火電廠熱控系統網絡安全建設探討

陳 軍

（馬鞍山當涂發電有限公司，安徽馬鞍山 243102）

0 引言

火電廠是提高國民經濟發展一個非常重要的環節，對于推動區域民生的保障，以及區域經濟的發展有著非常重要的作用和價值[1]。當前，隨著熱控的自動化技術和相關理念在火電廠工作開展中的推廣，火電廠內部熱控系統的安全可靠性逐漸受到了人們的關注，并成為了其管理工作開展過程中非常重要的內容。將自動化技術融入其中，能夠最大限度地為火電廠內部熱控系統網絡的安全建設起到有力推動作用。所以本文也結合這樣的內容，對其進行探討，找到安全建設網絡的具體方法和策略，力求為我國火電廠未來良好的發展找到全新的方向。

1 熱控系統網絡架構

在最新一代電廠的分散系統裝置中，火電廠內部熱控的系統是非常重要的一部分分支，在傳統模式下電廠分散控制的相關體系內部，自閉網絡結構存在著巨大的差異，其中主要包含軟件、硬件、通信設備等諸多內容，這些內容都是獨立的部分。所以借助電廠分散控制系統的和冗余結構，進行構建能夠確保熱電廠熱控系統的網絡構架達到核心的標準，確保整體結構具有一定的安全性[2]。

與此同時，火電廠在實際工作開展過程中，其熱控的系統借助網絡及計算機等相關技術，能夠最大限度提高網絡安全管理的優勢，將相關知識滲透其中，能有效彌補電廠傳統分散控制系統對網絡安全管理的劣勢，避免造成信息孤島現象，改善熱控系統網絡安全威脅所造成的內部管理漏洞，保證整個網絡結構的安全性，推動相關工作有效開展和實施。

總之，在最新一代集成性較高的火電廠中，分散控制系統的與網絡信息技術、通信技術等相互融合，既能最大限度地發揮高科技技術的優勢，也能在操作系統、網絡交換機等視角，實時監督管理和有效控制熱電控制系統的生產過程，另外還能為熱控系統生產管理企業資源管理等提供可靠的數據支持，提高管理水平。Centum CS3000 是橫河電機株式會社在工業控制領域的主干產品，其基本構架如圖1 所示。

圖1 Centum CS3000 系統的基本架構

2 火電廠熱控系統網絡安全建設存在的問題

2.1 主要問題

在火電廠內部實際工作開展的過程中，信息的安全能夠最大限度地為系統提供有效防護措施，但如果使用不當，將影響火電廠內部熱控系統的有效應用。所以在利用信息技術進行有效監督和控制的過程中，必須科學地利用信息技術安全的優勢，否則就會造成如下問題：

（1）熱控系統中的相關操作工作人員，在服務器應用過程中，其電腦終端使用存在一定的問題，甚至出現惡意程序。由于沒有嚴格地對所使用到的系統和設備進行科學管控，導致在應用設備的過程中，通過系統的傳輸，把病毒帶入到整個系統中，導致系統整體受到了嚴重威脅。

（2）在熱控系統中，操作人員采取的大多都是老舊的操作系統，長期沒有更新，也會造成嚴重的漏洞。

（3）對于入侵行為和黑客攻擊，熱控系統不能有效地進行檢測和防護。特別是在發生故障時，既無法對故障原因進行科學判斷，也不能分辨出到底是由網絡入侵、病毒，還是其他方面所造成的漏洞和問題，如果不能夠有效地定位并解決這一現象，那么后續的使用過程中會遇到更多問題。

（4）在熱控系統使用過程中，其所涉及的協議與場內監控信息進行通信的過程中沒有進行科學隔離。目前，很多電廠使用的防火墻不支持使用科學協議，這也導致其有效性難以發揮，防火墻形同虛設。

2.2 熱控系統感染病毒實例

結合電廠分散控制系統和熱電系統網絡的安全管理，進行深入的分析，了解薄弱環節和存在的問題，有效地對其中的各方面內容進行合理的管理。主要內容體現在，防范網絡入侵的功能相對較差，對DCS 網絡安全的重視不足。如果不能夠有效地對其進行合理的改善，那么這項工作的開展和實施則會受到嚴重的威脅。

結合網絡入侵防范能力較差這個問題來看，基于DCS 網絡結構的人機接口，大部分采取的是工業模式下USB 接口，或者是光盤的形式，與移動存儲介質進行數據交換。但是火電廠熱控系統中，其系統網絡結構容易受到外界病毒所產生的傳染。與此同時，DCS 網絡結構采用的是Windows 操作系統，整體系統的運行時間相對較長，并不能夠安裝程序補丁，很容易在系統運行過程中造成系統藍屏和死機情況，這也會導致熱控系統在運行過程中整體穩定性較差。除此之外，DCS 網絡與其他網絡結構之間，不設置安全的隔離網以及防火墻，也沒有在網絡結構和電路上采取有效切斷的方法和措施，杜絕內網與外網之間的線路連接，存在網絡入侵的可能，導致火電廠內部熱控的系統網絡安全存在著巨大的隱患。

3 火電廠熱控系統網絡安全建設措施

3.1 電廠控制Ⅰ區內部最優安全隔離域

火電廠中有一個安全區，安全區內部有著眾多獨立運行的系統，只有進行科學合理控制，才能確保整個電廠的工作順利開展。例如主控系統的DCS、NCS 系統等，這些都是最主要的輔助性內容，能夠確保電廠控制工作的科學合理性，也能實現整個工作效果的最大化。

