引言：易發(fā)表網(wǎng)憑借豐富的文秘實(shí)踐，為您精心挑選了九篇控制系統(tǒng)信息安全范例。如需獲取更多原創(chuàng)內(nèi)容，可隨時(shí)聯(lián)系我們的客服老師。

第1篇

 

一、2015年工控安全漏洞與安全事件依然突出

 

通過對(duì)國家信息安全漏洞庫(CNNVD)的數(shù)據(jù)進(jìn)行分析，2015年工控安全漏洞呈現(xiàn)以下幾個(gè)特點(diǎn)：

 

1.工控安全漏洞披露數(shù)量居高不下，總體呈遞增趨勢(shì)。受2010年“震網(wǎng)病毒”事件影響，工控信息安全迅速成為安全領(lǐng)域的焦點(diǎn)。國內(nèi)外掀起針對(duì)工控安全漏洞的研究熱潮，因此自2010年以后工控漏洞披露數(shù)量激增，占全部數(shù)量的96%以上。隨著國內(nèi)外對(duì)工控安全的研究逐漸深入，以及工控漏洞的公開披露開始逐漸制度化、規(guī)范化，近幾年漏洞披露數(shù)量趨于穩(wěn)定。

 

2.工控核心硬件漏洞數(shù)量增長明顯。盡管在當(dāng)前已披露的工控系統(tǒng)漏洞中軟件漏洞數(shù)量仍高居首位，但近幾年工控硬件漏洞數(shù)量增長明顯，所占比例有顯著提高。例如，2010年工控硬件漏洞占比不足10%，但是2015年其占比高達(dá)37.5%。其中，工控硬件包括可編程邏輯控制器(PLC)、遠(yuǎn)程終端單元(RTU)、智能儀表設(shè)備(IED)及離散控制系統(tǒng)(DCS)等。

 

3.漏洞已覆蓋工控系統(tǒng)主要組件，主流工控廠商無一幸免。無論是國外工控廠商(如西門子、施耐德、羅克韋爾等)還是國內(nèi)工控廠商(研華)，其產(chǎn)品普遍存在安全漏洞，且許多漏洞很難修補(bǔ)。在2015年新披露的工控漏洞中，西門子、施耐德、羅克韋爾、霍尼韋爾產(chǎn)品的漏洞數(shù)量分列前四位。

 

二、工控信息安全標(biāo)準(zhǔn)需求強(qiáng)烈，標(biāo)準(zhǔn)制定工作正全面推進(jìn)

 

盡管工控信息安全問題已得到世界各國普遍重視，但在工業(yè)生產(chǎn)環(huán)境中如何落實(shí)信息安全管理和技術(shù)卻沒有切實(shí)可行的方法，工控信息安全防護(hù)面臨著“無章可循”，工控信息安全標(biāo)準(zhǔn)已迫在眉睫。當(dāng)前，無論是國外還是國內(nèi)，工控信息安全標(biāo)準(zhǔn)的需求非常強(qiáng)烈，標(biāo)準(zhǔn)制定工作也如火如荼在開展，但工控系統(tǒng)的特殊性導(dǎo)致目前工控安全技術(shù)和管理仍處探索階段，目前絕大多數(shù)標(biāo)準(zhǔn)正處于草案或征求意見階段，而且在設(shè)計(jì)思路上存在較為明顯的差異，這充分反映了目前不同人員對(duì)工控信息安全標(biāo)準(zhǔn)認(rèn)識(shí)的不同，因此工控信息安全標(biāo)準(zhǔn)的制定與落地任重道遠(yuǎn)。

 

1.國外工控信息安全標(biāo)準(zhǔn)建設(shè)概況

 

IEC 62443(工業(yè)自動(dòng)化控制系統(tǒng)信息安全)標(biāo)準(zhǔn)是當(dāng)前國際最主要的工控信息安全標(biāo)準(zhǔn)，起始于2005年，但至今標(biāo)準(zhǔn)制定工作仍未結(jié)束，特別是在涉及到系統(tǒng)及產(chǎn)品的具體技術(shù)要求方面尚有一段時(shí)日。

 

此外，美國在工控信息安全標(biāo)準(zhǔn)方面也在不斷推進(jìn)。其國家標(biāo)準(zhǔn)技術(shù)研究院NIST早在2010年了《工業(yè)控制系統(tǒng)安全指南》(NIST SP800-82)，并2014年了修訂版2，對(duì)其控制和控制基線進(jìn)行了調(diào)整，增加了專門針對(duì)工控系統(tǒng)的補(bǔ)充指南。在奧巴馬政府美國總統(tǒng)第13636號(hào)行政令《提高關(guān)鍵基礎(chǔ)設(shè)計(jì)網(wǎng)絡(luò)安全》后，NIST也隨即了《關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全框架》，提出“識(shí)別保護(hù)檢測響應(yīng)恢復(fù)”的總體框架。

 

2.國內(nèi)工控信息安全標(biāo)準(zhǔn)建設(shè)概況

 

在國內(nèi)，兩個(gè)標(biāo)準(zhǔn)化技術(shù)委員會(huì)都在制定工控信息安全標(biāo)準(zhǔn)工作，分別是：全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)(SAC/TC260)，以及全國工業(yè)過程測量與控制標(biāo)準(zhǔn)化技術(shù)委員會(huì)(SAC/TC 124)。

 

其中，由TC260委員會(huì)組織制定的《工業(yè)控制系統(tǒng)現(xiàn)場測控設(shè)備安全功能要求》和《工業(yè)控制系統(tǒng)安全控制應(yīng)用指南》處于報(bào)批稿階段，《工業(yè)控制系統(tǒng)安全管理基本要求》、《工業(yè)控制系統(tǒng)安全檢查指南》、《工業(yè)控制系統(tǒng)風(fēng)險(xiǎn)影響等級(jí)劃分規(guī)范》、《工業(yè)控制系統(tǒng)安全防護(hù)技術(shù)要求和測試評(píng)價(jià)方法》和《安全可控信息系統(tǒng)(電力系統(tǒng))安全指標(biāo)體系》正在制定過程中，并且在2015年新啟動(dòng)了《工業(yè)控制系統(tǒng)產(chǎn)品信息安全通用評(píng)估準(zhǔn)則》、《工業(yè)控制系統(tǒng)漏洞檢測技術(shù)要求》、《工業(yè)控制系統(tǒng)網(wǎng)絡(luò)監(jiān)測安全技術(shù)要求和測試評(píng)價(jià)方法》、《工業(yè)控制網(wǎng)絡(luò)安全隔離與信息交換系統(tǒng)安全技術(shù)要求》、《工業(yè)控制系統(tǒng)網(wǎng)絡(luò)審計(jì)產(chǎn)品安全技術(shù)要求》、《工業(yè)控制系統(tǒng)風(fēng)險(xiǎn)評(píng)估實(shí)施指南》等標(biāo)準(zhǔn)研制工作。

