一種提高分散控制系統(tǒng)安全防護(hù)的方法的研究與實踐

◆俞愛榮 袁俊杰 林賢良

（浙江浙能長興天然氣熱電有限公司浙江 313100）

在基礎(chǔ)工業(yè)領(lǐng)域特別是電力行業(yè)，隨著信息技術(shù)的落地延伸出一批新的技術(shù)，如基于物聯(lián)網(wǎng)和大數(shù)據(jù)的設(shè)備遠(yuǎn)程診斷[3]、數(shù)字能源、智慧能源[4]等。但與此同時，新技術(shù)的落地給電力行業(yè)的安全防護(hù)帶來了極大的安全風(fēng)險，傳統(tǒng)的防護(hù)模式在整體上難以跟上技術(shù)本身的發(fā)展。全球范圍內(nèi)帶有政治色彩并對被攻擊對象造成嚴(yán)重后果的網(wǎng)絡(luò)攻擊越來越頻繁。在此背景下，在企業(yè)層面開展電廠分散控制系統(tǒng)安全防護(hù)方法的研究與實踐推動行業(yè)、國家防護(hù)體系的建立意義重大。

1 相關(guān)概念

（1）分散控制系統(tǒng)

分散控制系統(tǒng)[5]簡稱DCS (Distributed Control System)，是由過程控制級和過程監(jiān)控級組成的以通信網(wǎng)絡(luò)為紐帶的多計算機(jī)系統(tǒng)，綜合了計算機(jī)、通信、顯示和控制等4C技術(shù)，其基本思想是分散控制、集中操作、分級管理、配置靈活、組態(tài)方便。

（2）控制區(qū)

控制區(qū)是電力行業(yè)專用術(shù)語，是安全分區(qū)中生產(chǎn)控制大區(qū)的一個分區(qū)，直接實現(xiàn)對電力一次系統(tǒng)的實時監(jiān)控，是電廠電力監(jiān)控系統(tǒng)安全防護(hù)的核心。

（3）非控制區(qū)

非控制區(qū)是電力行業(yè)專用術(shù)語，是安全分區(qū)中生產(chǎn)控制大區(qū)的一個分區(qū)，在線運(yùn)行和監(jiān)測但不具備控制功能，是電廠電力監(jiān)控系統(tǒng)安全防護(hù)的重點。

（4）橫向隔離

橫向隔離[6]是網(wǎng)絡(luò)安全專用術(shù)語，指采用不同強(qiáng)度的安全隔離設(shè)備使不同安全區(qū)中的業(yè)務(wù)系統(tǒng)得到有效的保護(hù)，橫向隔離裝置隔離強(qiáng)度應(yīng)當(dāng)接近或達(dá)到物理隔離。橫向隔離是電力監(jiān)控系統(tǒng)安全防護(hù)的重要設(shè)備，部署在控制大區(qū)與管理信息大區(qū)之間，在網(wǎng)絡(luò)防護(hù)層面起著非常重要的作用。

（5）邏輯隔離

邏輯隔離[7]是網(wǎng)絡(luò)安全專用術(shù)語，是相對物理隔離的一種邊界隔離方式，通過邏輯隔離設(shè)備實現(xiàn)，邏輯隔離設(shè)備是一種不同網(wǎng)絡(luò)間的隔離部件，被隔離的兩端仍然存在物理上數(shù)據(jù)通道連線，但通過技術(shù)手段保證被隔離的兩端沒有數(shù)據(jù)通道，即邏輯上隔離。常見的邏輯隔離設(shè)備有防火墻。

2 項目背景

國家能源局2015年36 號文《國家能源局關(guān)于印發(fā)電力監(jiān)控系統(tǒng)安全防護(hù)總體方案等安全防護(hù)方案和評估規(guī)范》指出：橫向隔離是電力監(jiān)控系統(tǒng)安全防護(hù)體系的橫向防線。應(yīng)當(dāng)采用不同強(qiáng)度的安全設(shè)備隔離各安全區(qū)，在生產(chǎn)控制大區(qū)與管理信息大區(qū)之間必須部署經(jīng)國家指定部門檢測認(rèn)證的電力專用橫向單向安全隔離裝置，隔離強(qiáng)度應(yīng)當(dāng)接近或達(dá)到物理隔離。生產(chǎn)控制大區(qū)內(nèi)部的安全區(qū)之間應(yīng)當(dāng)采用具有訪問控制功能的網(wǎng)絡(luò)設(shè)備、安全可靠的硬件防火墻或者相當(dāng)功能的設(shè)施，實現(xiàn)邏輯隔離。防火墻的功能、性能、電磁兼容性必須經(jīng)過國家相關(guān)部門的認(rèn)證和測試。

3 現(xiàn)狀分析

目前發(fā)電廠控制區(qū)到非控制區(qū)進(jìn)行接口通訊，安全防護(hù)采用傳統(tǒng)防火墻實現(xiàn)邏輯隔離，在控制區(qū)與非控制區(qū)數(shù)據(jù)交互時，為保證通訊質(zhì)量端口全部開放，導(dǎo)致控制區(qū)邊界防護(hù)存在安全風(fēng)險，嚴(yán)重影響了發(fā)電廠的安全生產(chǎn)。案例電廠現(xiàn)階段分散控制系統(tǒng)安全防護(hù)示意圖如圖1所示。

