朱磊

（國家能源集團上灣熱電廠，內(nèi)蒙古 鄂爾多斯 017293）

0 引言

智慧電廠是我國電力事業(yè)不斷改革發(fā)展的產(chǎn)物，更是提升電廠現(xiàn)代化發(fā)展的關(guān)鍵所在。智慧電廠的運行要從安全、生產(chǎn)及設(shè)備等幾個方面的智慧進行思考，全面構(gòu)建起電廠的智慧運行。數(shù)據(jù)網(wǎng)絡(luò)安全問題是影響智慧電廠安全、可靠運行的關(guān)鍵所在，如何處理好該問題，需要電廠針對自身實際情況，構(gòu)建起數(shù)據(jù)網(wǎng)絡(luò)安全體系，確保智慧電廠的可持續(xù)發(fā)展。因此對于智慧電廠下的數(shù)據(jù)網(wǎng)絡(luò)安全體系進行研究具有重要意義。

1 項目概述

國家能源集團該項目為此電廠的二期擴建工程，二期擴建工程總裝機容量2×660MW，直接空冷發(fā)電機組。此次智能化電廠建設(shè)項目結(jié)合集團先進管理理念，通過云、大、物、移、智等新型技術(shù)手段，以需求為導(dǎo)向，實現(xiàn)智能化生產(chǎn)運行、主動安全管理和智能經(jīng)營與決策等，在數(shù)據(jù)融合和技術(shù)融合的基礎(chǔ)上，打造一體化管控平臺，實現(xiàn)應(yīng)用融合和安全融合，解決電廠各項生產(chǎn)經(jīng)營管理問題[1]。為了更好達到智能化電廠建設(shè)目標(biāo)，從以設(shè)備為中心的生產(chǎn)管理、以人為中心的安全管理和以財務(wù)為中心的經(jīng)營管理三個方面，開展智能化電廠研究與建設(shè)工作。智能DCS系統(tǒng)建設(shè)是在機組DCS功能基礎(chǔ)上，通過網(wǎng)絡(luò)結(jié)構(gòu)調(diào)整、智能硬件部署，形成智能發(fā)電運行控制平臺。通過智慧電廠的建設(shè)，數(shù)據(jù)網(wǎng)絡(luò)安全問題成為人們關(guān)注的重點，因此本文在該案例基礎(chǔ)上，就智慧電廠下的數(shù)據(jù)網(wǎng)絡(luò)安全體系進行介紹。

2 智慧電廠下的數(shù)據(jù)網(wǎng)絡(luò)安全風(fēng)險

2.1 互聯(lián)網(wǎng)風(fēng)險

智慧電網(wǎng)對于互聯(lián)網(wǎng)的依賴性較高，尤其是在連成廣域網(wǎng)之后，受到外部安全攻擊的概率增加。安全攻擊主要有網(wǎng)絡(luò)病毒、釣魚工具、等“黑客”手段，所以這些問題也成為智慧電廠數(shù)據(jù)網(wǎng)絡(luò)安全風(fēng)險的主要來源[2]。

2.2 內(nèi)部網(wǎng)絡(luò)風(fēng)險

內(nèi)部網(wǎng)風(fēng)險是網(wǎng)絡(luò)安全事件的主要來源，內(nèi)部網(wǎng)絡(luò)風(fēng)險面臨著更加嚴(yán)峻的形勢。智慧電廠員工的不當(dāng)操作，或者監(jiān)管不力都會對內(nèi)部網(wǎng)絡(luò)安全造成極大影響，比如信息泄露、系統(tǒng)遭受攻擊等。

2.3 安全監(jiān)管風(fēng)險

網(wǎng)絡(luò)安全監(jiān)管是確保智慧電網(wǎng)網(wǎng)絡(luò)安全運行的重要手段，但是就目前來看，此電廠在一期項目中網(wǎng)絡(luò)安全方面還是比較薄弱的，無法構(gòu)建起網(wǎng)絡(luò)安全體系，監(jiān)管方法、技術(shù)等相對比較落后，無法為智慧電廠網(wǎng)絡(luò)安全運行提供可靠支持。

