常 锐，吴宝杨，张立强，杨 勇，曹阳曦

(1.山西鲁晋王曲发电有限责任公司，山西 长治 047500 ；2.湖南三德科技股份有限公司，湖南 长沙 410205)

0 引 言

信息系统等级保护是我国信息安全工作的主要实施手段，广泛应用于网络安全职能部门、医药[1]、图书馆[2]等行业的网络安全管理以及等级测评机构开展系统定级、安全建设整改、等级测评、安全自查、安全监督审计等相关工作[3]。GB/T 28449—2018《信息安全技术 网络安全等级保护测评过程指南》、GB/T 22239—2019《信息安全技术 网络安全等级保护基本要求》、GB/T 28448—2019《信息安全技术 网络安全等级保护测评要求》、GB/T 25070—2019《信息安全技术 网络安全等级保护安全设计技术要求》等网络安全等级保护制度2.0标准(以下简称等保2.0)的发布，将工控系统、云计算、移动互联网、物联网、大数据安全纳入安全管理的范畴，顾云[4]、刘莉莉等[5]围绕等保2.0体系化建设进行探讨，通过分析等保2.0体系建设思路与实践，探究其中的不足与改进之处，进一步确保网络安全保障能力。等保2.0在数字化实验室信息安全建设[6-7]、大型水电站电力监控系统[8]等领域也得到研究和应用。在火力发电领域，张琪等[9]将等保2.0应用于电力监控系统密码应用，张琴玲等[10]对重要工业控制系统的网络安全保护进行探讨，均取得较好的成果。

近年来，随着火电厂燃料智能化管控系统的推广应用[11-13]，越来越多的电厂通过燃料智能化管控系统实现燃料采购调度、进场、计量、采制化、存取、配煤掺烧全过程的智能化管理[14-15]，有效提升火电厂的盈利能力。由于燃料管理工作在电厂管理中具有重要地位，涉及燃料采购、运输、检验、运行与维护、财务等多个职能部门，需要处理燃料价格、种类、数量、存储统计、采购计划、机组运行参数、样品数据等数据信息，涉及火电厂生产控制网(II区非实时控制区)和管理信息网(III区信息内网和IV区信息外网)以及从采购到入炉的全过程调控、管理、流程、信息、运维一体化[16]。

燃料的信息化、智能化也同时给火电企业燃料智能化管控系统带来较多的信息安全隐患，因而急需加大电力监控系统信息安全方面的投入，全面提升电力监控系统的信息安全防护水平，强化网络安全防御体系，防范和遏制重大网络安全事件发生。保障电厂燃料智能化管控系统安全稳定运行和电力可靠供应，具有着关乎国计民生的重要意义。

为适应火电企业燃料智能化管控系统的网络安全建设的需求，规范燃料智能化管控系统网络安全规划、设计与建设，依据《中华人民共和国网络安全法》《电力监控系统安全防护总体方案》等安全防护方案和评估规范(国能安全〔2015〕36号)及《信息安全技术 网络安全等级保护基本要求》(GB/T 22239—2019)等文件，结合火电企业燃料智能化管控系统各业务实际情况，最大程度地降低生产安全风险的发生，从政策支撑、等保级别确定的角度出发，分析信息安全所需的物理环境，从机房安全、网络构架、区域边界等方面对燃料智能化信息安全等级保护进行深度探讨，梳理火电企业燃料检验智能化系统等保测量的步骤并落实周期要求，以期对火电企业信息安全建设提供指导。

1 燃料信息安全等保政策依据与级别确定

信息安全等级保护是对信息和信息载体按照重要性等级分级别进行保护的重要工作。在我国，广义上的信息安全等级保护是指涉及到的标准、产品、系统、信息、运维等均应依据等级保护思想安全的工作，狭义上一般指信息系统安全等级保护。信息安全等级保护工作包括定级、备案、安全建设和整改、信息安全等级测评、信息安全检查5个阶段。

信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度进行分级，即应根据信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。

