APP下载

火力发电厂生产控制大区信息安全探讨

2018-03-02陈金欣

中国设备工程 2018年2期
关键词:数据网控制区大区

陈金欣

(福建晋江天然气发电有限公司,福建 晋江 362251)

随着信息技术的发展,火力发电厂信息系统日益变得更加复杂,而电力系统对信息系统的依赖性也在逐渐增强,信息技术不断发展的同时,也出现了一些问题,信息病毒以及黑客也在日益猖獗,这给电力生产带来了一定的安全隐患。

1 安全区的划分

火力发电厂信息系统的安全防护体系主要分为实时监控系统、生产管理系统以及电力信息系统,这3层安全防护体系都有着不同的重要意义。火力发电厂信息系统一般是按照安全等级进行分层,这3层中第1层为独立的安全区Ⅰ,第2层是数据网络,第3层则为信息系统,这3层都属于安全区范围。

火力发电厂信息系统具有一定的实时性、实用性以及各功能之间的相互关系。鉴于广域网通信方式受到黑客的攻击以及病毒的传染所产生的影响,将其放在“三层四安全区”的系统安全防护体系中。根据电力系统中相关的条约规定:“发电企业、电网企业以及供电企业这3种基本属于计算机的业务系统,根据原则将其划分为2个大区,分别为生产控制大区以及管理信息大区。而生产控制大区主要分为控制区以及非控制区,控制区属于安全区Ⅰ,而非控制区则属于安全区Ⅱ。而管理信息大区则一般由生产管理区和管理信息区的2个部分构成。

控制区一般是由多种业务系统组成,其主要包括实时监控功能以及纵向连接使用电力调度数据网的实施子网等。控制区在整个电力生产中占据举足轻重的地位。该区能够实现对电力系统的监控,其监控主要包括计算机监控系统。处于安全保护的重要核心内容则为计算机监控系统。

与控制区不同,非控制区是在生产控制范围中在线运行,但与其他的不一样,则在于不直接参与控制,在这种电力生产的过程中,非控制区是最为关键且重要的环节,该安全区也是由多种业务系统组成的安全区域。安全区以及控制区两者之间由共同的业务系统相互连接。生产控制大区的数据业务速率不高,且数据流相对比较稳定,而业务实时性能相对比较强,与电网安全有着密切相关的由遥控摇调,可靠性要求相对比较高。电力市场业务有着较高的要求,不仅需要对原始数据进行保密,其要求相对比较可靠。生产控制类业务主要分布在各发电厂以及变电站中,一般属于特殊业务,见图1。

图1 调度数据网接入系统

2 生产控制大区的安全分析

2.1 人员成分与物理环境

生产控制大区的固定人员有运行人员,其运行人员主要负责发电厂组的系统运行工作,工作内容主要包括监视、记录、操作以及检查等工作,检查工作的进度以及实际情况的人员有管理人员和施工人员、系统维护人员等。而生产控制大区业务的设备主要设置在继电保护室以及电子室内。在发电厂设计的过程中,都严格按照电厂的规章制度、相关条例和标准进行设计,对此应该考虑到厂内出入口的监视以及设备设施,其主要目的是为了能够防止发生设备被盗窃、非法使用及破坏等。

2.2 网络边界

2.2.1 电力调度数据网纵向边界

电力调度数据网主要采用了MPLS(多协议标签交换)对其实现标签式的交换通信,其每1个IP都有1个标签,主要是根据标签值进而转发数据包。网络结构对于客户来说不可见,对此要利用发电厂的外部结点与电力调度数据网发动,对厂内设备的攻击性相对比较小。电力调度数据网确保网络的单纯性,维护了网络的安全。电力调度数据网具有一定的安全性,能够预防网络攻击,能使得网络具有一定的安全性。若出现一定的网络攻击,其攻击出自于正规途径,从而使得网络本身的安全性毫无用处。对此,需要采取正确的措施进行解决。

