引言：易發(fā)表網憑借豐富的文秘實踐，為您精心挑選了九篇控制系統(tǒng)信息安全范例。如需獲取更多原創(chuàng)內容，可隨時聯(lián)系我們的客服老師。

第1篇

 

一、2015年工控安全漏洞與安全事件依然突出

 

通過對國家信息安全漏洞庫(CNNVD)的數據進行分析，2015年工控安全漏洞呈現以下幾個特點：

 

1.工控安全漏洞披露數量居高不下，總體呈遞增趨勢。受2010年“震網病毒”事件影響，工控信息安全迅速成為安全領域的焦點。國內外掀起針對工控安全漏洞的研究熱潮，因此自2010年以后工控漏洞披露數量激增，占全部數量的96%以上。隨著國內外對工控安全的研究逐漸深入，以及工控漏洞的公開披露開始逐漸制度化、規(guī)范化，近幾年漏洞披露數量趨于穩(wěn)定。

 

2.工控核心硬件漏洞數量增長明顯。盡管在當前已披露的工控系統(tǒng)漏洞中軟件漏洞數量仍高居首位，但近幾年工控硬件漏洞數量增長明顯，所占比例有顯著提高。例如，2010年工控硬件漏洞占比不足10%，但是2015年其占比高達37.5%。其中，工控硬件包括可編程邏輯控制器(PLC)、遠程終端單元(RTU)、智能儀表設備(IED)及離散控制系統(tǒng)(DCS)等。

 

3.漏洞已覆蓋工控系統(tǒng)主要組件，主流工控廠商無一幸免。無論是國外工控廠商(如西門子、施耐德、羅克韋爾等)還是國內工控廠商(研華)，其產品普遍存在安全漏洞，且許多漏洞很難修補。在2015年新披露的工控漏洞中，西門子、施耐德、羅克韋爾、霍尼韋爾產品的漏洞數量分列前四位。

 

二、工控信息安全標準需求強烈，標準制定工作正全面推進

 

盡管工控信息安全問題已得到世界各國普遍重視，但在工業(yè)生產環(huán)境中如何落實信息安全管理和技術卻沒有切實可行的方法，工控信息安全防護面臨著“無章可循”，工控信息安全標準已迫在眉睫。當前，無論是國外還是國內，工控信息安全標準的需求非常強烈，標準制定工作也如火如荼在開展，但工控系統(tǒng)的特殊性導致目前工控安全技術和管理仍處探索階段，目前絕大多數標準正處于草案或征求意見階段，而且在設計思路上存在較為明顯的差異，這充分反映了目前不同人員對工控信息安全標準認識的不同，因此工控信息安全標準的制定與落地任重道遠。

 

1.國外工控信息安全標準建設概況

 

IEC 62443(工業(yè)自動化控制系統(tǒng)信息安全)標準是當前國際最主要的工控信息安全標準，起始于2005年，但至今標準制定工作仍未結束，特別是在涉及到系統(tǒng)及產品的具體技術要求方面尚有一段時日。

 

此外，美國在工控信息安全標準方面也在不斷推進。其國家標準技術研究院NIST早在2010年了《工業(yè)控制系統(tǒng)安全指南》(NIST SP800-82)，并2014年了修訂版2，對其控制和控制基線進行了調整，增加了專門針對工控系統(tǒng)的補充指南。在奧巴馬政府美國總統(tǒng)第13636號行政令《提高關鍵基礎設計網絡安全》后，NIST也隨即了《關鍵基礎設施網絡安全框架》，提出“識別保護檢測響應恢復”的總體框架。

 

2.國內工控信息安全標準建設概況

 

在國內，兩個標準化技術委員會都在制定工控信息安全標準工作，分別是：全國信息安全標準化技術委員會(SAC/TC260)，以及全國工業(yè)過程測量與控制標準化技術委員會(SAC/TC 124)。

 

其中，由TC260委員會組織制定的《工業(yè)控制系統(tǒng)現場測控設備安全功能要求》和《工業(yè)控制系統(tǒng)安全控制應用指南》處于報批稿階段，《工業(yè)控制系統(tǒng)安全管理基本要求》、《工業(yè)控制系統(tǒng)安全檢查指南》、《工業(yè)控制系統(tǒng)風險影響等級劃分規(guī)范》、《工業(yè)控制系統(tǒng)安全防護技術要求和測試評價方法》和《安全可控信息系統(tǒng)(電力系統(tǒng))安全指標體系》正在制定過程中，并且在2015年新啟動了《工業(yè)控制系統(tǒng)產品信息安全通用評估準則》、《工業(yè)控制系統(tǒng)漏洞檢測技術要求》、《工業(yè)控制系統(tǒng)網絡監(jiān)測安全技術要求和測試評價方法》、《工業(yè)控制網絡安全隔離與信息交換系統(tǒng)安全技術要求》、《工業(yè)控制系統(tǒng)網絡審計產品安全技術要求》、《工業(yè)控制系統(tǒng)風險評估實施指南》等標準研制工作。

 

TC124委員會組織制定的工控信息安全標準工作也在如火如荼進行。2014年12月，TC124委員會了《工業(yè)控制系統(tǒng)信息安全》(GB/T 30976-2014)，包括兩個部分內容：評估規(guī)范和驗收規(guī)范。另外，TC124委員會等同采用了IEC 62443中的部分標準，包括《工業(yè)通信網絡網絡和系統(tǒng)安全術語、概念和模型》(JB/T 11961-2014，等同采用IEC/TS 62443-1-1：2009)、《工業(yè)過程測量和控制安全網絡和系統(tǒng)安全》(JB/T 11960-2014，等同采用IEC PAS 62443-3：2008)、《工業(yè)通信網絡網絡和系統(tǒng)工業(yè)自動化和控制系統(tǒng)信息安全技術》(JB/T 11962-2014，等同采用IEC/TR 62443-3-1：2009)，此外對IEC62443-2-1：2010標準轉標工作已經進入報批稿階段，并正在計劃對IEC 62443-3-3：2013進行轉標工作。除此之外，TC124委員會組織制定的集散控制系統(tǒng)(DCS)安全系列標準和可編程控制器(PLC)安全要求標準也已經進入征求意見稿后期階段。

 

由于不同行業(yè)的工業(yè)控制系統(tǒng)差異很大，因此我國部分行業(yè)已經制定或正在研究制定適合自身行業(yè)特點的工控信息安全標準。2014年，國家發(fā)改委了第14號令《電力監(jiān)控系統(tǒng)安全防護規(guī)定》，取代原先的《電力二次系統(tǒng)安全防護規(guī)定》(電監(jiān)會[2005]5號)，以此作為電力監(jiān)控系統(tǒng)信息安全防護的指導依據，同時原有配套的防護方案也進行了相應的更新。在城市軌道交通領域，上海申通地鐵集團有限公司2013年了《上海軌道交通信息安全技術架構》(滬地鐵信[2013]222號文)，并在2015年以222號文為指導文件了企業(yè)標準《軌道交通信息安全技術建設指導意見》(2015，試行)。同時，北京市軌道交通設計研究院有限公司于2015年牽頭擬制國家標準草案《城市軌道交通工業(yè)控制系統(tǒng)信息安全要求》。在石油化工領域，2015年由石化盈科牽頭擬制《中石化工業(yè)控制系統(tǒng)信息安全要求》等。

 

三、工控安全防護技術正迅速發(fā)展并在局部開始試點，但離大規(guī)模部署和應用有一定差距

 

當前許多信息安全廠商和工控自動化廠商紛紛研究工業(yè)控制系統(tǒng)的信息安全防護技術并開發(fā)相應產品，近幾年出現了一系列諸如工控防火墻、工控異常監(jiān)測系統(tǒng)、主機防護軟件等產品并在部分企業(yè)進行試點應用。比較有代表性的工控安全防護產品及特點如下：

 

1.工控防火墻 防火墻是目前網絡邊界上最常用的一種安全防護設備，主要功能包括訪問控制、地址轉換、應用、帶寬和流量控制等。相對于傳統(tǒng)的IT防火墻，工控防火墻不但需要對TCP/IP協(xié)議進行安全過濾，更需要對工控應用層協(xié)議進行深度解析和安全過濾，如OPC、Modbus TCP、EtherNet/IP、DNP3、S7、Profinet、FINS等。只有做到工控應用層協(xié)議的深度檢測，包括控制指令識別、操作地址和操作參數提取等，才能真正阻止那些不安全的控制指令及數據。

 

2.工控安全監(jiān)測系統(tǒng)我國現有工業(yè)控制系統(tǒng)網絡普遍呈現出“無縱深”、“無監(jiān)測”、“無防護”特點，工控安全監(jiān)測系統(tǒng)正是針對上述問題而快速發(fā)展起來的技術。它通過數據鏡像方式采集大量工控網絡數據并進行分析，最終發(fā)現各種網絡異常行為、黑客攻擊線索等。利用該系統(tǒng)，相關人員能夠了解工控網絡實時通信狀況，及時發(fā)現潛在的攻擊前兆、病毒傳播痕跡以及各類網絡異常情況，同時，由于該系統(tǒng)是以“旁路”方式接入工控網絡中，不會對生產運行造成不良影響，因此更容易在工控系統(tǒng)這種特殊環(huán)境下進行部署和推廣。

 

3.主機防護產品在工業(yè)生產過程中，人員能夠通過工程師站或操作員站對PLC、DCS控制器等設備進行控制，從而實現閥門關閉、執(zhí)行過程改變等操作。這些工程師站、操作員站等主機系統(tǒng)就變得十分重要，一旦出現問題，比如感染計算機病毒等，就會對正常生產造成較大影響。近年來發(fā)生的由于工程師站或操作員站感染計算機病毒最終導致控制通信中斷從而影響生產的報道屢見不鮮。加強這些重要主機系統(tǒng)的安全防護，尤其是病毒防護至關重要。但是，傳統(tǒng)的基于殺毒軟件的防護機制在工控系統(tǒng)中面臨著很多挑戰(zhàn)，其中最嚴重的就是在工控網絡這樣一個封閉的網絡環(huán)境中，殺毒軟件無法在線升級。另外，殺毒軟件對未知病毒、變異病毒也無能為力。在此情況下，基于白名單的防護技術開始出現。由于工控系統(tǒng)在建設完成投入運行后，其系統(tǒng)將基本保持穩(wěn)定不變，應用單一、規(guī)律性強，因而很容易獲得系統(tǒng)合法的“白名單”。通過這種方式就能夠發(fā)現由于感染病毒或者攻擊而產生的各種異常狀況。

 

4.移動介質管控技術在工控網絡中，由于工控系統(tǒng)故障進行維修，或者由于工藝生產邏輯變更導致的工程邏輯控制程序的變更，需要在上位機插入U盤等外來移動介質，這必然成為工控網絡的一個攻擊點。例如，伊朗“震網”病毒就是采用U盤擺渡方式，對上位機(即WinCC主機)進行了滲透攻擊，從而最終控制了西門子PLC，造成了伊朗核設施損壞的嚴重危害后果。針對上述情況，一些針對U盤管控的技術和原型產品開始出現，包括專用U盤安全防護工具、USB漏洞檢測工具等。

 

總之，針對工控系統(tǒng)安全防護需求及工控環(huán)境特點，許多防護技術和產品正在快速研發(fā)中，甚至在部分企業(yè)進行試點應用。但是，由于這些技術和產品在穩(wěn)定性、可靠性等方面還未經嚴格考驗，能否適用于工業(yè)環(huán)境的高溫、高濕、粉塵情況還未可知，再加上工控系統(tǒng)作為生產系統(tǒng)，一旦出現故障將會造成不可估量的財產損失甚至人員傷亡，用戶不敢冒然部署安全防護設備，因此目前還沒有行業(yè)大規(guī)模使用上述防護技術和產品。

 

四、主要對策建議

 

針對2015年工控信息安全總體情況，提出以下對策建議：

 

1.進一步強化工控信息安全領導機構，充分發(fā)揮組織管理職能。

 

2.對工控新建系統(tǒng)和存量系統(tǒng)進行區(qū)別對待。對于工控新建系統(tǒng)而言，要將信息安全納入總體規(guī)劃中，從安全管理和安全技術兩方面著手提升新建系統(tǒng)的安全保障能力，對關鍵設備進行安全選型，在系統(tǒng)上線運行前進行風險評估和滲透測試，及時發(fā)現安全漏洞并進行修補，避免系統(tǒng)投入生產后無法“打補丁”的情況。對于大量存量系統(tǒng)而言，應在不影響生產運行的情況下，通過旁路安全監(jiān)測、外邊界保護等方式，形成基本的工控安全狀況監(jiān)測和取證分析能力，徹底扭轉現階段對工控網絡內部狀況一無所知、面對工控病毒攻擊束手無策的局面。

