火力發(fā)電廠生產(chǎn)控制大區(qū)信息安全分析

安徽信息工程學(xué)院電氣工程教研室 楊道馳

火力發(fā)電廠生產(chǎn)控制大區(qū)信息安全分析

安徽信息工程學(xué)院電氣工程教研室 楊道馳

隨著信息技術(shù)在電力系統(tǒng)中應(yīng)用程度不斷提高,電力系統(tǒng)對(duì)信息系統(tǒng)的依賴程度日益增加,信息系統(tǒng)規(guī)模與技術(shù)復(fù)雜度逐漸提高,電力系統(tǒng)信息安全風(fēng)險(xiǎn)將增加。火力發(fā)電廠生產(chǎn)控制大區(qū)的信息安全對(duì)發(fā)電廠安全運(yùn)行至關(guān)重要。本文從信息安全角度對(duì)火力發(fā)電廠生產(chǎn)控制大區(qū)的信息安全進(jìn)行分析與劃分,并給出與其它大區(qū)信息安全的關(guān)聯(lián)和技術(shù)解決方向。

發(fā)電廠;生產(chǎn)控制大區(qū);信息安全

0 前言

隨著信息技術(shù)的發(fā)展,火力發(fā)電廠信息系統(tǒng)結(jié)構(gòu)日益復(fù)雜,電力生產(chǎn)已完全依賴于計(jì)算機(jī)監(jiān)控系統(tǒng)和數(shù)據(jù)網(wǎng)絡(luò)。信息技術(shù)在發(fā)電廠的廣泛應(yīng)用同時(shí)使得病毒和黑客也日益猖獗,這給電力生產(chǎn)帶來(lái)嚴(yán)重的安全隱患。

1 安全區(qū)的劃分

火力發(fā)電廠信息系統(tǒng)安全防護(hù)體系應(yīng)分為三層:第一層為實(shí)時(shí)監(jiān)控系統(tǒng),第二層為生產(chǎn)管理系統(tǒng),第三層為電力信息系統(tǒng)。這三層反映了各層中各系統(tǒng)的不同重要性。在層中按安全等級(jí)的不同又區(qū)分為安全工作區(qū)。第一層被認(rèn)為是一個(gè)獨(dú)立的安全區(qū)Ⅰ,而第二層根據(jù)所連接的外部邊界通信網(wǎng)絡(luò)為廣域數(shù)據(jù)網(wǎng)和不連生產(chǎn)數(shù)據(jù)網(wǎng)的兩部分。因而前者為安全區(qū)Ⅱ,后者為安全區(qū)Ⅲ。第三層信息系統(tǒng),目前暫設(shè)為一個(gè)安全區(qū)。

根據(jù)各處系統(tǒng)中各系統(tǒng)的實(shí)時(shí)性、使用者、功能、處所、在各系統(tǒng)的相互關(guān)系、廣域網(wǎng)通信的方式以及受到攻擊之后所產(chǎn)生的影響,分置于此"三層四安全區(qū)"的系統(tǒng)安全防護(hù)體系中。《電力二次系統(tǒng)安全防護(hù)規(guī)定》第四條規(guī)定:"發(fā)電企業(yè)、電網(wǎng)企業(yè)、供電企業(yè)內(nèi)部基于計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的業(yè)務(wù)系統(tǒng),原則上劃分為生產(chǎn)控制大區(qū)和管理信息大區(qū)。生產(chǎn)控制大區(qū)可以分為控制區(qū)(安全區(qū)Ⅰ)和非控制區(qū)(安全區(qū)Ⅱ);管理信息大區(qū)內(nèi)部在不影響生產(chǎn)控制大區(qū)安全的前提下,可以根據(jù)各企業(yè)不同安全要求劃分安全區(qū)。"管理信息大區(qū)一般由生產(chǎn)管理區(qū)(安全區(qū)Ⅲ)和管理信息區(qū)(安全區(qū)Ⅳ)構(gòu)成,如圖1所示。