3 智慧電廠下的數(shù)據(jù)網(wǎng)絡(luò)安全體系的構(gòu)建

針對新型的智慧電廠，需要在數(shù)據(jù)網(wǎng)絡(luò)安全體系的構(gòu)建過程中，該項目管理人員已經(jīng)認識到數(shù)據(jù)網(wǎng)絡(luò)安全的重要性，針對實際情況，制定可靠的構(gòu)建策略。下面就對智慧電廠下的數(shù)據(jù)網(wǎng)絡(luò)安全體系進行介紹：

3.1 系統(tǒng)建設(shè)方案

數(shù)據(jù)網(wǎng)絡(luò)安全監(jiān)管系統(tǒng)通過大數(shù)據(jù)的應(yīng)用，構(gòu)建起開放的平臺架構(gòu)設(shè)計，為便于模塊的靈活布置，應(yīng)用接口更為業(yè)界通用。系統(tǒng)架構(gòu)可以分為展示層、監(jiān)測層、大數(shù)據(jù)層、接入層與感知層五個模塊[3]。在平臺功能設(shè)計時，數(shù)據(jù)網(wǎng)絡(luò)安全監(jiān)管系統(tǒng)的應(yīng)用，需要對安全風(fēng)險進行識別與評估。在對網(wǎng)絡(luò)漏洞進行挖掘時，需要通過端口掃描等途徑，與指紋進行匹配，能快速對網(wǎng)絡(luò)服務(wù)存在的安全隱患或者脆弱點進行分析，最終形成漏洞結(jié)果。通過威脅評估，可以對安全風(fēng)險進行精準(zhǔn)識別，并最終在系統(tǒng)應(yīng)用下，將監(jiān)測結(jié)果直觀呈現(xiàn)出來。建設(shè)智慧化電廠統(tǒng)一網(wǎng)絡(luò)安全保護平臺，建立協(xié)同安全保護中心，實現(xiàn)網(wǎng)絡(luò)空間立體協(xié)同防護，網(wǎng)絡(luò)安全業(yè)務(wù)實現(xiàn)模塊按需部署，集中實現(xiàn)網(wǎng)絡(luò)邊界接入安全保護、邊界防火墻與入侵保護，有效管控非法外聯(lián)與非法入網(wǎng)；內(nèi)部網(wǎng)信空間的上網(wǎng)行為安全審計機制，有效處置內(nèi)網(wǎng)病毒、系統(tǒng)漏洞缺陷及系統(tǒng)維護操作的安全隱患，建立邊界保護、區(qū)域內(nèi)網(wǎng)空間統(tǒng)一安全防護、網(wǎng)絡(luò)通信傳輸加密保護，網(wǎng)絡(luò)資產(chǎn)運行狀態(tài)可實時監(jiān)測的統(tǒng)一網(wǎng)絡(luò)安全保護機制，實現(xiàn)網(wǎng)絡(luò)安全統(tǒng)一監(jiān)測指揮、各安全業(yè)務(wù)模塊化具體負責(zé)安全事件處置的統(tǒng)一網(wǎng)絡(luò)安全保護機制。

3.2 運用到的核心技術(shù)

智慧電廠下的數(shù)據(jù)網(wǎng)絡(luò)安全體系的構(gòu)建會運用到大數(shù)據(jù)技術(shù)、數(shù)據(jù)融合技術(shù)等幾種技術(shù)，具體如表1所示。

表1 核心技術(shù)

3.3 漏洞挖掘

在對漏洞進行挖掘期間，可以通過漏洞挖掘檢測系統(tǒng)的應(yīng)用，為工控安全漏洞庫及設(shè)備庫等提供豐富、全面的工控協(xié)議測試用例庫、模糊測試引擎。常見的工控協(xié)議主要包括Modbus、Profinet等，通過定制開發(fā)與協(xié)議智能測試等，對私有位置協(xié)議模式提供具體解決方案[4]。

智慧電廠利用漏洞挖掘系統(tǒng)，可以對漏洞產(chǎn)生的根源進行精準(zhǔn)定位，對攻擊原理進行梳理，然后捕獲數(shù)據(jù)包，這時可以對所捕獲的數(shù)據(jù)包進行漏洞分析[5]。這樣管理人員可以對數(shù)據(jù)進行修改，然后從數(shù)據(jù)包的分析結(jié)果出發(fā)，開展性能測試工作，并最終找到漏洞出現(xiàn)的根本原因。當(dāng)有潛在的網(wǎng)絡(luò)數(shù)據(jù)信息安全漏洞時，能快速識別漏洞，評價漏洞等級，并具有針對性的進行完善。

