，其集过程实时监测、性能优化与生产过程管理为一体，实现了全厂范围的信息共享[3]。

SIS系统的特点是在实现了厂级生产网络互连和生产过程数据集中管理的基础上，通过智能化的数据挖掘和信息融合，应用厂级综合性能计算和生产成本实时分析软件、设备故障诊断和寿命评估软件、机组和厂级优化软件以及厂级负荷优化分配软件等完成对生产过程的实时监测、控制以及负荷经济分配[4]。由此可知，该系统可实现对电厂燃料煤质、煤量、煤价等信息的收集、燃料运输与监测设备的监视指导运行以及设备故障诊断等，是保证燃料系统稳定运行的基础，但因厂内对其安全风险缺乏正确认知以及有效防护，将部分现场控制系统直接暴露于公共网络平台，导致与微软系统具有直接联系的DCS系统的安全性受到威胁[3-4]。

2 安全风险分析

电厂燃料信息系统出现故障的原因多体现于系统通信不稳、使用软件类型繁杂、操作系统漏洞修补不及时、系统端口多、U盘等可移动设备接入系统管控不严、黑客与病毒入侵植入、网关通信简单等[5-7]，其具体安全风险分析如下：

2.1 网络连接方式

SIS系统和MIS系统通过将交换机设置于其连接点上实现了两系统的直接连接，并以限制目的地址与源地址的方式，使MIS系统中有且只有一台机器完成与通讯服务器的连接，该连接方式易将安全性低的MIS系统的风险引入至与运行设备相连的SIS系统中，引起燃料系统运行故障。

2.2 网络通信方式

SIS系统和MIS系统之间使用同一台带有两个不同网卡的网桥计算机进行数据信息传输，该网络通信方式使整个系统的网络访问层面处于透明，该系统可进行任意网络访问，且由底层进行网络访问时不受到任何限制，而MIS系统是与Internet相连的，这代表着燃料系统中的SIS系统可被任一计算机访问编辑，这无疑大大增加了整个燃料系统感染病毒的风险，且系统中的计算机程序一旦受到黑客攻击，将会引起燃料系统中的数据泄露、篡改电力交易中的敏感数据，导致执行设备运行紊乱，对燃料信息安全造成重大创伤[5]。

2.3 数据通道

SIS系统需与下层控制网络中的DCS系统、辅网系统、网络控制系统（NCS）以及远程终端单元（RTU）进行连接，该连接对接口的数量、接口技术、数据通讯速率及缓存量有一定的要求，其中连接接口设备与数据服务器的数据通道是保证数据传输的关键，当数据通道发生故障会导致数据传输中断，数据保存不完整；且数据缓存过程中也可能会出现网络中断而引发数据丢失问题，造成燃料信息不完整、无历史追踪的故障。

2.4 防火墙技术

防火墙是一种保证企业自身服务器或数据安全的技术，依据防火墙的作用不同，其技术主要分为包过滤防火墙、状态/动态监测防火墙、应用程序代理防火墙以及网络地址转换（NAT）等四种类型，该防火墙技术可通过检测IP包字段、控制网络IP访问以及病毒扫描的方式有效预防外部攻击，但该技术因无法改变数据双向传输的事实，同时还因各类型防火墙的特点易出现防火墙的错误配置、记录测试分析工作因网络连接出现迟滞以及传统的木马程序无法防御等问题，依然无法根除网络安全风险，因此为保证SIS系统安全稳定的进行数据传输需从源头对所有可能的攻击途径进行截堵。

2.5 内网安全

电厂系统较为复杂，并且为实现全厂的自动化建设分布了较多的控制系统，如燃料管理系统、计算机控制系统、生产管控系统等，各系统间因功能交互存在着紧密联系以及信息传输，因此为保障厂内信息交流与传输的安全性，防止外网的入侵攻击以及局域网内的安全风险，需对内网进行安全性防范。

2.6 外部防护

智能燃料系统的自动化运行需由工程师站、操作员站、网关站以及监控显示站等组成的DCS平台统一管控，其中工程师站使用的工控机应用范围广，预留接口多，同时含有基础的Windows系统，这都为燃料系统的安全性带来了隐患，具体体现为：

燃料系统中各站口的预留接口因无严格限制可随意接入U盘等移动设备，导致移动设备中存有的病毒及非法软件轻易侵入燃料系统，对系统造成攻击；操作系统使用的软件繁杂，易出现因软件未及时更新以及漏洞未及时修补而造成系统运行的故障，导致系统中数据缺失，甚至可能会造成数据泄露及修改等问题的发生；工程师站中的网络交换机因需完成针对不同的VLAN转发而配备了预留接口，该接口也可能因外部设备的接入引发对系统的攻击破坏。