 

TC124委員會(huì)組織制定的工控信息安全標(biāo)準(zhǔn)工作也在如火如荼進(jìn)行。2014年12月，TC124委員會(huì)了《工業(yè)控制系統(tǒng)信息安全》(GB/T 30976-2014)，包括兩個(gè)部分內(nèi)容：評(píng)估規(guī)范和驗(yàn)收規(guī)范。另外，TC124委員會(huì)等同采用了IEC 62443中的部分標(biāo)準(zhǔn)，包括《工業(yè)通信網(wǎng)絡(luò)網(wǎng)絡(luò)和系統(tǒng)安全術(shù)語、概念和模型》(JB/T 11961-2014，等同采用IEC/TS 62443-1-1：2009)、《工業(yè)過程測量和控制安全網(wǎng)絡(luò)和系統(tǒng)安全》(JB/T 11960-2014，等同采用IEC PAS 62443-3：2008)、《工業(yè)通信網(wǎng)絡(luò)網(wǎng)絡(luò)和系統(tǒng)工業(yè)自動(dòng)化和控制系統(tǒng)信息安全技術(shù)》(JB/T 11962-2014，等同采用IEC/TR 62443-3-1：2009)，此外對(duì)IEC62443-2-1：2010標(biāo)準(zhǔn)轉(zhuǎn)標(biāo)工作已經(jīng)進(jìn)入報(bào)批稿階段，并正在計(jì)劃對(duì)IEC 62443-3-3：2013進(jìn)行轉(zhuǎn)標(biāo)工作。除此之外，TC124委員會(huì)組織制定的集散控制系統(tǒng)(DCS)安全系列標(biāo)準(zhǔn)和可編程控制器(PLC)安全要求標(biāo)準(zhǔn)也已經(jīng)進(jìn)入征求意見稿后期階段。

 

由于不同行業(yè)的工業(yè)控制系統(tǒng)差異很大，因此我國部分行業(yè)已經(jīng)制定或正在研究制定適合自身行業(yè)特點(diǎn)的工控信息安全標(biāo)準(zhǔn)。2014年，國家發(fā)改委了第14號(hào)令《電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定》，取代原先的《電力二次系統(tǒng)安全防護(hù)規(guī)定》(電監(jiān)會(huì)[2005]5號(hào))，以此作為電力監(jiān)控系統(tǒng)信息安全防護(hù)的指導(dǎo)依據(jù)，同時(shí)原有配套的防護(hù)方案也進(jìn)行了相應(yīng)的更新。在城市軌道交通領(lǐng)域，上海申通地鐵集團(tuán)有限公司2013年了《上海軌道交通信息安全技術(shù)架構(gòu)》(滬地鐵信[2013]222號(hào)文)，并在2015年以222號(hào)文為指導(dǎo)文件了企業(yè)標(biāo)準(zhǔn)《軌道交通信息安全技術(shù)建設(shè)指導(dǎo)意見》(2015，試行)。同時(shí)，北京市軌道交通設(shè)計(jì)研究院有限公司于2015年?duì)款^擬制國家標(biāo)準(zhǔn)草案《城市軌道交通工業(yè)控制系統(tǒng)信息安全要求》。在石油化工領(lǐng)域，2015年由石化盈科牽頭擬制《中石化工業(yè)控制系統(tǒng)信息安全要求》等。

 

三、工控安全防護(hù)技術(shù)正迅速發(fā)展并在局部開始試點(diǎn)，但離大規(guī)模部署和應(yīng)用有一定差距

 

當(dāng)前許多信息安全廠商和工控自動(dòng)化廠商紛紛研究工業(yè)控制系統(tǒng)的信息安全防護(hù)技術(shù)并開發(fā)相應(yīng)產(chǎn)品，近幾年出現(xiàn)了一系列諸如工控防火墻、工控異常監(jiān)測系統(tǒng)、主機(jī)防護(hù)軟件等產(chǎn)品并在部分企業(yè)進(jìn)行試點(diǎn)應(yīng)用。比較有代表性的工控安全防護(hù)產(chǎn)品及特點(diǎn)如下：

 

1.工控防火墻 防火墻是目前網(wǎng)絡(luò)邊界上最常用的一種安全防護(hù)設(shè)備，主要功能包括訪問控制、地址轉(zhuǎn)換、應(yīng)用、帶寬和流量控制等。相對(duì)于傳統(tǒng)的IT防火墻，工控防火墻不但需要對(duì)TCP/IP協(xié)議進(jìn)行安全過濾，更需要對(duì)工控應(yīng)用層協(xié)議進(jìn)行深度解析和安全過濾，如OPC、Modbus TCP、EtherNet/IP、DNP3、S7、Profinet、FINS等。只有做到工控應(yīng)用層協(xié)議的深度檢測，包括控制指令識(shí)別、操作地址和操作參數(shù)提取等，才能真正阻止那些不安全的控制指令及數(shù)據(jù)。

 

2.工控安全監(jiān)測系統(tǒng)我國現(xiàn)有工業(yè)控制系統(tǒng)網(wǎng)絡(luò)普遍呈現(xiàn)出“無縱深”、“無監(jiān)測”、“無防護(hù)”特點(diǎn)，工控安全監(jiān)測系統(tǒng)正是針對(duì)上述問題而快速發(fā)展起來的技術(shù)。它通過數(shù)據(jù)鏡像方式采集大量工控網(wǎng)絡(luò)數(shù)據(jù)并進(jìn)行分析，最終發(fā)現(xiàn)各種網(wǎng)絡(luò)異常行為、黑客攻擊線索等。利用該系統(tǒng)，相關(guān)人員能夠了解工控網(wǎng)絡(luò)實(shí)時(shí)通信狀況，及時(shí)發(fā)現(xiàn)潛在的攻擊前兆、病毒傳播痕跡以及各類網(wǎng)絡(luò)異常情況，同時(shí)，由于該系統(tǒng)是以“旁路”方式接入工控網(wǎng)絡(luò)中，不會(huì)對(duì)生產(chǎn)運(yùn)行造成不良影響，因此更容易在工控系統(tǒng)這種特殊環(huán)境下進(jìn)行部署和推廣。

 