信息系统的安全保护等级分为5级，1～5级等级由低逐级增高，其监管程度也随之更严格。信息系统的安全保护等级分级见表1。

表1 信息系统的安全保护等级分级

国家能源局为发改委直属机构，负责煤炭、石油、天然气、电力(含火电、水电、核电)、新能源和可再生能源等能源的行业管理，其于2015年2月发布《电力监控系统安全防护总体方案》等级安全防护方案和评估规范，明确电力监控系统以“安全分区、网络专用、横向隔离、纵向认证”为总体防护原则，提出重点强化边界防护与加强内部物理、网络、主机、应用和数据安全并提升安全管理制度、机构、人员、系统建设、系统运维的管理以及最终提高系统整体安全防护能力的要求。依据电监信息〔2012〕62号 《电力行业信息系统安全等级保护基本要求》《电力行业信息系统等级保护定级工作指导意见》(电监信息〔2007〕44号)及《电力监控系统安全防护总体方案》、等保2.0标准的要求，对火电企业的信息安全进行评级。

燃料智能采制化信息系统是在《电力行业信息系统等级保护定级工作指导意见》发布之后于2013-2014年间开始出现的新型自动化系统，因此其未明确对燃料智能采制化系统进行安全等级的分级，可参照火电厂的其他控制系统进行相应分级。火电厂的控制系统主要包括分布式控制系统(Distributed Control System，DCS)、厂级监控信息系统(Supervisory Information System，SIS)和管理信息系统(Management Information System，MIS)。其中，SIS系统集实时监测、优化控制和生产过程管理为一体，主要包括全厂生产过程实时数据采集与处理以及厂级生产过程信息监视、统计和分析，另含全厂调度和机组负荷优化分配、厂级及机组级性能计算、设备状态检测和维修指导。燃料智能采制化信息系统是燃料验收、存储、入炉过程中的辅助系统，也包括数据采集与处理、过程监视、设备状态检测和维修指导。因此，可参照发电厂SIS系统的分级，根据相应指导意见归纳出其生产管理系统的安全保护等级分级如下：总装机1 000 MW及以上，建议等级为第3级；总装机1 000 MW以下，建议等级为第2级。即以总装机1 000 MW为分界点，分别按照第2级、第3级进行安全保护等级的分类。

2 燃料智能化信息安全等级保护建设要求

燃料智能化信息安全等级保护的建设主要包括安全的物理环境、系统建设管理、系统运维管理、安全管理制度、安全管理机构、人员安全管理共6个方面。其中后3个方面主要涉及到火电企业的管理制度、管理组织，不在此次研究讨论的重点范围。以下将重点探讨燃料智能化信息安全所需的物理环境安全、系统建设管理(网络构架、区域边界管理、系统综合防护)、系统运维管理。

2.1 安全的物理环境

安全的物理环境是对燃料智能化管控系统机房的安全提出的基本建设要求,包括机房环境、机房设施和相关保护设备等。安全的物理环境是燃料智能化管控系统安全、稳定运行的有效保障,重点确保系统的服务器、核心交换机等设备运行安全,防止被人为破坏以及防火防潮,并具备异常报警等功能。

燃料智能化管控系统的机房是物理环境的载体，机房建设效果示意如图1所示。

图1 燃料智能化管控系统的机房建设效果示意

机房可以部署在电厂总机房，也可根据业务需要单独规划，但不管是利用现有机房还是单独建设机房，机房物理环境建设都应满足以下5条要求：

(1)机房的装修要求。敷设静电地板(接地处理)、配置防雷设施、采取防尘措施(墙面、屋顶、窗户等)、配置防火门窗等。机房内原则上不应有任何水管穿越，若不可避免水管穿越时则应充分采纳防结露和保温措施，水管应采用镀锌钢管螺纹连接，接缝处确保严密并经试压检验。

(2)机房的供电要求。配置机柜内应有独立的电源配电箱，另需配置冗余的供电功率及在线式UPS不间断电源，且应具备单独的检修电源。

(3)机房的环境控制。配置专用空调(其中等保3级需配置精密空调)，并建设机房动环监测系统。

(4)机房安防建设。配置视频监控和门禁系统，具备准入限制和记录。

(5)机房的消防建设。需配置消防器材，实现消防预警、报警，且等保 3 级配置自动灭火装置。

2.2 系统建设管理

2.2.1网络构架

硬件设施平台是燃料智能化管控系统平台的运行载体，燃料智能化管控系统涉及的硬件包括但不限于服务器、操作员站、LED大屏、视频监控、现场采制输存化自动化设备、计量衡器(汽车衡、轨道衡、胶带秤)等设备。

