火电厂DCS系统网络安全防护

张相东

摘要：火电厂 DCS 系统网络安全相对薄弱，安全防护措施在传统控制网络中相对滞后，在日益严峻的工控信息安全形势下，有效采取风险消控措施，实保障机组的安全运行，有着极其重要的经济和社会意义。

关键词：网络安全;DCS 系统;防护

中图分类号：TP301    文献标识码：A

文章编号：1009-3044（2019）15-0289-02

1 背景

目前国内发电种类主要包括火电、水电、核电、风电及其他绿色环保电力，其中火电在电力结构中占比最高。伴随着大容量、高参数火电机组的不断投产和运行，其对自动化控制的要求也不断提高，新型电厂控制系统已向数字化和智能化进行转变。电厂控制系统不断发展，各种通用的网络技术被广泛应用于电厂控制系统，其安全问题日益突出。但是相比互联网网络安全的热度，电厂控制系统的网络安全一直“备受冷落”。直到近年国外发生多起因黑客网络攻击导致电力系统瘫痪的事件，才引起人们对电厂控制系统信息安全的重视。

2010年，伊朗“震网病毒”事件震惊全球。2012年，两座美国电厂遭USB病毒攻击，感染了电厂控制系统，相关控制数据被窃取。2015年，乌克兰电力系统遭到具有高度破坏性的恶意软件攻击，造成的大规模停电事故。2019年3月委内瑞拉发生大规模停电事件。网络攻击水电站计算机系统中枢是造成大规模停电的重要原因。

2 信息安全威胁

随着网络和计算机技术的发展，特别是信息化与工业化深度融合，工控系统产品越来越多地采用通用协议和硬件，以各种方式与互联网等公共网络连接，从而导致工控系统被网络攻击的风险增大，保护工控系统信息安全刻不容缓。

火电厂工控系统面对如下威胁：

2.1 操作系统安全漏洞

Windows的操作系统现已成为工控机操作站的主流，每个型号的Windows系统自发布以来都在不停发布更新补丁，打过补丁的操作系统没有经过制造商测试，存在不安全运行的风险。但是与之相矛盾的是，系统不打补丁就会存在被攻击的漏洞，即使是普通常见病毒也会遭受感染，可能造成操作站乃至整个控制网络的瘫痪。

2.2 病毒与恶意代码

基于工控软件与杀毒软件的兼容性，在操作站上通常不安装杀毒软件，即使是有防病毒产品，其基于病毒库查杀的机制在工控领域使用也有局限性，主要是网络的隔离性和保证系统的稳定性导致病毒库对新病毒的处理总是滞后的。在操作站上，即插即用的U盘等存储设备滥用，更给这类病毒带来的泛滥傳播的机会。

2.3 黑客入侵与应用软件安全漏洞

黑客入侵和工控应用软件的自身漏洞通常发生在远程工控系统的应用上，另外，对于分布式的大型的工控网，人们为了控制监视方便，安装无线网卡方式实现远程诊断与分析，同时也不可避免地给黑客入侵带来了方便之门，无线网络技术使用带来的网络防护边界模糊。

2.4 工艺数据安全威胁

电厂内部生产管理数据、控制工艺数据等各类数据的安全问题，不管数据是通过大数据平台存储、还是分布在用户、生产终端、设计服务器等多种设备上，海量数据都将面临数据丢失、泄露、篡改等安全威胁。

2.5 人员管理安全威胁

随着电厂网络化和数字化发展，企业管理人员的无意识的行为可能破坏工业系统、传播恶意软件、忽略工作异常等，因为网络的广泛使用，这些挑战的影响将会急剧放大;而针对人的钓鱼攻击、邮件扫描攻击等大量攻击都利用了员工无意泄露的敏感信息。因此，人员管理的也面临巨大安全挑战。

3 电厂DCS控制系统安全防护

3.1 系统总体架构

DCS系统为相对独立的控制网络，但随着自动化程度的提高和不同系统间通讯的需求，仍存在各种第三方系统接口（SIS系统、汽机安全监视系统、汽机振动监测和故障诊断系统、电气监控管理系统、电力网络微机监控系统等）作为DCS网络边界。

3.2 边界安全防护

工业控制网与互联网相通可能会导致工业控制网络中的DCS控制设备暴露在公网中，而这些设备本身就存在安全漏洞，针对这些漏洞的攻击手段（如病毒、木马、攻击脚本）很有可能会从互联网、管理网等途径入侵，传统安全设备（如防火墙、IDS等）无法识别和防范攻击，一旦发生攻击必然会导致DCS控制设备异常，进而影响整个生产网络的正常运行。因此，必须在DCS控制网络中部署安全设备，自动检测并防范攻击，保证DCS控制网络稳定、安全运行。