 

3.大力推進工控安全防護技術在實際應用中“落地”，鼓勵主要工控行業(yè)用戶進行試點應用，并對那些實踐證明已經成熟的技術和產品在全行業(yè)進行推廣。

 

4.建立工控關鍵設備的安全測評機制，防止設備存在高危漏洞甚至是“后門”等重大隱患。

第2篇

關鍵詞：火電廠；控制系統(tǒng)；信息安全；策略

1我國工業(yè)控制系統(tǒng)信息安全發(fā)展態(tài)勢

從2011年底起，國家各部委了一系列關于工業(yè)控制系統(tǒng)信息安全的文件，把工控信息安全列為“事關經濟發(fā)展、社會穩(wěn)定和國家安全”的重要戰(zhàn)略，受到國家層面的高度重視。在國家層面的推動下，工控信息安全工作轟轟烈烈展開，大批行政指令以及標準應運而生；在行政和市場雙重動力的推動下，安全信息產業(yè)如雨后春筍般發(fā)展，工控信息安全產業(yè)聯(lián)盟迅速壯大。這種形勢下，我國電力、石化、鋼鐵等各大行業(yè)的集團和公司面臨著如何迅速研究工控信息安全這個新課題，學習這一系列文件精神和標準，加強工控信息安全管理，研究采取恰當的信息安全技術措施等，積極穩(wěn)妥地把工控信息安全工作踏踏實實地開展起來這一系列緊迫任務。但是，當前面臨的困難是，從事信息安全產業(yè)的公司大多不太熟悉特點各異的各行業(yè)工控系統(tǒng)，有時還不免把工控系統(tǒng)視作一個互聯(lián)網信息系統(tǒng)去思考和防護,而從事工控系統(tǒng)應用行業(yè)的人們大多還來不及了解信息安全技術，主導制定本行業(yè)的相關標準和本行業(yè)控制系統(tǒng)信息安全的工作策略，并推動兩支力量的緊密配合。這正是當前面臨的困境和作者力圖要與同仁們一起學習和探討的問題。

2從工控系統(tǒng)特點出發(fā)正確制定信息安全發(fā)展策略

火電廠控制系統(tǒng)與傳統(tǒng)信息系統(tǒng)相比，相對來說，與外部完全開放的互聯(lián)網聯(lián)系極少，分布地域有限，接觸人員較少，而對實時性、穩(wěn)定性和可靠性卻要求極高。這正是我們制定火電廠控制系統(tǒng)信息安全工作策略的基本出發(fā)點。為了形象起見，我們以人類抵抗疾病為例。人要不生病，一方面要自身強壯，不斷提高肌體的免疫系統(tǒng)和自修復能力；另一方面，要盡可能營造一個良好的外部環(huán)境（不要忽冷忽熱，空氣中污染物少，無彌漫的病菌和病毒）。人類積累了豐富的經驗，根據實際情況采取非常適當的保護措施。例如，對于一般人來說，他們改變環(huán)境的可行性較差。因此，確保自身強壯以及發(fā)現病兆及時吃藥修復等是其保護自己的主要手段。但是，對于新生兒，因為自身免疫系統(tǒng)還比較脆弱，短時間也不可能馬上提高。剛出生時醫(yī)生也有條件將其暫時置于無菌恒溫保護箱中哺養(yǎng)，以隔絕惡劣的環(huán)境。信息安全與人類抵抗病十分相似。對于一般互聯(lián)網信息系統(tǒng)，分布地域極廣，接觸人員多而雜，因此信息安全策略重點，除了在適當地點采取一些防火墻等隔離措施外，主要依靠提高自身健壯性，以及查殺病毒等措施防御信息安全。對于工控系統(tǒng)，特別是火電廠控制系統(tǒng)，它與外部互聯(lián)網聯(lián)系較少，分布地域有限，接觸人員較少。因此，對火電廠應該首先把重點放在為控制系統(tǒng)營造一個良好環(huán)境上。也就是說，盡可能與充斥病毒和惡意攻擊的源泉隔離，包括從互聯(lián)網進來的外部入侵，以及企業(yè)內外人員從內部的直接感染和入侵。前者可采取電力行業(yè)中證明行之有效的硬件網絡單向傳輸裝置（單向物理隔離裝置）等技術手段；后者則主要通過加強目前電廠內比較忽視和薄弱的信息安全管理措施。火電廠控制系統(tǒng)采取這種信息安全策略可以達到事半功倍的效果。從當前國內外出現的不少工控系統(tǒng)遭受惡意攻擊和植入病毒導致的嚴重事故來看，幾乎大多數是沒有或者隔離措施非常薄弱經互聯(lián)網端侵入，或者通過企業(yè)內外人員從內部直接植入病毒導致。當然，我們不能忽視提高控制系統(tǒng)自身健壯性的各種努力和措施，以便萬一惡意攻擊和病毒侵入的情況下仍能萬無一失確保安全。但是，開展這方面工作，特別是在已經投運的控制系統(tǒng)上進行這方面工作要特別慎重，這不僅因為這些工作代價較高，而且在當前信息安全產業(yè)中不少公司還不太熟悉相關行業(yè)工控系統(tǒng)特點，有些產品在工控系統(tǒng)中應用尚不成熟，而火電廠控制系統(tǒng)廠家對自身產品信息安全狀態(tài)研究剛剛開始，或者由于種種原因沒有介入和積極配合的情況下風險較高。這不是聳人聽聞，實踐已經發(fā)生，有的電廠為此已經付出了DCS停擺，機組誤跳的事故代價。

3火電廠控制系統(tǒng)供應側和應用側兩個信息安全戰(zhàn)場的不同策略及相互協(xié)調

火電廠控制系統(tǒng)，主要是DCS，不僅是保證功能安全的基礎，也是提高自身健壯性，確保信息安全的關鍵，它包括供應側和應用側兩個信息安全戰(zhàn)場。在DCS供應側提高自身健壯性，并通過驗收測收，確保系統(tǒng)信息安全有許多明顯的優(yōu)點。它可以非常協(xié)調地融入信息安全策略，可以離線進行危險性較大的滲透性測試，發(fā)現的漏洞對應用其控制系統(tǒng)的電廠具有一定的通用性等。此外，DCS供應側在提高信息安全方面積累的經驗和措施，培養(yǎng)起來的隊伍，也將有助于現有電廠DCS的測試評估，以及安全加固等直接升級服務或配合服務。與信息安全產業(yè)的公司提供服務擴大了公司的市場不同，DCS供應側提高其信息安全水平增加了DCS成本。因此，為了推動DCS供應側提高信息安全水平，除了目前已經在發(fā)揮作用的行政手段外，我們還必須加強市場手段的動力。為此，當前我們電力行業(yè)應盡快從信息安全角度著手制定DCS準入標準，制定火電廠DCS信息安全技術標準和驗收測試標準，以及招標用典型技術規(guī)范書等?；痣姀SDCS應用側，是當前最緊迫面臨現實信息安全風險，而且范圍極廣的戰(zhàn)場，必須迅速有步驟地點面結合提高信息安全，降低風險。具體意見如下：

3.1應迅速全面開展下列三方面工作

（1）全面核查DCS與SIS及互聯(lián)網間是否真正貫徹落實了發(fā)改委2014年14號令和國家能源局2015年36號文附件中關于配置單向物理隔離的規(guī)定，沒有加裝必須盡快配置，已配置的要檢查是否符合要求。（2）迅速按照《工業(yè)控制系統(tǒng)信息安全防護指南》加強內部安全管理，杜絕內部和外部人員非法接近操作、介入或在現場總線及其它接入系統(tǒng)上偷掛攻擊設備等，并適度開展一些風險較小的安全測評項目。上述兩項工作，在已投運系統(tǒng)上實施難度較低，實施風險相對較低，但是卻能起到抵御當前大部分潛在病毒侵襲和惡意攻擊的風險。（3）通過試點，逐步開展對已運DCS進行較為深入的安全測評，適度增加信息安全技術措施，待取得經驗后，再組織力量全面推廣，把我國火電廠控制系統(tǒng)信息安全提高到一個新的水平。為了提高這項工作的總體效益，建議針對國內火電廠應用的各種型號的DCS品牌出發(fā)，各大電力集團互相協(xié)調，統(tǒng)籌規(guī)劃，選擇十個左右試點電廠，由應用單位上級領導組織，國家級或重點的測評機構、實驗室技術指導，相關DCS供應商、優(yōu)秀信息安全產品生產商以及電廠負責DCS的工程師一起成立試點小組。這樣不僅可以融合DCS廠家的經驗，包括他們已經開展的信息安全測評和信息安全加強措施，減少不必要的某些現場直接工作帶來的較大風險。也有利于當前復合人才缺乏的情況下，確保工控系統(tǒng)技術和工控系統(tǒng)信息安全技術無縫融合，防止發(fā)生故障而影響安全生產（目前已經有電廠在測試和加入安全措施導致DCS故障而停機的事件）。

4DCS信息安全若干具體問題的建議

4.1關于控制大區(qū)和管理大區(qū)隔離的問題

根據國家發(fā)改委2014年14號令頒發(fā)的《電力監(jiān)控系統(tǒng)安全防護規(guī)定》，以及國家能源局36號文附件《電力監(jiān)控系統(tǒng)安全防護總體方案》的要求：（1）生產拉制大區(qū)和管理信息大區(qū)之間通信應當部署專用橫向單向安全隔離裝置，是橫向防護的關鍵設備。（2）生產控制大區(qū)內的控制區(qū)與非控制區(qū)之間應當采取具有訪問功能的設施，實現邏輯隔離。2016年修訂的電力行業(yè)標準《火電廠廠級監(jiān)控信息系統(tǒng)技術條件》（DL/T 924-2016）對隔離問題做了新的補充規(guī)定：（1）當MIS網絡不與互聯(lián)網連接時，宜采用SIS與MIS共用同一網絡，在生產控制系統(tǒng)與SIS之間安裝硬件的網絡單向傳輸裝置（單向物理隔離裝置）。（2）當MIS網絡與互聯(lián)網連接時，宜采用SIS網絡獨立于MIS網絡，并加裝硬件的網絡單向傳輸裝置（單向物理隔離裝置），而在生產控制系統(tǒng)與SIS之間安裝硬件防火墻隔離。根椐當前嚴峻的網絡安全形勢，應當重新思考單向物理隔離裝置這個行之有效的關鍵安全措施的設置點問題。建議無論是剛才提到的哪一種情況，單向物理隔離裝置均應設置在生產控制系統(tǒng)（DCS）與SIS之間，理由是：（1）生產控制系統(tǒng)（DCS）對電廠人身設備危害和社會影響極大，而且危險事件瞬間爆發(fā)。因此，一定要把防控惡意操作、網絡攻擊和傳播病毒的區(qū)域限制在盡可能小的范圍內，這樣可以最大限度提高電廠控制系統(tǒng)應對網絡危害的能力。（2）SIS是全廠性的，涉及人員相對廣泛，跟每臺機組均有聯(lián)系。因此，一旦隔離屏障被攻破，故障將是全廠性的，事故危害面相對較大。

4.2DCS信息安全認證和測試驗收問題

火電廠在推廣應用DCS的30年歷史中，從一開始就適時提出了供編制招標技術規(guī)范書參考的典型技術規(guī)范書，進而逐步形成了標準， 明確規(guī)定了功能規(guī)范、性能指標以及驗收測試等一系列要求。隨后又根據發(fā)展適時增加了對電磁兼容性和功能安全等級認證的要求。當前，為確保得到信息安全的DCS產品，歷史經驗可以借鑒。筆者認為，宜首先對控制系統(tǒng)供應側開展阿基里斯認證（Achilles Communications Certification，簡稱ACC）作為當前提高DCS信息安全的突破口。眾所周知，ACC已得到全球前十大自動化公司中八個公司的確認，并對其產品進行認證；工業(yè)領域眾多全球企業(yè)巨頭，均已對其產品供應商提供的產品強制要求必須通過ACC認證。目前，ACC事實上已成為國際上公認的行業(yè)標準。國內參與石化和電廠市場競爭的不少外國主流DCS均已通過了ACC一級認證。至于國產主流DCS廠家，他們大多也看到了ACC認證是進入國際市場的門檻，也嗅到了國內市場未來的傾向，都在積極為達到ACC一級認證而努力（緊迫性程度明顯與行業(yè)客戶對ACC認證緊迫性要求有關）。此外，我國也已建立了進行測試認證的合格機構，具備了國內就地認證的條件。根據調查判斷，如果我們電力行業(yè)側開始編制技術規(guī)范書將ACC一級認證納入要求，相信在行政推動和市場促進雙重動力下，國產主流DCS在一年多時間內通過ACC一級認證是可以做到的。除ACC認證外，如前所述，當前還急需編制招標用火電廠信息安全技術規(guī)范和驗收測試標準，使用戶在采購時對其信息安全的保障有據可依。從源頭抓起，取得經驗，必將有利于在運DCS信息安全工作，少走彎路。

