火电厂的监控系统主要用于监视和控制生产过程，包括发电厂的主控制系统、外围辅助控制系统、电气二次系统等控制区实时系统，以及厂级监控信息系统等非控制区监控系统，其安全问题一直受到国家和公众的重点关注[4]。目前电力行业主要依据《电力监控系统安全防护规定》（发改委14号令）及能源局《电力监控系统安全防护总体方案》（36号文）及相关配套安全防护方案，按照“安全分区、网络专用、横向隔离[5]、纵向认证、综合防护”的总体原则，强化边界防护，同时加强内部安全措施和安全管理制度，提高系统整体安全防护能力。

本文主要对火电厂监控系统中的外围辅助控制系统（以下简称：火电厂辅控系统）网络安全防护技术进行探讨。

1　火电厂辅控系统网络安全现状

火电厂辅控系统包括全厂水、煤、灰三大部分及循环水、空压机房、脱硫脱硝等其它辅助控制系统。其中水主要包括化学水处理、凝结水精处理、化学废水处理、净水站、汽水取样、污水处理等，煤主要包括输煤系统，灰主要包括除灰除渣系统。

火电厂辅控系统的特性决定了当前网络安全不容乐观的现状。

1.1　辅控系统结构复杂

火电厂辅控系统结构复杂原因可以被归为物理位置分散、网络节点多和平台软件不统一这三类。

（1）物理位置分散主要体现在PLC控制器、交换机、工控机位置分散

· 火电厂辅控系统内各子系统分散于生产区各个角落，子系统PLC控制器一般随工艺设备就近安装，并且部分子系统就地部署有操作员站/工程师站，例如凝结水精处理系统普遍就地部署操作员站用于树脂再生等关键环节的监控；

· 火电厂辅控系统一般根据工艺功能特点设立相对集中的监控室，如化学集控室、除灰集控室、输煤集控室，不同火电厂有所差异，部分系统单独设置有集控室，例如远程泵房集控室。

（2）网络节点多

· 辅控系统建成后随着新机组扩建、工艺系统改造升级、环保需求等原因，子系统数量不断增加，网络节点数同步递增；

· 火电厂辅控系统一体化概念的提出及落地，使辅控系统各子系统网络通过交换机逐步连通，用于集中监控的工控机相继部署，火电厂辅控系统内的网络设备数量逐步增多；

· 为了保证系统可持续性的安全运行，火电厂辅控系统网络设备和网络介质一般采用双网冗余配置。

（3）平台软件不统一

· 一方面火电厂辅控系统内各子系统的建设时间不同，另一方面操作系统升级换代速度快，导致工控机使用的操作系统版本不统一；

· 火电厂辅控系统内上位机监控软件不统一，辅控系统部分子系统的上位机软件随工艺设备整体交付、部分子系统由PLC控制改造成DCS控制等各类原因造成上位机监控软件品牌不同或者版本号不同。

辅控系统结构的复杂程度决定了开展网络安全防护工作的难度。火电厂辅控系统由不同部门运行和管理，很难对控制网络进行有效管控，更难保障各类终端的安全。

1.2　网络安全防护成本高

同处于火电厂安全I区内的主控系统相比，辅控系统的安全域边界庞大、结构复杂。若对辅控系统的安全域进行细分，如按照水、煤、灰三大部分划分为三个子安全区域。虽一定程度上可以解决大部分设备安全域划分的问题，但实际操作时仍然有部分设备同时存在于多个子安全区域内，如主机集控室内的某台操作员站需要监控全厂辅控系统、辅网某台接口机需要同时读取水和灰系统数据等。

出现上述情况则需要对现有辅控系统进行改造，增加网络安全设备如防火墙或者相当功能的设备进行逻辑隔离，这都额外增加设备成本及管理成本。辅控系统网络安全防护建设成本将是主控系统的几倍。

2　辅控系统网络安全防护技术探讨

火电厂辅控系统的复杂结构特性使得按照常规方案对其进行安全防护加固的效果不佳或成本高昂，是否有一种适用于火电厂辅控系统这类结构复杂的网络安全防护技术？

2.1　辅控系统网络安全基本要求

针对火电厂辅控系统，根据所在安全区域的安全防护要求，对用于监视和控制生产及供应过程的、基于计算机及网络技术的业务系统及智能设备，以及作为基础支撑的通信网络等方面进行安全防护，以消除风险或将风险控制在可接受的范围。

为了保证火电厂辅控系统网络安全，应该实行国家网络安全等级保护制度，使其信息安全防护满足信息安全等级保护的相关要求。

同时，火电厂辅控系统根据不同的功能特性，应划分为不同的安全区域，安全区域之间应当采用具有访问控制功能的网络设备、防火墙或者相当功能的设施，实现逻辑隔离。结合国家信息安全等级保护工作的相关要求，从上位机、网络设备、恶意代码防范、应用安全控制、审计等多个层面进行信息安全的综合防护。

