工业控制系统包括分布式控制系统(distributedcontrolsystem,DCS)、数据采集与监视控制系统、现场总线控制系统、可编程逻辑控制器等。工业控制系统广泛应用于能源、电力、水务、轨道交通、航空航天等行业,是关键基础设施运行的“大脑”和“中枢”。
随着两化融合进程的深入,越来越多的信息技术运用于工业场景,与工业控制技术相融合,推动了工业企业转型升级;同时,逐步打破了工业控制系统的“孤岛”模式,导致蠕虫、病毒、木马、黑客攻击等威胁向工业生产系统渗透。而火力发电厂工控系统高可靠性和高可用性要求又限制了安全技术在工控网络中的应用,导致系统存在巨大的安全风险。
本文论述的火力发电厂工控系统安全,主要是功能安全和信息安全。
1 火力发电厂工控系统网络结构
火力发电厂生产网络分为现场设备层、现场控制层、过程监控层及生产管理层,包括三大主机设备及其主控系统,以及水煤灰、脱硫、脱硝等辅助系统。其工艺过程非常复杂,必须通过先进的分布式控制系统(distributedcontrolsystem,DCS)来实现机组的自动化控制。其中,主控系统包括汽轮机数字电液控制系统、汽轮机旁路控制系统、顺序控制系统、燃料管理系统、机组协调控制系统、电气控制系统等。目前,国内最大单机容量的1000MW级机组主控系统大约有12000个I/O测点(含模拟量和数字量),辅助系统(含水网、灰网、输煤网等)和公用系统也大约有10000个I/O测点,600MW级机组主控系统大约有8000个I/O测点,300MW级机组主控系统大约有6000个I/O测点。
典型火力发电厂工控系统网络结构如图1所示。
2 火力发电厂工控系统安全现状分析
2.1火力发电厂工控系统功能安全现状
在火力发电厂中,安全风险最高的设备无疑是锅炉、汽轮机和发电机,一旦发生事故,会对人身和设备造成重大危害。其中,炉膛放炮、煤粉仓爆炸及制粉系统爆炸、飞车事故等锅炉和汽轮机故障均会造成严重的人身伤害。因此,为了避免发生此类伤害,发电机组控制系统应具有高可靠性、高安全性和高可用性,即在任何情况下均能将锅炉和汽轮机置于安全状态且不误动作。IEC61508等功能安全标准发布后,许多国家强制规定将经过第三方检验检测机构认证的功能安全系统用于保护火电厂三大主力设备。
在国内,功能安全主要应用于石化、轨道交通、汽车电子等行业,在电力行业中尚未广泛应用。GB50049-2011《小型火力发电厂设计规范》及GB50660-2011《大中型火力发电厂设计规范》规定:较危险的关键部位应设置安全系统或紧急停车系统,对主控设备安全保护系统纳入主控系统时,只提出应单独冗余设置控制器,未专门规定安全保护系统须采用特定的软硬件,也未规定须对安全保护系统各联锁回路进行安全分析和评价。在电力行业通用的《火力发电厂分散控制系统(DCS)技术规范书》中,也只是提出了“卖方也可以在投标书中根据自己的工程经验提供可靠性更高的故障安全型控制器和I/O模件,作为可选方案供买方选择”的原则。但在工程实际应用中,各投标商为了降低成本、赢得项目,一般情况下都不提供安全型产品。因此,目前国内大多数火力发电厂主要采用硬件冗余(控制器冗余、I/O模块冗余、电源模块冗余和通信总线冗余)以及联锁顺序控制,实现三大主机设备的保护。
随着等同于IEC61508功能安全标准的国家标准GB/T20438-2006和GB/T21109-2007的颁布,以及相关政策的推动,我国火力发电厂安全系统及功能安全方面的研究将会有突破性的进展。
2.2 火力发电厂工控系统信息安全现状
为了保障电力信息系统安全,自2005年起,原电监委先后组织制定了《电力二次系统安全防护规定》和《电力二次系统安全防护总体方案》等6个配套文件,指导和规范电力行业二次系统安全防护工作,推动了电力二次系统安全防护体系的建立和完善。电力企业按照电力二次系统安全防护的总体要求,从规章制度、组织体系、人员管理、安全分区等方面开展了一系列富有成效的工作,初步建立了电力二次系统安全防护体系。该体系具体包括《省级及以上调度中心二次系统安全防护方案》、《地、县级调度中心二次系统安全防护方案》、《配电二次系统安全防护方案》等供配电侧安全防护方案,以及风电、光伏、燃气电厂、核电站等发电侧的二次系统安全防护技术规定。电力二次系统安全防护体系的建立和完善,极大地提高了电力行业安全防护的整体水平。电力二次系统安全防护体系如图2所示。
随着电力行业的快速发展,原《电力二次系统安全防护规定》已不再适应现行电力安全的需求。国家发展和改革委员会于2014年8月1日发布了《电力监控系统安全防护规定》(第14号令)。为了加强电力监控系统安全防护工作,根据国家发改委第14号令要求,国家能源局制定了《电力监控系统安全防护总体方案》(国能安全[2015]36号)。该方案确定了电力监控系统安全防护体系的总体框架,细化了电力监控系统安全防护总体原则,定义了通用和专用的安全防护技术与设备。其总体原则为:安全分区、网络专用、横向隔离、纵向认证。