5結語

第3篇

2013年以來，重鋼集團作為重慶市的大型重工業(yè)企業(yè)工控信息安全試點，進行了積極的探索和實踐。研究工控系統(tǒng)信息安全問題，制定工控系統(tǒng)信息安全實施指南，建立重鋼ICS工控信息安全的模擬試驗中心，進行控制系統(tǒng)信息安全的模擬試驗，采取措施提高重鋼控制系統(tǒng)的安全防御能力，以保證重鋼集團控制系統(tǒng)的信息安全和安全生產，盡到自己的社會責任。

1工控系統(tǒng)信息安全問題的由來

工業(yè)控制系統(tǒng)（industrycontrolsystem，以下簡稱ICS）信息安全問題的核心是通信協(xié)議缺陷問題。工控協(xié)議安全問題可分為兩類：

1.1ICS設計時固有的安全缺失

傳統(tǒng)的ICS采用專用的硬件、軟件和通信協(xié)議，設計上注重效率、實時性、可靠性，為此放棄了諸如認證、授權和加密等需要附加開銷的安全特征和功能，一般采用封閉式的網絡架構來保證系統(tǒng)安全。工業(yè)控制網的防護功能都很弱，幾乎沒有隔離功能。由于ICS的相對封閉性，一直不是網絡攻防研究關注的重點。

1.2ICS開放發(fā)展而繼承的安全缺失

目前，幾乎所有的ICS廠商都提出了企業(yè)全自動化的解決方案，ICS通信協(xié)議已經演化為在通用計算機\操作系統(tǒng)上實現，并運行在工業(yè)以太網上，TCP/IP協(xié)議自身存在的安全問題不可避免地會影響到相應的應用層工控協(xié)議。潛在地將這些有漏洞的協(xié)議暴露給攻擊者。隨著工業(yè)信息化及物聯(lián)網技術的高速發(fā)展，企業(yè)自動化、信息化聯(lián)網融合，以往相對封閉的ICS逐漸采用通用的通信協(xié)議、硬軟件系統(tǒng)，甚至可以通過實時數據采集網、MES、ERP網絡連接到企業(yè)OA及互聯(lián)網等公共網絡。傳統(tǒng)信息網絡所面臨的病毒、木馬、入侵攻擊、拒絕服務等安全威脅也正在向ICS擴散。因此在ICS對企業(yè)信息化系統(tǒng)開放，使企業(yè)生產經營獲取巨大好處的同時，也減弱了ICS與外界的隔離，“兩化融合”使ICS信息安全隱患問題日益嚴峻。

2重鋼ICS信息安全問題的探索

2.1重鋼企業(yè)系統(tǒng)架構

重鋼新區(qū)的建設是以大幅提升工藝技術和控制、管理水平，以科技創(chuàng)新和裝備大型化推進流程再造為依據，降本增效、節(jié)能減排為目的來完成的。各主要工藝環(huán)節(jié)、生產線都實現了全流程智能化管控。依據“產銷一體化”的思想，重鋼在各產線上集成,實現“兩化”深度融合，形成了一個龐大而復雜的網絡拓撲結構。

2.2生產管控系統(tǒng)分級

管控系統(tǒng)按控制功能和邏輯分為4級網絡：L4（企業(yè)資源計劃ERP）、L3（生產管理級MES）、L2（過程控制級PCS）、L1（基礎自動化級BAS）。重鋼新區(qū)L1控制系統(tǒng)有：浙大中控、新華DCS、西門子PLC、GEPLC、MOX、施耐德和羅克威爾控制系統(tǒng)等。各主要生產環(huán)節(jié)L1獨立，L2互聯(lián)，L3和ERP是全流程整體構建。

2.3重鋼企業(yè)網絡架

重鋼新區(qū)網絡系統(tǒng)共分為4個層次：Internet和專線區(qū)，主干網區(qū)域，服務器區(qū)域，L2/L3通信專網區(qū)。

（1）主干網區(qū)域包括全廠無線覆蓋（用于各網絡點的補充接入備用）和辦公終端接入，主干網區(qū)域與Internet和專線區(qū)之間通過防火墻隔離，并部署行為管理系統(tǒng)；

（2）主干網區(qū)域與服務器區(qū)域之間通過防火墻隔離；

（3）L2與L3之間由布置在L2網絡的防火墻和L3側的數據交換平臺隔離；

（4）L2和L1之間通過L2級主機雙網卡方式進行邏輯隔離，各生產線L2和L1遍布整個新區(qū)，有多種控制系統(tǒng)。

（5）OA與ERP和MES服務器之間沒有隔離。在L2以下沒有防火墻，現有的安全措施不能保證ICS的安全。

2.4ICS安全漏洞

經過分析討論，我們認為重鋼管控系統(tǒng)ICS可能存在以下安全問題：

（1）通信協(xié)議漏洞基于TCP/IP的工業(yè)以太網、PROIBUS,MODBUS等總線通信協(xié)議，L1級與L2級之間通信采用的OPC協(xié)議，都有明顯的安全漏洞。

（2）操作系統(tǒng)漏洞：ICS的HMI上Windows操作系統(tǒng)補丁問題。

（3）安全策略和管理流程問題：安全策略與管理流程、人員信息安全意識缺乏，移動設備的使用及不嚴格的訪問控制策略。

（4）殺毒軟件問題：由于殺毒軟件可能查殺ICS的部分軟件，且其病毒庫需要不定期的更新，故此，ICS操作站\工程師站基本未安裝殺毒軟件。

3重鋼工控系統(tǒng)信息安全措施

對重鋼來說，ICS信息安全性研究是一個新領域，對此，需要重點研究ICS自身的脆弱性（漏洞）情況及系統(tǒng)間通信規(guī)約的安全性問題，對ICS系統(tǒng)進行安全測試，同時制定ICS的設備安全管理措施。

3.1制定ICS信息安全實施指南

根據國際行業(yè)標準ANSI/ISA-99及IT安防等級，重鋼與重慶郵電大學合作，制定出適合國內實際的《工業(yè)控制系統(tǒng)信息安全實施指南》（草案）。指南就ICS和IT系統(tǒng)的差異，ICS系統(tǒng)潛在的脆弱性，風險因素，ICS網絡隔離技術，安全事故緣由，ICS系統(tǒng)安全程序開發(fā)與部署，管理控制，運維控制，技術控制等多方面進行具體的規(guī)范，并提出ICS的縱深防御戰(zhàn)略的主要規(guī)則。并提出ICS的縱深防御戰(zhàn)略的主要規(guī)則。ICS的縱深防御戰(zhàn)略：

（1）在ICS從應用設計開始的整個生命周期內解決安全問題；

（2）實施多層的網絡拓撲結構；

（3）提供企業(yè)網和ICS的網絡邏輯隔離；

（4）ICS設備測試后封鎖未使用過的端口和服務，確保其不會影響ICS的運行；

（5）限制物理訪問ICS網絡和設備；

（6）限制ICS用戶使用特權，(權、責、人對應）；

（7）在ICS網絡和企業(yè)網絡分別使用單獨的身份驗證機制；

（8）使用入侵檢測軟件、防病毒軟件等，實現防御工控系統(tǒng)中的入侵及破壞；

（9）在工控系統(tǒng)的數據存儲和通信中使用安全技術，例如加密技術；

（10）在安裝ICS之前，利用測試系統(tǒng)測試完所有補丁并盡快部署安全補??；

（11）在工控系統(tǒng)的關鍵區(qū)域跟蹤和監(jiān)測審計蹤跡。

3.2建立重鋼ICS信息安全模擬試驗中心

由于重鋼新區(qū)企業(yè)網絡架構異常復雜，要解決信息安全問題，必須對企業(yè)網絡及ICS進行信息安全測試，在此基礎上對系統(tǒng)進行加固。為避免攻擊等測試手段對正在生產運行的系統(tǒng)產生不可控制的惡劣影響，必須建立一個ICS信息安全的模擬試驗中心。為此，采用模擬在線運行的重鋼企業(yè)網絡的方式，構建重鋼ICS信息安全的模擬試驗中心。這個中心也是重鋼電子的軟件開發(fā)模擬平臺和信息安全攻防演練平臺。

3.3模擬系統(tǒng)信息安全的測試診斷

重鋼模擬系統(tǒng)安全測試，主要進行漏洞檢測和滲透測試，形成ICS安全評估報告。重鋼ICS安全問題主要集中在安全管理、ICS與網絡系統(tǒng)三個方面，高危漏洞占很大比重。

（1）骨干網作為內外網數據交換的節(jié)點，抗病毒能力弱、有明顯的攻擊路徑；

（2）生產管理系統(tǒng)中因為網絡架構、程序設計和安全管理等方面的因素，存在諸多高風險安全漏洞；

（3）L1的PLC與監(jiān)控層之間無安全隔離，ICS與L2之間僅有雙網卡邏輯隔離，OA和ERP、MES的網絡拓撲沒有分級和隔離。對外部攻擊沒有防御手段。雖然各部分ICS(L1）相對獨立，但整個系統(tǒng)還是存在諸多不安全風險因素，主要有系統(tǒng)層缺陷、滲透攻擊、緩沖區(qū)溢出、口令破解及接口、企業(yè)網內部威脅五個方面。通過對安全測試結果進行分析，我們認為攻擊者最容易采用的攻擊途徑是：現場無線網絡、辦公網—HMI遠程網頁—HMI服務器、U盤或筆記本電腦在ICS接入。病毒最容易侵入地方是：外網、所有操作終端、調試接入的筆記本電腦。

3.4提高重鋼管控系統(tǒng)安防能力的措施

在原有網絡安全防御的基礎上根據ICS信息安全的要求和模擬測試的結果，我們采取一系列措施來提高重鋼管控系統(tǒng)的措施。

3.5安全管理措施

參照《工業(yè)控制系統(tǒng)信息安全實施指南》（草案），修訂《重鋼股份公司計算機信息網絡管理制度》，針對內部網絡容易出現的安全問題提出具體要求，重點突出網絡安全接入控制和資源共享規(guī)范；檢查所有ICS操作員\工程師站，封鎖USB口，重新清理所有終端，建立完整的操作權限和密碼體系。封鎖大部分骨干網區(qū)的無線接入，增加現場無線設備的加密級別。

3.6系統(tǒng)加固措施

3.6.1互聯(lián)網出口安全防護第一層：防火墻——在原來配置的防火墻上，清理端口，精確開放內部服務器服務端口，限制主要網絡木馬病毒入侵端口通訊；第二層：行為管理系統(tǒng)——對內外通訊的流量進行整形和帶寬控制，控制互聯(lián)網訪問權限，減少非法的互聯(lián)網資源訪問，同時對敏感信息進行控制和記錄；第三層：防病毒系統(tǒng)——部署瑞星防毒墻對進出內網的網絡流量進行掃描過濾，查殺占據絕大部分的HTTP、FTP、SMTP等協(xié)議流量，凈化內網網絡環(huán)境；

3.6.2內網（以太網）安全部署企業(yè)版殺毒系統(tǒng)、EAD準入控制系統(tǒng)(終端安裝)，進行交換機加固，增加DHCP嗅探功能，拒絕非法DHCP服務器分配IP地址，廣播風暴抑制。

