基于数字化电厂的工控安全防护研究
2021-09-05安康
安康
摘 要:数字化电厂随着信息化的发展应运而生,数字化电厂凭借其高度信息化成为电厂建设的趋势,数字化电厂的核心就是基于厂级监控系统提供的大数据分析技术,优化电厂参数,提高生产效率。高度信息化的数字化电厂需要更高的安全防护要求,数字化电厂工业控制自动化安全防护需要依靠大数据和人工智能等新型防护手段。该文对基于数字化电厂的工业控制自动化安全防护方案进行了深入探讨和详细设计。
关键词:数字化 工业控制 大数据 信息安全
中图分类号:TM62 文献标识码:A文章编号:1672-3791(2021)05(a)-0048-05
Abstract: E-power plant emerges with the development of information technology, digital power plant because of its high information technology has become the trend of the construction of power plant, power plant is the core of digital data provide supervisory system based on the analysis, the optimization of plant parameters, improve production efficiency. Digital power plants with high informatization need higher safety protection requirements. Digital industrial control automation safety protection needs to rely on big data and artificial intelligence and other new protection measures. In this paper, the industrial control automation security protection scheme based on digital power plant is discussed and designed in detail.
Key Words: Digitization; Industrial control; Big data; Information safety
1 数字化电厂建设现状
数字化电厂起源于20世纪90年代,2000年我国开始引入数字化电厂概念,卢强院士给出了关于数字电力系统的定义:“它是某一实际运行的电力系统的物理结构、物理特性、技术性能、经济管理、环保指标、人员状况、科技活动等数字的、形象化的、实时的描述与再现。”建设数字化电厂的最大目的就是使发电企业效益最大化[1]。
由于电厂 DCS系统采用的是模拟量、开光量、数字信号混合系统信号制,而且一般是单向的,无法将所有数据上传到控制器,SIS(SIS:厂级监控系统)无法从DCS(DCS:分布式控制系统)获取控制器实时运行数据,无法分析并且判断DCS的运行状态,也就无法提高电厂的运行效率,这就是数字化电厂建设的瓶颈[2]。2007年,我国在线仿真技术和现场总线控制系统研制成功,这标志着数字化电厂关键技术已经开发成功。数字化电厂的发展离不开现场总线控制系统,而FCS(FCS:现场总线控制系统)能够完成现场控制设备级的数字化,将FCS和DCS以及SIS相结合就解决了DCS设备传输实时数据给SIS系统。
随着信息化和大数据的不断发展,让SIS依托于大数据分析DCS现场实时数据成为可能,通过SIS分析结果建立模型,可以精确判断DCS运行状态并且实时展示。根据国际能源署(IEA)研究,每1%的发电效率提升意味着节省600亿美元燃料。数字化电厂将上万个传感器放置在机组内,对他们传输的数据进行大数据分析。通過微调电厂参数,可提升电厂生产效率,每提升1.5%生产效率,每个百万千瓦煤电厂每年减少煤炭消耗35 000 t,相当于为电厂 10年内增加2 000万美元收入。