圖1 發(fā)電廠信息系統(tǒng)邏輯結(jié)構(gòu)分區(qū)

控制區(qū)(安全區(qū)Ⅰ):由具有實(shí)時(shí)監(jiān)控功能、縱向聯(lián)接使用電力調(diào)度數(shù)據(jù)網(wǎng)的實(shí)時(shí)子網(wǎng)或?qū)Ｓ猛ǖ赖母鳂I(yè)務(wù)系統(tǒng)構(gòu)成的安全區(qū)域。是電力生產(chǎn)的重要環(huán)節(jié),直接實(shí)現(xiàn)對(duì)電力一次系統(tǒng)的實(shí)時(shí)監(jiān)控。包括計(jì)算機(jī)監(jiān)控系統(tǒng)。計(jì)算機(jī)監(jiān)控系統(tǒng)是實(shí)時(shí)生產(chǎn)監(jiān)控系統(tǒng),是整個(gè)安全保護(hù)的核心。

非控制區(qū)(安全區(qū)Ⅱ):在生產(chǎn)控制范圍內(nèi)由在線運(yùn)行但不直接參與控制、是電力生產(chǎn)過(guò)程的必要環(huán)節(jié)、縱向聯(lián)接使用電力調(diào)度數(shù)據(jù)網(wǎng)的非實(shí)時(shí)子網(wǎng)的各業(yè)務(wù)系統(tǒng)構(gòu)成的安全區(qū)域。與控制區(qū)中的業(yè)務(wù)系統(tǒng)或其功能模塊聯(lián)系緊密。包括電能量采集系統(tǒng)及各廠端電能量采集裝置。

圖2 調(diào)度數(shù)據(jù)網(wǎng)接入系統(tǒng)

生產(chǎn)控制大區(qū)的數(shù)據(jù)業(yè)務(wù),速率要求不高,數(shù)據(jù)流基本恒定,但業(yè)務(wù)實(shí)時(shí)性較強(qiáng),其中遙控遙調(diào)更是與電網(wǎng)安全直接相關(guān),可靠性要求較高;與計(jì)費(fèi)相關(guān)的電力市場(chǎng)業(yè)務(wù)對(duì)安全性有特殊要求,不僅要求可靠,原始數(shù)據(jù)還要求保密。從應(yīng)用范圍來(lái)看,生產(chǎn)控制類業(yè)務(wù)分布在各網(wǎng)省調(diào)及大量發(fā)電廠和變電站,屬于較特殊的一類窄帶業(yè)務(wù)(見圖2)。

2 生產(chǎn)控制大區(qū)安全分析

2.1 人員成分與物理環(huán)境

運(yùn)行人員是生產(chǎn)控制大區(qū)的固定人員,負(fù)責(zé)對(duì)發(fā)電廠機(jī)組及其他系統(tǒng)運(yùn)行的監(jiān)視、記錄、操作、檢查、維護(hù)等工作。不定期訪問(wèn)的人員包括:管理人員、工程設(shè)計(jì)人員、施工人員和系統(tǒng)維護(hù)人員等。生產(chǎn)控制大區(qū)業(yè)務(wù)設(shè)備主要設(shè)置在中控室、繼電保護(hù)室、電子室內(nèi)。關(guān)于機(jī)房環(huán)境、電磁防干擾、防火防水等物理因素,由于發(fā)電廠設(shè)計(jì)時(shí)都遵照了嚴(yán)格的標(biāo)準(zhǔn),主要應(yīng)考慮對(duì)出入口的監(jiān)視、重要設(shè)施的監(jiān)視,以防止對(duì)設(shè)備的物理破壞、盜竊和非法使用。