3.6.3工業(yè)以太網安全L1級安全隔離應考慮ICS的特點：

（1）PLC與監(jiān)控層及過程控制級一般采用OPC通訊，端口不固定。因此，安全隔離設備應能進行動態(tài)端口監(jiān)控和防御。

（2）工控系統(tǒng)實時性高，要求通信速度快。因此，為保證所處理的流量較少，網絡延時小，實時性好，安全隔離設備應布置在被保護設備的上游和控制網絡的邊緣。圖3安全防御技術措施實施簡圖經過多方比較，現采用數據采集隔離平臺和智能保護平臺。在PLC采用終端保護，在L1監(jiān)控層實現L1區(qū)域保護，在PCS與MES、ERP和OA之間形成邊界保護。接著考慮增加L1外掛監(jiān)測審計平臺和漏洞挖掘檢測平臺。

3.6.4數據采集隔離平臺在L1的OPC服務器和實時數據庫采集站之間實現數據隔離，采用數據隔離網關+綜合管理平臺實現：動態(tài)端口控制，白名單主動防御，實時深度解析采集數據，實時報警阻斷。

3.6.5智能保護平臺快速識別ICS系統(tǒng)中的非法操作、異常事件及外部攻擊并及時告警和阻斷非法數據包。多重防御機制：將IP地址與MAC地址綁定，防止內部IP地址被非法盜用；白名單防御機制：對網絡中所有不符合白名單的安全數據和行為特征進行阻斷和告警，消除未知漏洞危害；黑名單防御機制：根據已知漏洞庫，對網絡中所有異常數據和行為進行阻斷和告警，消除已知漏洞危害。邊界保護：布置在L1邊界，監(jiān)控L1網絡中的保護節(jié)點和網絡結構，配置信息以及安全事件。區(qū)域保護：布置在L1級ICS內部邊界，防御來自工業(yè)以太網以外及ICS內部其他區(qū)域的威脅。終端保護：布置在終端節(jié)點，防御來自外部、內部其他區(qū)域及終端的威脅。綜合管理平臺：通過對所在工控網絡環(huán)境的分析，自動組合一套規(guī)則與策略的部署方案；可將合適的白名單規(guī)則與漏洞防護策略下發(fā)部署到不同的智能保護平臺。

4結束語

第4篇

工業(yè)以太網技術由于開放、靈活、高效、透明、標準化等特點，越來越多的在工控控制系統(tǒng)中得到廣泛應用。隨著“兩化融合”和物聯(lián)網的普及，越來越多的信息技術應用到了工業(yè)領域。目前，超過80%涉及國計民生的關鍵基礎設施依靠工業(yè)控制系統(tǒng)來實現自動化控制作業(yè)，如：電力、水力、石化、交通運輸、航空航天等工業(yè)控制系統(tǒng)的安全也直接關系到國家的戰(zhàn)略安全。2010年10月發(fā)生在伊朗核電站的“震網”（Stuxnet）病毒，為工業(yè)控制系統(tǒng)的信息安全敲響了警鐘。最近幾年，針對工業(yè)控制系統(tǒng)的信息安全攻擊事件成百倍的增長，引發(fā)了國家相關管理部門和企業(yè)用戶的高度重視。今年國家發(fā)改委公布的《2013年國家信息安全專項有關事項的通知》中，強調工業(yè)控制系統(tǒng)信息安全是國家重點支持的四大領域之一。2011年工信部451號文件《關于加強工業(yè)控制系統(tǒng)信息安全管理的通知》中更明確指出，有關國家大型企業(yè)要慎重選擇工業(yè)控制系統(tǒng)設備，確保產品安全可控?，F在，國內大型企業(yè)都把工業(yè)控制系統(tǒng)安全防護建設提上了日程。如何應對工業(yè)控制系統(tǒng)的信息安全，是我們在新形勢下面臨的迫在眉睫需要解決的現實問題。

2企業(yè)信息安全現狀

目前，雖然國家和行業(yè)主管部門、國內企業(yè)集團等都開始重視工業(yè)控制系統(tǒng)的信息安全問題，并開始研究相應的對策，但還面臨很多現實問題：（1）信息安全專責的缺失：國內信息安全專門型人才比較缺失，很多企業(yè)甚至沒有專門負責信息安全的專員；（2）制度形式化：規(guī)范的管理制度作為工業(yè)控制系統(tǒng)信息安全的第一道“防火墻”，可以有效的防范最基礎的安全隱患，可是很多企業(yè)的管理制度并沒有真正落到實處，導致威脅工控系統(tǒng)信息安全的隱患長驅直入、如入無人之境進入企業(yè)系統(tǒng)內；（3）安全生產的矛盾現狀：保證工業(yè)企業(yè)安全生產和正常運營是企業(yè)的首要目標，而信息安全的解決方案部署又會影響到企業(yè)的正常運營。因此，部分企業(yè)消極應對信息安全的部署。

3常見的信息安全解決方案

面對工業(yè)控制系統(tǒng)的信息安全現狀，很多信息安全解決方案提供商提出了各自的安全策略，強調的是“自上而下”、注重“監(jiān)管”和“隔離”的安全策略。由于企業(yè)內部產品、設備或資產繁多，產品供應商較多，“監(jiān)管”系統(tǒng)無法“監(jiān)視和管理”企業(yè)內部龐大的設備或資產，導致部分系統(tǒng)依然存在信息安全隱患。同時，這些解決方案部署時又面臨投資比較大，定制化程度比較高等缺點。有的企業(yè)通過在企業(yè)系統(tǒng)內部部署“橫向分層、縱向分域、區(qū)域分等級”的安全策略，構建“三層架構，二層防護”的安全體系。這些解決方案又面臨著“安全區(qū)域”較大，無法避免系統(tǒng)內部設備自身“帶病上崗”的現象發(fā)生。如何在企業(yè)內部高效部署信息安全解決方案，同時又不影響系統(tǒng)的正常運行，不增加企業(yè)的負擔，同時又不增加將來企業(yè)維護人員的工作量，降低對維護人員的能力等的過渡依賴，是企業(yè)部署信息安全解決方案時面臨的現實問題。

4符合國情的信息安全解決方案

針對這種現狀，施耐德電氣將原來“從上到下”的防御策略逐步完善為符合中國客戶實際應用的、倡導以設備級防護優(yōu)先，兼顧系統(tǒng)級和管理級防護的“自下而上”的三級縱深防御策略。其中，設備級防護是整個安全防護策略的核心和基礎。

4.1設備級防護

企業(yè)內部的系統(tǒng)從管理層、制造執(zhí)行層到工業(yè)控制層都是由不同的資產或者設備組成的，如果每個單體資產或者設備符合信息安全要求，做到防范基本的信息安全隱患。這些資產或者設備集成到企業(yè)系統(tǒng)中就可以避免“帶病上崗”的現象，作為信息安全防護體系的最后一道“防火墻”可以有效的防范針對這些設備或資產的各種安全威脅。施耐德電氣作為一家具有高度社會責任感的企業(yè)，積極推進構建安全、可靠的工業(yè)控制系統(tǒng)信息安全，率先在工業(yè)控制設備集成信息安全防護體系：（1）集成信息安全防護體系的昆騰PLC產品率先通過了國家權威信息安全測評機構的雙重產品安全性檢測，成為首家也是目前唯一通過并獲得此類檢測認可的PLC產品。在企業(yè)內已經運行的昆騰PLC可以通過升級固件的方式達到信息安全要求，大大的減少了企業(yè)在部署信息安全過程中的資金投入，還可以減少對技術人員技能的要求；（2）SCADAPack控制器內嵌的增強型安全性套件：IEEE1711加密和IEC62351認證以及時標等安全功能，最大化系統(tǒng)的安全性，確保遠程通信鏈路不被惡意或其他通信網絡干擾破壞，有效的提升了信息安全功能；（3）針對所有的控制系統(tǒng)還可以采用軟件安全屬性的輔助設置功能，如增加訪問控制功能、增加審計和日志信息、增加用戶認證和操作、采用增強型密碼等措施，增強和加固工業(yè)控制系統(tǒng)的信息安全功能。

4.2系統(tǒng)級防護

主要是通過優(yōu)化和重建系統(tǒng)架構，提升控制系統(tǒng)網絡的可靠性和可用性，保證企業(yè)系統(tǒng)的“橫向”、“縱向”、“區(qū)域”間數據交互的安全性。（1）施耐德電氣的ConneXium系列工業(yè)級以太網交換機的MAC的地址綁定、VLAN區(qū)域劃分、數據包過濾、減少網絡風暴等影響保證了工業(yè)控制系統(tǒng)網絡的可靠性和安全性；（2）ConneXium系列工業(yè)級防火墻產品可實現針對通用網絡服務、OPC通訊服務的安全防護之外，還可實現所有工業(yè)以太網協(xié)議的協(xié)議包解析，有效的防范了威脅工業(yè)控制系統(tǒng)的安全隱患。同時，軟件內置的針對施耐德電氣所有PLC系列的安全策略組件以及模板模式大大增強了產品的可用性。

第5篇

（一）連接管理要求

1. 斷開工業(yè)控制系統(tǒng)同公共網絡之間的所有不必要連接。

2. 對確實需要的連接，系統(tǒng)運營單位要逐一進行登記，采取設置防火墻、單向隔離等措施加以防護，并定期進行風險評估，不斷完善防范措施。

3. 嚴格控制在工業(yè)控制系統(tǒng)和公共網絡之間交叉使用移動存儲介質以及便攜式計算機。

（二）組網管理要求

1. 工業(yè)控制系統(tǒng)組網時要同步規(guī)劃、同步建設、同步運行安全防護措施。

2. 采取虛擬專用網絡（VPN）、線路冗余備份、數據加密等措施，加強對關鍵工業(yè)控制系統(tǒng)遠程通信的保護。

3. 對無線組網采取嚴格的身份認證、安全監(jiān)測等防護措施，防止經無線網絡進行惡意入侵，尤其要防止通過侵入遠程終端單元（RTU）進而控制部分或整個工業(yè)控制系統(tǒng)。

（三）配置管理要求

1. 建立控制服務器等工業(yè)控制系統(tǒng)關鍵設備安全配置和審計制度。

2. 嚴格賬戶管理，根據工作需要合理分類設置賬戶權限。

3. 嚴格口令管理，及時更改產品安裝時的預設口令，杜絕弱口令、空口令。

4. 定期對賬戶、口令、端口、服務等進行檢查，及時清理不必要的用戶和管理員賬戶，停止無用的后臺程序和進程，關閉無關的端口和服務。

（四）設備選擇與升級管理要求

1. 慎重選擇工業(yè)控制系統(tǒng)設備，在供貨合同中或以其他方式明確供應商應承擔的信息安全責任和義務，確保產品安全可控。

2. 加強對技術服務的信息安全管理，在安全得不到保證的情況下禁止采取遠程在線服務。

3. 密切關注產品漏洞和補丁，嚴格軟件升級、補丁安裝管理，嚴防病毒、木馬等惡意代碼侵入。關鍵工業(yè)控制系統(tǒng)軟件升級、補丁安裝前要請專業(yè)技術機構進行安全評估和驗證。

（五）數據管理要求

地理、礦產、原材料等國家基礎數據以及其他重要敏感數據的采集、傳輸、存儲、利用等，要采取訪問權限控制、數據加密、安全審計、災難備份等措施加以保護，切實維護個人權益、企業(yè)利益和國家信息資源安全。

第6篇

關鍵詞 DCS控制系統(tǒng)；EPA；信號分配器；信息安全

中圖分類號：TP273 文獻標識碼：A 文章編號：1671-7597（2013）14-0067-02

為了實現能源的合理利用，達到“節(jié)能減排”的目標，一家化工企業(yè)決定實施“各車間能源數據采集管理系統(tǒng)”，這家企業(yè)各生產車間原先都各自裝有“分布式控制系統(tǒng)（DCS）”，用于車間生產過程控制，車間能源消耗數據也存在于DCS控制系統(tǒng)中，如何能實現各車間能源數據的自動采集，形成工廠級的能源管理系統(tǒng)，又能保障分布式控制系統(tǒng)（DCS）的信息安全，經過慎重考慮，提出了2個實施方案。

1 基于DCS系統(tǒng)上的能源數據自動采集方案比較

方案一：把各車間DCS系統(tǒng)作為能源數據管理系統(tǒng)的數據采集站，每個數據采集站通過OPC協(xié)議單向向PIMS服務器傳送能源數據，PIMS服務器對傳送上來的數據進行二次處理，制作成用戶需要的能源界面、形成報表、以及實現設備管理等功能，經硬件防火墻隔離將能源管理界面、數據以WEB形式向局域網絡。系統(tǒng)結構如圖1所示。