安全稳定的网络架构是确保燃料智能化管控系统持续运行的保障，因此燃料智能系统需建设专网专用，不得与原有网络混用。根据电厂的网络安全分区原则，将燃料智能化管控系统设置为三区架构，采制化现场设备、燃料验收监管系统、燃料信息管理系统分别属于生产控制区(安全I区)、生产非控制区(安全II区)、生产管理区(安全Ⅲ区)，网络构架示意如图2所示。

图2 燃料智能管控系统的网络构架示意

2.2.2区域边界管理

火电企业的生产、控制、管理等业务区域需要不同的安全防护程度和侧重点,在保证安全的同时通过区域边界管理实现各区域之间的稳定通讯。火电企业燃料智能化系统的区域边界管理如图3所示。

图3 燃料智能管控系统的区域边界管理

燃料智能管控系统部署于生产非控制区(安全II区)，主要用于燃料入厂、计量、采制输存化等验收相关的设备的业务流程调度指令下发、设备状态监控和故障报警；燃料信息管理系统部署于生产管理区(安全Ⅲ区)，主要用于火电企业燃料验收业务的数据统计分析和流程管理。燃料智能管控系统和燃料信息管理系统都与处于生产控制区(安全I区)的现场验收设备和管理信息大区(安全Ⅳ区)的上级系统，两者存在数据交互，不同区域之间需要遵循“横向隔离、纵向认证”的原则。

横向隔离指不同区的终端互相不可以“直接”访问，原则上隔离应确保物理网络彻底断开，但各区之间总有业务交互存在，通常采用“低安全区不可主动访问高安全区但高安全区可向低安全区域推送数据”的方式，此时的隔离可以进行数据单向、错时传输控制。比如输煤程控系统需获取胶带采样机的复位状态和故障信息，输煤程控系统和胶带采样机归属不同网络结构的不同安全分区，此时就需要采用隔离网闸。总的原则是安全等级高的主机将数据传输给安全等级低的主机并采用正向隔离网闸、安全等级低的主机将数据传输给安全等级高的主机并采用反向隔离网闸。

I区的采制输存化设备状态信息经过反向隔离装置后送至II区燃料智能化管控系统进行监视，II区管控指令经过正向隔离装置后下达至I区控制系统，由I区控制系统具体执行。在安全III区设置燃料信息管理系统，包括基础管理信息、计划管理、合同管理、计量管理、调运管理、接卸管理、验收管理、统计管理、结算管理、耗用管理、存储管理成本核算、统计分析、综合查询等功能模块，方便电厂管理人员对电厂燃料系统进行管理，II区和III区边间在边界设置正反向隔离装置。

2.2.3系统综合防护

在完成物理环境、网络架构和边界保护后，还需要对燃料智能化管控系统进行综合防护，以确保重点设备、重点通道的安全，一般包括网络设备安全防护、主机防护、入侵检测、网络审计、日志审计、远程访问授权限制、网络安全监测平台建设7项内容。

手术前两组生活质量相近,P>0.05;手术后改良去骨瓣减压术组生活质量优于对照组,P<0.05。如表2.

