洪杰

摘要：以S109F级燃气电厂SIS系统安全隔離升级改造的工作为背景，简述燃气电厂生产控制大区内的安全Ⅰ区和安全Ⅱ区之间加装正向隔离装置工作的必要性和注意事项。

Abstract： Based on the work of safety isolation upgrade and reconstruction of SIS system in S109F gas-fired power plant， the necessity and precautions for installing positive isolation device between safety zone I and safety zone II in the production control area of gas-fired power plant are briefly described.

关键词：SIS系统;生产控制大区;正向隔离装置

Key words： SIS system;production control area;forward isolation device

中图分类号：TM6                                         文献标识码：A                                  文章编号：1006-4311（2019）20-0143-02

0  概述

某S109F级燃气电厂信息网络建设主要包含DCS、SIS、MIS几大部分，从安全级别上来说，DCS和SIS属于生产控制大区，MIS属于管理信息大区。按照相关规定，DCS系统属于生产控制大区内的安全Ⅰ区，SIS系统属于生产控制大区内的安全Ⅱ区，安全区内的Ⅰ区与Ⅱ区之间必须部署经过检测认证的单向安全隔离装置。

1  改造背景

1.1 SIS系统简介

某燃气电厂一期4×350MW级燃气-蒸汽联合循环发电机组工程采用维思通厂级监控信息系统V2.0版，数据库采用美国PI数据库，数据采集系统采用研华工控机，两台赫兹曼核心交换机互为备用，两台实时服务器通过IBM磁盘阵列实现服务器群集运行，实时服务器数据通过隔离装置传至镜像服务器，性能计算服务器采集镜像服务器数据进行性能计算和耗差管理分析，通过发布服务器进行发布，用户终端通过公司局域网进行访问。

1.2 信息安全等级保护测评中存在问题

依照国家能源局发布的《电力监控系统安全防护总体方案等安全防护方案和评估规范》36号文，同时结合省调在部分发电厂进行信息安全检查时发现的问题，该燃气电厂生产控制大区安全Ⅰ区DCS系统与Ⅱ区的SIS系统之前无逻辑隔离措施，导致Ⅰ、Ⅱ区数据没有经过任何安全过滤措施进行数据传输，不符合国家能源局36号文中发电厂电力监控系统安全防护方案及国网电力调控中心相关防护规定，特制定相关升级改造方案。

2  改造方案

2.1 方案原则

严格按照国家能源局《电力监控系统安全防护总体方案等安全防护方案和评估规范》36号文的要求，在生产控制大区内安全I区与安全II区的数据通讯，采用逻辑隔离或者物理隔离装置，实现安全I区的数据只能单向传到安全II区，而II区的数据无法下传到I区，以保证SIS系统所有采集数据与各控制系统进行单向隔离，数据的反馈不能超过1字节，实现国家电监会的二次防护要求。同时对原接口程序进行升级改造，使升级后的接口程序更安全、稳定、可靠、高效地运行。

2.2 网络拓扑图

网络拓扑图为此次升级改造的总体布局，必须严格遵照执行，具体如图1、图2。

3  改造过程

3.1 硬件选择

网络隔离（Gap Technology），是指两个或两个以上的计算机或网络，不相连，不相通，互相断开。网络单向隔离，是指两个或两个以上的计算机或网络之间信息严格单向传输，即在需要有条件信息交换的情况下，实现网络隔离。网络单向隔离技术是一种非常有效的网络安全技术，单向安全隔离装置是区别于防火墙等传统网络安全设备而言的，由于采用了专用的硬件，从链路上切断了两个网络之间信息的通路，不同于防火墙软件逻辑隔离的原理，大大提高了网络安全性。具体原理图如图3。

因此，此次改造选择了安全性较逻辑隔离更高的硬件隔离即正向安全隔离装置，具体型号为：南瑞Syskeeper-2000，分别布置于DCS（含燃机MARK VI）接口机、水网PLC接口机与内网核心交换机之间，共6台，其中NCS电量采集系统采用串口数据通讯，安全性要求较低，可以不布置正向隔离装置。

具体指标如下：

①具有安全隔离能力的硬件结构，高可靠性硬件设计;

②支持双机热备，支持双电源，支持系统告警;

③单向传输控制;隔断穿透性的TCP连接;

④网络接口：4个百兆网卡接口+1个双机热备接口;

⑤外设接口：2个终端接口（RS232）+1个专用告警接口（RS232）+智能IC卡接口（反向）;

⑥平均无故障时间（MTBF）>60000小时（100%负荷）;

⑦100M LAN环境下，数据包吞吐量80Mbps（100条安全策略，1024字节报文长度）;

⑧数据包转发延迟：<5ms（100%负荷）;

⑨满负荷数据包丢弃率：0。

3.2 软件选择

对现有的#1DCS、#2DCS、#3DCS、#4DCS、Mark VI及水网系统的数据采集程序进行升级改造，满足二次防护要求，实现数据的单向传输，保证控制系统的安全。升级后，在#1DCS、#2DCS、#3DCS、#4DCS、Mark VI及水网系统的接口机上安装采集端软件，分别实现从#1DCS、#2DCS、#3DCS、#4DCS、Mark VI及水网系统采集数据，打包以TCP或UDP的方式穿过单字节单向物理隔离装置（网闸）将数据送至SIS侧接口机。升级后的#1DCS、#2DCS、#3DCS、#4DCS、Mark VI及水网系统的数据采集程序具备数据的自动缓存和自启动功能。

4  结语

通过此次SIS系统安全隔离升级改造，既实现了生产控制大区安全I区和安全Ⅱ区数据传输的安全有效隔离，满足国家相关文件规范，配套的全新接口程序更简洁易读，简化了数据异常的故障处理过程，降低了电厂热工人员的维护难度，保证了SIS系统安全、高效、稳定、长久的运行。

参考文献：

[1]国家能源局-《电力监控系统安全防护总体方案等安全防护方案和评估规范》36号文.

[2] 国家能源局关于印发《电力行业信息安全等级保护管理办法》的通知.

[3]关于印发《信息安全等级保护管理办法》的通知.