技术文章

电厂生产控制系统的网络信息安全

时间:2020-07-19 08:33:24 分享到:
    1网络结构特点
    生产控制网络是电力生产自动化、集约化的产物。它们广泛布置在我国大中型电厂、各级变电站之内。它们提供了厂、站内部各种状態信息,控制信息流动的信道,并且是直接面向生产的互连系统。电力微机控制技术的成熟和电力设备生产工艺的提高,使得我国厂、站内部的生产控制网络采用下图所示结构。具体地针对各控制点分别设置n个控制单元,各单元和主控室通过光缆相连。该网络由网关接人企业intranet,而企业in*ranet又接人internet。该网络具有以下特点:实时性强:和传统的主要用于资源共享的计算机网络不同,该网络设计理念主要是对变压器、母线进行实时准确控制。系统尤其强调通信的快速性和可靠性。控制单元智能化:将传统的基于布线逻辑式的控制机构全部转为微机控制,实现了数据采集、分析、决策和动作的一体化,有效节约了空间,简化了维护。多点可控:网络的互连使得倒闸,投保护等操作可在三级进行。①就地:现场操作;②本地主控室:经由本地网络发出操作命令;③internet八ntarnet:允许授权下在任何时间,任何地点对控制单元进行监控。通信规程标准化:我国对该网络通信制定了详细的规程。如适用于电网数据采集和监控系统以及调度所间以间答式规约转发实时运动信息的行业标准DL/T634一1997。
    2电厂生产控制系统的网络信息安全
    2.1当地功能监视&发电考核系统
    远动当地功能及发电负荷考核子站系统,用于实现远动当地功能,接收华东网调或者安徽省调主站端的发电计划曲线,并配合完成AVC功能。与调度中心通过调度数据网交换机Ⅰ区,再经路由器与调度主站相互通讯;当地功能系统与FFC、NCS、FFC、AVC等系统或设备的连接采用串口方式进行通讯;通过国产的南瑞SYSKEEPER2000正向隔离装置与MIS系统和SIS系统相连,将数据单向送入MIS侧的镜像服务器、WEB发布服务器和SIS系统实时数据库,而不允许MIS和SIS系统访问本系统。
    2.2重视践行技术+管理的理念,全面提升信息安全水平
    随着计算机网络技术的飞速发展,服务器、交换机等网络设备和工控系统设备均不断在改进信息安全漏洞,这些设备在不同的环境下工作所表现出来的信息安全水平是有差异的。可以说没有任何哪一家的产品能做到绝对的安全。因此从提升水电站控制系统网络信息安全的角度出发,在已经选定的设备技术条件下,从实际运行角度出发,我们认为采用加强网络边界安全防护和内部管控相结合的思路,可以实现控制系统整体安全防护水平的全面提高。具体地说,加强网络边界安全防护就是“关好大门”,把好这一道关就能极大降低来自外部网络或系统的安全威胁;加强内部管控则是“锁好抽屉”,通过采取技术手段和有效的管理措施并加以严格执行,能够有效防范来自内部的安全风险。
    2.3建立相关防护系统
    笔者认为,基于发电厂信息安全体系现状,想要真正构建安全体系,防止网络入侵、黑客介入,就必须着手建立相关的防护系统。所谓防护系统,也就是网络入侵防护系统,其主要用于及时发现黑客攻击,并进行抵御,甚至消灭。这一种具体的计算机网络安全技术,能够在较好地发现入侵者的基础上,识别对计算机的非法访问行为,从而对其进行隔离处理。而想要真正建立相关防护系统,发电厂内部技术人员就必须在互联网的出入口处,串联部署IPS,这样基本能够实现网络出口防护。无论是由内到外,还是由外到内,层层布控,为整个系统提供互联网的从网络层、应用层到内容层的深程度全防护。另外,笔者个人认为,相关技术人员还有必要在核心的交换机上,旁路部署IPS,主要是由内网到内网。在平时,相关的技术人员就可以将内网中的部分重点服务器,从其流量镜像转到IPS上,这样做的目的,主要是对这些服务器流量的安全性进行实时监控、访问。而如果在网络中出现了相关的、严重的黑客事件,或者是具体的异常情况,那么相关人员就可以完全将出现的问题部分流量镜像到IPS上,之后进行具体的安全性分析,这样能够较快地找到具体的攻击来源和异常情况。
    2.4SIS系统
    SIS系统无生产控制功能,所以在设计时将其放在控制区Ⅱ区,是一个独立的网络系统,SIS网络安全防护设计时考虑了两个方面的内容,分别是下层控制系统层以及MIS层:控制系统层:SIS系统与控制系统同属于二次系统安全的控制大区,中间采用网关隔离。SIS为每个控制系统划分独立的VLAN,在进行通讯的同时实现不同网段之间的隔离,这样能够有效隔离不同网段之间的广播,减少网络负荷。不同网段之间采用网关进行隔离的同时在每台接口机上安装诺顿防病毒软件,防止意外情况下病毒入侵。由于SIS网以及与SIS相连的控制系统网络属于电厂内网,网内节点数量少,方便进行管理,所以上述网络方案基本能够满足生产网络安全防护的需要。MIS层:SIS系统与MIS系统处在不同的安全区,中间使用了南瑞的正向物理隔离装置进行正向隔离,该产品经过了国家公安部鉴定,是电力二次系统防护相关文件中推荐的品牌,保证了SIS的系统的数据单向送入MIS系统而MIS系统的数据不送入SIS系统的单向数据传输,保证了SIS系统的安全性。
版权所有:正向型网络安全隔离装置 转载请注明出处