周口燃机为河南省、周口市“十三五”重点建设项目,周口燃机为2×450 MW燃气—蒸汽联合循环热电厂 。其DCS以及辅控化水均由ABB公司(ABB:DCS生产厂家)提供,其1号机组计划在2017年底投产运行。周口燃机也是国家电投河南省公司在河南省首家数字化电厂 。该文主要参考周口燃机进行数字化电厂工控安全防护研究。
2 数字化电厂工控安全建设需求分析
随着数字化电厂的不断发展,基于数字化电厂的工控安全防护需要尽快提上议程。2017年6月1日正式实行的网络安全法将能源行业列为关键基础设施,需要重点考虑信息安全防护建设。电力行业关乎国计民生,数字化电厂又依托于高度信息化和大数据,更易遭受网络攻击。一旦数字化电厂工控系统遭到网络攻击将直接影响电力生产,造成短期电力紧缺,影响企事业单位和居民生产生活用电,还会对河南电网乃至华中电网造成影响,给发电企业带来不可预估的经济、名誉、政治影响。
数字化电厂的工控安全防护设计主要参考发改委14号令、国家能源局36号文、等级保护以及网络安全法。周口燃机数字化电厂工控安全防护设计需要根据以上法律法规和电厂建设现状。
3 周口燃机数字化电厂工控安全防护方案设计
3.1 网络现状分析
周口燃机数字化电厂通过SIS向DCS获取实时生产数据,然后通过SIS的大数据分析平台进行分析和展示,进而优化电厂参数,从而达到提高电厂生产效率的目的。
周口燃机数字化电厂采用大数据方式分析DCS数据,其服务器数量要大大超过传统电厂 ,周口燃机SIS服务器主要功能如下。
数据接入服务器:收集DCS接口机发来的数据,临时数据储存。
消息队列服务器:获取数据接入服务器数据,并进行分析整理,将其数据发到不同应用服务器中。一旦生产非控制区和管理信息大区网络异常也可以临时存储数据。
实时处理服务器:将消息队列服务器传送来的数据进行计算分析。
应用服务器:存储消息队列服务器傳送数据和实时处理服务器处理数据。
存储服务器:存储消息队列服务器发送的数据和实时处理服务器和应用服务器计算分析数据。
周口燃机数字化电厂通过这些服务器来进行大数据计算、分析和存储,构建数字化电厂的大数据分析展示模型。用户通过B/S、C/S、APP架构进行访问,随时随地了解DCS运行状态。
3.2 工控安全设计
根据发改委14号令、国能安全36号文以及等级保护和网络安全法的要求,并结合周口燃机数字化电厂的建设现状进行工控安全设计。
3.2.1 边界安全设计
根据相应法律法规和周口燃机数字化电厂现状,将周口燃机分为生产控制区、生产非控制区、管理信息大区、第三方边界。其中,生产控制区和生产非控制区使用工业安全网关进行安全防护,生产非控制区和管理信息大区使用单向隔离网闸进行安全防护,管理信息大区和第三方边界使用双向隔离装置进行安全防护[3-4]。
3.2.2 通讯安全设计
(1)入侵检测设计。在生产非控制区核心交换机以及DCS和辅控系统上位机和下位机相连交换机旁路部署工控入侵检测系统,检测发现隐藏于流经网络边界正常信息流中的入侵行为, 分析潜在威胁并进行安全审计。(2)安全审计设计。在生产非控制区核心交换机以及DCS和辅控系统上位机和下位机相连交换机旁路部署工控安全审计系统,对操作系统、数据库、业务应用的重要操作进行记录、分析, 及时发现各种违规行为以及病毒和黑客的攻击行为。(3)工控漏扫设计。在生产非控制区旁路部署一套工控安全漏洞扫描系统,该系统支持工业控制设备和传统IT设备,定期对生产控制大区SIS以及DCS进行安全扫描,及时发现系统中存在的安全隐患。
3.2.3 终端安全设计
(1)恶意代码防护设计。在生产非控制区以及管理信息大区中SIS服务器、接口机安装杀毒软件,并配置杀毒软件服务器用于代码更新,进行恶意代码的防范。(2)主机加固设计。在生产非控制区以及管理信息大区中SIS中的服务器、接口机上面安装主机加固软件,进行安全加固。加固方式包括:安全配置、安全补丁、采用专门软件强化操作系统访问控制能力以及配置安全的应用程序,其中配置的更改和补丁的安装需经过测试。
3.2.4 大数据分析设计