(1)网络设备安全防护。应对生产控制的核心交换机、汇聚交换机、工业防火墙、单向光闸等网络设备、安全设备进行安全防护建设。主要包括以下内容：对登录网络设备、安全设备的用户进行身份鉴别及权限控制，只允许相关管理、维护人员等登录设备；对登录网络设备、安全设备应采用 HTTPS、SSH 等加密方式进行，同时辅以安全审计等管理措施；网络设备、安全设备用户口令应满足复杂度要求，制定更换策略并由专人负责保管；及时清理网络设备、安全设备的临时或多余用户。

(2)主机防护。① 对所有关键设备的控制电脑、操作终端、工程师站、调试站进行操作系统安全加固，加强主机安全加固的审核与管理，制定主机加固的技术标准和加固管理的策略，充分发挥主机加固的安全效应。在实施加固前，应首先在测试环境中进行各项生产业务功能的充分测试，确保系统加固对生产业务系统功能无影响，并有完整测试记录和负责人签字，以便后续检查、校核以及补充完善。加固方式包括不限于安全配置、安全补丁、采用专用软件或硬件强化操作系统访问控制能力以及配置安全的应用程序。加固措施包括安装后续的补丁合集、加固系统 TCP/IP 配置、关闭不必要的服务和端口、为超级用户或特权用户设定复杂的口令、修改弱口令或空口令、禁止任何应用程序以超级用户身份运行、设定系统日志和审计行为等。② 对燃料智能化管控系统内的服务器、主机进行恶意代码防范，应采用经过离线环境中充分验证测试的防病毒软件，对不适宜部署恶意代码防护的主机，可通过部署主机白名单技术进行安全防护，列入白名单内的软件进程应遵循最小化原则。对已部署恶意代码防护软件，应保证代码库定期更新，在更新代码库前应首先在测试环境中通过测试，以确保对业务系统无影响。③ 燃料智能化管控系统内的服务器和操作员站等上位机操作系统应升级系统补丁，补丁升级的方式包括离线手动升级或在生产监控区设置补丁升级服务器(防病毒服务器)在线升级。在补丁升级前，应在离线环境下进行充分安全验证和评估测试，并应记录测试结果。④ 对燃料智能化管控外设进行管控，应关闭各主机或拆除主机上不必要的光盘驱动、USB 接口、串行口、无线、蓝牙等，若确需使用则通过主机外设置安全管理技术手段以实施严格访问控制。应通过主机白名单、USB外设注册等技术措施实现对USB外设管控，对移动介质的插入、拷贝、写入等操作进行安全审计，禁止燃料智能化管控系统不同安全区域之间交叉使用移动存储介质以及便携计算机。若确需通过外设接入设备，则应通过安全管理及技术措施实施严格监控，并履行安全接入审批手续。临时接入的燃料智能化管控系统的设备应在接入前采取病毒查杀等安全预防措施，并对运维操作实时审计并可溯源。

(3)入侵检测。在燃料智能化管控系统部署入侵检测系统，并合理设置检测规则，检测规则应包含工控系统专有攻击特征库，检测发现隐藏于流经网络边界正常信息流中的入侵行为，分析潜在威胁并进行安全审计和报警。

(4)网络审计。在翻车机PLC控制系统、输煤DCS控制系统、燃料智能化集中管控中心等重要系统中部署工控协议审计识别设备，工控协议网络审计设备应支持 OPC、Modbus/TCP、DNP3.0、Profinet、S7、 IEC104 等工控领域常用的工控协议，能够进行深度包协议解析，自动识别生产控制网内工控设备的通信关系，及时发现隐藏在正常流量中的异常数据包，实时监测针对工业协议的网络攻击、异常操作、非法设备接入等行为，并进行审计。

(5)日志审计。采用安全日志审计技术手段，对燃料智能化管控系统所有服务器、工控机、工程师站的操作系统、 数据库日志进行记录、分析，及时发现各种违规行为以及病毒、黑客的攻击行为。安全日志审计的对象包括但不限于对网络运行日志、操作系统运行日志、数据库访问日志、业务应用系统运行日志、安全设施运行日志等进行集中收集、自动分析。同时应对审计记录进行保护并定期备份，避免受到未预期的删除、修改或覆盖等。安全日志审计设备存储容量应有合理设计，保障安全审计日志保存时间不低于6个月。

(6)远程访问授权限制。燃料智能化管控系统一般禁止远程直接访问，在不可避免的情况下应遵循以下管理原则：禁止其他设备生产厂商或其他外部企业远程连接燃料智能化管控系统安全区控制内的业务系统及设备；对于燃料智能化管控系统内部远程访问业务系统的情况，应进行身份认证及权限控制，并采用会话认证、加密与抗抵赖、日志审计等安全机制。