2.2　交换机安全隔离域技术

在火电厂辅控系统网络中，整个辅控系统内网是一个大的通信作用域，辅控系统内网中终端设备可以自由通讯，其中一台终端设备感染病毒，便可能很快在辅控系统内网蔓延，感染其它终端设备。通常采用交换机划分VLAN或者部署防火墙进行网络区域的逻辑隔离，但在火电厂辅控系统使用场景下均存在不足之处。特提出一种工业安全交换机，本身作为辅控系统的重要组成部分，具备内生的多重安全隔离域技术。该技术主要由网络安全管理中心和工业安全交换机两部分构成实现，网络安全管理中心管理所有工业安全交换机。

具体的实现方式是火电厂辅控系统内，根据各终端之间的数据流制定合理的应用隔离域，在网络安全管理中心创建隔离域用户组、定义名称、定义用户组的端口速率/广播抑制/组播抑制等功能、划归工业安全交换机端口至各个隔离域、下发配置，工业安全交换机每个端口既可归属某一个组，也可归属多个组。

完成配置后，在内网形成多个用户组，组内端口连接的终端之间可以相互通讯，不同组之间终端不能相互通讯；组与组可以是相互独立的，也可以有交集。在内网形成多重虚拟隔离的网络结构，并且不会改变辅控系统网络的物理结构。

多重安全隔离域的划分示意图如图1所示。

图1 发电厂辅控系统多重安全隔离域划分示意图

多重安全隔离域技术是基于工业安全交换机以下核心功能来实现的。

（1）柔性安全区

采用柔性安全区技术，用户可以灵活划分复杂网络系统的安全域，突破单个交换机的功能局限，多个交换机之间实现功能融合，所有交换机端口可统一管控、自由划分至指定安全域，达到1+1＞2的效果。最终体现为由隔离域用户组组合构成的网络安全区架构，隔离域用户组之间逻辑隔离。

（2）访问控制

根据生产现场业务逻辑情况，设置隔离域用户组访问控制策略，可深度绑定组内资产信息并固化，拒绝其他未授权的资产接入和服务请求。

安全域重叠部分的设备能够跨多个安全域进行数据交互，从数据流上是允许的，相应的也存在跳板式攻击的可能。工业安全交换机支持对重叠区域的设备数据流进行切片隔离传输，每个隔离域设备数据流具有独立的逻辑通道。工业安全交换机提供技术，指导重叠区域的设备进行安全加固与联动防护。

2.3　防范病毒蔓延和网络攻击技术

网络病毒传播的一个重要手段就是通过扫描网络中的地址寻找下一个感染和攻击的目标。病毒扫描攻击过程如图2所示。

图2 病毒扫描攻击过程示意图

目前在火电厂辅控系统网络中部署的防火墙等设备大多数采用被动防御模式，主要采用预设的通讯协议、IP隔离、代码过滤、包采集分析规则。而这些防护规则都不是原理性的防护规则，能够被规避。例如上述这种扫描在寻找目标的过程，不包含恶意代码，因此不会被传统的防护措施如防病毒软件判定为非法行为。

基于安全隔离域技术的网络中，采用用户组划分最小安全隔离域，依托用户组隔离技术和主机扫描侦听技术，一旦监测到超出安全域的扫描情况，工业安全交换机立刻定位该非法事件，并可采取进一步的防范措施。火电厂辅控系统内的业务有一个共同特性，即建成后基本固定不变，包括网络设备资产、数据流向、通讯协议、业务端口，有利于建立最小最优的安全隔离域。合理划分安全隔离域有利于工业安全交换机更早发现各类未授权行为。

工业安全交换机通过实时监测数据源，能够及时阻断或告警病毒等的攻击，病毒无法通过改变代码特征、软件端口号和扫描特征规避检测，同时还能够在一定程度上阻断APT攻击。

借助多重安全隔离域技术，只允许火电厂辅控系统正常通信的数据包到达相应终端，拒绝其他未授权的请求服务，从网络系统层面阻断了病毒蔓延和内部恶意攻击者对网络其他区域设备进行攻击的通道。

2.4　其它管理功能

火电厂辅控系统不仅需要进行边界防护，还需要重视内部网络管控，才能落实辅控系统的综合防护。网络安全管理中心能够和工业安全交换机联动，实现全方位的准入控制，完成对非合规设备自动隔离及告警等，提升火电厂辅控系统网络预警及恢复能力。网络安全管理中心其它管理功能包括：

（1）终端接入控制

接入的终端设备在网络端口进行限制，只有经授权地址的设备允许从端口接入至网络，非授权设备接入该端口将被拒绝接入，防止非法设备从该端口进入网络从而造成危害。

（2）风险主动防御

全面监控网络中每个端口的数据流向，快速、准确定位网络风险，风险实时告警，封锁可疑IP，关闭风险端口。

（3）全面日志审计

对整个网络中设备运行告警事件（设备电源告警、端口中断告警、链路异常告警、冗余链路保护告警等）、设备配置操作记录、网络安全告警事件（异常网络病毒扫描动作、内部网络攻击扫描动作等）、安全事件应急处理操作记录等事件以及操作记录进行存储，用于故障诊断和记录分析。

