電力局助理工程師評(píng)定論文火電廠控制系統(tǒng)安全

　　與早期自下而上逐步推廣應(yīng)用DCS不同，這篇電力局助理工程師評(píng)定論文為加強(qiáng)工控信息安全工作是由上而下發(fā)動(dòng)，一下子就轟轟烈烈展開了，這使電力行業(yè)有點(diǎn)措手不及。但是，“軍令”如山，必須快步跟上，轟轟烈烈，同時(shí)也要少走彎路。迅速制定正確的信息安全工作策略，才能把各種力量凝聚在一個(gè)正確方向上，協(xié)同戰(zhàn)斗，確�；痣姀S控制系統(tǒng)信息安全工作健康向前發(fā)展。《山西電力》(雙月刊)創(chuàng)刊于1981年，系山西省電力公司主管，山西電力科學(xué)研究院、山西省電機(jī)工程學(xué)會(huì)和山西電力技術(shù)院共同主辦的國內(nèi)外公開發(fā)行的電力技術(shù)期刊，主要面向全國電力行業(yè)技術(shù)與管理人員。

　　摘要：本文根據(jù)火電廠控制系統(tǒng)特點(diǎn)，指出控制系統(tǒng)信息安全防護(hù)應(yīng)與互聯(lián)網(wǎng)系統(tǒng)信息安全防護(hù)具有不同安全工作策略，并對(duì)當(dāng)前控制系統(tǒng)供應(yīng)側(cè)和應(yīng)用側(cè)兩個(gè)信息安全戰(zhàn)場的互相協(xié)調(diào)和促進(jìn)進(jìn)行了探討。最后，作者還對(duì)控制大區(qū)和管理大區(qū)隔離問題以及DCS信息安全認(rèn)證和測試這兩個(gè)具體問題提出了一些想法。

　　關(guān)鍵詞：火電廠;控制系統(tǒng);信息安全;策略

　　1我國工業(yè)控制系統(tǒng)信息安全發(fā)展態(tài)勢(shì)

　　從2011年底起，國家各部委發(fā)布了一系列關(guān)于工業(yè)控制系統(tǒng)信息安全的文件，把工控信息安全列為“事關(guān)經(jīng)濟(jì)發(fā)展、社會(huì)穩(wěn)定和國家安全”的重要戰(zhàn)略，受到國家層面的高度重視。在國家層面的推動(dòng)下，工控信息安全工作轟轟烈烈展開，大批行政指令以及標(biāo)準(zhǔn)應(yīng)運(yùn)而生;在行政和市場雙重動(dòng)力的推動(dòng)下，安全信息產(chǎn)業(yè)如雨后春筍般發(fā)展，工控信息安全產(chǎn)業(yè)聯(lián)盟迅速壯大。這種形勢(shì)下，我國電力、石化、鋼鐵等各大行業(yè)的集團(tuán)和公司面臨著如何迅速研究工控信息安全這個(gè)新課題，學(xué)習(xí)這一系列文件精神和標(biāo)準(zhǔn)，加強(qiáng)工控信息安全管理，研究采取恰當(dāng)?shù)男畔�安全技術(shù)措施等，積極穩(wěn)妥地把工控信息安全工作踏踏實(shí)實(shí)地開展起來這一系列緊迫任務(wù)。但是，當(dāng)前面臨的困難是，從事信息安全產(chǎn)業(yè)的公司大多不太熟悉特點(diǎn)各異的各行業(yè)工控系統(tǒng)，有時(shí)還不免把工控系統(tǒng)視作一個(gè)互聯(lián)網(wǎng)信息系統(tǒng)去思考和防護(hù),而從事工控系統(tǒng)應(yīng)用行業(yè)的人們大多還來不及了解信息安全技術(shù)，主導(dǎo)制定本行業(yè)的相關(guān)標(biāo)準(zhǔn)和本行業(yè)控制系統(tǒng)信息安全的工作策略，并推動(dòng)兩支力量的緊密配合。這正是當(dāng)前面臨的困境和作者力圖要與同仁們一起學(xué)習(xí)和探討的問題。

