火电厂热控系统网络安全建设探讨

摘要：火电厂是提高国民经济发展的一个非常重要的环节，对促进区域民生保障和区域经济发展具有非常重要的作用和价值。目前，随着火电厂自动化技术和热控相关概念的推广，火电厂内部热控系统的安全性和可靠性逐渐引起人们的重视，并成为其管理工作发展中非常重要的内容。将自动化技术融入其中可以极大地促进火电厂内部热控系统网络的安全建设。

关键词：火电厂；热控系统；网络安全；

在对火电厂热控系统网络架构进行概述的基础上，探究了火电厂热控系统中的安全建设内容，着重分析了DCS网络的薄弱环节，基于薄弱环节分析指出了安全建设DCS网络的策略，并通过某火电厂热控系统网络安全实践应用探讨具体问题，旨在为我国火电厂快速提升热控系统安全网络建设水平带来更多参考和启迪。

一、热控系统网络架构

在最新一代电厂的分散系统装置中，火电厂内部热控的系统是非常重要的一部分分支，在传统模式下电厂分散控制的相关体系内部，自闭网络结构存在着巨大的差异，其中主要包含软件、硬件、通信设备等诸多内容，这些内容都是独立的部分。所以借助电厂分散控制系统的和冗余结构，进行构建能够确保热电厂热控系统的网络构架达到核心的标准，确保整体结构具有一定的安全性。与此同时，火电厂在实际工作开展过程中，其热控的系统借助网络及计算机等相关技术，能够最大限度提高网络安全管理的优势，将相关知识渗透其中，能有效弥补电厂传统分散控制系统对网络安全管理的劣势，避免造成信息孤岛现象，改善热控系统网络安全威胁所造成的内部管理漏洞，保证整个网络结构的安全性，推动相关工作有效开展和实施。在最新一代集成性较高的火电厂中，分散控制系统的与网络信息技术、通信技术等相互融合，既能最大限度地发挥高科技技术的优势，也能在操作系统、网络交换机等视角，实时监督管理和有效控制热电控制系统的生产过程，另外还能为热控系统生产管理企业资源管理等提供可靠的数据支持，提高管理水平。

二、火电厂热控系统信息安全存在问题

1.热控系统操作员站/工程师站/服务器等电脑终端缺乏有效的恶意程序识别手段，也未进行严格的U盘管控，病毒可能通过U盘传入热控系统。

2.热控系统操作员站、服务器大多采用Windows操作系统，系统长期不更新会导致大量漏洞存在。

3.热控系统缺乏对入侵行为和黑客攻击的检测和防护手段，一旦出现系统故障，不能及时判断故障原因是由网络入侵行为、病毒引起，还是业务访问异常引起，不能定位安全问题。

4.热控系统一般通过OPC协议与厂级监控信息系统（SIS）通信，按照《电力监控系统安全防护总体方案》要求需要进行逻辑隔离，目前大多电厂做逻辑隔离的防火墙不支持OPC协议的动态端口机制，安全策略无法有效配置，导致防火墙形同虚设；

5.电厂分散控制系统（DCS）、可编程逻辑控制器（PLC）辅控通过交换机汇聚后，经商用防火墙和SIS互联，热控系统之间未采取有效隔离措施，安全防护水平较低，一个系统受到破坏，可能导致全厂生产受影响。

6.SIS接口机采用双网卡的逻辑隔离方式，这种部署方式无法阻断病毒的传播；

7.厂内对第三方集成商或者内部仪表工程师的笔记本电脑、U盘的接入未采取相应技术措施和管理措施，导致病毒可能由此进入系统。

8.没有形成完善的安全管理制度，分工不明确，对自己的职责认识不到位。

三、火电厂热控系统网络安全建设

1.DCS网络的薄弱环节分析。目前，基于电厂分散控制系统的火电厂热控系统网络安全管理的薄弱环节主要体现在防范有害入侵的网络能力较差和DCS网络安全重视程度不足两大方面。就网络防范有害入侵能力较差问题而言，基于DCS网络结构的人机接口绝大部分采用工业控制模式下的USB接口或者光盘驱动器方式，与移动存储介质进行云数据交换，结果火电厂热控系统网络结构很容易受到外界病毒的感染。同时，DCS网络结构采用Windows操作系统，系统整体运行时间较长，且并未安装补丁程序，很容易在系统运行过程中出现蓝屏或死机现象，造成火电厂热控系统运行稳定性较差。最后，DCS网络结构和其他网络结构之间并未设置安全隔离网和防火墙，也未在网络结构的电路上采取切断措施，杜绝内网与外网之间的链路层连接，也就存在从其他网络入侵DCS网络结构的可能，给火电厂热控系统网络安全带来了一定隐患。