经过多年的发展,电力行业逐步形成了具有较完善行业特点的安全防护体系。尤其在信息安全等级保护工作方面,电力行业率先全面贯彻并且落实国家信息安全等级保护制度,取得了良好成效,保障了电力行业重要信息系统安全。
电力监控系统安全防护总体框架结构如图3所示。
2.3火力发电厂工控安全防护存在的主要问题
虽然《电力监控系统安全防护总体方案》中包含了发电、变电、配电、调度等多个环节,也将整个电力监控系统按照生产控制和管理信息两个大区分类,但该防护方案更多的只是通过简单的安全隔离装置、加密认证、防火墙等防护手段或方法加以边界性的防范,属于网络安全和信息安全防护的范畴,并未真正体现工控系统安全的核心(如本质安全、功能安全)。针对复杂的火力发电自动化领域,将功能安全纳入工控安全范畴,并考虑功能安全与网络安全、信息安全的融合至关重要。
在信息安全防护方面,目前火电厂热控系统中的各种服务器及操作员站,尤其是安全仪表系统(safetyinstrumentsystem,SIS)接口机之类的热控边缘服务器,缺乏技术手段保证专机专用,更缺乏注册表防护措施。另外,火电厂热控系统里面的各种服务器及操作员站,虽然在制度上限制使用U盘等拷贝工具,但是并不能真正杜绝USB接入的安全隐患。
火电厂热控系统中无控制网访问行为和流量日志审计措施,并且其热控系统缺乏对各类数据包(包括工业协议和TCP/IP协议)进行快速、有针对性的捕获与深度解析的措施。一旦出现网络故障及异常现象,将无法进行有针对性的定位和攻击路径分析,无法对已检测到的相关潜在安全威胁进行深度分析和定位。火电厂热控系统中缺乏工控协议实时、精准识别的防护措施(如OPC协议只读,Modbus协议读、写等)。
3 火力发电厂工控系统安全运行有效对策
3.1 提升系统本体安全水平
火力发电自动化领域工控安全应该从“强化基础”出发,从设备级、系统级、管理级3个角度分层和协调融合考虑。设备级用于提升每个控制器、I/O设备的功能安全和信息安全防御能力。系统级考虑设计安全的控制系统架构,提升控制系统的整体功能安全和信息安全功能。管理级则加强规范管理、完善安全策略,增强控制系统的信息安全功能。
3.2 强化系统被动防护机制
对火力发电厂生产控制网络关键节点和边界采取必要的访问控制措施,以达到安全防护的目的。采用“固”、“隔”、“监”的策略,对系统环境进行安全过滤,包括划分不同级别的安全区域、采用物理和环境安全防护措施、部署边界安全防护设备、设置远程访问控制策略及安装主机安全防护软件等。引入纵深防御理念是目前业内广泛接受的工控系统信息安全解决方案之一。工控系统的纵深防御是指在非安全区与安全区之间设置多层次的保护措施。由于火力发电厂工控系统的网络层次分明,纵深防御理念非常适用于该领域的工控系统。
3.3 建立主动防御安全保障体系
被动防护机制对火力发电自动化领域工控安全防护体系至关重要。以固定的防护策略和静态防护来面对威胁进行监测和抵御,虽然在一定程度上防止了蠕虫病毒的扩散,抵御了外部黑客攻击等网络威胁,但针对“零日”漏洞、内部员工的恶意行为等威胁难以发挥效果。该机制在面对复杂、异构、大量私有通信协议的工控系统时难免会捉襟见肘。为进一步解决工控安全问题,可在被动安全防护机制基础上建立主动防御安全保障体系。基于态势感知、监测预警、可信计算技术、数字证书的主动防御安全保障体系,能够最大程度地对恶意行为和恶意威胁进行诊断和抵御。
3.4 落实安全风险评估工作
工控安全风险评估是实现工控安全防护的前提。风险评估的结果是建立工控安全防护策略的有效依据。通过风险评估,能全面地挖掘系统存在的安全问题和潜在威胁。工控系统与普通的IT系统不同,工控系统具有专用协议多、系统实时性和可靠性要求高、网络结构复杂等特点。因此,应结合工控系统的特点,开展两个层面的安全风险评估:一是针对功能安全的风险分析与评价,二是基于IT系统风险评估原理的工控系统信息安全风险评估。同时,火力发电自动化领域的工控系统作为关键基础设施,其系统安全风险评估应该覆盖系统的全生命周期,包括系统设计、开发、运维及报废阶段。
4 结束语
从目前来看,火力发电自动化领域工控安全形势比较严峻,功能安全问题和信息安全问题相互影响;同时,行业内也缺乏既从事自动化系统集成又从事信息安全能力较强的企业,即缺乏考虑功能安全和信息安全综合防护能力的企业。因此,为在火力发电自动化领域开展深入研发、实施和推广应用工控安全技术,必须将发电企业、电力高校、研究院所、工控厂家、信息安全企业等有机结合,全面开展产学研用的实质性深入合作。
关注微信公众号