3.主機(jī)防護(hù)產(chǎn)品在工業(yè)生產(chǎn)過程中，人員能夠通過工程師站或操作員站對(duì)PLC、DCS控制器等設(shè)備進(jìn)行控制，從而實(shí)現(xiàn)閥門關(guān)閉、執(zhí)行過程改變等操作。這些工程師站、操作員站等主機(jī)系統(tǒng)就變得十分重要，一旦出現(xiàn)問題，比如感染計(jì)算機(jī)病毒等，就會(huì)對(duì)正常生產(chǎn)造成較大影響。近年來發(fā)生的由于工程師站或操作員站感染計(jì)算機(jī)病毒最終導(dǎo)致控制通信中斷從而影響生產(chǎn)的報(bào)道屢見不鮮。加強(qiáng)這些重要主機(jī)系統(tǒng)的安全防護(hù)，尤其是病毒防護(hù)至關(guān)重要。但是，傳統(tǒng)的基于殺毒軟件的防護(hù)機(jī)制在工控系統(tǒng)中面臨著很多挑戰(zhàn)，其中最嚴(yán)重的就是在工控網(wǎng)絡(luò)這樣一個(gè)封閉的網(wǎng)絡(luò)環(huán)境中，殺毒軟件無法在線升級(jí)。另外，殺毒軟件對(duì)未知病毒、變異病毒也無能為力。在此情況下，基于白名單的防護(hù)技術(shù)開始出現(xiàn)。由于工控系統(tǒng)在建設(shè)完成投入運(yùn)行后，其系統(tǒng)將基本保持穩(wěn)定不變，應(yīng)用單一、規(guī)律性強(qiáng)，因而很容易獲得系統(tǒng)合法的“白名單”。通過這種方式就能夠發(fā)現(xiàn)由于感染病毒或者攻擊而產(chǎn)生的各種異常狀況。

 

4.移動(dòng)介質(zhì)管控技術(shù)在工控網(wǎng)絡(luò)中，由于工控系統(tǒng)故障進(jìn)行維修，或者由于工藝生產(chǎn)邏輯變更導(dǎo)致的工程邏輯控制程序的變更，需要在上位機(jī)插入U(xiǎn)盤等外來移動(dòng)介質(zhì)，這必然成為工控網(wǎng)絡(luò)的一個(gè)攻擊點(diǎn)。例如，伊朗“震網(wǎng)”病毒就是采用U盤擺渡方式，對(duì)上位機(jī)(即WinCC主機(jī))進(jìn)行了滲透攻擊，從而最終控制了西門子PLC，造成了伊朗核設(shè)施損壞的嚴(yán)重危害后果。針對(duì)上述情況，一些針對(duì)U盤管控的技術(shù)和原型產(chǎn)品開始出現(xiàn)，包括專用U盤安全防護(hù)工具、USB漏洞檢測工具等。

 

總之，針對(duì)工控系統(tǒng)安全防護(hù)需求及工控環(huán)境特點(diǎn)，許多防護(hù)技術(shù)和產(chǎn)品正在快速研發(fā)中，甚至在部分企業(yè)進(jìn)行試點(diǎn)應(yīng)用。但是，由于這些技術(shù)和產(chǎn)品在穩(wěn)定性、可靠性等方面還未經(jīng)嚴(yán)格考驗(yàn)，能否適用于工業(yè)環(huán)境的高溫、高濕、粉塵情況還未可知，再加上工控系統(tǒng)作為生產(chǎn)系統(tǒng)，一旦出現(xiàn)故障將會(huì)造成不可估量的財(cái)產(chǎn)損失甚至人員傷亡，用戶不敢冒然部署安全防護(hù)設(shè)備，因此目前還沒有行業(yè)大規(guī)模使用上述防護(hù)技術(shù)和產(chǎn)品。

 

四、主要對(duì)策建議

 

針對(duì)2015年工控信息安全總體情況，提出以下對(duì)策建議：

 

1.進(jìn)一步強(qiáng)化工控信息安全領(lǐng)導(dǎo)機(jī)構(gòu)，充分發(fā)揮組織管理職能。

 

2.對(duì)工控新建系統(tǒng)和存量系統(tǒng)進(jìn)行區(qū)別對(duì)待。對(duì)于工控新建系統(tǒng)而言，要將信息安全納入總體規(guī)劃中，從安全管理和安全技術(shù)兩方面著手提升新建系統(tǒng)的安全保障能力，對(duì)關(guān)鍵設(shè)備進(jìn)行安全選型，在系統(tǒng)上線運(yùn)行前進(jìn)行風(fēng)險(xiǎn)評(píng)估和滲透測試，及時(shí)發(fā)現(xiàn)安全漏洞并進(jìn)行修補(bǔ)，避免系統(tǒng)投入生產(chǎn)后無法“打補(bǔ)丁”的情況。對(duì)于大量存量系統(tǒng)而言，應(yīng)在不影響生產(chǎn)運(yùn)行的情況下，通過旁路安全監(jiān)測、外邊界保護(hù)等方式，形成基本的工控安全狀況監(jiān)測和取證分析能力，徹底扭轉(zhuǎn)現(xiàn)階段對(duì)工控網(wǎng)絡(luò)內(nèi)部狀況一無所知、面對(duì)工控病毒攻擊束手無策的局面。

 

3.大力推進(jìn)工控安全防護(hù)技術(shù)在實(shí)際應(yīng)用中“落地”，鼓勵(lì)主要工控行業(yè)用戶進(jìn)行試點(diǎn)應(yīng)用，并對(duì)那些實(shí)踐證明已經(jīng)成熟的技術(shù)和產(chǎn)品在全行業(yè)進(jìn)行推廣。

 

4.建立工控關(guān)鍵設(shè)備的安全測評(píng)機(jī)制，防止設(shè)備存在高危漏洞甚至是“后門”等重大隱患。

第2篇

關(guān)鍵詞：火電廠；控制系統(tǒng)；信息安全；策略

1我國工業(yè)控制系統(tǒng)信息安全發(fā)展態(tài)勢(shì)

