浅谈姚孟电厂工业信息安全防护技术方案

(整期优先)网络出版时间:2019-06-16
/ 2

浅谈姚孟电厂工业信息安全防护技术方案

马晃明

平顶山姚孟发电有限责任公司河南省平顶山市467000

摘要:2014年08月,国家发改委发布《电力监控系统安全防护规定》2014第14号令。《电力监控系统安全防护规定》对电力监控系统安全防护作出新的规定和释义。为了落实国家发改委14号令及能源局36号文有关电力监控系统安全防护要求,姚孟电厂在工业信息安全防护方面开展了一系列工作,本文重点对姚孟电厂工业信息安全防护技术方案进行梳理、分析,旨在从实际工作中探索工业信息安全防护工作开展的思路、方法,提高电厂工业信息安全防护的应用广度和深度。

关键词:电力监控;工业信息;安全防护;

1公司工业信息安全防护现状

姚孟电厂建立了火电厂电力监控系统,根据国家发改委14号令的相关划分标准,现有电力监控系统包括:DCS分散控制系统、PLC辅机控制系统、SIS厂级信息监控系统、调速系统及AGC自动发电控制、励磁系统及AVC自动电压控制、网控系统、PMU相量测量装置、五防系统、继电保护故障信息子站、烟气在线监控平台、电能量采集装置等。

姚孟电厂按照国家发改委14号令的要求进行了安全分区,将电厂网络分为生产控制大区和管理信息大区,其中生产控制大区又根据控制实时性划分为控制区和非控制区,管理信息大区根据与互联网的连接情况划分为内部管理区和外部管理区,内部管理区通过防火墙专线与上级公司相连,外部管理区通过防火墙与互联网相连。生产控制大区与管理信息大区通过单向隔离装置实现了横向物理隔离;生产控制大区与地方网调、省调生产控制大区采用纵向加密装置实现了纵向加密;控制区与非控制区进行逻辑隔离,分别接入数据网实时交换机和非实时交换机;内部管理区与外部管理区通过网闸实现内外网隔离;外部管理区与互联网连接,内部管理区与互联网没有直接联系。

姚孟电厂按照国家发改委14号令的要求将DCS分散控制系统、PLC辅机控制系统、调速系统及AGC自动发电控制、励磁系统及AVC自动电压控制、网控系统、PMU相量测量装置、五防系统放置在控制区中;继电保护故障信息子站、烟气在线监控平台、电能量采集装置放置在非控制区中;SIS厂级信息监控系统跨越控制区、非控制区和内部管理区三大区域。

2工业信息安全防护方案目标

提升合规性。落实发改委14号令《电力监控系统安全防护规定》、国家能源局36号文《发电厂监控系统安全防护方案》,兼顾《电力行业等级保护基本要求》,逐步提升合规性要求。

建立姚孟电厂监控系统技术防护基础平台。建立生产控制大区威胁感知、信息收集、分析和预警系统,提升姚孟电厂监控系统网络安全技术防护能力。以防范黑客及恶意代码等对电力监控系统的攻击及侵害为基础,以抵御集团式攻击、防止电力监控系统的崩溃或瘫痪为目的,有效防止电力设备事故或电力安全事件或事故。

3工业信息安全防护方案方案

在生产控制区域建设电力监控系统安全防护监测平台网络,实现电力监控安全防护集中管控;在辅控PLC控制系统的接口服务器与SIS接口机之间部署工控防火墙;在控工网络入侵检测系统和工控安全监测预警平台之间部署传统防火墙;部署工控预警平台,收集工控入侵检测系统、工控安全审计系统等设备的日志信息,并进行实时监控和分析;部署工控入侵检测系统,在SIS厂级信息监控系统位于生产非控制区的部分部署工控入侵检测系统,并接入工控预警平台,实现对网络、系统的运行状况监视、分析、报告,发现各种攻击行为或攻击结果,做出可靠有效的响应措施,保证网络系统边界安全防护、系统以及设备资源保护的完整性和可用性;部署工控安全审计装置,在生产控制区域DCS系统部署一台工控安全审计装置,详实记录工业控制网络通信行为;提供对网络行为异常、工业协议攻击、工业控制关键事件的实时检测与报警能力;实现基于主机DCS系统工控环境和对协议规约的深度解码,进行数据包解析,结合系统运行和操作过程中相关的规程要求,分析现场中的操作是否符合操作要求,及时发现工控系统中潜在的异常操作行为,及时进行报警,保证系统正常、可靠的数据、业务运行状态。

4工业信息安全防护方案实施

工控系统边界隔离防护实施。工控防火墙部署在#6机组电子间SIS机柜#5、6辅控PLC系统的接口服务器与SIS接口机之间部署隔离设备,共计两台工控防火墙系统,其中一台冷备。

工控入侵检测系统防护实施。工控入侵检测系统设备放置在#6机组电子间SIS机柜西侧新增设的两个机柜中,#5、#6机组SIS服务器上联交换机和#1-4机组SIS服务器上联交换机分别做出流量镜像,接入工控入侵检测系统,同时入侵检测系统将采集的信息通过智能分析处理后将结果传入预警平台,共计两台入侵检测系统;工控入侵检测系统设备接入到预警平台所处新建交换机,中间通过传统防火墙,如图所示:

工控入侵检测系统实施示意图

工控预警平台实施。在#6机组电子间SIS机柜西侧新增设两个机柜,实施网络平台建设,收集工控入侵检测系统、工控安全审计系统及系统相关安全设备的日志信息并进行实时监控和分析,共计一台预警平台服务器、一台交换机、一台防火墙,如上图所示。

5结语

姚孟电厂依据国家发改委14号令及能源局36号文有关电力监控系统安全防护要求在工业信息安全防护方面开展了的系列工作:实施工控系统边界隔离防护,实施工控入侵检测系统防护,建设工控预警平台,从技术方案层面基本满足工业信息安全防护方案目标;但就目前国内工控信息安全防护的发展现状及技术方案调研、编制过程中,也有一些小结:一是信息安全和工业安全是有区别的,在做工业安全防护技术方案时可以参照信息安全技术方案,但不能照搬;国内工业安全防护起步尚晚,需要在可承受的风险范围内,尽可能给予广泛的发展空间和平台。

参考文献

[1]姚孟发电电力监控系统安全防护管理方案.2018

[2]姚孟发电电力监控系统安全防护技术协议.2018