2.2 網(wǎng)絡(luò)邊界

2.2.1 電力調(diào)度數(shù)據(jù)網(wǎng)(SPDnet)縱向邊界

SPDnet承載了生產(chǎn)控制大區(qū)業(yè)務(wù)設(shè)備的實(shí)時(shí)與非實(shí)時(shí)數(shù)據(jù)的上報(bào)和AGC、AVC等命令的下送,接入系統(tǒng)如圖2所示。

SPDnet在IP OVER SDH技術(shù)體制上,采用MPLS實(shí)現(xiàn)對(duì)等標(biāo)簽式交換通信。MPLS為每個(gè)IP包加上一個(gè)固定長(zhǎng)度的標(biāo)簽,并根據(jù)標(biāo)簽值轉(zhuǎn)發(fā)數(shù)據(jù)包。對(duì)于用戶而言,網(wǎng)絡(luò)結(jié)構(gòu)是不可見的,因此要從發(fā)電廠外部節(jié)點(diǎn)利用SPDnet發(fā)動(dòng)對(duì)廠內(nèi)設(shè)備的攻擊可能性很小。更為重要的是,SPDnet完全同非生產(chǎn)業(yè)務(wù)系統(tǒng)的物理隔離,確保了網(wǎng)絡(luò)的單純性,降低了用戶復(fù)雜度,有利于維護(hù)網(wǎng)絡(luò)的安全?？梢哉J(rèn)為SPDnet自身具有足夠的安全性,以抵御防范各層次的網(wǎng)絡(luò)攻擊。但如果攻擊來(lái)自于正規(guī)途徑,或針對(duì)傳輸中的數(shù)據(jù),網(wǎng)絡(luò)本身的安全特性就完全沒(méi)有用處。例如,VPN內(nèi)部利用系統(tǒng)服務(wù)的漏洞發(fā)起攻擊或工作人員違規(guī)越權(quán)操作。對(duì)此必須針對(duì)數(shù)據(jù)和應(yīng)用程序采取安全措施。

2.2.2 傳統(tǒng)遠(yuǎn)動(dòng)專線通道

國(guó)家電力調(diào)度數(shù)據(jù)網(wǎng)各級(jí)骨干網(wǎng)絡(luò)雖然基本建立起來(lái),但是接入各發(fā)電廠、變電站等節(jié)點(diǎn)還未完全覆蓋,常規(guī)專線通道一段時(shí)間內(nèi)將被保留作為備用。專線通道由PCM分配64kbps接口上SDH光纖(微波)網(wǎng)絡(luò),與調(diào)度中心終端服務(wù)器實(shí)現(xiàn)點(diǎn)對(duì)點(diǎn)傳輸。該通道與其他數(shù)據(jù)通道物理隔離,通信協(xié)議應(yīng)用層直接建立在SDH鏈路層之上,所以通道本身不存在任何軟件風(fēng)險(xiǎn)。對(duì)其安全性的考慮應(yīng)著重在物理安全和人員安全。

2.2.3 繼電保護(hù)和自動(dòng)裝置通道

為滿足繼保和自動(dòng)裝置毫秒級(jí)的實(shí)時(shí)性要求,電力系統(tǒng)專門在SDH上開辟了64kbps專線用于該業(yè)務(wù)數(shù)據(jù)傳輸。該通道也不存在物理和人員之外的風(fēng)險(xiǎn)。

2.2.4 與管理信息大區(qū)之間的通信

生產(chǎn)控制大區(qū)與管理信息大區(qū)間一些典型的連接包括下面的幾種情況:

(1)計(jì)算機(jī)監(jiān)控系統(tǒng)的Web服務(wù)器向MIS系統(tǒng)發(fā)布實(shí)時(shí)數(shù)據(jù)。計(jì)算機(jī)監(jiān)控系統(tǒng)直接與MIS系統(tǒng)以網(wǎng)絡(luò)方式連接,可能引入所有網(wǎng)絡(luò)中存在的攻擊以及計(jì)算機(jī)病毒、惡意代碼。