從2011年底起，國家各部委了一系列關(guān)于工業(yè)控制系統(tǒng)信息安全的文件，把工控信息安全列為“事關(guān)經(jīng)濟(jì)發(fā)展、社會(huì)穩(wěn)定和國家安全”的重要戰(zhàn)略，受到國家層面的高度重視。在國家層面的推動(dòng)下，工控信息安全工作轟轟烈烈展開，大批行政指令以及標(biāo)準(zhǔn)應(yīng)運(yùn)而生；在行政和市場雙重動(dòng)力的推動(dòng)下，安全信息產(chǎn)業(yè)如雨后春筍般發(fā)展，工控信息安全產(chǎn)業(yè)聯(lián)盟迅速壯大。這種形勢(shì)下，我國電力、石化、鋼鐵等各大行業(yè)的集團(tuán)和公司面臨著如何迅速研究工控信息安全這個(gè)新課題，學(xué)習(xí)這一系列文件精神和標(biāo)準(zhǔn)，加強(qiáng)工控信息安全管理，研究采取恰當(dāng)?shù)男畔踩夹g(shù)措施等，積極穩(wěn)妥地把工控信息安全工作踏踏實(shí)實(shí)地開展起來這一系列緊迫任務(wù)。但是，當(dāng)前面臨的困難是，從事信息安全產(chǎn)業(yè)的公司大多不太熟悉特點(diǎn)各異的各行業(yè)工控系統(tǒng)，有時(shí)還不免把工控系統(tǒng)視作一個(gè)互聯(lián)網(wǎng)信息系統(tǒng)去思考和防護(hù),而從事工控系統(tǒng)應(yīng)用行業(yè)的人們大多還來不及了解信息安全技術(shù)，主導(dǎo)制定本行業(yè)的相關(guān)標(biāo)準(zhǔn)和本行業(yè)控制系統(tǒng)信息安全的工作策略，并推動(dòng)兩支力量的緊密配合。這正是當(dāng)前面臨的困境和作者力圖要與同仁們一起學(xué)習(xí)和探討的問題。

2從工控系統(tǒng)特點(diǎn)出發(fā)正確制定信息安全發(fā)展策略

火電廠控制系統(tǒng)與傳統(tǒng)信息系統(tǒng)相比，相對(duì)來說，與外部完全開放的互聯(lián)網(wǎng)聯(lián)系極少，分布地域有限，接觸人員較少，而對(duì)實(shí)時(shí)性、穩(wěn)定性和可靠性卻要求極高。這正是我們制定火電廠控制系統(tǒng)信息安全工作策略的基本出發(fā)點(diǎn)。為了形象起見，我們以人類抵抗疾病為例。人要不生病，一方面要自身強(qiáng)壯，不斷提高肌體的免疫系統(tǒng)和自修復(fù)能力；另一方面，要盡可能營造一個(gè)良好的外部環(huán)境（不要忽冷忽熱，空氣中污染物少，無彌漫的病菌和病毒）。人類積累了豐富的經(jīng)驗(yàn)，根據(jù)實(shí)際情況采取非常適當(dāng)?shù)谋Ｗo(hù)措施。例如，對(duì)于一般人來說，他們改變環(huán)境的可行性較差。因此，確保自身強(qiáng)壯以及發(fā)現(xiàn)病兆及時(shí)吃藥修復(fù)等是其保護(hù)自己的主要手段。但是，對(duì)于新生兒，因?yàn)樽陨砻庖呦到y(tǒng)還比較脆弱，短時(shí)間也不可能馬上提高。剛出生時(shí)醫(yī)生也有條件將其暫時(shí)置于無菌恒溫保護(hù)箱中哺養(yǎng)，以隔絕惡劣的環(huán)境。信息安全與人類抵抗病十分相似。對(duì)于一般互聯(lián)網(wǎng)信息系統(tǒng)，分布地域極廣，接觸人員多而雜，因此信息安全策略重點(diǎn)，除了在適當(dāng)?shù)攸c(diǎn)采取一些防火墻等隔離措施外，主要依靠提高自身健壯性，以及查殺病毒等措施防御信息安全。對(duì)于工控系統(tǒng)，特別是火電廠控制系統(tǒng)，它與外部互聯(lián)網(wǎng)聯(lián)系較少，分布地域有限，接觸人員較少。因此，對(duì)火電廠應(yīng)該首先把重點(diǎn)放在為控制系統(tǒng)營造一個(gè)良好環(huán)境上。也就是說，盡可能與充斥病毒和惡意攻擊的源泉隔離，包括從互聯(lián)網(wǎng)進(jìn)來的外部入侵，以及企業(yè)內(nèi)外人員從內(nèi)部的直接感染和入侵。前者可采取電力行業(yè)中證明行之有效的硬件網(wǎng)絡(luò)單向傳輸裝置（單向物理隔離裝置）等技術(shù)手段；后者則主要通過加強(qiáng)目前電廠內(nèi)比較忽視和薄弱的信息安全管理措施。火電廠控制系統(tǒng)采取這種信息安全策略可以達(dá)到事半功倍的效果。從當(dāng)前國內(nèi)外出現(xiàn)的不少工控系統(tǒng)遭受惡意攻擊和植入病毒導(dǎo)致的嚴(yán)重事故來看，幾乎大多數(shù)是沒有或者隔離措施非常薄弱經(jīng)互聯(lián)網(wǎng)端侵入，或者通過企業(yè)內(nèi)外人員從內(nèi)部直接植入病毒導(dǎo)致。當(dāng)然，我們不能忽視提高控制系統(tǒng)自身健壯性的各種努力和措施，以便萬一惡意攻擊和病毒侵入的情況下仍能萬無一失確保安全。但是，開展這方面工作，特別是在已經(jīng)投運(yùn)的控制系統(tǒng)上進(jìn)行這方面工作要特別慎重，這不僅因?yàn)檫@些工作代價(jià)較高，而且在當(dāng)前信息安全產(chǎn)業(yè)中不少公司還不太熟悉相關(guān)行業(yè)工控系統(tǒng)特點(diǎn)，有些產(chǎn)品在工控系統(tǒng)中應(yīng)用尚不成熟，而火電廠控制系統(tǒng)廠家對(duì)自身產(chǎn)品信息安全狀態(tài)研究剛剛開始，或者由于種種原因沒有介入和積極配合的情況下風(fēng)險(xiǎn)較高。這不是聳人聽聞，實(shí)踐已經(jīng)發(fā)生，有的電廠為此已經(jīng)付出了DCS停擺，機(jī)組誤跳的事故代價(jià)。

3火電廠控制系統(tǒng)供應(yīng)側(cè)和應(yīng)用側(cè)兩個(gè)信息安全戰(zhàn)場的不同策略及相互協(xié)調(diào)