2.DCS网络的安全建设策略。（1）DCS系统对外接口防护设计。通常情况下，基于分散控制系统的火电厂热控系统对外接口主要包括智能管理系统、操作数据存储系统和攻击评估系统三大部分。其中，智能管理系统数据量较大，且实际使用对象往往较为复杂，为保证智能管理系统的数据结构安全，通常会采用HH800系列，最大限度实现智能管理系统结构的数据存储与隔离。操作数据存储系统和攻击评估系统的使用对象往往较为简单，绝大部分可采用防火墙对操作数据存储系统以及攻击评估系统进行安全隔离，从而确保火电厂热控系统中的分散控制系统接口安全，以此促进火电厂热控系统网络充分发挥安全防护功能。（2）网络结构设计。在对火电厂热控系统的网络结构进行设计时，可根据横向分层、纵向分区的基本网络安全管理理念，对整个火电厂热控系统的网络安全结构进行企业网络设计、管理层网络设计和系统层网络结构设计等，在火电厂热控系统网络结构设计过程中，三层管理网络结构设计主要用于各层之间的互相访问，也可用于智能设备的连接与管理，用于操作数据管理系统的连接和访问。控制层网络可借助冗余中线结构与其他各层模块、设备甚至火电厂热控系统外联智能设备进行连接，实现实时监控、高效采集、高速度处理和高效率完成现场通信任务的基本目标。在火电厂热控系统网络结构设计过程中，任意LAN都应独立设置对应的操作数据管理系统，利用操作数据管理系统中的局域网服务器对数据信息进行实时采集、更新和替补，在CCR中设置对应的操作数据管理结构，便于对数据信息的实时收集处理和及时发布。此外，在操作数据管理系统局域网的服务器设计以及客户端前端和后端之间防火墙的安全结构配置上，可进一步通过账号管理模式严格限制其访问权限和管理权限，确保火电厂热控系统安全管理目标的达成。（3）防毒网络结构设计。在火电厂热控系统防毒网络结构设计过程中，可在热控系统防毒网络结构中设置中央操作室，对分散控制系统、智能设备管理系统、操作数据管理系统、报警管理系统等诸多管理模块或者管理系统的防毒功能进行设计，借助专用pc离线方式更新病毒数据库，通过防火墙更新防毒服务器病毒库的方式，保障整个火电厂热控系统网络结构安全，

3.人员培训。在实际管理工作开展中，人员的管理是关键和重要核心，提高相关工作人员自身的网络安全意识，就能提升网络安全，为工作的开展提供保障，是整个工作实施阶段最为核心的环节。在实际工作过程中，只有所有工作人员参与其中，清楚地掌握和深入了解整个网络安全工作的重要性，并且严格遵守相关策略，执行所涉及到的一系列工作内容，才能真正地防止系统使用阶段内部的攻击越权现象。其中，建立安全的信息评估相关机制，能够使人员在接受管理以及培训的工作中，利用正确的评估制度真正地使网络安全融入电力系统整体应用过程。最后就是需要结合网络信息安全相关的制度确保每一个人都融入到相关工作中，提高自身思想意识，利用最安全、最有效的手段，实现工作效果的最大化。

总之，通过对热控系统安全行为的管理和实施监督，最大限度地完善火电厂整体安全结构，保障火电厂的发展。以火电厂中热控系统为核心，探讨网络安全建设的发展需求，以期火电厂在安全平稳运行中取得更好的成绩。

参考文献：

［1］曾群.火电厂工控系统网络安全风险及防护.2022.

［2］苏俊宁，关于火电厂热控系统网络安全建设分析.2021.