现代水电站对安保的要求日益严格,水电厂的监控信息系统的安全防护等级也需要做相应的提高。尤其是我国提出“一带一路”倡议以来,国外水电站的建设项目日益增多,国外水电站比如巴基斯坦、缅甸以及非洲地区严峻的安全形势要求水电厂很高的监控信息系统防护等级。这些要求均需要对现有的监控信息系统安全防护进行优化和升级。
现代水电厂的监控信息系统在实际运行的过程中,必须采高等级的信息安全系统和安全的网络防护系统。水电厂的监控信息系统承载这大量的厂内设备运营和安保的重要信息,所以需要规避监控信息传输过程中的安全风险,加强水电厂信息传输的网络安全,确保监控信息系统能够适应水电厂的应用环境,通过系统优化提高监控网络的安全等级,对维护电厂的安全运行至关重要。本研究对水电厂的监控信息系统安全防护的方案进行优化研究。
1 我国水电监控系统的特点
目前,我国水电厂监控系统主要采取以太网架构作为主要控制基础,同时在生产现场布置PLC、控制单元等执行设备,并且在此基础上预留了拓展空间,为下一步的升级打下基础。在上位机部分,水电厂监控设备与火电厂监控设备基本相同,而在下位机则采用PLC控制模式,这种方式能够很好地实现就地数据采集与信息传输功能,监控系统能够有效利用数据传输完成系统监察与控制调整。当前水电厂的监控系统主要可以分为企业资源层、生产管理层、过程控制层、现场控制层、现场设备层5个层次,通过不同层次之间的连接与作用共同完成信息监控与安全防护功能。具体架构如如图1所示。
图1 水电厂监控系统5层架构模型
这种控制结构主要具备以下特点:
(1)能够完成多单元统一控制。目前国内水电厂大部分都是由多个水轮机发电单元共同组成,这些水轮机在发电过程中共同作用完成实现工作发电。而为了有效地监控水轮机发电单元,监控系统利用LCU对不同单元进行控制,而这些LCU设备彼此相连,能够实现协调同步控制,有效提升了监控平台的统一性。
(2)自动化程度高。水电厂设备主要由水轮机及其它配套辅机设备构成,而水电厂的辅助设备相对比较少,结构简单,控制系统也得到了有效简化,整体自动化程度较高,这也大大减少了系统内的信息流量,减轻了监控系统需要监控的数据流量。
(3)国产化水平低。目前水电厂监控系统信息防护主要采用PLC与LCU进行监控与防护,而我国在这个领域发展起步较晚,很多设备仍然无法实现国产化,主要设备依赖进口,主要架构也需要国外技术支持,这也导致我国水电厂监控系统仍然受制于人,无法有效掌控核心技术。
以上条件说明,要提高我国水电厂监控信息系统安全的技术水平,必须对立足于国内的技术力量和现有的监控信息系统进行安全优化,以满足我国国内以及国际工程项目日益增长的信息安全需求。
2 水电厂监控信息系统安全优化的原则
水电厂的监控信息安全系统比较复杂,所以对监控信息安全的方案需要一定的原则,以此来规范监控信息系统的优化工作顺利进行。监控信息优化的原则如下:
(1)简化原则。水电厂的监控信息安全系统必须以水电厂的实际情况为主,尽量不出现冗余设计,但在关键信息传输的方案中,要适当添加以安全为目的的冗余设计。
(2)适用性原则。水电厂的监控信息安全系统的设计优化要满足监控信息传输的安全需要,适用于水电厂设备的实际运营环境,并服从安保的需要。
(3)安全接入原则。水电厂的监控信息系统必须保证设备接入过程的安全,及时有效地甄别非法接入,以提高监控设备的安全防护水平。
(4)技术和系统工程的原则:信息安全防护是一项重要的工程技术,在优化过程中要遵循系统工程的原则和工程优化的相关原则,积极提高信息安全防护的水平。
3 水电厂监控系统面临的安全威胁
目前,我国水电厂已经初步实现了水电厂监控系统全覆盖,基本能够全面实现信息监控功能,在最大程度上保障了电力生产过程的安全。而在实际生产过程中,水电厂监控系统是整个电力生产环节的核心组件,整个系统直接影响到电厂生产安全,并与其他系统共同构成水电厂的核心。信息技术及其相关科技的高速发展使得信息威胁来源更加多样化和复杂化,黑客正在采取层出不穷多样化的攻击手段威胁全世界各个领域的信息安全,水电厂也不能幸免。水电厂监控系统需要面对更加复杂的信息攻击,而非常复杂的水电厂设备与系统又给监控防护带来更多挑战,目前在信息安全防护领域仍然存在较多问题。
目前很多水电厂存在安全管理不到位,特别是对信息安全缺少重视的现象。生产和管理人员长期生活在比较稳定的环境中,他们并未认识到信息安全防护的重要性,相关规定仍然停留在纸面,没有得到有效落实。
4 监控信息系统安全优化的重点
4.1 网络系统安全优化的重点
水电厂监控系统基础设施安全优化重点主要包含有机房及现地工作站的生产场地环境、供电及通信可靠性。其中,现有的监控信息网络的机房参考国家机房标准C类,并需要考虑防破坏、放水、放火以及人员进出的控制系统;要求能够界别人员的进出和尾随,对陌生人员闯入及时报警灯措施。
水电厂监控系统在可靠性方面还要针对机房供电系统可靠性、UPS电源负载可靠性以及强弱电系统可靠性进行分析和优化,所有通信设备应满足N-1安全运行要求,不同的冗余通信通道建议通过不同电缆沟道分设。