火電廠控制系統(tǒng)，主要是DCS，不僅是保證功能安全的基礎(chǔ)，也是提高自身健壯性，確保信息安全的關(guān)鍵，它包括供應(yīng)側(cè)和應(yīng)用側(cè)兩個(gè)信息安全戰(zhàn)場。在DCS供應(yīng)側(cè)提高自身健壯性，并通過驗(yàn)收測收，確保系統(tǒng)信息安全有許多明顯的優(yōu)點(diǎn)。它可以非常協(xié)調(diào)地融入信息安全策略，可以離線進(jìn)行危險(xiǎn)性較大的滲透性測試，發(fā)現(xiàn)的漏洞對(duì)應(yīng)用其控制系統(tǒng)的電廠具有一定的通用性等。此外，DCS供應(yīng)側(cè)在提高信息安全方面積累的經(jīng)驗(yàn)和措施，培養(yǎng)起來的隊(duì)伍，也將有助于現(xiàn)有電廠DCS的測試評(píng)估，以及安全加固等直接升級(jí)服務(wù)或配合服務(wù)。與信息安全產(chǎn)業(yè)的公司提供服務(wù)擴(kuò)大了公司的市場不同，DCS供應(yīng)側(cè)提高其信息安全水平增加了DCS成本。因此，為了推動(dòng)DCS供應(yīng)側(cè)提高信息安全水平，除了目前已經(jīng)在發(fā)揮作用的行政手段外，我們還必須加強(qiáng)市場手段的動(dòng)力。為此，當(dāng)前我們電力行業(yè)應(yīng)盡快從信息安全角度著手制定DCS準(zhǔn)入標(biāo)準(zhǔn)，制定火電廠DCS信息安全技術(shù)標(biāo)準(zhǔn)和驗(yàn)收測試標(biāo)準(zhǔn)，以及招標(biāo)用典型技術(shù)規(guī)范書等。火電廠DCS應(yīng)用側(cè)，是當(dāng)前最緊迫面臨現(xiàn)實(shí)信息安全風(fēng)險(xiǎn)，而且范圍極廣的戰(zhàn)場，必須迅速有步驟地點(diǎn)面結(jié)合提高信息安全，降低風(fēng)險(xiǎn)。具體意見如下：

3.1應(yīng)迅速全面開展下列三方面工作

（1）全面核查DCS與SIS及互聯(lián)網(wǎng)間是否真正貫徹落實(shí)了發(fā)改委2014年14號(hào)令和國家能源局2015年36號(hào)文附件中關(guān)于配置單向物理隔離的規(guī)定，沒有加裝必須盡快配置，已配置的要檢查是否符合要求。（2）迅速按照《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》加強(qiáng)內(nèi)部安全管理，杜絕內(nèi)部和外部人員非法接近操作、介入或在現(xiàn)場總線及其它接入系統(tǒng)上偷掛攻擊設(shè)備等，并適度開展一些風(fēng)險(xiǎn)較小的安全測評(píng)項(xiàng)目。上述兩項(xiàng)工作，在已投運(yùn)系統(tǒng)上實(shí)施難度較低，實(shí)施風(fēng)險(xiǎn)相對(duì)較低，但是卻能起到抵御當(dāng)前大部分潛在病毒侵襲和惡意攻擊的風(fēng)險(xiǎn)。（3）通過試點(diǎn)，逐步開展對(duì)已運(yùn)DCS進(jìn)行較為深入的安全測評(píng)，適度增加信息安全技術(shù)措施，待取得經(jīng)驗(yàn)后，再組織力量全面推廣，把我國火電廠控制系統(tǒng)信息安全提高到一個(gè)新的水平。為了提高這項(xiàng)工作的總體效益，建議針對(duì)國內(nèi)火電廠應(yīng)用的各種型號(hào)的DCS品牌出發(fā)，各大電力集團(tuán)互相協(xié)調(diào)，統(tǒng)籌規(guī)劃，選擇十個(gè)左右試點(diǎn)電廠，由應(yīng)用單位上級(jí)領(lǐng)導(dǎo)組織，國家級(jí)或重點(diǎn)的測評(píng)機(jī)構(gòu)、實(shí)驗(yàn)室技術(shù)指導(dǎo)，相關(guān)DCS供應(yīng)商、優(yōu)秀信息安全產(chǎn)品生產(chǎn)商以及電廠負(fù)責(zé)DCS的工程師一起成立試點(diǎn)小組。這樣不僅可以融合DCS廠家的經(jīng)驗(yàn)，包括他們已經(jīng)開展的信息安全測評(píng)和信息安全加強(qiáng)措施，減少不必要的某些現(xiàn)場直接工作帶來的較大風(fēng)險(xiǎn)。也有利于當(dāng)前復(fù)合人才缺乏的情況下，確保工控系統(tǒng)技術(shù)和工控系統(tǒng)信息安全技術(shù)無縫融合，防止發(fā)生故障而影響安全生產(chǎn)（目前已經(jīng)有電廠在測試和加入安全措施導(dǎo)致DCS故障而停機(jī)的事件）。

4DCS信息安全若干具體問題的建議

4.1關(guān)于控制大區(qū)和管理大區(qū)隔離的問題

根據(jù)國家發(fā)改委2014年14號(hào)令頒發(fā)的《電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定》，以及國家能源局36號(hào)文附件《電力監(jiān)控系統(tǒng)安全防護(hù)總體方案》的要求：（1）生產(chǎn)拉制大區(qū)和管理信息大區(qū)之間通信應(yīng)當(dāng)部署專用橫向單向安全隔離裝置，是橫向防護(hù)的關(guān)鍵設(shè)備。（2）生產(chǎn)控制大區(qū)內(nèi)的控制區(qū)與非控制區(qū)之間應(yīng)當(dāng)采取具有訪問功能的設(shè)施，實(shí)現(xiàn)邏輯隔離。2016年修訂的電力行業(yè)標(biāo)準(zhǔn)《火電廠廠級(jí)監(jiān)控信息系統(tǒng)技術(shù)條件》（DL/T 924-2016）對(duì)隔離問題做了新的補(bǔ)充規(guī)定：（1）當(dāng)MIS網(wǎng)絡(luò)不與互聯(lián)網(wǎng)連接時(shí)，宜采用SIS與MIS共用同一網(wǎng)絡(luò)，在生產(chǎn)控制系統(tǒng)與SIS之間安裝硬件的網(wǎng)絡(luò)單向傳輸裝置（單向物理隔離裝置）。（2）當(dāng)MIS網(wǎng)絡(luò)與互聯(lián)網(wǎng)連接時(shí)，宜采用SIS網(wǎng)絡(luò)獨(dú)立于MIS網(wǎng)絡(luò)，并加裝硬件的網(wǎng)絡(luò)單向傳輸裝置（單向物理隔離裝置），而在生產(chǎn)控制系統(tǒng)與SIS之間安裝硬件防火墻隔離。根椐當(dāng)前嚴(yán)峻的網(wǎng)絡(luò)安全形勢(shì)，應(yīng)當(dāng)重新思考單向物理隔離裝置這個(gè)行之有效的關(guān)鍵安全措施的設(shè)置點(diǎn)問題。建議無論是剛才提到的哪一種情況，單向物理隔離裝置均應(yīng)設(shè)置在生產(chǎn)控制系統(tǒng)（DCS）與SIS之間，理由是：（1）生產(chǎn)控制系統(tǒng)（DCS）對(duì)電廠人身設(shè)備危害和社會(huì)影響極大，而且危險(xiǎn)事件瞬間爆發(fā)。因此，一定要把防控惡意操作、網(wǎng)絡(luò)攻擊和傳播病毒的區(qū)域限制在盡可能小的范圍內(nèi)，這樣可以最大限度提高電廠控制系統(tǒng)應(yīng)對(duì)網(wǎng)絡(luò)危害的能力。（2）SIS是全廠性的，涉及人員相對(duì)廣泛，跟每臺(tái)機(jī)組均有聯(lián)系。因此，一旦隔離屏障被攻破，故障將是全廠性的，事故危害面相對(duì)較大。

