火力發電廠生產控制大區信息安全分析

安徽信息工程學院電氣工程教研室 楊道馳

火力發電廠生產控制大區信息安全分析

安徽信息工程學院電氣工程教研室 楊道馳

隨著信息技術在電力系統中應用程度不斷提高,電力系統對信息系統的依賴程度日益增加,信息系統規模與技術復雜度逐漸提高,電力系統信息安全風險將增加。火力發電廠生產控制大區的信息安全對發電廠安全運行至關重要。本文從信息安全角度對火力發電廠生產控制大區的信息安全進行分析與劃分,并給出與其它大區信息安全的關聯和技術解決方向。

發電廠;生產控制大區;信息安全

0 前言

隨著信息技術的發展,火力發電廠信息系統結構日益復雜,電力生產已完全依賴于計算機監控系統和數據網絡。信息技術在發電廠的廣泛應用同時使得病毒和黑客也日益猖獗,這給電力生產帶來嚴重的安全隱患。

1 安全區的劃分

火力發電廠信息系統安全防護體系應分為三層:第一層為實時監控系統,第二層為生產管理系統,第三層為電力信息系統。這三層反映了各層中各系統的不同重要性。在層中按安全等級的不同又區分為安全工作區。第一層被認為是一個獨立的安全區Ⅰ,而第二層根據所連接的外部邊界通信網絡為廣域數據網和不連生產數據網的兩部分。因而前者為安全區Ⅱ,后者為安全區Ⅲ。第三層信息系統,目前暫設為一個安全區。

根據各處系統中各系統的實時性、使用者、功能、處所、在各系統的相互關系、廣域網通信的方式以及受到攻擊之后所產生的影響,分置于此"三層四安全區"的系統安全防護體系中。《電力二次系統安全防護規定》第四條規定:"發電企業、電網企業、供電企業內部基于計算機和網絡技術的業務系統,原則上劃分為生產控制大區和管理信息大區。生產控制大區可以分為控制區(安全區Ⅰ)和非控制區(安全區Ⅱ);管理信息大區內部在不影響生產控制大區安全的前提下,可以根據各企業不同安全要求劃分安全區。"管理信息大區一般由生產管理區(安全區Ⅲ)和管理信息區(安全區Ⅳ)構成,如圖1所示。

圖1 發電廠信息系統邏輯結構分區

控制區(安全區Ⅰ):由具有實時監控功能、縱向聯接使用電力調度數據網的實時子網或專用通道的各業務系統構成的安全區域。是電力生產的重要環節,直接實現對電力一次系統的實時監控。包括計算機監控系統。計算機監控系統是實時生產監控系統,是整個安全保護的核心。

非控制區(安全區Ⅱ):在生產控制范圍內由在線運行但不直接參與控制、是電力生產過程的必要環節、縱向聯接使用電力調度數據網的非實時子網的各業務系統構成的安全區域。與控制區中的業務系統或其功能模塊聯系緊密。包括電能量采集系統及各廠端電能量采集裝置。

圖2 調度數據網接入系統

生產控制大區的數據業務,速率要求不高,數據流基本恒定,但業務實時性較強,其中遙控遙調更是與電網安全直接相關,可靠性要求較高;與計費相關的電力市場業務對安全性有特殊要求,不僅要求可靠,原始數據還要求保密。從應用范圍來看,生產控制類業務分布在各網省調及大量發電廠和變電站,屬于較特殊的一類窄帶業務(見圖2)。

2 生產控制大區安全分析

2.1 人員成分與物理環境

運行人員是生產控制大區的固定人員,負責對發電廠機組及其他系統運行的監視、記錄、操作、檢查、維護等工作。不定期訪問的人員包括:管理人員、工程設計人員、施工人員和系統維護人員等。生產控制大區業務設備主要設置在中控室、繼電保護室、電子室內。關于機房環境、電磁防干擾、防火防水等物理因素,由于發電廠設計時都遵照了嚴格的標準,主要應考慮對出入口的監視、重要設施的監視,以防止對設備的物理破壞、盜竊和非法使用。