（4）网络拓扑自动生成

网络安全管理中心自动生成网络连接拓扑结构，动态刷新链路状态和网络设备状态。

2.5　技术特点及优势

在该技术不影响原有应用系统（水、煤、灰及其子系统）功能的情况下，通过将网络系统的交换机升级为工业安全交换机，提高网络系统运行维护的直观性、可视性，提高生产控制网的安全性，增加生产控制网防范病毒和异常安全事件告警处理的能力。有如下技术特点：

（1）不改变原有网络架构

原有的网络架构和线缆布局继续保持，仅需对交换机进行升级。

（2）不影响网络带宽和实时性

网络安全管理系统通过工业安全交换机内置的网络管理芯片实现对网络设备的运行状态、告警信息的采集及动作指令下发，独立于工业安全交换机的交换芯片，对应用数据的转发没有影响，确保应用数据的实时性和网络带宽的充裕性。

（3）直观的网络管理和运行监视

全图形化的操作界面，使得网络管理能够直观和简化，运维管理人员能够对全网运行状况一目了然。

（4）安全策略的集中配置和下发

在安全管理中心对全网的安全策略进行集中配置和调整，一键下发至全网的工业安全交换机中，方便了全网的安全管理和配置过程。

（5）未知病毒和网络风险的告警和隔离

根据数据流向判定非法的通讯请求，未知病毒同样能够检测和防范，尤其适用于工业控制系统这种位于封闭网络、病毒库升级不方便以及必须运行在一些无法升级安全补丁的老旧系统中的环境。

（6）安全事件的实时告警和处理

所有安全事件实时告警，并可选择进行相关的应急处理，如阻断访问或者封闭端口。

（7）网络和安全事件的记录及分析

网络设备的异常事件以及安全事件计入日志文件，并进行关联分析。

工业安全交换机在火电厂辅控系统内具有明显的技术优势。工业安全交换机提供的不是边界的单点防护，而是深入到整个网络内全面立体的安全加固，封闭式的多重安全隔离域技术构成柔性安全区，能够满足复杂场景下的应用需求。

3　结语

火电厂辅控系统是火电厂生产过程中重要的后勤保障系统，也是生产控制区的网络安全短板。本文探讨的火电厂辅控系统网络安全技术立足于多年辅控系统相关工作经验，致力于提高火电厂辅控系统的防护能力，满足国家信息安全等级保护工作的相关要求，对监控系统多个层面进行信息安全的综合防护。针对火电厂辅控系统网络安全设计的改进技术具有特定的优势，适用于各行业外围辅助系统网络安全防护需求，具有一定的推广实践价值。

作者简介：

刘　剑（1964-），男，工程师，大专学历，现就职于浙江浙能电力股份有限公司台州发电厂，主要从事发电厂热工自动化检修、技术管理。

参考文献：

[1] 范科峰, 高林, 姚相振, 等. 工业控制系统信息安全指南[M]. 北京: 科学出版社, 2016 : 32 - 36.

[2] 周慎学, 范渊, 夏克晁, 等. 台二电厂工控系统信息安全防护体系的建设[J]. 中国电力, 2017, 50 (8) : 53 - 57.

[3] 肖建荣. 工业控制系统信息安全[M]. 北京: 电子工业出版社, 2015 : 88 - 90.

[4] 张燕, 张剑. 论我国电力系统及其自动化发展现状及趋势[J]. 山东工业技术, 2016, (5) : 169．

[5] 高小芊, 罗超. 电力监控系统网络安全监测装置功能及实施[J]. 通讯世界, 2019, (4) : 176 – 177.

[6] 王菊. 发电厂调度自动化系统事次防护探讨[J]. 数字技术与应用, 2012, (9) : 181.

[7] 张瑶瑶, 胡斌, 路天峰, 等. 调度自动化系统及数据网络的安全防护研究[J]. 工程技术研究, 2019, (9) : 240 – 241.

[8] 李炜. 先进控制技术在DCS中的应用与研究[D]. 太原: 太原理工大学, 2004.

[9] 蒋存勇. 电力监控系统网络安全分析[J]. 网络安全和信息化, 2020, (11) : 126 - 128.

[10] 胡朝辉, 王方立. 电力监控系统通信安全技术研究[J]. 电子技术应用, 2017, 43 (3) : 21 - 24.

[11] 马建伟, 万会江, 王向东. 电力监控系统网络安全的现状与改进方法[J]. 信息与电脑(理论版), 2017, (22) : 187 - 188.

[12] 胡倩云. 电力监控系统网络安全防护体系建设[J]. 技术与市场, 2020, (04) : 95 - 96.

摘自《自动化博览》2021年4月刊