4.2DCS信息安全認(rèn)證和測試驗(yàn)收問題

火電廠在推廣應(yīng)用DCS的30年歷史中，從一開始就適時(shí)提出了供編制招標(biāo)技術(shù)規(guī)范書參考的典型技術(shù)規(guī)范書，進(jìn)而逐步形成了標(biāo)準(zhǔn)， 明確規(guī)定了功能規(guī)范、性能指標(biāo)以及驗(yàn)收測試等一系列要求。隨后又根據(jù)發(fā)展適時(shí)增加了對(duì)電磁兼容性和功能安全等級(jí)認(rèn)證的要求。當(dāng)前，為確保得到信息安全的DCS產(chǎn)品，歷史經(jīng)驗(yàn)可以借鑒。筆者認(rèn)為，宜首先對(duì)控制系統(tǒng)供應(yīng)側(cè)開展阿基里斯認(rèn)證（Achilles Communications Certification，簡稱ACC）作為當(dāng)前提高DCS信息安全的突破口。眾所周知，ACC已得到全球前十大自動(dòng)化公司中八個(gè)公司的確認(rèn)，并對(duì)其產(chǎn)品進(jìn)行認(rèn)證；工業(yè)領(lǐng)域眾多全球企業(yè)巨頭，均已對(duì)其產(chǎn)品供應(yīng)商提供的產(chǎn)品強(qiáng)制要求必須通過ACC認(rèn)證。目前，ACC事實(shí)上已成為國際上公認(rèn)的行業(yè)標(biāo)準(zhǔn)。國內(nèi)參與石化和電廠市場競爭的不少外國主流DCS均已通過了ACC一級(jí)認(rèn)證。至于國產(chǎn)主流DCS廠家，他們大多也看到了ACC認(rèn)證是進(jìn)入國際市場的門檻，也嗅到了國內(nèi)市場未來的傾向，都在積極為達(dá)到ACC一級(jí)認(rèn)證而努力（緊迫性程度明顯與行業(yè)客戶對(duì)ACC認(rèn)證緊迫性要求有關(guān)）。此外，我國也已建立了進(jìn)行測試認(rèn)證的合格機(jī)構(gòu)，具備了國內(nèi)就地認(rèn)證的條件。根據(jù)調(diào)查判斷，如果我們電力行業(yè)側(cè)開始編制技術(shù)規(guī)范書將ACC一級(jí)認(rèn)證納入要求，相信在行政推動(dòng)和市場促進(jìn)雙重動(dòng)力下，國產(chǎn)主流DCS在一年多時(shí)間內(nèi)通過ACC一級(jí)認(rèn)證是可以做到的。除ACC認(rèn)證外，如前所述，當(dāng)前還急需編制招標(biāo)用火電廠信息安全技術(shù)規(guī)范和驗(yàn)收測試標(biāo)準(zhǔn)，使用戶在采購時(shí)對(duì)其信息安全的保障有據(jù)可依。從源頭抓起，取得經(jīng)驗(yàn)，必將有利于在運(yùn)DCS信息安全工作，少走彎路。

5結(jié)語

第3篇

2013年以來，重鋼集團(tuán)作為重慶市的大型重工業(yè)企業(yè)工控信息安全試點(diǎn)，進(jìn)行了積極的探索和實(shí)踐。研究工控系統(tǒng)信息安全問題，制定工控系統(tǒng)信息安全實(shí)施指南，建立重鋼ICS工控信息安全的模擬試驗(yàn)中心，進(jìn)行控制系統(tǒng)信息安全的模擬試驗(yàn)，采取措施提高重鋼控制系統(tǒng)的安全防御能力，以保證重鋼集團(tuán)控制系統(tǒng)的信息安全和安全生產(chǎn)，盡到自己的社會(huì)責(zé)任。

1工控系統(tǒng)信息安全問題的由來

工業(yè)控制系統(tǒng)（industrycontrolsystem，以下簡稱ICS）信息安全問題的核心是通信協(xié)議缺陷問題。工控協(xié)議安全問題可分為兩類：

1.1ICS設(shè)計(jì)時(shí)固有的安全缺失

傳統(tǒng)的ICS采用專用的硬件、軟件和通信協(xié)議，設(shè)計(jì)上注重效率、實(shí)時(shí)性、可靠性，為此放棄了諸如認(rèn)證、授權(quán)和加密等需要附加開銷的安全特征和功能，一般采用封閉式的網(wǎng)絡(luò)架構(gòu)來保證系統(tǒng)安全。工業(yè)控制網(wǎng)的防護(hù)功能都很弱，幾乎沒有隔離功能。由于ICS的相對(duì)封閉性，一直不是網(wǎng)絡(luò)攻防研究關(guān)注的重點(diǎn)。