方案二：為了徹底杜絕DCS操作站被網絡病毒侵擾的隱患，將能源數據采集系統(tǒng)完全獨立于DCS系統(tǒng)。能源數據采集系統(tǒng)由“浙江中控”領銜制定的EPA現場總線標準產品實現。

1）在原有車間的DCS系統(tǒng)中將能源測點經信號分配器一分為二，一路進入車間DCS，實現車間生產管理的需要，另外一路進入EPA總線系統(tǒng)進行數據集中管理。

2）EPA系統(tǒng)各控制柜安裝24 V開關電源，光纖環(huán)網交換機，以及EPA系列模塊。

3）整個EPA系統(tǒng)采用光纖環(huán)網冗余的方式，任何一處斷開，均不影響整個系統(tǒng)的正常運行。

4）為保證數據的安全，除了各服務器安裝殺毒軟件之外，在PIMS服務器和Internet之間設立一道硬件防火墻。即便防火墻失效，各服務器被病毒感染，由于DCS與能源管理系統(tǒng)完全獨立，病毒絲毫不會影響到車間DCS的運作，各能源點在DCS操作站正常顯示及控制。系統(tǒng)結構如圖2所示。

綜合比較，方案二能使車間分布式控制系統(tǒng)（DCS）與Internet之間完全獨立，可靠性更高，所以選擇方案二。

2 工業(yè)控制系統(tǒng)終端信息安全管理的方法

上述方案二最大的優(yōu)點在于使車間分布式控制系統(tǒng)（DCS）與Internet之間完全獨立，使工業(yè)控制系統(tǒng)規(guī)避了網絡安全的問題，只要針對做好工業(yè)控制終端（DCS）的安全管理，系統(tǒng)安全性就能得到保障，主要的安全措施有以下幾點。

1）不輕易對操作系統(tǒng)安裝補丁。由于考慮到工控軟件與操作系統(tǒng)補丁兼容性的問題，系統(tǒng)開車后一般不針對Windows平臺打補丁。

2）不安裝殺毒軟件。用于生產控制系統(tǒng)的Windows操作系統(tǒng)基于工控軟件與殺毒軟件的兼容性的考慮，通常不安裝殺毒軟件，給病毒與惡意代碼傳染與擴散留下了空間。

3）加強對使用U盤、光盤的專項管理。由于在工控系統(tǒng)中不輕易對操作系統(tǒng)安裝補丁和安裝殺毒軟件，工控系統(tǒng)對病毒的防護能力很薄弱，必須對U盤和光盤使用進行有效的管理。光盤，規(guī)定除本系統(tǒng)的安裝光盤外，不允許使用其他類光盤；U盤，一般在程序更新和維護過程中要使用到，首先保證U盤的專項使用，規(guī)定U盤每次使用前要經過嚴格的病毒查殺，并且要有書面記錄和登記。

4）杜絕其他筆記本電腦的接入。工業(yè)控制系統(tǒng)的管理維護，沒有到達一定安全基線的筆記本電腦接入工業(yè)控制系統(tǒng)，會對工業(yè)控制系統(tǒng)的安全造成很大的威脅，所以要杜絕

接入。

5）定期檢查工業(yè)控制系統(tǒng)控制終端、服務器、網絡設備的運行情況。對工業(yè)控制系統(tǒng)中IT基礎設施的運行狀態(tài)進行監(jiān)控，是工業(yè)工控系統(tǒng)穩(wěn)定運行的基礎。

6）加強身份認證管理，控制系統(tǒng)進行安全登錄和操作的用戶分級進行管理，分為觀察員、操作員、系統(tǒng)工程師這3個不同級別，觀察員只允許觀看系統(tǒng)畫面，不能輸入任何的操作指令；操作員，具有日常生產的操作權限；系統(tǒng)工程師的權限最高，能進入或退出工控運行軟件，能進行程序編寫和變更。

7）對工業(yè)控制系統(tǒng)的外設進行管理，比如USB接口、光驅、網卡、串口等，對時貼上封條，每次系統(tǒng)工程師進行維護操作時，拆下封條要進行審批和登記。

3 結束語

國內外發(fā)生了多起由于工控系統(tǒng)安全問題而造成的生產安全事故。最鮮活的例子就是2010年10月發(fā)生在伊朗布什爾核電站的“震網”（Stuxnet）病毒，為整個工業(yè)生產控制系統(tǒng)安全敲響了警鐘。

本文根據工業(yè)控制系統(tǒng)安全防護的特點，針對工業(yè)控制系統(tǒng)（DCS）與能源管理系統(tǒng)（EPA），通過信號分配器連接的獨特模式，建立了相對獨立、又能信號傳輸的安全體系架構，并通過工業(yè)控制系統(tǒng)終端安全管理措施，有效地保證了這種基于DCS系統(tǒng)上的能源數據自動采集系統(tǒng)的可靠、安全運行。

參考文獻

第7篇

關鍵詞：空管信息化；安全域；權值劃分；信息安全

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2012)10-2222-03

Researches on Security Domain Distribution of ATC Information system

HAN Xuan-zong

(Bureau of Guizhou air Traffic Management, Guiyang 550012, China)

Abstract: This paper is based on the basic concept of information security, which give a MSA security domain allocate system to resolve privates distribute problem in these construction of air traffic management information system and security domain system, It has an effective solution to coordination of various administrator and collaboration between security domains and information circulation, It also strengthen the ATC Security ability.

Key words: ATC information; security domain; private allocate; information security

空中交通管制作為LRI(Life related industry)生死攸關行業(yè)的一種，在航班數量飛速增加的今天，日益面臨著嚴峻的挑戰(zhàn)；尤其是大量基礎支撐性的空管信息系統(tǒng)的引入，盡管有效地提升了管制工作效率，但是空管信息系統(tǒng)的安全管理問題卻越來越成為一個潛在的隱患。

在當前空管行業(yè)應用的各類空管信息系統(tǒng)當中，從包括自動化系統(tǒng)、航行情報控制系統(tǒng)在內的管制直接相關系統(tǒng)，到日常應用的班前準備系統(tǒng)、設備運維管理系統(tǒng)等，大都采用設置超級管理員用戶口令的方式進行管理，此方式盡管便于實現對系統(tǒng)的配置和維護，但由于權限過大，使得其可以對空管信息系統(tǒng)中數據進行任意操作，一旦出現超級管理員誤操作或外部黑客獲取到超級管理員權限，都可能造成難以估量的嚴重后果。

安全操作系統(tǒng)設計原則中包括的“最小特權”和“權值分離”的安全原則，可以有效地解決這一問題。最小特權原則思想在于控制為主體分配的每個操作的最小權限；權值分離原則思想在于實現操作由專人執(zhí)行同時由第三方用戶進行監(jiān)管。

最小特權和權值分離兩大原則的共同使用，構建出了基于角色的訪問控制（Role-Based Access Control，RBAC）安全策略模型[1]。RBAC作為對用戶角色權限的一種高度抽象，同一角色用戶仍然擁有同樣的權限，但為了能夠更好的體現最小特權原則，角色下用戶的權限仍必須得到進一步的控制；DTE（Domain And Type Enforcement，DTE）策略模型實現了將空管信息系統(tǒng)的不同進程劃分為不同的域（Domain），將不同類型的資源劃分為不同的類型（Type），通過對域和類型的安全屬性進行限制，來實現對用戶權限的控制[2]。

該文在綜合了RBAC安全策略模型和DTE策略模型的基礎上，提出一種對空管信息系統(tǒng)進行分域管理的劃分機制，該機制符合最小特權和權值分離原則，實現了對系統(tǒng)超級管理員的權限細分，通過對權限的劃分，建立管理員―域―類型的相關對應關系，分散了由于超級管理員權限過大造成的安全風險。

1系統(tǒng)/安全/審計管理劃分機制

在任何一個構建完善的管理體系運行當中，管理人員、管理行為審計人員、安全管理人員的角色都不可或缺。空管信息系統(tǒng)超級管理員的權限也應依據此原則進行劃分[3]。在具體實現中，應結合DTE策略中對于域和類型的管理思想，采取二維訪問控制策略，強化對空管信息系統(tǒng)完整性和數據安全性的保護；DTE策略通過對管理權限進行控制，阻止單一用戶權限造成的惡意程序擴散等情況。通過系統(tǒng)管理、安全管理、審計管理三方面的協(xié)同制約，保護系統(tǒng)資源的安全性。

1.1基于MSA的管理機制

該文依據RBAC及DTE策略遵循的最小特權和權值分離原則，將空管信息系統(tǒng)中超級管理員權限進行細粒度（Fine-Grain）的劃分，將其權限一分為三，即管理（Management）權限、安全（Security）權限、審計（Audit）權限，構建一套基于MSA的權限管理機制。使三類管理員只具備完成所需工作的最小特權，在單項管理操作的整個生命周期中，必須歷經安全權限的設置、管理權限的操作、 審計權限的審核這一流程。該文通過設立獨立的系統(tǒng)管理員、安全管理員、審計管理員，并為其設置獨立的與安全域掛勾的安全管理特權集，實現了管理-安全域-類型的二維離散對應關系。具體而言，三類管理員主要承擔了以下職責：

1)系統(tǒng)管理特權集：歸屬于系統(tǒng)管理員，包括系統(tǒng)相關資源的分配，系統(tǒng)軟件的配置、維護等權限；

2)安全管理特權集：歸屬于安全管理員，包括系統(tǒng)內部安全策略的制訂，安全闕值的設置等安全相關權限；

3)審計管理特權集：歸屬于審計管理員，包括對系統(tǒng)管理員和安全管理員操作記錄的審計和審批，作為一個獨立的第三方監(jiān)督角色出現。

MSA管理機制將系統(tǒng)超級管理員的權限劃分為三個相互獨立又相互依存的獨立環(huán)節(jié)，實現了系統(tǒng)特權的細粒度劃分，強化了系統(tǒng)的安全屬性。圖1展示了三類管理員之間的具體關系：圖1 MSA管理員協(xié)作流程

如圖1所示，空管信息系統(tǒng)用戶總是會提出一定的需求，并尋求通過系統(tǒng)得到相應的應用來解決面臨的問題。在這一過程中，首先會由系統(tǒng)管理員針對用戶需求，判斷滿足用戶需要調用的相應資源，如功能域和資源的類型，同時生成解決方案，并將其提交至安全管理員處。

安全管理員在接收到系統(tǒng)管理員產生的解決方案后，即時的會依照相關規(guī)定要求，為解決方案制定對應的安全級別，并實施可行的安全策略。如解決方案能夠較好地滿足安全級別和安全策略的要求，即通過安全管理員的安全評估，為其施加安全策略。

解決方案歷經系統(tǒng)管理員、安全管理員的制定、安全策略實施等步驟后，將生成應用提交至用戶，由用戶驗證其需求是否得到滿足。

審計管理員在整個過程中，將針對從需求提出至應用的所有環(huán)節(jié)進行監(jiān)控，任何系統(tǒng)內部的操作均需經過審計管理員的審計和監(jiān)督，審計管理員有權停止任何涉及到安全的異常操作。

通過上述模式的應用，將使得空管信息系統(tǒng)劃分為由MSA三個管理員所共同管理的系統(tǒng)，也形成了三大管理員之間的制約機制。該機制的建立，有效地避免了超級用戶誤操作和黑客入侵可能造成的危害。同時權限的細分，也使得任何一名管理員在操作自身環(huán)節(jié)事務時，都需要其它管理員的協(xié)助，無法獨立完成越權操作。如當系統(tǒng)管理員進行用戶的刪除時，此操作將依據安全管理員制定的安全策略確定為較危險操作，實施的結果將由審計管理員進行審核，在確保該行為是合理有效的情況下才能實施。

1.2 MSA管理體系安全域的劃分

MSA管理體系的應用使得系統(tǒng)、安全、審計三類管理員之間相互協(xié)作，相互制約的關系成為可能，系統(tǒng)的安全性得到增強。而在MSA體系上應用安全域思想及類資源的設置，將進一步隔離域間的信息和資源流動，防范非法信息泄漏現像，確保數據信息的安全。