　　2從工控系統(tǒng)特點(diǎn)出發(fā)正確制定信息安全發(fā)展策略

　　火電廠控制系統(tǒng)與傳統(tǒng)信息系統(tǒng)相比，相對(duì)來說，與外部完全開放的互聯(lián)網(wǎng)聯(lián)系極少，分布地域有限，接觸人員較少，而對(duì)實(shí)時(shí)性、穩(wěn)定性和可靠性卻要求極高。這正是我們制定火電廠控制系統(tǒng)信息安全工作策略的基本出發(fā)點(diǎn)。為了形象起見，我們以人類抵抗疾病為例。人要不生病，一方面要自身強(qiáng)壯，不斷提高肌體的免疫系統(tǒng)和自修復(fù)能力;另一方面，要盡可能營造一個(gè)良好的外部環(huán)境(不要忽冷忽熱，空氣中污染物少，無彌漫的病菌和病毒)。人類積累了豐富的經(jīng)驗(yàn)，根據(jù)實(shí)際情況采取非常適當(dāng)?shù)谋Ｗo(hù)措施。例如，對(duì)于一般人來說，他們改變環(huán)境的可行性較差。因此，確保自身強(qiáng)壯以及發(fā)現(xiàn)病兆及時(shí)吃藥修復(fù)等是其保護(hù)自己的主要手段。但是，對(duì)于新生兒，因?yàn)樽陨砻庖呦到y(tǒng)還比較脆弱，短時(shí)間也不可能馬上提高。剛出生時(shí)醫(yī)生也有條件將其暫時(shí)置于無菌恒溫保護(hù)箱中哺養(yǎng)，以隔絕惡劣的環(huán)境。信息安全與人類抵抗病十分相似。對(duì)于一般互聯(lián)網(wǎng)信息系統(tǒng)，分布地域極廣，接觸人員多而雜，因此信息安全策略重點(diǎn)，除了在適當(dāng)?shù)攸c(diǎn)采取一些防火墻等隔離措施外，主要依靠提高自身健壯性，以及查殺病毒等措施防御信息安全。

　　對(duì)于工控系統(tǒng)，特別是火電廠控制系統(tǒng)，它與外部互聯(lián)網(wǎng)聯(lián)系較少，分布地域有限，接觸人員較少。因此，對(duì)火電廠應(yīng)該首先把重點(diǎn)放在為控制系統(tǒng)營造一個(gè)良好環(huán)境上。也就是說，盡可能與充斥病毒和惡意攻擊的源泉隔離，包括從互聯(lián)網(wǎng)進(jìn)來的外部入侵，以及企業(yè)內(nèi)外人員從內(nèi)部的直接感染和入侵。前者可采取電力行業(yè)中證明行之有效的硬件網(wǎng)絡(luò)單向傳輸裝置(單向物理隔離裝置)等技術(shù)手段;后者則主要通過加強(qiáng)目前電廠內(nèi)比較忽視和薄弱的信息安全管理措施。火電廠控制系統(tǒng)采取這種信息安全策略可以達(dá)到事半功倍的效果。從當(dāng)前國內(nèi)外出現(xiàn)的不少工控系統(tǒng)遭受惡意攻擊和植入病毒導(dǎo)致的嚴(yán)重事故來看，幾乎大多數(shù)是沒有或者隔離措施非常薄弱經(jīng)互聯(lián)網(wǎng)端侵入，或者通過企業(yè)內(nèi)外人員從內(nèi)部直接植入病毒導(dǎo)致。

　　當(dāng)然，我們不能忽視提高控制系統(tǒng)自身健壯性的各種努力和措施，以便萬一惡意攻擊和病毒侵入的情況下仍能萬無一失確保安全。但是，開展這方面工作，特別是在已經(jīng)投運(yùn)的控制系統(tǒng)上進(jìn)行這方面工作要特別慎重，這不僅因?yàn)檫@些工作代價(jià)較高，而且在當(dāng)前信息安全產(chǎn)業(yè)中不少公司還不太熟悉相關(guān)行業(yè)工控系統(tǒng)特點(diǎn)，有些產(chǎn)品在工控系統(tǒng)中應(yīng)用尚不成熟，而火電廠控制系統(tǒng)廠家對(duì)自身產(chǎn)品信息安全狀態(tài)研究剛剛開始，或者由于種種原因沒有介入和積極配合的情況下風(fēng)險(xiǎn)較高。這不是聳人聽聞，實(shí)踐已經(jīng)發(fā)生，有的電廠為此已經(jīng)付出了DCS停擺，機(jī)組誤跳的事故代價(jià)。