1.2ICS開放發(fā)展而繼承的安全缺失

目前，幾乎所有的ICS廠商都提出了企業(yè)全自動(dòng)化的解決方案，ICS通信協(xié)議已經(jīng)演化為在通用計(jì)算機(jī)\操作系統(tǒng)上實(shí)現(xiàn)，并運(yùn)行在工業(yè)以太網(wǎng)上，TCP/IP協(xié)議自身存在的安全問題不可避免地會(huì)影響到相應(yīng)的應(yīng)用層工控協(xié)議。潛在地將這些有漏洞的協(xié)議暴露給攻擊者。隨著工業(yè)信息化及物聯(lián)網(wǎng)技術(shù)的高速發(fā)展，企業(yè)自動(dòng)化、信息化聯(lián)網(wǎng)融合，以往相對(duì)封閉的ICS逐漸采用通用的通信協(xié)議、硬軟件系統(tǒng)，甚至可以通過實(shí)時(shí)數(shù)據(jù)采集網(wǎng)、MES、ERP網(wǎng)絡(luò)連接到企業(yè)OA及互聯(lián)網(wǎng)等公共網(wǎng)絡(luò)。傳統(tǒng)信息網(wǎng)絡(luò)所面臨的病毒、木馬、入侵攻擊、拒絕服務(wù)等安全威脅也正在向ICS擴(kuò)散。因此在ICS對(duì)企業(yè)信息化系統(tǒng)開放，使企業(yè)生產(chǎn)經(jīng)營獲取巨大好處的同時(shí)，也減弱了ICS與外界的隔離，“兩化融合”使ICS信息安全隱患問題日益嚴(yán)峻。

2重鋼ICS信息安全問題的探索

2.1重鋼企業(yè)系統(tǒng)架構(gòu)

重鋼新區(qū)的建設(shè)是以大幅提升工藝技術(shù)和控制、管理水平，以科技創(chuàng)新和裝備大型化推進(jìn)流程再造為依據(jù)，降本增效、節(jié)能減排為目的來完成的。各主要工藝環(huán)節(jié)、生產(chǎn)線都實(shí)現(xiàn)了全流程智能化管控。依據(jù)“產(chǎn)銷一體化”的思想，重鋼在各產(chǎn)線上集成,實(shí)現(xiàn)“兩化”深度融合，形成了一個(gè)龐大而復(fù)雜的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。

2.2生產(chǎn)管控系統(tǒng)分級(jí)

管控系統(tǒng)按控制功能和邏輯分為4級(jí)網(wǎng)絡(luò)：L4（企業(yè)資源計(jì)劃ERP）、L3（生產(chǎn)管理級(jí)MES）、L2（過程控制級(jí)PCS）、L1（基礎(chǔ)自動(dòng)化級(jí)BAS）。重鋼新區(qū)L1控制系統(tǒng)有：浙大中控、新華DCS、西門子PLC、GEPLC、MOX、施耐德和羅克威爾控制系統(tǒng)等。各主要生產(chǎn)環(huán)節(jié)L1獨(dú)立，L2互聯(lián)，L3和ERP是全流程整體構(gòu)建。

2.3重鋼企業(yè)網(wǎng)絡(luò)架

重鋼新區(qū)網(wǎng)絡(luò)系統(tǒng)共分為4個(gè)層次：Internet和專線區(qū)，主干網(wǎng)區(qū)域，服務(wù)器區(qū)域，L2/L3通信專網(wǎng)區(qū)。

（1）主干網(wǎng)區(qū)域包括全廠無線覆蓋（用于各網(wǎng)絡(luò)點(diǎn)的補(bǔ)充接入備用）和辦公終端接入，主干網(wǎng)區(qū)域與Internet和專線區(qū)之間通過防火墻隔離，并部署行為管理系統(tǒng)；

（2）主干網(wǎng)區(qū)域與服務(wù)器區(qū)域之間通過防火墻隔離；

（3）L2與L3之間由布置在L2網(wǎng)絡(luò)的防火墻和L3側(cè)的數(shù)據(jù)交換平臺(tái)隔離；

（4）L2和L1之間通過L2級(jí)主機(jī)雙網(wǎng)卡方式進(jìn)行邏輯隔離，各生產(chǎn)線L2和L1遍布整個(gè)新區(qū)，有多種控制系統(tǒng)。

（5）OA與ERP和MES服務(wù)器之間沒有隔離。在L2以下沒有防火墻，現(xiàn)有的安全措施不能保證ICS的安全。

2.4ICS安全漏洞

經(jīng)過分析討論，我們認(rèn)為重鋼管控系統(tǒng)ICS可能存在以下安全問題：

（1）通信協(xié)議漏洞基于TCP/IP的工業(yè)以太網(wǎng)、PROIBUS,MODBUS等總線通信協(xié)議，L1級(jí)與L2級(jí)之間通信采用的OPC協(xié)議，都有明顯的安全漏洞。

（2）操作系統(tǒng)漏洞：ICS的HMI上Windows操作系統(tǒng)補(bǔ)丁問題。

（3）安全策略和管理流程問題：安全策略與管理流程、人員信息安全意識(shí)缺乏，移動(dòng)設(shè)備的使用及不嚴(yán)格的訪問控制策略。

（4）殺毒軟件問題：由于殺毒軟件可能查殺ICS的部分軟件，且其病毒庫需要不定期的更新，故此，ICS操作站\工程師站基本未安裝殺毒軟件。

3重鋼工控系統(tǒng)信息安全措施

對(duì)重鋼來說，ICS信息安全性研究是一個(gè)新領(lǐng)域，對(duì)此，需要重點(diǎn)研究ICS自身的脆弱性（漏洞）情況及系統(tǒng)間通信規(guī)約的安全性問題，對(duì)ICS系統(tǒng)進(jìn)行安全測試，同時(shí)制定ICS的設(shè)備安全管理措施。

3.1制定ICS信息安全實(shí)施指南

根據(jù)國際行業(yè)標(biāo)準(zhǔn)ANSI/ISA-99及IT安防等級(jí)，重鋼與重慶郵電大學(xué)合作，制定出適合國內(nèi)實(shí)際的《工業(yè)控制系統(tǒng)信息安全實(shí)施指南》（草案）。指南就ICS和IT系統(tǒng)的差異，ICS系統(tǒng)潛在的脆弱性，風(fēng)險(xiǎn)因素，ICS網(wǎng)絡(luò)隔離技術(shù)，安全事故緣由，ICS系統(tǒng)安全程序開發(fā)與部署，管理控制，運(yùn)維控制，技術(shù)控制等多方面進(jìn)行具體的規(guī)范，并提出ICS的縱深防御戰(zhàn)略的主要規(guī)則。并提出ICS的縱深防御戰(zhàn)略的主要規(guī)則。ICS的縱深防御戰(zhàn)略：