4.2 设备资产及系统应用优化重点
水电厂监控系统设备资产包含监控系统中的操作系统、数据库、中间件等基础软件及服务器、工作站、现地控制单元、PLC、网络设备等硬件设备。全部资产应建立完善的资产清单,罗列其明细功能,系统拓扑结构图应按照实际情况描绘。系统基础软件应注意需开展专项安全策略加固工作,针对默认开启的通非必须通用服务、口令策略强度、账号权限、恶意代码防范、审核粒度等进行集中的核查整改;硬件设备应封闭网络设备和计算机设备的空闲网络端口和其他无用端口,拆除或封闭不必要的移动存储设备接口。
5 监控信息系统安全优化的策略
5.1 网络系统防火墙的优化
水电厂监控信息系统的边界隔离设计的基础是防火墙,并配以必要的物理隔离,以提高监控信息系统的安全隔离水平,防治和避免监控信息系统受到外籍的入侵和攻击。此外,系统还有即使侦测和甄别外来设备的非法接入,屏蔽监控信息传输网络非法访问的能力。
水电厂监控信息系统安全优化的核心是监控信息网络防火墙的优化和升级。防火墙在升级的过程中必须考虑网络运行中的风险隐患,实行综合化的安全隔离设计。防火墙的优化设计中还需要采用成熟的控制技术,弥补网络系统的安全和不足,控制水电厂监控信息系统的数据安全。防火墙还要及时升级,以提高病毒攻击和非法入侵的防护水平。
5.2 提高监控系统物理隔离的水平
信息系统的安全防护除了依靠防火墙的优化和升级,还需要依靠硬件设备的防护,硬件防护主要依靠提高物理隔离的水平来实现。所以,在水电厂的监控信息系统中需要添加具有隔离设备的硬件系统,通过具有硬件隔离功能的设备实现网络连通过程中对数据的安全防护,控制数据流向的安全、可控,防止硬件系统被非法入侵。硬件系统的物理隔离水平是监控信息系统安全防护的核心,可以有效提高监控系统的信息安全防护水平。
5.3 网络传输硬件防护措施的优化
水电厂在优化监控信息系统的安全防护时,还应该有针对性地对网络传输中的硬件进行优化,以保证监控信息网络的数据安全。例如,电厂监控信息传输系统安装单向传输硬件装置,实现数据流的单向传输,以规范硬件网络众的信息流向,主动阻断非法信息的流向。控制网络数据流向的硬件系统目前主要为南瑞SYSKEEPER 2000,该系统可以有效保障水电厂的监控数据在传输的过程中准确穿过网闸,有效减轻网络数据传输过程中的协议负荷,并能够对数据传输过程中的安全环境进行“净化”。
5.4 监控系统防护入侵策略的优化
水电厂监控信息系统还必须有效防止信息系统的非法侵入,因此需要对监控系统的非法入侵系统的防护策略进行优化。目前针对水电厂监控信息安全网络的中的非法入侵行为进行防护优化的主要策略有以下几点:
(1)按照监控信息实际运作的特点和运行周期,规划水电厂监控信息网络病毒查杀的周期,实行全面的病毒检测和查杀;并针对侦测出的网络病毒定义码检查网络安全防护和防火墙的配置,并对已有病毒的演化能力进行评估,找出有效的防护方案。
(2)对水电厂监控信息系统的网络进行定期检查,完善网络信息安全系统的测试方法,及时修复病毒入侵后留下的系统漏洞,科学安排补救措施。
(3)积极更新病毒安全软件和系统隔离硬件,以应对不断演化的系统病毒的入侵,增加水电站安全防护系统运行的安全系数;及时更新系统软件的配置,优化系统软件的安全措施,以提高系统应对网络入侵风险的能力。
5.5 增加系统软件的可靠性
电厂监控系统网络中的软件既是信息传输的媒介,又负有监控网络安全的功能。软件系统中的漏洞和系统运行的不稳定,都可以为外界的网络入侵提供机会和通道,从而干扰监控信息系统网络的安全运行。因而,水电厂的系统软件必须进行有针对性的安全优化,在优化过程中尽量使用正版软件,拒绝盗版和试点软件,以避免对信息安全监控系统的可靠性造成影响。
6 结论
水电厂是关系经济命脉安全的重要基础设施,如果水电厂遭遇恶意网络攻击则必然会造成严重的经济损失,甚至会对安全产生巨大影响,因此应围绕水电厂监控系统现状及信息安全防护技术发展展开优化研究,进一步保障水电厂的生产安全。在未来日益严峻的信息安全态势中,水电厂还需要进一步对自身的监控信息网络系统的安全进行有针对性的优化,从技防和人防两个方面入手,以提高信息监控网络的安全运行能力、病毒防御能力以及信息流通安全为目标,提高水电厂监控信息系统的网络安全水平,保证水电厂设备的安全运行以及区域电网的用电安全。
参考文献
[1]陈建林,王家陈,师海峰.浅谈大型水电厂二次系统安全防护存在的风险及防控策略[J].电工技术,2018,(2).
[2]姜家旭.水电厂计算机信息安全问题及对策分析[J].科技与创新,2017(12).
[3]张在峰.水电厂网络信息安全防护措施分析[J].中国新通信,2015,17(14).
[4]潘金明.水电厂网络信息安全防护探究[J].科技资讯,2014,12(32).
(作者供职于四川省紫坪铺开发有限责任公司)