2.2 網絡邊界

2.2.1 電力調度數據網(SPDnet)縱向邊界

SPDnet承載了生產控制大區業務設備的實時與非實時數據的上報和AGC、AVC等命令的下送,接入系統如圖2所示。

SPDnet在IP OVER SDH技術體制上,采用MPLS實現對等標簽式交換通信。MPLS為每個IP包加上一個固定長度的標簽,并根據標簽值轉發數據包。對于用戶而言,網絡結構是不可見的,因此要從發電廠外部節點利用SPDnet發動對廠內設備的攻擊可能性很小。更為重要的是,SPDnet完全同非生產業務系統的物理隔離,確保了網絡的單純性,降低了用戶復雜度,有利于維護網絡的安全。可以認為SPDnet自身具有足夠的安全性,以抵御防范各層次的網絡攻擊。但如果攻擊來自于正規途徑,或針對傳輸中的數據,網絡本身的安全特性就完全沒有用處。例如,VPN內部利用系統服務的漏洞發起攻擊或工作人員違規越權操作。對此必須針對數據和應用程序采取安全措施。

2.2.2 傳統遠動專線通道

國家電力調度數據網各級骨干網絡雖然基本建立起來,但是接入各發電廠、變電站等節點還未完全覆蓋,常規專線通道一段時間內將被保留作為備用。專線通道由PCM分配64kbps接口上SDH光纖(微波)網絡,與調度中心終端服務器實現點對點傳輸。該通道與其他數據通道物理隔離,通信協議應用層直接建立在SDH鏈路層之上,所以通道本身不存在任何軟件風險。對其安全性的考慮應著重在物理安全和人員安全。

2.2.3 繼電保護和自動裝置通道

為滿足繼保和自動裝置毫秒級的實時性要求,電力系統專門在SDH上開辟了64kbps專線用于該業務數據傳輸。該通道也不存在物理和人員之外的風險。

2.2.4 與管理信息大區之間的通信

生產控制大區與管理信息大區間一些典型的連接包括下面的幾種情況:

(1)計算機監控系統的Web服務器向MIS系統發布實時數據。計算機監控系統直接與MIS系統以網絡方式連接,可能引入所有網絡中存在的攻擊以及計算機病毒、惡意代碼。

(2)發電廠SIS集合生產業務信息提供給MIS系統。發電廠SIS主要目的是在電廠MIS系統和各種分散計算機控制系統之間架起一座聯系的橋梁,從而在整個電廠范圍內實現信息共享。SIS有利于發電廠資源的共享,可提高生產管理的效率,但是原來相對獨立的控制系統因此受到來自管理信息網絡的威脅。如果將SIS劃分到生產控制區,SIS與MIS的連接就是安全區邊界。

(3)電能量采集裝置與MIS系統連接。由于實現了網絡連接,電能量采集裝置將遭受到來自安全等級較低的管理信息網的威脅。

2.3 網絡內部安全

2.3.1 火電廠監控信息系統(SIS系統,如圖3所示)

SIS系統跟SCADA系統類似,但是功能更為全面,可直接向管理層提供豐富的數據信息和決策支持。圖3所示為某火電廠的SIS,該系統與各分散控制系統通信網關采用以太網連接,形成生產控制區的主要網絡。SIS面臨與SCADA同樣的問題,其網絡內部安全性可以得到保證,防護的重心應在網絡邊界、物理維護和安全管理方面。

2.3.2 繼電保護及故障錄波信息子站

繼電保護及故障錄波信息子站比較特殊,因為該系統的下層--線路、機組、變壓器保護設備屬于控制區,而子站屬于非控制區。如果保護裝置與子站之間采用網絡方式通信,由于子站屬于SPDnet非實時VPN連接,會將SPDnet非實時VPN中的攻擊威脅引入,盡管可能性非常小。如果兩者通過串口連接,則不用考慮保護裝置的安全問題。

圖3 SIS結構圖

3 結論

火力發電廠生產控制大區內的業務系統內部網絡安全性很高,主要威脅來自于網絡邊界,特別是與生產管理大區的網絡連接。大區物理環境較好,生產業務系統的檢查、維護工作比較完善,保障設置較齊全。人員成分簡單,行為規范。主要的安全隱患包括:

(1)軟件漏洞,包括操作系統漏洞、Web服務漏洞。

(2)絡訪問控制措施薄弱,通常僅有用戶/口令控制且多以明文方式傳輸。

(3)移動存儲介質可能帶來病毒。

(4)人員的誤操作。

(5)電子數據明文存放。

(6)系統和網絡對異常行為都不具備檢測和審計功能,對系統操作日志缺乏保護。