該文在MSA體系中靈活運用了安全域的思想，實現了對空管信息系統(tǒng)主體域的劃分，同時將空管信息系統(tǒng)管理的資源分為了不同的類型資源，MSA通過建立安全域和類型資源之間的關聯(lián)，實現了對域間信息流動的監(jiān)控，通過對安全域規(guī)則的制定，使得系統(tǒng)用戶只能訪問到所屬安全域內的安全類型資源。通過對用戶安全域訪問行為的控制，有效的防止了誤操作、惡意操作可能造成的惡意信息流的傳輸，進而強化空管信息系統(tǒng)整體安全性。在空管信息系統(tǒng)遭遇病毒攻擊的環(huán)境下，病毒本身具有自我復制和傳染未遭感染區(qū)域的特性，通過對安全域的劃分和安全域內類型資源的歸并，能夠有效的阻止病毒的無限制復制傳播，病毒只能訪問所屬主體的安全域及相關資源，無法傳播至安全域邊界之外。當系統(tǒng)管理資源分散于多個不同安全域時，系統(tǒng)將有效避免形成整體癱瘓現象。

在空管信息系統(tǒng)中，根據需求通?？梢园奄Y源劃分到不同的安全域，同一安全域還能依據資源歸屬的不同，細分為不同的子域，子域在擁有部分父域特性和資源的同時，具有自身特有的特性，子域的存在不僅強化了安全域的安全管理特性，還能夠真實映射現實社會的組織結構關系。

2管理機制安全規(guī)則研究

本節(jié)給出了MSA管理機制的實施規(guī)則，按照這些規(guī)則，可以根據MSA原則實施空管信息系統(tǒng)的管理。系統(tǒng)中的資源主要由主體(a)，客體(c)組成，用A表示主體的集合，B表示客體的集合，D表示域(d)的集合，P表示型(p)的集合，R為權限的集合，主體、域、客體權限之間的關系如下：

1)設函數dom_a(a)，是定義在主體集合A上的函數，將主體a映射到相應的域。系統(tǒng)中的主體至少屬于1個域，即：?a∈A，? dom_a(a)≠?∧dom_a(a)?D。

2)設函數type(b)，是定義在客體集合B上的函數，將客體b映射到相應的型，系統(tǒng)中的客體至少屬于1個型，即:?b∈B，? type(b)≠?∧type(b)?B。

3)若權限映射函數R_DT(d,p)，為定義在域D和型P上的函數，將域d對型p的權限映射為集合的某個子集，即為域d對型p擁有特權的集合。

為有效避免超級用戶的誤操作和惡意程序的攻擊，安全域間的信息流動必須得到有效的控制。在每個獨立的信息流動需求發(fā)起的同時，必須同步進行安全信息的驗證，確保信息不會對接收安全域的安全狀態(tài)造成破壞，在不影響安全域安全的前提下，才接收該信息流。信息流在由主體操作產生的同時，必須對操作本身進行檢查，在操作和信息流均處于安全狀態(tài)時，可視系統(tǒng)為安全態(tài)。依據以下分析，可得出如下關于信息流動的規(guī)則：

規(guī)則1安全域隔離規(guī)則：為有效阻止惡意操作，安全域間信息流動必須處于受監(jiān)控狀態(tài)，實現對安全域中數據的保護。

不同安全域間存在著干擾性，而干擾性的存在又反映了不同域間的相互作用，合理的應用安全域隔離規(guī)則，對安全域間信息的流動進行監(jiān)控，是實現安全域安全的一大前提條件。

規(guī)則2安全域訪問規(guī)則：安全域內部主體對客體的訪問，必須滿足相應的訪問控制規(guī)則，包括常見的只讀、讀寫等。具體的訪問規(guī)則包括如下幾類：

只讀規(guī)則:單純采用讀取形式取得客體中信息，對安全域中數據進行不操作的讀取，有效保證數據的完整性和不可變更性，同時在利用了數字加密技術的基礎上，還保證了數據的機密性只讀需求。

只寫規(guī)則：主體對安全域內客體只進行單純寫入操作，不允許讀取安全域中原有數據，對于主體寫入數據的讀取可根據具體進行進行設置其是否具有讀取權限。

讀寫規(guī)則：包括只讀和只寫規(guī)則的部分安全控制因素，但主體在受控的情況下，可向安全域中客體寫入并讀取信息，在滿足機密性和完整性的基礎上，允許主體對安全域內客體進行讀寫。

以上幾條規(guī)則只涉及安全域內部讀寫規(guī)則，當需要實現安全域間訪問時，需要結合規(guī)則1進行控制，對于安全域間的訪問控制，既要考慮到主體自身的權限要求，也要考慮到安全域之間的規(guī)則控制和系統(tǒng)監(jiān)管因素，只有經過配置的安全策略實施后，才能允許實現域間的訪問。

規(guī)則3安全域間管理規(guī)則：安全域級別可分為父域和子域兩類，子域繼承父域的域內資源，但采取獨立的安全策略機制管理，父域通過為子域配置相應的安全策略實現子域對父域資源的安全訪問，保障父域自身的數據完整性和安全性。在父域和子域同時管理同一資源時，父域具有優(yōu)先級（安全策略進行特殊配置除外）。管理規(guī)則的實施，在便于調用資源的同時，實現了資源的共享和優(yōu)化，也一定程度上防止了資源共享可能產生的沖突和安全患。

3結束語

最小特權原則和權值分離原則作為安全操作系統(tǒng)的基礎原則的內容，能夠有效地應用于空管信息系統(tǒng)超級用戶權限分離問題，該文提出的MSA管理機制，通過管理權限的劃分、管理員主體安全域的歸屬和相關資源類型的劃定，有效降低了管理員誤操作、黑客入侵等可能帶來的對系統(tǒng)的破壞。在MSA管理機制的基礎上，安全域的引入和資源類型的劃分，有效地阻隔了各安全域間信息和資源的流動，阻止了惡意信息流的傳遞，增強了空管信息系統(tǒng)的安全。該文下一階段將把安全域之間的流動控制作為下一步的研究重點，進一步進行開展，力圖實現對空管信息安全的不斷強化。

參考文獻：

[1]張德銀,劉連忠.多安全域下訪問控制模型研究[J].計算機應用,2008,28(3):633-636.

[2]付長勝,肖儂,趙英杰.基于協(xié)商的跨社區(qū)訪問的動態(tài)角色轉換機制[J].軟件學報,2008,10(19):2754-2761.

[3]段立娟,劉燕,沈昌祥.一種多安全域支持的管理機制[J].北京工業(yè)大學學報,2011,37(4):609-613.

[4]周偉.機場信息化規(guī)劃研究及應用[J].科技創(chuàng)新導報,2008(21).

第8篇

我國未來電網發(fā)展形態(tài)具有高比例間歇式清潔能源大范圍消納，與周邊國家聯(lián)網構建全球能源互聯(lián)網以及會大量應用VSC電壓源換相直流輸電等特征，交直流電網相互影響的動態(tài)響應速度加快。要滿足大電網安全穩(wěn)定需求，重要的基礎是建設發(fā)展控制保護專用信息通信網（ControlandProtectionDedicatedNetwork，CPDN）（簡稱控制保護專網），實現大范圍多類型電網信息交互、融合。D-5000的WAMS系統(tǒng)因時滯長難以承擔控制的任務。控制保護專網信息中心級別按照信息中轉兩層架構，實現二次設備接入安全識別、信息流量控制、信息優(yōu)先級調度等功能?？刂票Ｗo專網原型系統(tǒng)已經在華中電網建成投運，新一代控制保護專網建成后，能夠實現控制與保護系統(tǒng)之間的信息交換，有利于相互之間協(xié)調；安控系統(tǒng)將具有感知電網運行趨勢的能力，有助于安全與效率之間的平衡；調度自動化業(yè)務遷移至控制保護專網后，性能指標將得到提升。控制保護專網的建設將是電網運行控制水平大幅提升的重要基礎。

關鍵詞：

全球能源互聯(lián)網；控制保護專網；信息轉運及控制；架構

引言

目前，我國電網已經到了非常特殊的發(fā)展時期，電網的特點和特征比較突出。同步電網裝機容量規(guī)模已經位居世界前列，最高電壓等級、最大輸電容量的特高壓交直流工程和電網已經建成投運多年，并初步形成特高壓交直流電網，同一送端電網、同一受端電網接入超/特高壓直流工程數量和容量規(guī)模在全球是獨一無二的[1]。不遠的將來，我國將首先推動“一帶一路”周邊國家電網互聯(lián)互通，進而實質性推動構建全球能源互聯(lián)網，因此需要更大范圍傳輸清潔綠色能源[2]。此外，我國電力行業(yè)工程師駕馭大電網安全穩(wěn)定可靠運行能力面臨著新的考驗，需要面對有挑戰(zhàn)性的新需求。

1電網發(fā)展控制特點及其對信息通信技術的需求分析

1.1高比例間歇式清潔能源發(fā)電是未來電網發(fā)展的主要形態(tài)，需要發(fā)展結合多源信息的新型運行控制技術

根據我國能源發(fā)展戰(zhàn)略行動計劃（2014年—2020年），風電重點規(guī)劃建設酒泉、蒙西、蒙東、冀北、吉林、黑龍江、山東、哈密、江蘇等9個大型現代風電基地，到2020年，風電裝機達到2億kW。風電裝機規(guī)模接近華北或華中或華東2016年電網裝機水平，華北、華中、華東、西北及東北電網消納風電比例約20%~30%。隨著中國經濟的持續(xù)增長，無論是從國內還是國外的視角來看，中國應對全球氣候變化責任壓力都在持續(xù)加大，高比例（10%~50%）風電、光伏等清潔能源消納是未來電網發(fā)展的主要形態(tài)[2]。風電、光伏等清潔能源發(fā)電具有間歇性、隨機性特點，風電發(fā)電負荷較大區(qū)間一般在后半夜，電網負荷處于低谷，在北方供暖期間熱電聯(lián)產機組以供熱定電模式為主，電網調峰調頻壓力巨大。電網調峰主要依據調度發(fā)電計劃曲線及依靠調度自動化AGC系統(tǒng)協(xié)調，調整常規(guī)發(fā)電機機組、抽蓄機組等出力，調整響應時間一般在分鐘級。電網調頻也是依靠常規(guī)發(fā)電機包括抽蓄機組，根據頻率偏差自動實現調速器及原動機系統(tǒng)的功率調整。依據儲能情況（如火電原動機壓力包、水電水頭）調整響應時間一般在秒級至數秒級甚至到分鐘級范圍。電網應對更高比例間歇式清潔能源發(fā)電的策略，一方面需要建設堅強的交直流混聯(lián)電網，包括發(fā)展配套的抽水蓄能及電化學儲能等大規(guī)模電量型儲能系統(tǒng)，為大規(guī)模、高比例間歇式清潔能源發(fā)電消納提供必要的物質基礎；另一方面，風電和光伏發(fā)電短期功率預測已基本實現大范圍應用，對于提高電網更高精度的發(fā)電調峰和調頻控制具有工程應用價值，結合大范圍采集電網實時運行狀態(tài)、物聯(lián)設備等多源信息的系統(tǒng)運行控制薄弱環(huán)節(jié)分析、調峰/調頻能力分析等技術，實現大規(guī)模風電、光伏發(fā)電場主動功率調整，提升整個電網的運行控制水平。

1.2特高壓直流送端同方向、受端同方向并以捆狀

輸電，需要發(fā)展利用多源信息的新型交直流混聯(lián)電網協(xié)調控制技術±800kV天山—中州特高壓工程額定輸送容量達800萬kW、輸電距離2191.5km，于2014年1月13日完成全部系統(tǒng)調試試驗并正式投運，是我國首個送端風電與火電以打捆配套建設電源方式并大規(guī)模遠距離送出工程[3]。2017—2018年，還將陸續(xù)投運以風電與火電以打捆配套建設電源方式的±800kV、800萬kW酒泉—湖南、1000萬kW錫盟—江蘇2條特高壓工程。預計到2020年，送端西北、華北、東北“三北”并且受端在華北~華中~華東方向的直流工程將達到20多回[4-5]。當前我國電網建設發(fā)展存在“強直弱交”現象，特高壓直流的建設投運速度遠遠超過特高壓交流，交流電網可能難以承受故障轉移功率沖擊或者難以為多回特高壓或超高壓常規(guī)直流電網換相換流器（LineCommutatedConverter，LCC）提供有效的電壓支撐，交流系統(tǒng)存在薄弱環(huán)節(jié)，還可能反過來限制特高壓直流輸送能力[6]。如2015年9月19日，錦蘇特高壓直流帶負荷540萬kW發(fā)生雙極閉鎖，造成華東電網頻率跌落至49.563Hz、越限持續(xù)207s，對電網安全穩(wěn)定造成嚴重影響[7]。為解決“強直弱交”問題并保障電網的安全可靠運行，一方面需要按照“強直強交”原則構建交直流協(xié)調發(fā)展交直流混聯(lián)特高壓電網；另一方面，客觀上電網已經形成送端同方向、受端同方向、直流落點密集多條直流捆狀群，可能影響的范圍更加嚴重，客觀上需要考慮利用多源信息，加強直流捆狀群與交流電網的協(xié)調控制能力，更好地應對大規(guī)模、高比例間歇式清潔能源大范圍消納。