　　3火電廠控制系統(tǒng)供應(yīng)側(cè)和應(yīng)用側(cè)兩個(gè)信息安全戰(zhàn)場的不同策略及相互協(xié)調(diào)

　　火電廠控制系統(tǒng)，主要是DCS，不僅是保證功能安全的基礎(chǔ)，也是提高自身健壯性，確保信息安全的關(guān)鍵，它包括供應(yīng)側(cè)和應(yīng)用側(cè)兩個(gè)信息安全戰(zhàn)場。在DCS供應(yīng)側(cè)提高自身健壯性，并通過驗(yàn)收測收，確保系統(tǒng)信息安全有許多明顯的優(yōu)點(diǎn)。它可以非常協(xié)調(diào)地融入信息安全策略，可以離線進(jìn)行危險(xiǎn)性較大的滲透性測試，發(fā)現(xiàn)的漏洞對(duì)應(yīng)用其控制系統(tǒng)的電廠具有一定的通用性等。此外，DCS供應(yīng)側(cè)在提高信息安全方面積累的經(jīng)驗(yàn)和措施，培養(yǎng)起來的隊(duì)伍，也將有助于現(xiàn)有電廠DCS的測試評(píng)估，以及安全加固等直接升級(jí)服務(wù)或配合服務(wù)。與信息安全產(chǎn)業(yè)的公司提供服務(wù)擴(kuò)大了公司的市場不同，DCS供應(yīng)側(cè)提高其信息安全水平增加了DCS成本。

　　因此，為了推動(dòng)DCS供應(yīng)側(cè)提高信息安全水平，除了目前已經(jīng)在發(fā)揮作用的行政手段外，我們還必須加強(qiáng)市場手段的動(dòng)力。為此，當(dāng)前我們電力行業(yè)應(yīng)盡快從信息安全角度著手制定DCS準(zhǔn)入標(biāo)準(zhǔn)，制定火電廠DCS信息安全技術(shù)標(biāo)準(zhǔn)和驗(yàn)收測試標(biāo)準(zhǔn)，以及招標(biāo)用典型技術(shù)規(guī)范書等�；痣姀SDCS應(yīng)用側(cè)，是當(dāng)前最緊迫面臨現(xiàn)實(shí)信息安全風(fēng)險(xiǎn)，而且范圍極廣的戰(zhàn)場，必須迅速有步驟地點(diǎn)面結(jié)合提高信息安全，降低風(fēng)險(xiǎn)。具體意見如下：

　　3.1應(yīng)迅速全面開展下列三方面工作

　　(1)全面核查DCS與SIS及互聯(lián)網(wǎng)間是否真正貫徹落實(shí)了發(fā)改委2014年14號(hào)令和國家能源局2015年36號(hào)文附件中關(guān)于配置單向物理隔離的規(guī)定，沒有加裝必須盡快配置，已配置的要檢查是否符合要求。(2)迅速按照《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》加強(qiáng)內(nèi)部安全管理，杜絕內(nèi)部和外部人員非法接近操作、介入或在現(xiàn)場總線及其它接入系統(tǒng)上偷掛攻擊設(shè)備等，并適度開展一些風(fēng)險(xiǎn)較小的安全測評(píng)項(xiàng)目。上述兩項(xiàng)工作，在已投運(yùn)系統(tǒng)上實(shí)施難度較低，實(shí)施風(fēng)險(xiǎn)相對(duì)較低，但是卻能起到抵御當(dāng)前大部分潛在病毒侵襲和惡意攻擊的風(fēng)險(xiǎn)。(3)通過試點(diǎn)，逐步開展對(duì)已運(yùn)DCS進(jìn)行較為深入的安全測評(píng)，適度增加信息安全技術(shù)措施，待取得經(jīng)驗(yàn)后，再組織力量全面推廣，把我國火電廠控制系統(tǒng)信息安全提高到一個(gè)新的水平。