2.2.2 传统远动专线通道

虽然我国的电力调度数据网络能够基本建立起来。但未在各地方的发电厂中完全覆盖,常规专线通道在一段时间内都将作为备用。若是想要点对点的传输,需要由专线通道进行传送,其专线通道中主要是PCM(脉冲编码调制)分配的64kbps接口上SDH光纤网络以及调度中心的中高端服务器。对此,专线通道没有任何的危险,出于安全性的考虑,需要着重考虑到物理以及人员的安全。

2.2.3 与管理信息大区之间的通信

生产控制大区和管理信息大区间的连接存在着以下情况:①计算机监控系统的连接方式主要是以网络方式进行,这样的连接方式会引发计算机病毒。②通常情况下,发电厂会集合所有的信息集中提供给MIS系统,目的是将MIS系统以及各种计算机控制系统相互联系,能够实现信息共享。发电厂SIS能够提高生产管理效率,能够实现电厂资源共享,而原先的控制系统受到管理信息网络的威胁,若将SIS划分到生产控制区,则安全区的边界为SIS(安全仪表系统)以及MIS(管理信息系统)之间的连接。

2.3 网络内部安全

2.3.1 火电厂监控信息系统

虽然SIS系统与SCADA(数据采集与监视控制系统)系统比较相似,但SIS系统更加全面。对此可向管理层提供数据,而图2中所表示的SIS,该系统主要与各分散控制系统通信,采用以太网连接,从而形成主要的网络,而该网络由生产控制区控制。SIS能够有足够的安全性,其防护重心主要在网络边界以及安全管理方面。

2.3.2 继电保护及故障录波信息子站

图2 SIS结构图

继电保护以及故障录播信息子站相对比较特殊,其原因是系统下层的各种保护设备全部属于控制区,而子站则属于非控制区。保护装置以及子站之间则采用网络方式进行通信,通常情况下,其子站属于电力调度的数据,并不属于VPN连接。会将电力调度数据非实时VPN攻击威胁引入,虽然威胁的可能性相对比较小,如若是通过串口的连接方式,则不需要考虑保护装置的安全问题。

3 结语

火力发电生产控制大区的内部网络安全性相对较高,其威胁是生产管理大区之间的网络连接,大区的物理环境相对较好,且维护工作相对比较完善,人员行为相对规范。而存在的安全隐患有人员的操作性失误、移动存储介质可能带来的病毒以及软件漏洞等。这些使得火力发电生产控制大区的网络存在着隐患,对此需要采取正确的措施,保证火力发电厂生产控制大区的信息安全。

[1] 杨道驰.火力发电厂生产控制大区信息安全分析[J]. 电子世界,2016,(21) :41-42.

[2]刘念. 电力系统信息安全评估方法与安全通信机制[J].华北电力大学(北京),2009,(33):172-173.

[3] 叶夏明 . 电力信息物理系统通信网络性能分析及网络安全评估 [J].办公业务,2015,(19):158-160.

[4] 谢洋,徐蓓. 电力系统信息通信安全性评价体系构建及应用[J].工程技术:全文版, 2016 ,9(8) :228.

[5] 梁智强,林丹生. 基于电力系统的信息安全风险评估机制研究[J]. 信息网络安全, 2017,(4) :86-90.

[6] 苏立. 电力系统信息安全风险管理体系的研究与应用[J].现代计算机, 2011,(18) :42-47.

[7] 殷科.电力系统信息安全风险评估体系研究[J]. 科学与财富》,2010 ,(5) :19-20.

猜你喜欢

数据网控制区大区
靶向敲除β-珠蛋白基因座控制区增强子HS2对K562细胞转录组的影响
涪陵:工业大区打开绿色新场景
基于OMI的船舶排放控制区SO2减排效益分析
智利第一大区HNX矿区IOCG型铜矿床地质特征
核电厂建安阶段防异物管理
铁路数据网业务系统优化研究
铁路数据网MPLS VPN的隧道建立策略优化研究
铁路信号安全数据网安全分析
铁路数据网IS-IS分层优化研究
管好高速建筑控制区