4 安全防護(hù)方法研究

4.1 研究內(nèi)容

本次研究提出在控制大區(qū)內(nèi)部的安全區(qū)之間采用橫向單向安全隔離裝置替代具有訪問控制功能的設(shè)備、防火墻或者相當(dāng)功能的設(shè)施，實現(xiàn)邏輯隔離到物理隔離[8]的升級。其方法不限于分散控制系統(tǒng)中數(shù)據(jù)傳輸帶來的安全性問題，可以擴(kuò)展到在高安全區(qū)與低安全區(qū)之間完成數(shù)據(jù)的安全傳輸。

4.2 創(chuàng)新點

本研究在深入解讀《電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定》的基礎(chǔ)上，提出自主研發(fā)工業(yè)接口軟件實現(xiàn)在采用橫向單向安全隔離裝置作為邊界防護(hù)設(shè)備的研究方向，為發(fā)電廠控制區(qū)到非控制的安全防護(hù)提供新的思路，最終實現(xiàn)物理隔離。同時該研究成果適用于更為普遍的工業(yè)控制系統(tǒng)或者高安全區(qū)到低安全區(qū)的安全防護(hù)。

4.3 預(yù)期目標(biāo)

研究方法的核心是尋求一種新的思路來解決當(dāng)前控制大區(qū)內(nèi)部的安全區(qū)之間邊界防護(hù)通用方案存在的安全風(fēng)險，有效地控制來自控制區(qū)系統(tǒng)外部的網(wǎng)絡(luò)安全問題。

圖1 現(xiàn)階段分散控制系統(tǒng)安全防護(hù)示意圖

5 研究成果實踐

5.1 方案設(shè)計

應(yīng)用自主研發(fā)的接口軟件，結(jié)合正向安全隔離裝置實現(xiàn)數(shù)據(jù)由控制區(qū)（DCS）到非控制區(qū)（SIS）的單向傳輸。在高安全區(qū)將數(shù)據(jù)轉(zhuǎn)換成滿足專用協(xié)議（保證能夠通過正向隔離裝置）傳輸?shù)臄?shù)據(jù)塊，通過正向隔離裝置到達(dá)低安全區(qū)后再將數(shù)據(jù)塊恢復(fù)成滿足要求的數(shù)據(jù)。案例電廠實踐后數(shù)據(jù)流示意圖如圖2所示。

圖2 案例電廠實踐后數(shù)據(jù)流示意圖

5.2 方法實現(xiàn)過程

通過正向單向安全隔離裝置將控制區(qū)和非控制區(qū)進(jìn)行物理隔離；獲取所述控制區(qū)的輸出數(shù)據(jù)；判斷所述輸出數(shù)據(jù)是否為壞點數(shù)據(jù)，若否，則將所述輸出數(shù)據(jù)的數(shù)據(jù)格式轉(zhuǎn)換為非控制區(qū)可識別的數(shù)據(jù)格式；將格式轉(zhuǎn)換后的所述輸出數(shù)據(jù)保存至本地；采用指定的數(shù)據(jù)傳輸協(xié)議和數(shù)據(jù)格式，將所述輸出數(shù)據(jù)從指定的發(fā)送端口經(jīng)過正向單向安全隔離裝置發(fā)送至非控制區(qū)指定的接收端口；通過所述非控制區(qū)指定的接收端口接收所述輸出數(shù)據(jù)；將接收到的所述輸出數(shù)據(jù)保存至本地；將接收到的所述輸出數(shù)據(jù)寫入所述非控制區(qū)的數(shù)據(jù)庫中。

上述方法主要通過正向單向安全隔離裝置和自主研發(fā)的工業(yè)接口軟件實現(xiàn)，其中，正向單向安全隔離裝置為現(xiàn)有技術(shù)中經(jīng)國家指定部門檢測認(rèn)證的電力專用正向單向安全隔離裝置，用于隔離控制區(qū)和非控制區(qū)，避免數(shù)據(jù)在兩個區(qū)之間的隨意交互；而工業(yè)接口軟件的數(shù)據(jù)發(fā)送端和數(shù)據(jù)接收端分設(shè)于電廠的控制區(qū)和非控制區(qū)，以配合實現(xiàn)數(shù)據(jù)的單向定向傳輸，解決了控制區(qū)邊界由于網(wǎng)絡(luò)架構(gòu)多樣性導(dǎo)致的網(wǎng)絡(luò)安全問題，大大降低了來自控制區(qū)外的網(wǎng)絡(luò)安全風(fēng)險，確保了電廠信息系統(tǒng)的安全性。

6 結(jié)束語

本次研究提出一種提高電廠分散控制系統(tǒng)安全防護(hù)的方法，在此基礎(chǔ)上研發(fā)一套工業(yè)接口軟件，實現(xiàn)在高安全區(qū)與低安全區(qū)之間部署隔離裝置作為邊界安全防護(hù)設(shè)備完成數(shù)據(jù)的高質(zhì)量和高安全傳輸，提高系統(tǒng)網(wǎng)絡(luò)層面上的安全性。其成果在案例電廠得到良好實踐，有效地控制來自分散控制系統(tǒng)外部的網(wǎng)絡(luò)安全問題，是一次工業(yè)控制產(chǎn)品（接口軟件）國產(chǎn)化的成功試點。在行業(yè)層面和國家層面具有一定的社會效益、安全生產(chǎn)效益和經(jīng)濟(jì)效益。在國內(nèi)電力行業(yè)當(dāng)前工業(yè)控制系統(tǒng)國產(chǎn)化水平低和網(wǎng)絡(luò)安全形勢嚴(yán)峻的雙重挑戰(zhàn)下，通過自主工業(yè)控制產(chǎn)品（接口軟件）的探索和研究，改進(jìn)工業(yè)控制系統(tǒng)安全防護(hù)水平和國產(chǎn)化水平，降低維護(hù)的安全風(fēng)險和成本。