　　為了提高這項(xiàng)工作的總體效益，建議針對(duì)國內(nèi)火電廠應(yīng)用的各種型號(hào)的DCS品牌出發(fā)，各大電力集團(tuán)互相協(xié)調(diào)，統(tǒng)籌規(guī)劃，選擇十個(gè)左右試點(diǎn)電廠，由應(yīng)用單位上級(jí)領(lǐng)導(dǎo)組織，國家級(jí)或重點(diǎn)的測評(píng)機(jī)構(gòu)、實(shí)驗(yàn)室技術(shù)指導(dǎo)，相關(guān)DCS供應(yīng)商、優(yōu)秀信息安全產(chǎn)品生產(chǎn)商以及電廠負(fù)責(zé)DCS的工程師一起成立試點(diǎn)小組。這樣不僅可以融合DCS廠家的經(jīng)驗(yàn)，包括他們已經(jīng)開展的信息安全測評(píng)和信息安全加強(qiáng)措施，減少不必要的某些現(xiàn)場直接工作帶來的較大風(fēng)險(xiǎn)。也有利于當(dāng)前復(fù)合人才缺乏的情況下，確保工控系統(tǒng)技術(shù)和工控系統(tǒng)信息安全技術(shù)無縫融合，防止發(fā)生故障而影響安全生產(chǎn)(目前已經(jīng)有電廠在測試和加入安全措施導(dǎo)致DCS故障而停機(jī)的事件)。

　　4DCS信息安全若干具體問題的建議

　　4.1關(guān)于控制大區(qū)和管理大區(qū)隔離的問題

　　根據(jù)國家發(fā)改委2014年14號(hào)令頒發(fā)的《電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定》，以及國家能源局36號(hào)文附件《電力監(jiān)控系統(tǒng)安全防護(hù)總體方案》的要求：(1)生產(chǎn)拉制大區(qū)和管理信息大區(qū)之間通信應(yīng)當(dāng)部署專用橫向單向安全隔離裝置，是橫向防護(hù)的關(guān)鍵設(shè)備。(2)生產(chǎn)控制大區(qū)內(nèi)的控制區(qū)與非控制區(qū)之間應(yīng)當(dāng)采取具有訪問功能的設(shè)施，實(shí)現(xiàn)邏輯隔離。2016年修訂的電力行業(yè)標(biāo)準(zhǔn)《火電廠廠級(jí)監(jiān)控信息系統(tǒng)技術(shù)條件》(DL/T 924-2016)對(duì)隔離問題做了新的補(bǔ)充規(guī)定：(1)當(dāng)MIS網(wǎng)絡(luò)不與互聯(lián)網(wǎng)連接時(shí)，宜采用SIS與MIS共用同一網(wǎng)絡(luò)，在生產(chǎn)控制系統(tǒng)與SIS之間安裝硬件的網(wǎng)絡(luò)單向傳輸裝置(單向物理隔離裝置)。(2)當(dāng)MIS網(wǎng)絡(luò)與互聯(lián)網(wǎng)連接時(shí)，宜采用SIS網(wǎng)絡(luò)獨(dú)立于MIS網(wǎng)絡(luò)，并加裝硬件的網(wǎng)絡(luò)單向傳輸裝置(單向物理隔離裝置)，而在生產(chǎn)控制系統(tǒng)與SIS之間安裝硬件防火墻隔離。根椐當(dāng)前嚴(yán)峻的網(wǎng)絡(luò)安全形勢(shì)，應(yīng)當(dāng)重新思考單向物理隔離裝置這個(gè)行之有效的關(guān)鍵安全措施的設(shè)置點(diǎn)問題。