1.3電力系統(tǒng)一次設備“電力電子化”特征發(fā)展趨勢明顯，需要發(fā)展與此相適應的快速安全穩(wěn)定控制技術

隨著大功率絕緣柵雙極型晶體管（InsulatedGateBipolarTransistor，IGBT）、脈寬調制（PulseWidthModulation，PWM）和多電平控制等技術的成熟，國內自換相的電壓源換流器（VoltageSourceConverter，VSC）直流實現了示范工程應用[8]。上海南匯、廣東南澳、浙江舟山等以電纜線路輸電形式的多端柔直工程已經建成投運，即將規(guī)劃建設渝鄂±500kV背靠背柔直工程，以及以架空線路輸電形式的±500kV張北柔直電網科技示范工程，工程計劃于2018年前后建成投運。張北柔直電網工程將重點示范的安全穩(wěn)定控制關鍵技術主要有：純風電和光伏發(fā)電系統(tǒng)并且無常規(guī)同步電源電網運行控制技術，直流電網與落點交流電網有功功率和頻率類、無功功率和電壓類的協(xié)調控制技術，以及直流電網與風電、光伏、抽水蓄能等多能源發(fā)電協(xié)調控制技術等。LCC常規(guī)直流采用晶閘管只能控制導通而不能控制關斷，通過控制觸發(fā)角實現直流電壓一個維度調整控制；VSC直流采用基于IGBT和與之反并聯(lián)二極管組成基本模塊的核心部分，可控制導通和關斷，進行2個有功類和無功類維度調整控制[9]。因此VSC柔直的動態(tài)響應比常規(guī)直流響應更快，柔直電網可控制的目標也隨著節(jié)點規(guī)模的增加而增加。為充分利用柔直電網“電力電子化”特征明顯的快速響應性能，需要依靠控制信號傳輸時滯小、容量大、覆蓋范圍廣的信息通信處理技術，利用風電和光伏發(fā)電短期功率預測、D-5000調度自動化、交直流電網實時運行狀態(tài)數據等多源信息，滿足柔直電網與交流系統(tǒng)間多元化控制的需求和多目標控制可能需要協(xié)調的需求，也可以適應未來電網高比例間歇式清潔能源發(fā)電大范圍消納的需求[10]。

2與安全穩(wěn)定分析控制業(yè)務相關的信息通信技術發(fā)展現狀

從大電網安全穩(wěn)定計算分析和控制的角度來看，信息通信技術涉及安全穩(wěn)定控制專用通道、調度自動化D-5000平臺SCADA/EMS系統(tǒng)和WAMS系統(tǒng)，以及智能變電站網絡系統(tǒng)。

2.1電網安全穩(wěn)定控制信息通信專用通道

采用專用信息傳輸時滯小，數據傳輸可靠性較高。即使在信息通信通道檢修情況下通道也能夠實現“一主一備”模式運行，能夠在300ms內實現從信號觸發(fā)、處理到安全穩(wěn)定控制裝置動作完畢全過程[11]。安控系統(tǒng)對于電網的安全穩(wěn)定運行發(fā)揮了重要作用，目前已經投運的安控系統(tǒng)相互間并沒有信息交互，處于信息孤島狀態(tài)，適應未來電網多目標、多約束條件下安全穩(wěn)定控制的壓力較大。

2.2調度自動化網

SCADA系統(tǒng)承擔EMS調度自動化系統(tǒng)重要數據采集等任務，基本理念是假設系統(tǒng)運行狀態(tài)在分鐘級范圍內變化不大。調度自動化系統(tǒng)的安全穩(wěn)定計算分析功能是EMS高級應用系統(tǒng)中近幾年逐步接近于成熟的業(yè)務，是調度運行人員了解和掌握電網安全穩(wěn)定特性的重要手段之一。面向安全穩(wěn)定分析業(yè)務的優(yōu)點及不足分別表現在以下幾方面。優(yōu)點：計算分析所需數據量豐富，潮流計算所需的電源開機、電網一次設備投運狀態(tài)及變電站負荷等電網結構和電網運行狀態(tài)等主網信息均能夠提供，基本可以滿足計算分析業(yè)務需要。不足：難以實現安控裝置動作邏輯模擬功能，原因是廠家多、裝置量大而廣，接口很難接入在線安全分析系統(tǒng)，較難實現實時校核安控策略對當前狀態(tài)適應性的功能。WAMS系統(tǒng)包括PMU裝置已經廣泛應用于電力系統(tǒng)，應用最多的是系統(tǒng)運行狀態(tài)監(jiān)測和記錄、故障錄波；其次是用于基于實時量測數據的電網運行軌跡分析，如小干擾穩(wěn)定分析和擾動源定位等功能。基于WAMS系統(tǒng)的穩(wěn)定控制理論上研究的較多，用于安全穩(wěn)定實際控制的成功案例幾乎沒有，究其原因首先是用于控制的信息傳輸機制欠缺，在建設設計階段沒有提出應用于控制的需求以及欠缺大量控制信息傳輸時如何處理的方法，WAMS系統(tǒng)只是定位于錄波和數據存儲，其正常運行時時滯可能很小，但通信鏈路檢修狀態(tài)下時滯可能長達數秒級，難以滿足安全穩(wěn)定控制信息對時滯、通道可靠性等方面的要求；其次是采用IP尋址技術，大量信息時存在網絡阻塞問題。

2.3智能變電站

智能變電站發(fā)展的驅動力之一來自設備層面，節(jié)約人力和物力資源以及環(huán)境資源，提升變電站運行效率。與以模擬量量測信號為特征的常規(guī)變電站相比較，智能變電站信息化、網絡化程度較高，變電器、開關等一次設備和電力系統(tǒng)自動控制裝置二次設備狀態(tài)參數和運行數據可采集、匯總的信息倍增，變電站包括自動控制、運維效率等業(yè)務在內的運行水平顯著提升。從大電網安全穩(wěn)定控制的角度來看，雖然智能變電站可以利用的信息容易獲得、控制輸出也更易實現，智能變電站的控制對象為變壓器抽頭調整等站內慢速過程的調整、低頻/低壓減載等電網安全穩(wěn)定第三道防線設備的控制對信息通信時間響應性能要求不高。但電網安全穩(wěn)定第一和第二道防線，對信息通信時間響應性能要求較高。智能變電站如果緊急控制期間出現網絡阻塞或丟包等問題，將增加信息通信時延，對穩(wěn)定控制效果不利[12]。

2.4控制保護專網原型系統(tǒng)建設經驗教訓和分析

國家863計劃“提升電網安全穩(wěn)定和運行效率的柔性控制技術”課題研究了大電網智能柔性控制系統(tǒng)，在華中電網成功進行了示范應用以及長期運行，華中跨區(qū)交直流協(xié)調控制系統(tǒng)工程具備9回直流和交流系統(tǒng)共70個信號的協(xié)調處理能力，除具備直流緊急功率控制功能外，還具備直流功率調制和直流阻尼調制等功能，驗證了基于多源信息中轉調度模式的跨區(qū)協(xié)調控制工程實施可行性，提升了電網運行效率和安全穩(wěn)定水平[11]。圖1為示范工程控制保護專網原型系統(tǒng)，站間流向為信息通道。在示范工程實施過程中的經驗教訓為：WAMS系統(tǒng)信息傳輸時滯長，難以滿足廣域控制對信息高速、可靠傳輸的要求；控制用信息通信系統(tǒng)多采用點對點形式，未實現信息聯(lián)網，信息難以實現共享、利用率低；控制信息與調度數據網彼此孤立，難以實現聯(lián)動。信息化是智能電網發(fā)展的重要特征之一，在配用電側尤為重要，主網具備多源數據融合、滿足多業(yè)務實時數據傳輸需求的信息通信系統(tǒng)是實現大電網智能分析與廣域協(xié)調控制的基礎。隨著國家能源戰(zhàn)略對特高壓交直流發(fā)展計劃中“四交、四直”的落實，大規(guī)模新能源基地及其送出工程的投入建成，以“三華”電網為中心的特高壓交直流混聯(lián)電網的“強直弱交”特征更為突出，大電網的安全、高效運行需要以更為靈活、可靠、高速的信息通信體系為基礎的安全穩(wěn)定分析及控制系統(tǒng)作為必要的保障。必須研究基于廣域多源數據實時中轉處理的穩(wěn)定控制信息通信體系架構及具有可操作性的構建方案和運行控制措施，滿足安全穩(wěn)定控制實時性和可靠性的要求，解決不同安控系統(tǒng)信息的“孤島”問題、原有WAMS系統(tǒng)時延至少數秒和難以承載海量實時信息傳輸問題以及連鎖故障防御仍處于被動防御狀態(tài)等難題。安控、WAMS、智能變電站及控制保護專網穩(wěn)定控制性能和功能拓展性能比較如表1所示。

2.5控制保護專網實現思路及核心功能要點

從以上分析可以看出，與安全穩(wěn)定分析控制相關的信息通信業(yè)務雖然能夠滿足當前電網的需要，但難以滿足未來電網的需要，有必要建成面向電網安全穩(wěn)定業(yè)務需要的控制保護專網?？刂票Ｗo專網的建設要點是：實現信息通信流可管、可控，并可以管理安全穩(wěn)定控制類設備的自動接入身份識別。從帶寬及利用率、業(yè)務承載能力等方面來看，SDH/MSTP業(yè)務小范圍用于安全穩(wěn)定分析控制已是成熟技術，但用于應對大范圍、大容量安全穩(wěn)定控制信息交換其承載能力壓力較大。需要考慮采用PTN技術，設備帶寬達到1000M和10G，業(yè)務承載性能更好，實際成熟時應考慮優(yōu)先采用[12]。此外，對于輸電距離達到數千km或者對于通信時滯敏感場景，可以考慮載波通信技術，類似于股票信息交換技術也可利用，大量信息同時觸發(fā)，可靠性也較高。

3控制保護專網關鍵支撐技術及應用前景

3.1關鍵技術

從未來適應高比例清潔能源消納的電網發(fā)展形態(tài)以及電網安全穩(wěn)定協(xié)調控制的需求分析，未來電網需要發(fā)展?jié)M足安全控制大范圍信息交換、捆狀多換流站間協(xié)調控制等方面的技術，發(fā)展基于控制保護專網的跨區(qū)大容量輸電交直流電網協(xié)調控制技術，核心是實現原有安全穩(wěn)定控制專網、調度自動化網、站域網等信通網的安全穩(wěn)定控制保護業(yè)務數據融合，特征是具備信息傳輸通道和信息流的“調度”管控能力、管控多廠家信通和安控以及監(jiān)測設備的標準化接入，適應我國電力市場化復雜運行條件、大范圍和高比例間歇式清潔能源消納等背景下的安全穩(wěn)定分析與控制業(yè)務發(fā)展需要。主要關鍵支撐技術體現在以下幾方面。

1）控制保護專網信息通信通道架構和信息管控及設備研制。主要研究建設控制保護專網組網技術路線及技術經濟比較，制定控制保護專網安全防護、信息交換標準，研發(fā)信息通信硬件管控平臺（核心芯片）、軟件管控平臺，研制適應控制保護業(yè)務數據轉發(fā)模式的信通設備。

2）基于控制保護專網的交直流協(xié)調控制技術研究。研發(fā)適應更多直流信息交互、具備連續(xù)換相失敗防御的交直流協(xié)調控制方法；借鑒運行方式計算數據安排的思路，研究結合實時信息等多源信息的跨區(qū)輸電穩(wěn)定特性、安控策略校核方法；研究基于多源信息的連鎖故障主動防御技術，包括聯(lián)絡線振蕩中心廣域快解和振蕩軌跡預測解列技術。

