摘要:本文主要讲述了660MW超超临界国产DCS分散控制系统EDPF-NT PLUS在生产应用中,如何保障网络信息安全,网络组成结构以及采取什么安全策略;同时也指出了存在的安全隐患,以及采取什么措施来排除。
关键词:分散控制系统;信息安全;安全策略
0.前言
随着分散控制系统(DCS)在火电厂的大规模应用,热工自动化设备已由原来的辅助地位转变为决定机组安全经济运行的主导者。大型机组自动化技术不仅能减轻运行人员的劳动强度,更重要的是能确保机组安全、稳定的运行。随着计算机技术的发展,网络技术已经使集散控制系统不仅应用于分散控制,也向集成管理的方向发展,系统的开放使不同制造厂商的集散控制系统产品可以互相连接,而且使得它们可以方便地进行数据的交换,系统的开放也使第三方的软件可以方便地在现有的集散控制系统上应用,这也让DCS系统存在自身与外部的安全隐患。
1.DCS与信息安全[1-4]
1.1集散控制系统
DCS是分布式控制系统的英文缩写(Distributed Control System),在国内自控行业又称之为集散控制系统。它是一个由过程控制级和过程监控级组成的以通信网络为纽带的多级计算机系统,是计算机技术、系统控制技术、网络通讯技术和多媒体技术相结合的产物,可提供窗口友好的人机界面和强大的通讯功能,是完成过程控制、过程管理的现代化设备。某厂超超临界660MW机组,单元机组及公用系统、脱硫系统控制均采用国产的EDPF-NT PLUS[4]分散控制系统。
1.2信息安全
信息安全是指信息网络的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断。信息安全主要包括以下五方面的内容,即需保证信息的保密性、真实性、完整性、未授权拷贝和所寄生系统的安全性。其根本目的就是使内部信息不受外部威胁,因此信息通常要加密。为保障信息安全,要求有信息源认证、访问控制,不能有非法软件驻留,不能有非法操作。信息安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。
2.EDPF-NT Plus安全组成
EDPF-NT Plus的功能站,如历史站、操作员站、工程师站是一个逻辑概念,同一物理计算机上可以同时具有多个功能站的功能。每类功能都分配给某些用户,只有拥有相应权限的用户才能使用相应功能。如使用工程师站,必须以拥有工程师权限的用户登录系统。在工程师站启动Windows,登录界面输入用户名和口令,确定后登录Windows。如果不再使用工程师站功能,点击开始菜单,注销,退出当前用户,或者按 Ctrl+Alt+Del,再选择锁定计算机,这样可以防止未授权用户私自使用工程师软件。
2.1域管理
域是一组站点的集合,一个工程可以包含一个域或多个域,每个域有一个唯一的编号。域内包含0~253个站,每个站有一个不重复的编号,但不同域内允许有相同编号的站,以域号站号才能定位一个站。MMI可以接收它加入的域的数据,向这个域发送指令,对于未加入的域,它没有这些权限。DPU 可以直接向另一个域的DPU 请求数据,但仅限于请求数据,不能发送指令。域的一个重要功能是隔离网络流量,网络上最占用带宽的实时数据仅限于每个域间传播,不同域之间没有大量的实时数据包传送。域的划分还涉及安全、网络、操作权限的设置等因素。实际生产系统中,通常每个相对独立的子系统划分为一个域。
2.2域内和域间的通讯
域内通讯以多播和单播为主,部分功能使用TCP 连接,域间通讯只使用单播。域内通讯的数据主要包括实时数据和指令。每个站都可以建立源点记录,定期发送点记录的数值和状态,这些实时数据的目标地址是每个域唯一的多播地址,只有属于这个域的MMI 才加入这个多播组,接收这些数据,其他域的MMI和DPU 不加入这个多播组,数据不会发送到这些站。域内发送指令使用单播,通过操作的点记录或算法,得知它建立在哪个站,从系统配置可以查询出这个站的IP 地址,然后利用DPU 数据报发送指令,目标站以DPU数据报发送命令回应。域之间很少需要数据传递,只允许 DPU之间直接请求和发送点记录数据。
2.3安全策略
安全策略用于控制用户对系统的操作权限。
期刊文章分类查询,尽在期刊图书馆它基于操作系统的用户,结合操作系统的安全特性和EDPF-NT Plus的内置安全特性,可以完全控制每个用户对软件的使用权限。安全策略的基本原则是:命令分类,用户分组,设备分区。