目前在實施工作階段，很多電廠的具體控制系統通過SIS接口工作，通過交換機相互連接。一旦某一個系統受到病毒感染，那么這個接口機或交換機在運行過程中也容易把病毒傳入其他的系統內部。

結合某電廠中熱電系統使用過程，其工作開展階段的安全隔離工作如圖2 所示。從圖2 可知，將電廠中安全的熱系統進行有效區域劃分，并且利用安全隔離以及環保島，這樣能為整個系統運行的安全性提供保障，確保高效、安全地開展相關工作。

圖2 某電廠熱控系統最優安全隔離域

在這一階段對熱控的系統進行劃分之后，就需要找到最優安全隔離區域，并且在接線之前對管控的安全隔離區進行有效部署。由于在隔離階段，各個熱控系統之間的網絡是相互連接的核心，不僅能夠真正實現實時轉換，也能確保接口機在對各個系統發送工作任務時最大限度地進行實時數據傳輸。通過不同的安全隔離區域系統、部署的相關隔離網，能夠確保協議的安全防護，最大限度地隔離網絡風暴。

3.2 網絡威脅檢測和安全審計平臺

為了提高系統使用過程中信息技術自身的安全性，保證安全防護整體的高效，需要結合電廠中所使用的各種設備進行有效安全的隔離，也需要合理地對熱控系統內部存在的網絡威脅進行有效地檢測。其中，安全平臺中審計工作的開展及有效控制，是其中重要的內容。在平臺內部可以利用安全隔離區中的網絡流量，保證工作能夠快速地開展。也能夠應用作為基礎，合理地對其進行分析，從而真正的實現網絡行為的觀察，包括異常行為等。一旦發現這些行為，網絡系統能及時報警，并對有關人員進行提醒，使其快速處置問題。此外，安全隔離模式也能使內部日志審計的裝置得以有效部署，保證網絡在運行過程中集中地對信息進行處理，并進行系統、深入的分析。

3.3 熱控系統內部網絡安全管控

電廠內部的工作開展和實施過程中，不僅需要加強對邊界的有效防護，更需要關注和重視的是內部網絡控制工作，這樣才能真正地保證電廠熱控系統，在縱深防御中達到最佳效果。熱控系統相對來說分散程度比較高，并且在實際運營的階段，不屬于相關管理部門監督和控制，所以很難對其進行有效合理的監督，保證整個操作的完善性，再加上存在第三方人員私自進入系統的現象，在非法取得授權后、不正規地應用設備，存在著一系列的安全隱患，也會影響工作的合理有效開展。因為無法對網絡進行有效控制，不能合理地保障操作站中計算機終端的安全性，因此也會嚴重影響內部網絡，其整體的威脅性遠高于外部的病毒入侵。因此，保障熱控系統中網絡安全的規范也是目前電廠工作開展階段面臨的挑戰之一。

在熱控系統網絡安全管理工作中，需要合理有序地開展準入控制，利用合理的準入控制技術，能夠最大限度保證各類終端的應用安全性，同時也能確保其管理工作得到科學保護，最大限度地隔離不安全終端。在實際應用階段，防火墻、病毒防治技術等相結合能夠把原有的被動防御轉化為主動防御，也能使電廠內部熱控系統在應用過程中科學、有效地建設網絡安全。無論是網絡應用規模還是流量、使用人員，電廠內部熱控系統的結構都比較簡單，如果不具備完整有效的準入機制，那么安全工作在實施過程中就會存在一系列的問題。因此，對規范化的模式進行應用，就能使管控系統網絡建立起一個安全的體系，利用網絡軟件，最大限度保證熱系統網絡應用的可視化，也能避免網絡不安全問題。

3.4 人員培訓

在實際管理工作開展中，人員的管理是關鍵和重要核心，提高相關工作人員自身的網絡安全意識，就能提升網絡安全，為工作的開展提供保障，是整個工作實施階段最為核心的環節。在實際工作過程中，只有所有工作人員參與其中，清楚地掌握和深入了解整個網絡安全工作的重要性，并且嚴格遵守相關策略，執行所涉及到的一系列工作內容，才能真正地防止系統使用階段內部的攻擊越權現象。與此同時，建立起安全有效的網絡防護措施，也能切實保證網絡信息系統的安全，制定出相關科學應急處理預案，在事故發生后能夠快速、科學地解決問題，消除不良影響，防止事故范圍擴大，避免對電網穩定性的影響。其中，建立安全的信息評估相關機制，能夠使人員在接受管理以及培訓的工作中，利用正確的評估制度真正地使網絡安全融入電力系統整體應用過程。最后就是需要結合網絡信息安全相關的制度確保每一個人都融入到相關工作中，提高自身思想意識，利用最安全、最有效的手段，實現工作效果的最大化。

4 結論

綜上所述，為了提高火電廠中熱控系統的網絡安全防護整體能力，對網絡安全的需求做出了基本構建。其中，火電廠在投入前期，需要對網絡系統進行安全監測，實際運行階段也需要對異常情況進行監測，真正發揮出網絡系統安全性的優勢。通過對熱控系統安全行為的管理和實施監督，最大限度地完善火電廠整體安全結構，保障火電廠的發展。本文以火電廠中熱控系統為核心，探討網絡安全建設的發展需求，以期火電廠在安全平穩運行中取得更好的成績。