(7)网络安全监测平台建设。除了以上专项的安全管理细则外，燃料智能化管控系统还应部署网络安全监测平台作为主动防御手段，及时发现、报告并处理网络攻击或异常行为。主要包括以下功能：对网络链路、安全设备、网络设备和服务器等的运行状况、设备信息、通信流量、日志信息等进行集中监测；监控操作站/工程师站的运行情况、操作系统的补丁情况；实时监测并记录异常通信行为和异常操作行为；对网络安全事件进行识别、分析和报警。

2.3 系统运维管理

运维保障系统是以燃料业务安全为目的而建，通过该运维保障系统能够及时发现并处置燃料智能化管控系统设备及其运行环境所存在的脆弱性、入侵行为和异常报警行为，从而实现专家诊断分析、智能运维、培训学习演练和零配件精准选配，实时为燃料智能化运维提供无缝、无忧售后服务。

3 系统等级保护测评的步骤及周期要求

3.1 测评工作步骤

燃料智能化管控系统等级保护测评一般包括以下4个步骤：

(1)确定等保目标和级别。首先确定燃料智能化管控系统的等保级别、资产数量(主机、网络设备、安全设备等)、机房的模式(自建、云平台、托管等)等，其次按照《信息系统定级指南》的要求和标准对燃料智能化管控系统进行等级保护的定级工作，填写《系统定级报告》《系统基础信息调研表》。

(2)组织专家评审，通过评审后将相关材料提交网监部门。邀请专家对燃料智能化管控系统进行初步评审，包括软件系统平台、机房建设情况、设备防护情况、网络架构及敷设情况等，由专家给出建设和升级改造意见。按专家意见修改后，向属地公安机关网监部门提交《系统定级报告》《系统基础信息调研表》和信息系统其它新系统定级备案证明材料，获取《信息系统等级保护定级备案证明》，完成系统定级备案阶段工作。

(3)开展评测工作，提交测评报告备案。依据确定的等级标准，选取等保测评机构，对目标系统开展等级保护测评工作；获得《信息系统等级保护测评报告》后，将测评报告提交网监部门进行备案。

(4)整改并制定下一阶段计划。结合测评报告整体情况，针对报告提出的待整改项，制定系统下一年度的等级保护工作计划，并依照计划推进下一阶段的信息安全工作。

3.2 测评周期要求

等保测评是1项周期性、连续性的工作,不同等级要求一般在0.5～2 a进行 1 次等保测评,根据有关火电企业的安全等保测评定级规则,燃料智能化管控系统以火电厂总装机1 000 MW为分界点,分别按照第 2 级、第 3 级进行安全保护等级的分类。其中确定按照 2 级定级的系统一般每2 a开展1次网络安全等级保护测评,确定按照 3 级定级的系统要求每年至少开展1次网络安全等级保护测评。

4 结 语

火力发电是关系国计民生的重要基础产业，也是关系千家万户的公用事业。电力信息的安全可靠供应事关经济发展、人民生活和社会稳定，保障电力系统信息安全是国家安全的重要组成部分。电厂燃料智能采制化具有高度网络化、系统化、自动化的特征，网络、数据库及计算机自动控制技术等信息处理技术已成为支撑火电生产控制和经营管理不可或缺的基础要素，保障燃料智能采制化系统的信息系统安全已成为电力系统生产安全稳定运行的重要前提。

燃料智能采制化系统的信息系统安全可参照SIS系统的分级，根据《电力行业信息系统等级保护定级工作指导意见》，其安全保护等级分级以总装机1 000 MW为分界点，分别按照第2级、第3级进行安全保护等级的分类。

燃料智能化信息安全包括物理环境安全、系统建设管理、系统运维管理，其中系统建设管理则主要包括网络构架、区域边界管理与系统综合防护。依照“安全分区、网络专用、横向隔离、纵向认证”的原则，有效保护整体网络，在此基础上提出等级保护测评的步骤，落实周期，进一步将信息安全等级保护形成一项持续性的长期迭代工作，可更好地促进火电企业生产与管理安全。