　　建議無論是剛才提到的哪一種情況，單向物理隔離裝置均應(yīng)設(shè)置在生產(chǎn)控制系統(tǒng)(DCS)與SIS之間，理由是：(1)生產(chǎn)控制系統(tǒng)(DCS)對(duì)電廠人身設(shè)備危害和社會(huì)影響極大，而且危險(xiǎn)事件瞬間爆發(fā)。因此，一定要把防控惡意操作、網(wǎng)絡(luò)攻擊和傳播病毒的區(qū)域限制在盡可能小的范圍內(nèi)，這樣可以最大限度提高電廠控制系統(tǒng)應(yīng)對(duì)網(wǎng)絡(luò)危害的能力。(2)SIS是全廠性的，涉及人員相對(duì)廣泛，跟每臺(tái)機(jī)組均有聯(lián)系。因此，一旦隔離屏障被攻破，故障將是全廠性的，事故危害面相對(duì)較大。

　　4.2DCS信息安全認(rèn)證和測試驗(yàn)收問題

　　火電廠在推廣應(yīng)用DCS的30年歷史中，從一開始就適時(shí)提出了供編制招標(biāo)技術(shù)規(guī)范書參考的典型技術(shù)規(guī)范書，進(jìn)而逐步形成了標(biāo)準(zhǔn)， 明確規(guī)定了功能規(guī)范、性能指標(biāo)以及驗(yàn)收測試等一系列要求。隨后又根據(jù)發(fā)展適時(shí)增加了對(duì)電磁兼容性和功能安全等級(jí)認(rèn)證的要求。當(dāng)前，為確保得到信息安全的DCS產(chǎn)品，歷史經(jīng)驗(yàn)可以借鑒。筆者認(rèn)為，宜首先對(duì)控制系統(tǒng)供應(yīng)側(cè)開展阿基里斯認(rèn)證(Achilles Communications Certification，簡稱ACC)作為當(dāng)前提高DCS信息安全的突破口。眾所周知，ACC已得到全球前十大自動(dòng)化公司中八個(gè)公司的確認(rèn)，并對(duì)其產(chǎn)品進(jìn)行認(rèn)證;工業(yè)領(lǐng)域眾多全球企業(yè)巨頭，均已對(duì)其產(chǎn)品供應(yīng)商提供的產(chǎn)品強(qiáng)制要求必須通過ACC認(rèn)證。目前，ACC事實(shí)上已成為國際上公認(rèn)的行業(yè)標(biāo)準(zhǔn)。

　　國內(nèi)參與石化和電廠市場競爭的不少外國主流DCS均已通過了ACC一級(jí)認(rèn)證。至于國產(chǎn)主流DCS廠家，他們大多也看到了ACC認(rèn)證是進(jìn)入國際市場的門檻，也嗅到了國內(nèi)市場未來的傾向，都在積極為達(dá)到ACC一級(jí)認(rèn)證而努力(緊迫性程度明顯與行業(yè)客戶對(duì)ACC認(rèn)證緊迫性要求有關(guān))。此外，我國也已建立了進(jìn)行測試認(rèn)證的合格機(jī)構(gòu)，具備了國內(nèi)就地認(rèn)證的條件。根據(jù)調(diào)查判斷，如果我們電力行業(yè)側(cè)開始編制技術(shù)規(guī)范書將ACC一級(jí)認(rèn)證納入要求，相信在行政推動(dòng)和市場促進(jìn)雙重動(dòng)力下，國產(chǎn)主流DCS在一年多時(shí)間內(nèi)通過ACC一級(jí)認(rèn)證是可以做到的。除ACC認(rèn)證外，如前所述，當(dāng)前還急需編制招標(biāo)用火電廠信息安全技術(shù)規(guī)范和驗(yàn)收測試標(biāo)準(zhǔn)，使用戶在采購時(shí)對(duì)其信息安全的保障有據(jù)可依。從源頭抓起，取得經(jīng)驗(yàn)，必將有利于在運(yùn)DCS信息安全工作，少走彎路。

轉(zhuǎn)載請(qǐng)注明來自發(fā)表學(xué)術(shù)論文網(wǎng)：http:///jzlw/14019.html