3.4 工控協(xié)議漏洞分析

工控協(xié)議漏洞分析的基本原理是模糊測試，模糊測試在實際應(yīng)用中的方法主要有預(yù)生成測試用例、自動協(xié)議生成測試、隨機生成輸入等幾種。以模糊測試為基礎(chǔ)，構(gòu)建起通信協(xié)議動態(tài)隨機分析測試框架，對同性協(xié)議健壯性檢測評估系統(tǒng)進行建設(shè)。通過這樣的方式對工控協(xié)議漏洞進行分析。

3.5 脆弱點分析

智慧電廠在進行脆弱點分析時，需要使用靜態(tài)掃描、模糊測試等綜合方法，通過靜態(tài)掃描對被測系統(tǒng)進行掃描，然后呈現(xiàn)匹配的報告。對于業(yè)務(wù)邏輯的脆弱點，則可以在逆向還原的方式下發(fā)現(xiàn)。在對程序進行測試時，可以利用Fuzz技術(shù)實現(xiàn)，對程序執(zhí)行的狀態(tài)進行測試，將可能存在的bug數(shù)據(jù)記錄進行篩選，精準(zhǔn)定位漏洞脆弱點。

3.6 威脅評估

智慧電廠通過威脅評估，對存在的網(wǎng)絡(luò)數(shù)據(jù)安全問題進行及時發(fā)現(xiàn)，分析的主要模塊為威脅分析、流量分析等幾個模塊。該平臺在實際應(yīng)用中，支持的工控和IT協(xié)議數(shù)量達到70種，對網(wǎng)絡(luò)安全控制中的系統(tǒng)、設(shè)備等中的威脅因素進行有效識別，然后可以地網(wǎng)絡(luò)安全風(fēng)險進行評價，將漏洞分析在報告中進行詳細分析，為管理人員提供可靠參考。

3.7 智能報警

智能報警應(yīng)綜合采用機理建模、數(shù)據(jù)分析、人工智能等先進技術(shù)，優(yōu)化報警能力，大幅度減少無效報警，快速定位報警根源，保證操作人員有足夠的響應(yīng)時間，并能夠提供適當(dāng)鑒別信息和做出指導(dǎo)，提高機組的監(jiān)控品質(zhì)。智能報警的軟硬件要求具體如表2所示。

表2 軟硬件要求

3.8 工業(yè)防火墻及隔離裝置

原有的防火墻無法滿足新的網(wǎng)絡(luò)數(shù)據(jù)安全問題，需要使用工業(yè)防火墻，對原有的防火墻就代替，并增加工業(yè)隔離器，采用橫向隔離，縱向加密等手段確保網(wǎng)絡(luò)攻擊無法獲進入工控系統(tǒng)內(nèi)，在簡單的ACL控制下，無法對各類攻擊進行有效應(yīng)對，但是工業(yè)防火墻在應(yīng)用之后，能將網(wǎng)絡(luò)中的攻擊流量進行深層次的檢測。工業(yè)防火墻在關(guān)鍵系統(tǒng)與非關(guān)鍵系統(tǒng)的隔離過程中，能通過分離SIS系統(tǒng)網(wǎng)絡(luò)及控制系統(tǒng)網(wǎng)絡(luò)完成此項工作。

4 結(jié)語

智慧電廠是我國電力事業(yè)改革的重要步驟，通過智慧電廠的建立，能提升電廠的生產(chǎn)與運營水平，為我國特色社會主義事業(yè)建設(shè)提供支持。數(shù)據(jù)網(wǎng)絡(luò)安全問題成為影響智慧電廠發(fā)展的關(guān)鍵所在，因此需要針對實際情況，制定數(shù)據(jù)網(wǎng)絡(luò)安全體系，確保智慧電廠的可靠、安全運行，減少由于網(wǎng)絡(luò)數(shù)據(jù)安全而造成的經(jīng)濟損失，實現(xiàn)我國電力事業(yè)的可持續(xù)發(fā)展。