DCS系统各自作为独立系统，通过核心交换机进行VLAN划分，与第三方系统（SIS、TSI、PLC、ECMS和NCS等）的通讯接口。OPC工作站到SIS系统之间，为保障自身的网络边界防护，ovation系统部署FW工业防火墙，实现对DCS控制网络的纵向边界深度安全防护，防范来自互联网、SIS网的攻击。在电厂控制网络各个安全区域之间部署火墙，实现区域横向逻辑隔离，阻止来自区域之间的越权访问，病毒、蠕虫恶意软件扩散和入侵攻击，保护各个区域控制系统安全运行。电厂内同属于安全I区的各机组监控系统之间、机组监控系统与控制系统之间、同一机组的不同功能的监控系统之间，根据需要可以采取一定强度的逻辑访问控制措施，如防火墙、VLAN等。

3.3 补丁配置管理

现有DCS控制软件自身的环境要求，DCS控制网络内上位机和服务器的操作系统相对比较固定，很少升级打补丁，以免对DCS生产运行造成影响。但是不打补丁系统会存在漏洞，易被利用攻击，造成严重后果。因此操作系统补丁升级操作需要综合考虑，进行严格的安全评估和测试验证，在不影响生产运行的情况下进行补丁安装。应采用DCS厂商发布的经过兼容性测试的补丁对系统进行补丁升级操作。

3.4 安全软件管理

保证各个单元控制系统上位机操作系统只运行指定的工控软件和配套的数据库软件，其他任何未经允许的软件不得在操作系统中启动运行，并且控制开机自动启动的软件。各个单元控制系统上位机操作系统不能频繁进行配置更新，确保上位机运行环境安全。

3.5 U口使用管理

保证各个单元指定的控制系统上位机、控制系统服务器的USB口可被监控，并可控制USB口的使用权限。DCS控制网络中通过U盘进行信息拷贝是常见的现象，由此也会带来病毒木马传染的安全隐患，需对上位机、服务器的USB口进行安全管理，经过认证合法的U盘才能被识别使用，并能够对指定的敏感文件进行保护，限制文件随意拷贝到U盘中。

3.6 DCS主机安全加固

生产控制大区是电力企业重点保护的区域，在其控制区域内各个关键应用系统的服务器，以及上位机、操作工作站等，通过部署DCS主机防护软件及设备（DCS主机防护软件、专用安全U盘、终端准入管控系统等）安全加固措施，来提升主机的防御能力。防护方式应该包括如下内容：

控制区的主机应该通过安装针对电力工业控制系统开发的工业主机安全防护软件强化主机的安全能力，包括主机软件和进程监控、网络端口和外设端口管理。生产控制区主机的加固技术应该避免与管理信息大区的技术相同，通过异构方式提升整体安全的防护能力。

火电厂生产控制大区的主机应该只能运行与电力生产作业相关的软件应用程序（例如DCS），其他与电力生产无关的软件或应用程序需要禁止安装。控制区内的主机应该禁止选用带有无线功能主机，以保障控制区内的网络接入设备可控。

通过对主机进行相关的配置修改，提高主机的防护能力，包括对业务应用不使用的服务端口进行关闭配置;对操作系统的登陆设置复杂度较高密码;对组态软件修改默认用户名密码等配置和操作，每次配置的变更要经过测试。

3.7 数据安全和备份恢复

在生产系统内部部署安全U盘，专网专用，数据加密。安全U盘分为普通区和安全区，不同使用环境配置不同的分区。普通区在未安装DCS主机防护软件的计算机上可读取;安全分区仅在安装有防护软件的主机上，同时开放相应策略后才可看到和正常使用，实现“专区专用”。对安全分区进行加密，采用高强度商密算法，有效防止暴力破解导致的数据泄露。

安全U盘结合防护软件移动存储介质管理功能以及自身安全特性，可有效防御木马、病毒等进入工控主机，保证主机安全。

4 结束语

大机组火电厂在电网中的安全稳定性直接关乎供电的可靠性，电厂控制系统的信息安全也越发重要。处理好电厂控制系统信息安全，不仅需要引起电厂的重视，还关系到电厂所在地区和国家的安全。如何保证电厂控制系统的信息安全，已经成为电厂控制系統的一个研究热点。近些年来，随着火电机组容量不断上升，控制系统的整体规模正在逐步扩大，与之有关的安全等级也应全面提升。本文通过介绍电厂DCS网络防护的一些注意事项，希望给同行在网络防护中提供帮助。

参考文献：

[1]国能安全[2015]36号，电力监控系统安全防护总体方案.

[2]工业和信息化部〔2016〕338号，工业控制系统信息安全防护指南.

[3]陈荣 安全防护在电厂DCS系统网络中的应用[C].2017年江西省电机工程学会年会论文集.

【通联编辑：梁书】