工控安全预警平台。在生产非控制区搭建工控安全预警平台,对部署在监控系统内部的安全监测类设备进行日志信息的收集,通过基于大数据的关联分析结果,及时了解安全隐患及时处置潜在的安全隐患。工控系统安全预警监测平台,通过基于大数据的采集、分析技术对周口燃机数字化电厂工控系统进行综合安全分析及预警[5-6]。
工控安全预警平台架构示意图详见图3。
工控安全预警平台通过部署工控安全审计和工控入侵检测来对流经电力监控系统的异常流量进行实时监控。监控得到的实时数据通过工控综合安全管理平台进行收集,同时工控综合安全管理平台还可以收集原有网络设备、安全设备以及上位机监控软件的日志信息,将信息汇总整理筛选后进行综合性的呈现,对整个工控系统的安全形势进行态势感知。将工控网络作为一个整体,关注其中正在进行的网络活动,如:监控工控网络流量、采集相关敏感数据,为工控网络当前的状态以及未来可能受到的攻击做出态势评估与预测,给工控系统各个专业的运行人员提供可靠、有效的决策依据,最大程度上降低工控系统可能遭受的风险和损失。
4 数字化电厂通用工控安全防护设计
通过对周口燃机数字化电厂工控安全防护研究,分析周口燃机和一般数字化电厂异同点,该文研究通用数字化电厂工控安全防护设计并制作了数字化电厂通用的工控安全防护设计拓扑示意图,详见图4。
数字化电厂工业控制自动化系统一般分为现场设备层、过程控制层、过程监控层、生产管理层、信息管理层。其中现场设备层、过程控制层、过程监督层属于生产控制区,生产管理层属于生产非控制区,信息管理层属于管理信息大区。
现场设备层:底层电力生产设备,包含锅炉等一系列生产设备,在这一层不需要部署安全设备进行安全防护。
过程控制层:负责对现场设备层设备进行控制,这一层主要是DCS。在这一层需要部署工控安全审计以及工控入侵检测。
过程监督层:负责对过程控制层DCS设备进行管理,主要是工程师站和操作员站。在这一层可以部署终端安全管控系统。
生产管理层:SIS系统和部分服务器位于此一层,负责收集处理DCS接口机传输的数据,这一层需要部署工控安全网关、单向隔离装置、工控入侵检测、工控安全审计,工控漏扫以及工控预警平台。
信息管理层:SIS系统和部分服务器位于这一层,通过收集的DCS实时数据,通过SIS的大数据分析平台进行分析和展示,在此层需要部署双向隔离装置和防火墙以及传统信息安全设备。
通用数字化电厂工控安全防护设计通过对生产控制区、生产非控制区和管理大区模拟为现场设备层、过程控制层、过程监控层、生产管理层、信息管理层,并分层进行安全防护设计。
5 数字化电厂工控安全防护设计应用前景
数字化电厂将上万个传感器放置在机组内,对他们传输的数据进行大数据分析。通过SIS的大数据分析平台进行分析和展示,优化电厂参数,从而达到提高电厂生产效率的目的。随着信息化和数字化电厂的不断发展,电厂生产控制业务跟互联网也在不断融合。WEB承载的核心业务也是越来越多,生产控制边界越来越模糊。电力是关乎国计民生行业,而数字化电厂又依托于高度信息化和大数据,更易遭受网络攻击。一旦数字化电厂工业控制自动化系统遭到网络攻击影响电力生产,不但会造成短期电力紧缺,影响企事业单位和居民生产生活用电,也会给企业造成不可预估的经济、名誉、政治影响。该文对数字化电厂生产控制自动化系统安全防护设计在保障业务的稳健运行为基本前提下,满足国家和行业安全防护的基本要求,提高数字化电厂安全防护能力,保障生产控制系统安全。避免由于安全防护能力不足导致信息安全事件,对数字化电厂企业造成不可弥补的经济、名誉和政治损失。
参考文献
[1] 吴殿法.大型燃煤发电机组广义能耗评价方法研究[D].华北电力大学(北京),2019.
[2] 陈俊希.基于调度算法的现场总线在热电厂 SIS中的应用研究[D].青岛科技大学,2017.
[3] 郑秀佳.安全防护技术在电力监控系统的应用研究[D].广东工业大学,2019.
[4] 李玉琛,杨虔.电力自动化控制系统网络信息安全管理的研究与设计[J].电气应用,2017,36(16):84-87.
[5] 李仲博.热力行业工控安全防护方案设计和实践[J].信息安全研究,2019,5(8):715-721.
[6] 吴辉,向欢,杨丹丹,等.水电厂工控系统安全防护的设计与实现[J].水电站机电技术,2019,42(3):44-46,50.