(2)發(fā)電廠SIS集合生產(chǎn)業(yè)務(wù)信息提供給MIS系統(tǒng)。發(fā)電廠SIS主要目的是在電廠MIS系統(tǒng)和各種分散計(jì)算機(jī)控制系統(tǒng)之間架起一座聯(lián)系的橋梁,從而在整個(gè)電廠范圍內(nèi)實(shí)現(xiàn)信息共享。SIS有利于發(fā)電廠資源的共享,可提高生產(chǎn)管理的效率,但是原來(lái)相對(duì)獨(dú)立的控制系統(tǒng)因此受到來(lái)自管理信息網(wǎng)絡(luò)的威脅。如果將SIS劃分到生產(chǎn)控制區(qū),SIS與MIS的連接就是安全區(qū)邊界。

(3)電能量采集裝置與MIS系統(tǒng)連接。由于實(shí)現(xiàn)了網(wǎng)絡(luò)連接,電能量采集裝置將遭受到來(lái)自安全等級(jí)較低的管理信息網(wǎng)的威脅。

2.3 網(wǎng)絡(luò)內(nèi)部安全

2.3.1 火電廠監(jiān)控信息系統(tǒng)(SIS系統(tǒng),如圖3所示)

SIS系統(tǒng)跟SCADA系統(tǒng)類似,但是功能更為全面,可直接向管理層提供豐富的數(shù)據(jù)信息和決策支持。圖3所示為某火電廠的SIS,該系統(tǒng)與各分散控制系統(tǒng)通信網(wǎng)關(guān)采用以太網(wǎng)連接,形成生產(chǎn)控制區(qū)的主要網(wǎng)絡(luò)。SIS面臨與SCADA同樣的問(wèn)題,其網(wǎng)絡(luò)內(nèi)部安全性可以得到保證,防護(hù)的重心應(yīng)在網(wǎng)絡(luò)邊界、物理維護(hù)和安全管理方面。

2.3.2 繼電保護(hù)及故障錄波信息子站

繼電保護(hù)及故障錄波信息子站比較特殊,因?yàn)樵撓到y(tǒng)的下層--線路、機(jī)組、變壓器保護(hù)設(shè)備屬于控制區(qū),而子站屬于非控制區(qū)。如果保護(hù)裝置與子站之間采用網(wǎng)絡(luò)方式通信,由于子站屬于SPDnet非實(shí)時(shí)VPN連接,會(huì)將SPDnet非實(shí)時(shí)VPN中的攻擊威脅引入,盡管可能性非常小。如果兩者通過(guò)串口連接,則不用考慮保護(hù)裝置的安全問(wèn)題。

圖3 SIS結(jié)構(gòu)圖

3 結(jié)論

火力發(fā)電廠生產(chǎn)控制大區(qū)內(nèi)的業(yè)務(wù)系統(tǒng)內(nèi)部網(wǎng)絡(luò)安全性很高,主要威脅來(lái)自于網(wǎng)絡(luò)邊界,特別是與生產(chǎn)管理大區(qū)的網(wǎng)絡(luò)連接。大區(qū)物理環(huán)境較好,生產(chǎn)業(yè)務(wù)系統(tǒng)的檢查、維護(hù)工作比較完善,保障設(shè)置較齊全。人員成分簡(jiǎn)單,行為規(guī)范。主要的安全隱患包括:

(1)軟件漏洞,包括操作系統(tǒng)漏洞、Web服務(wù)漏洞。

(2)絡(luò)訪問(wèn)控制措施薄弱,通常僅有用戶/口令控制且多以明文方式傳輸。

(3)移動(dòng)存儲(chǔ)介質(zhì)可能帶來(lái)病毒。

(4)人員的誤操作。

(5)電子數(shù)據(jù)明文存放。

(6)系統(tǒng)和網(wǎng)絡(luò)對(duì)異常行為都不具備檢測(cè)和審計(jì)功能,對(duì)系統(tǒng)操作日志缺乏保護(hù)。