执行设备中无可靠有效的预备电源，若固定电源发生故障易导致整个系统丧失运行功能，某些设备的运行也可能造成不可逆转的损坏；网关通信使用广泛的通信协议，该通信较为简单，易被黑客攻击入侵，无法保证燃料系统中的工控系统的安全[6]。

3 安全防护策略

为解决上述安全风险分析中涉及的有关MIS与SIS系统直接相连、网络通信互通、防火墙缺陷、内网风险、软件系统与硬件设备的接口攻击以及系统管控不严等引发的智能燃料信息泄露、篡改、缺失、病毒、攻击等问题，提出了一系列软件优化与硬件防护措施，为燃料系统的信息安全提供技术保障。具体安全防护策略如下。

3.1 单向数据传输

MIS系统与SIS系统的直接连接使SIS系统与安全性较低的MIS系统一样可被任意进行网络访问，为其安全性带来了较大隐患。因此实现MIS系统只可对SIS系统的单方向数据传输是保证SIS系统网络安全的关键，该单向传输通过在两系统间设置单向物理隔离网闸，利用数据信息格式转变装置完成由DCS信息格式向SIS信息格式的转变，并利用数据传输专用接口实现数据信息向SIS镜像服务器与WEB服务器的传输，并且通过阻断SIS回路，使其无法对DCS与MIS系统进行数据输送，保证了信息安全。

3.2 单向网络通信

使用同台计算机不同网卡的数据通讯方式使网络访问处于透明状态，为SIS系统带来风险。为规避该风险通过在SIS系统与底层控制系统（Windows操作系统为主）设置防火墙以控制对SIS系统的访问以及完成对病毒的扫描，同时在两系统之间设置数据传输专用接口，保证系统只进行规定数据的传输交互，降低病毒与木马以外网为基础进行针对仪控系统的攻击风险。

3.3 数据接口冗余

数据传输过程需保证数据接口设备的通信速率高效快速，且需对与交换机连接的网卡进行冗余设置，以防止数据通道因电源或攻击发生故障无法进行工作时影响与数据库服务器的信息传输。同时数据接口还应该支持网络恢复，以保证网络中断恢复后数据可自动完成缓存，并保存传输至数据服务器[7]。

3.4 网络病毒防护

防火墙可通过包过滤等方式进行病毒扫描、控制网络访问，但其只能针对外部攻击进行预防而无法针对内部发出的蓄意扰乱行为进行防控，这也成为了防火墙的一大缺陷。为弥补此缺陷，通过应用入侵检测系统对网络中的信息进行收集、分析与比对，以实现对内部网络信息的监测，当系统监测出违反安全要求或攻击系统的行为信号时，则通过与防火墙的配合阻断攻击行为的继续，进而保护整个燃料系统的信息安全以及设备运行安全。

3.5 网络安全域划分

网络安全域划分是将同一系统中具有相同安全保护需求、相互信任，并具有相同的安全访问控制和边界控制策略的子网或网络划分至相同的网络安全域，以共享同一级别的安全策略。其中智能燃料系统中的网络安全域划分是根据主机行政范围进行，安全域划分后针对各个子网络进行网闸级或传输信道级的物理隔离，同时利用VLAN虚拟技术以及防火墙技术完成网络的逻辑隔离，最终从根本上杜绝局域网内的安全事故发生，保证整个燃料系统的信息安全传输。

3.6 软件优化及数据备份

制定严格的燃料系统信息安全管控制度，针对由外来人员携带以及厂内运行人员未经检测许可的可移动设备不允许直接接入燃料系统；针对燃料系统中常用的燃料掺配软件、经济性分析软件以及采购建议制定软件等进行定期全面检测，并及时对系统出现的漏洞进行修补，与此同时防病毒软件需进行定期升级，保证系统中的磁盘使用最新杀毒软件进行扫描杀毒；燃料信息系统中的工程师站涉及的接口不允许外部设备随意接入，以防止引入病毒造成设备故障。

设置预留备用电源，保证主电源切断或被迫中断的条件下系统具有备选电源使用，此外服务器与关系型数据库增加不间断电源，确保在失去主电源供电时有足够的时间完成数据的传输储存以及程序的安全退出；针对网关安全问题需进行网关协议升级，限制外部访问，减少安全风险。除此之外，为保证数据存储的完整性，需进行接口机数据以及数据服务器数据的备份，同时针对防火墙等物理隔离部分也设置手动备份，以减少各燃料信息测点与历史数据的丢失风险。

4 结语

燃料信息系统的智能化发展保证了燃料由入厂到入炉的全流程管控，实现了燃料计量、掺配、燃烧等流程的精细化控制，为电厂效率的提高以及市场竞争力的提升提供了技术支持，但燃料信息系统的网络化却使燃料的煤质、煤量、煤价以及采购计划等敏感信息的安全性受到了威胁，因此维护燃料信息系统的信息安全，防止网络攻击与病毒入侵，保证信息数据的完全性是避免电厂损失的关键，也是智能化发展的保障。