3）基于控制保護專網的安全穩(wěn)定控制關鍵設備研制。研制監(jiān)測與控制一體化設備，監(jiān)測設備支持控制信號、支持物聯(lián)設備信息處理、支持電磁暫態(tài)記錄、支持控制設備自適應模塊化接入，解決在役PMU錄波性能不一致、對控制支撐薄弱問題；研制能夠遠程維護、支持多源信息接入的安控裝置；研究與直流、安控設備信息交互的接入技術標準。

4）研發(fā)支撐全球能源互聯(lián)網格局的信息通信架構及設備研制。研發(fā)支撐多業(yè)務并且信息安全符合防護要求的大容量、高性能信息通信技術，研制自適應安全身份識別和辨識等關鍵設備，突破PTN技術瓶頸。

3.2應用前景

控制保護專網建成后，能夠實現控制與保護系統(tǒng)之間的信息交換，有利于相互之間協(xié)調；安控系統(tǒng)將具有感知電網運行趨勢的能力，有助于安全與效率之間的平衡；調度自動化業(yè)務遷移至控制保護專網后，在線安全分析等高級應用數據質量等性能指標將得到提升；安控裝置動作邏輯實現聯(lián)網后將能夠實現安控策略實時分析校核；交直流協(xié)調控制系統(tǒng)將具備更廣域的控制能力，能夠實現直流送端與受端聯(lián)合多回直流相繼長時間換相失敗的交直流系統(tǒng)主動防御，控制保護專網應用前景廣闊。

4結語

基于國家863計劃項目配套跨區(qū)交直流協(xié)調控制示范工程成功經驗，為適應我國未來電網發(fā)展形態(tài)以及全球能源互聯(lián)網建設發(fā)展需求，提出了發(fā)展廣域交直流協(xié)調控制技術的思路，重點建設控制保護專網，重點研發(fā)接入控制保護專網的新型安控裝備和信通管控平臺和設備，同時也需要實現針對跨區(qū)輸電結合多源信息分析和控制技術上的突破。實現故障跨區(qū)影響傳導的預防性協(xié)調控制，是一種適應于大電網發(fā)展趨勢的跨換代技術，對于安全穩(wěn)定控制保護技術的發(fā)展具有重大影響和示范作用。

參考文獻：

[1]劉振亞.特高壓直流輸電理論[M].北京:中國電力出版社,2009.

[2]劉振亞.全球能源互聯(lián)網[M].北京:中國電力出版社,2015.

[3]楊萬開,印永華,曾南超,等.天高壓直流輸電工程系統(tǒng)試驗方案[J].電網技術,2015,39(2):349-355.

[4]國家電網公司.國家電網公司“十三五”電網發(fā)展規(guī)劃[R].2015.

[5]周孝信.2015年“二〇八”科學會議:我國西部直流輸電網組網形態(tài)研究[R].北京:中國電力科學研究院,2015.

[6]湯涌,郭強,周勤勇,等.特高壓同步電網安全性論證[J].電網技術,2016,40(1):97-104.

[7]劉開俊.關于“十三五”電網規(guī)劃若干重大問題的思考[EB/OL].

[8]湯廣福,羅湘,魏曉光.多端直流輸電與直流電網技術[J].中國電機工程學報,2013,33(10):8-10.

[9]徐政.柔性直流輸電系統(tǒng)[M].北京:機械工業(yè)出版社,2012.

[10]卜廣全.2014年“二〇八”科學會議:適應更高比例新能源接入的大電網安全穩(wěn)定控制的一些想法[R].北京:中國電力科學研究院,2014.

[11]郭劍波,卜廣全,趙兵,等.提升電網安全穩(wěn)定和運行效率的柔性控制技術[R].2014.

第9篇

關鍵詞：鐵路信號；故障-安全；措施

中圖分類號： F530.32 文獻標識碼： A 文章編號：

所謂“故障—安全”，是指當設備發(fā)生故障的時候，在設備出現動作以后應當是安全的。也就是說，不管設備發(fā)生什么樣的故障，在故障發(fā)生以后，都應該設定一個保證安全的輸出信號，這種系統(tǒng)我們叫做“故障—安全”系統(tǒng)，簡稱“FSS”。

1 信號系統(tǒng)的“FSS”保障措施

1.1 傳統(tǒng)鐵路信號控制系統(tǒng)的“FSS”設計

為了實現”故障—安全”，鐵路信號控制系統(tǒng)在設計時，采取了多項安全控制措施：

1.1.1機械控制手段上，大多利用重力向下的原理，保證安全。如過去應用的臂板信號機，利用重錘控制臂板動作，當傳導拉力的導線或拉桿折斷時，靠重錘的重力使臂板保持水平狀態(tài)，指示列車停車，從而實現”故障—安全”。

1.1.2廣泛應用的繼電控制，采用非對稱的安全型繼電器。信號控制電路所用的繼電器為安全型繼電器，保證繼電器故障落下的概率遠遠大于故障吸起的概率。電路設計時，采用安全對應原則，用繼電器的吸起狀態(tài)對應設備的危險側，而用繼電器的落下狀態(tài)對應設備的安全側。例如在信號點燈控制電路中，用列車信號繼電器（LXJ）吸起接點控制允許燈光（綠燈或黃燈）點亮，而用列車信號繼電器的落下接點控制紅燈點亮，當發(fā)生故障使列車信號繼電器落下時，信號顯示紅燈，指示列車停車，從而實現了繼電電路的”故障—安全”。

圖1 “FSS”系統(tǒng)繼電電路

1.2 現代鐵路信號控制系統(tǒng)的“FSS”控制

以現代集成電子電路和信息技術為核心的鐵路信號控制系統(tǒng)，通過軟件和硬件冗余的方式，實現“FSS”，下面是幾種常用的“FSS”控制方式。

1.2.1 安全性冗余結構

圖2 安全性冗余結構

如圖2，模塊A和模塊B經與門輸出，兩個模塊同步工作，只有兩個模塊輸出一致才能使系統(tǒng)輸出，如果有一個模塊故障，系統(tǒng)將不能輸出正常結果，從而發(fā)現故障，停止輸出危險側的執(zhí)行信息。由于兩個模塊發(fā)生相同的故障而產生相同的錯誤結果的概率很小，這樣提高了系統(tǒng)工作的安全性，減少了危險側輸出的概率。

1.2.2 靜態(tài)多元控制

靜態(tài)“FSS”輸入接口電路如圖3所示，一個采集條件（GJ）同時由多個光電耦合采集單元同時采集，送入計算機。當采集條件接通時，各單元輸出均為高電平，計算機收到代碼為1111；當采集條件斷開時，各單元輸出均為低電平，計算機收到代碼為0000。計算機對四個碼元進行邏輯“與”的運算，結果為“1”時證明采集條件接通（危險側），結果為“0”，證明采集條件斷開（危險側）。顯然當采集條件斷開而電路發(fā)生故障時，運算的結果為“0”的概率遠遠大于運算結果為“1”的概率，實現了“故障-安全”。

圖3 靜態(tài)多元控制

1.2.3 動態(tài)閉環(huán)控制

圖4 動態(tài)閉環(huán)控制電路

動態(tài)“FSS”輸入接口的電路形式如圖4所示，由計算機輸出口控制的光電耦合管G2輸出側與采集輸入口的光電耦合管G1輸入側串聯(lián)。在采集條件接通時，由計算機輸出的脈沖序列，會返回到計算機的輸入端，即用動態(tài)脈沖作為危險側信息；采集條件斷開時，計算機輸入口收到穩(wěn)定的低電平（0）；當電路任何一點發(fā)生斷線或混線故障時。計算機輸入端必然收到穩(wěn)定的電平（1或0），將穩(wěn)定的1或0均作為安全側信息處理。

動態(tài)輸出驅動電路則采用輸出動態(tài)脈沖作為控制信息。只有動態(tài)信息才能驅動執(zhí)行繼電器吸起，靜態(tài)電平驅動無效。輸出代碼還要回讀到計算機。當計算機“死機”或輸出電路故障時，計算機不能連續(xù)輸出動態(tài)信息，執(zhí)行繼電器不吸，設備不會錯誤動作。

實際上，動態(tài)輸入或輸出電路是一個閉環(huán)控制系統(tǒng)，它是通過計算機校驗輸入或輸出代碼是否畸變來判斷電路是否故障。這種動態(tài)閉環(huán)控制，以動態(tài)信息對應危險側，以靜態(tài)信息對應安全側，當電路發(fā)生故障，只能產生靜態(tài)信息，從而實現“FSS”。

2 提高現代鐵路信號控制系統(tǒng)安全性的探討

隨著鐵路運輸車流密度的加大和列車運行速度的提高，鐵路信號自動控制系統(tǒng)越來越復雜，現代鐵路信號控制已有傳統(tǒng)的機電控制變?yōu)榧詣涌刂?、機電一體化、網絡通信、信息處理為一體的綜合控制系統(tǒng)。但是無論系統(tǒng)如何復雜，都應嚴格保證實現”故障—安全”。

2.1 采用綜合安全性冗余方式保證列車運行安全

高速鐵路的信號控制設備，主要包括車站聯(lián)鎖控制系統(tǒng)、區(qū)間閉塞控制系統(tǒng)、調度集中（CTC）控制系統(tǒng)、列車運行控制系統(tǒng)等，各系統(tǒng)之間即相對獨立，又相互聯(lián)系。為了保證列車運行安全，應設計綜合上述各系統(tǒng)的安全性冗余環(huán)節(jié)，如圖5所示，只有各子系統(tǒng)均輸出指示列車正常運行的命令，列車才能正常運行。當任一子系統(tǒng)輸出要求列車“減速或停車”的安全側信息時，綜合控制系統(tǒng)都能輸出使列車“減速或停車”的控制命令，防止“故障—危險”。

圖5 高速鐵路“FSS”綜合系統(tǒng)

2.2 增加“丟車”檢查功能，防止故障—危險

“7.23”大事故是由于前方運行的列車占用信息被覆蓋，即發(fā)生了“丟車”才造成了后續(xù)列車追尾。實際在線路上運行的列車，不可能丟失，出清一個區(qū)段，必然已進入另一區(qū)段。如果出現“丟車”或“飛車”信息，一定是設備發(fā)生了故障。因此，在各控制系統(tǒng)中應增加“丟車”檢查功能，一旦發(fā)現“丟車”，應立即使綜合系統(tǒng)輸出后續(xù)列車“緊急制動”信息，以保證后續(xù)列車的運行安全。

2.3 增加機頭和列尾防護設備，防止列車沖突

鐵路運輸盡管有一套功能完善、性能可靠的信號控制系統(tǒng)，但歷史上不止一次發(fā)生了列車追尾甚至正面沖突的重大事故。如果在現有信號控制系統(tǒng)之外，在列車頭部和尾部增加一套防護設備，當兩車之間的距離小于“安全距離”時，通過無線設備或通過鋼軌直接向前后運行的列車分別發(fā)送 “相撞危險”的信息。相鄰列車接收后，立即報警和緊急制動，這是避免列車沖突的最好方法。當然這種防護設備要考慮防止干擾，需要認真研究和實驗。現有條件下,即使在列車尾部增加傳輸距離較遠的監(jiān)視設備或者特殊顏色燈光閃光提示，也能減少列車沖突事故的發(fā)生。

2.4 提高系統(tǒng)可靠性，減少危險故障發(fā)生

相對鐵路運輸而言，航空運輸“故障—危險”的概率更大，但飛機發(fā)生“危險失效”的概率極低,主要原因在機采用“多個發(fā)動機”等措施，使系統(tǒng)運行的可靠性遠遠高于其他運輸方式，從而也提高了運輸的安全性。

鐵路信號控制設備雖然在車站聯(lián)鎖等系統(tǒng)中采用了多套冗余設備，但為了提高鐵路運輸的安全性，還應在區(qū)間閉塞、調度集中（CTC）、列車運行控制等系統(tǒng)中增加冗余設備，以保證發(fā)生故障后，能夠通過自動切換等方式正常運行，以減少系統(tǒng)發(fā)生故障失效的概率。

3結語

總之，“故障—安全”是鐵路信號控制系統(tǒng)應嚴格遵循的重要原則，任何高科技的設備，發(fā)生任何故障時，都應確保安全，否則再先進的技術設備也不會有生命力。

參考文獻

[1] 何文卿.車站信號自動控制.北京：中國鐵道出版社，1980.

[2] 林瑜筠.鐵路信號基礎.北京：中國鐵道出版社，2006.