用户是安全策略中的主体。为用户分配权限后,以该用户登录操作系统,就具有相应的操作权限。并不针对计算机设置权限,如果想控制操作员站的使用权限,则需配置那台计算机的登录用户的权限。在工程管理器中配置安全策略时,可以创建多个用户,为他们分配对设备和命令的使用权限。用户组有三种:操作系统用户组,用于控制对应用程序的使用权限;设备操作组,用于控制对于设备区的操作权限,每个设备组包含一些设备区,属于这个设备组的用户才允许操作这些设备区;命令权限组,用于控制发送命令的权限,即允许使用哪些命令类。
3.外部通讯接口
因为外部设备采用了不同的操作系统,而且对实时性能要求不高,因此采取通过串口服务器通讯方式接入。首先将外部设备串口RS-232,接入到RS-232转485通讯隔离开关;然后将双绞线RJ45蓝、绿白合并与隔离开关DATA-相接,RJ45橙、橙白合并与隔离开关DATA+相接;再将RJ45水晶头插入串口通讯服务器端口中;串口通讯服务器与通讯站之间通过交叉线连接;最后通讯站接入DCS网络,DCS采用AB双网络,AB之间不相互交换。配置站点时,每个站的两个网卡的IP 根据其域号、站号确定,规则如下:网卡A 的IP:172.(100+域号).1.站号;网卡B 的IP:172.(100+域号).2.站号。
4.风险分析和应对
4.1常见风险
DCS系统已从一个较为独立的控制岛,发展成为一个同外系统接口越来越多的控制系统,因此对DCS系统的网络运行和维护也变得越来越重要。根据近年来电厂DCS系统的使用情况,发现主要有如下因素可能导致网络异常:
1)机组运行时在线调试实时通讯,因配置冲突导致网络故障。2)为同其他系统通讯,在实时数据网上增加接口或更改网络结构,导致网络异常。3)日常使用过程中,因经常对DPU修改或增加功能,导致DPU负荷率过高,影响网络正常工作。4)厂家和调试人员未经同意,使用没有杀毒的存储器,导致操作系统异常。5)SIS由于和因特网相连,致使接口站经常遭受病毒攻击。6)对用户账号管理不严格,许多厂家都能登录系统。7)在DCS控制系统侧,考虑到开发和应用上的方便性及其它因素,采用通用操纵系统(嵌进)的越来越多,也同样增加了受同一病毒攻击的可能性。8)与DCS系统连接的网桥均为通用产品,未能很好解决通用性与安全性之间的关系,即通用性越高,安全性越低。
4.2应对措施
通过认真分析,不难发现上述安全问题主要来自几个方面:管理方面的漏洞,设备硬件有缺陷,网络病毒攻击,软件的不兼容性。要解决这几个安全问题,首先就是要加强系统的管理,制定好规范的管理制度,严格执行管理制度,封闭外部接口,实行专人进行专职管理。其次尽快更换有问题的硬件,同时应该保障硬件的兼容性和可靠性。再次对软件进行升级,排除软件的漏洞,完善软件的功能。最后,加强规范DCS系统与外部网络的连接管理,除了安装杀毒软件外,最好加装硬件防火墙,同时实行只能DCS对外广播数据,不接受外部数据。
5.总结
目前随着网络的发展,技术的进步,DCS网络安全面临的挑战也在增大。一方面,对网络的攻击方式层出不穷,攻击方式的增加意味着对网络威胁的增大;另一方面,网络应用范围的不断扩大,对网络的破坏造成的损失和混乱会比以往任何时候都大。DCS信息安全,随着硬件技术和并行技术的发展,计算机的计算能力迅速提高,软件功能不断完善,一定能更满足工业生产运行。
参考文献:
[1] 王先培,熊乎,季文武.防火墙和入侵检测系统在电力企业信息网络中的应用[J]电力系统自动化,2002,26(5):60-63.
[2] 候子良.火电厂级自动化系统总体功能设计思路探讨[J]电力系统自动化,2000,(4):1-4.
[3] 张千里.网络安全基础与应用[M].北京:人民邮电出版社,2007.
[4] 赵海萍.国电智深EDPF-NT PLUS型DCS常见故障及解决措施[J].神华科技,2010,(5): 55-57
[5] 李仁军.电厂厂级监控系统(SIS)体系建立和实践[J].国际电力,2003(6):27-30
个人简介
杨勇,男,1984年生,本科,助理工程师,从事火力发电厂热控维护工作
论文作者:杨勇,谭阳文
论文发表刊物:《电力设备》2017年第36期
论文发表时间:2018/5/10
标签:系统论文; 数据论文; 权限论文; 控制系统论文; 网络论文; 信息安全论文; 通讯论文; 《电力设备》2017年第36期论文;