（1）在ICS從應(yīng)用設(shè)計(jì)開始的整個(gè)生命周期內(nèi)解決安全問題；

（2）實(shí)施多層的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)；

（3）提供企業(yè)網(wǎng)和ICS的網(wǎng)絡(luò)邏輯隔離；

（4）ICS設(shè)備測試后封鎖未使用過的端口和服務(wù)，確保其不會(huì)影響ICS的運(yùn)行；

（5）限制物理訪問ICS網(wǎng)絡(luò)和設(shè)備；

（6）限制ICS用戶使用特權(quán)，(權(quán)、責(zé)、人對(duì)應(yīng)）；

（7）在ICS網(wǎng)絡(luò)和企業(yè)網(wǎng)絡(luò)分別使用單獨(dú)的身份驗(yàn)證機(jī)制；

（8）使用入侵檢測軟件、防病毒軟件等，實(shí)現(xiàn)防御工控系統(tǒng)中的入侵及破壞；

（9）在工控系統(tǒng)的數(shù)據(jù)存儲(chǔ)和通信中使用安全技術(shù)，例如加密技術(shù)；

（10）在安裝ICS之前，利用測試系統(tǒng)測試完所有補(bǔ)丁并盡快部署安全補(bǔ)丁；

（11）在工控系統(tǒng)的關(guān)鍵區(qū)域跟蹤和監(jiān)測審計(jì)蹤跡。

3.2建立重鋼ICS信息安全模擬試驗(yàn)中心

由于重鋼新區(qū)企業(yè)網(wǎng)絡(luò)架構(gòu)異常復(fù)雜，要解決信息安全問題，必須對(duì)企業(yè)網(wǎng)絡(luò)及ICS進(jìn)行信息安全測試，在此基礎(chǔ)上對(duì)系統(tǒng)進(jìn)行加固。為避免攻擊等測試手段對(duì)正在生產(chǎn)運(yùn)行的系統(tǒng)產(chǎn)生不可控制的惡劣影響，必須建立一個(gè)ICS信息安全的模擬試驗(yàn)中心。為此，采用模擬在線運(yùn)行的重鋼企業(yè)網(wǎng)絡(luò)的方式，構(gòu)建重鋼ICS信息安全的模擬試驗(yàn)中心。這個(gè)中心也是重鋼電子的軟件開發(fā)模擬平臺(tái)和信息安全攻防演練平臺(tái)。

3.3模擬系統(tǒng)信息安全的測試診斷

重鋼模擬系統(tǒng)安全測試，主要進(jìn)行漏洞檢測和滲透測試，形成ICS安全評(píng)估報(bào)告。重鋼ICS安全問題主要集中在安全管理、ICS與網(wǎng)絡(luò)系統(tǒng)三個(gè)方面，高危漏洞占很大比重。

（1）骨干網(wǎng)作為內(nèi)外網(wǎng)數(shù)據(jù)交換的節(jié)點(diǎn)，抗病毒能力弱、有明顯的攻擊路徑；

（2）生產(chǎn)管理系統(tǒng)中因?yàn)榫W(wǎng)絡(luò)架構(gòu)、程序設(shè)計(jì)和安全管理等方面的因素，存在諸多高風(fēng)險(xiǎn)安全漏洞；

（3）L1的PLC與監(jiān)控層之間無安全隔離，ICS與L2之間僅有雙網(wǎng)卡邏輯隔離，OA和ERP、MES的網(wǎng)絡(luò)拓?fù)錄]有分級(jí)和隔離。對(duì)外部攻擊沒有防御手段。雖然各部分ICS(L1）相對(duì)獨(dú)立，但整個(gè)系統(tǒng)還是存在諸多不安全風(fēng)險(xiǎn)因素，主要有系統(tǒng)層缺陷、滲透攻擊、緩沖區(qū)溢出、口令破解及接口、企業(yè)網(wǎng)內(nèi)部威脅五個(gè)方面。通過對(duì)安全測試結(jié)果進(jìn)行分析，我們認(rèn)為攻擊者最容易采用的攻擊途徑是：現(xiàn)場無線網(wǎng)絡(luò)、辦公網(wǎng)—HMI遠(yuǎn)程網(wǎng)頁—HMI服務(wù)器、U盤或筆記本電腦在ICS接入。病毒最容易侵入地方是：外網(wǎng)、所有操作終端、調(diào)試接入的筆記本電腦。

3.4提高重鋼管控系統(tǒng)安防能力的措施

在原有網(wǎng)絡(luò)安全防御的基礎(chǔ)上根據(jù)ICS信息安全的要求和模擬測試的結(jié)果，我們采取一系列措施來提高重鋼管控系統(tǒng)的措施。

3.5安全管理措施

參照《工業(yè)控制系統(tǒng)信息安全實(shí)施指南》（草案），修訂《重鋼股份公司計(jì)算機(jī)信息網(wǎng)絡(luò)管理制度》，針對(duì)內(nèi)部網(wǎng)絡(luò)容易出現(xiàn)的安全問題提出具體要求，重點(diǎn)突出網(wǎng)絡(luò)安全接入控制和資源共享規(guī)范；檢查所有ICS操作員\工程師站，封鎖USB口，重新清理所有終端，建立完整的操作權(quán)限和密碼體系。封鎖大部分骨干網(wǎng)區(qū)的無線接入，增加現(xiàn)場無線設(shè)備的加密級(jí)別。

3.6系統(tǒng)加固措施

3.6.1互聯(lián)網(wǎng)出口安全防護(hù)第一層：防火墻——在原來配置的防火墻上，清理端口，精確開放內(nèi)部服務(wù)器服務(wù)端口，限制主要網(wǎng)絡(luò)木馬病毒入侵端口通訊；第二層：行為管理系統(tǒng)——對(duì)內(nèi)外通訊的流量進(jìn)行整形和帶寬控制，控制互聯(lián)網(wǎng)訪問權(quán)限，減少非法的互聯(lián)網(wǎng)資源訪問，同時(shí)對(duì)敏感信息進(jìn)行控制和記錄；第三層：防病毒系統(tǒng)——部署瑞星防毒墻對(duì)進(jìn)出內(nèi)網(wǎng)的網(wǎng)絡(luò)流量進(jìn)行掃描過濾，查殺占據(jù)絕大部分的HTTP、FTP、SMTP等協(xié)議流量，凈化內(nèi)網(wǎng)網(wǎng)絡(luò)環(huán)境；

3.6.2內(nèi)網(wǎng)（以太網(wǎng)）安全部署企業(yè)版殺毒系統(tǒng)、EAD準(zhǔn)入控制系統(tǒng)(終端安裝)，進(jìn)行交換機(jī)加固，增加DHCP嗅探功能，拒絕非法DHCP服務(wù)器分配IP地址，廣播風(fēng)暴抑制。

3.6.3工業(yè)以太網(wǎng)安全L1級(jí)安全隔離應(yīng)考慮ICS的特點(diǎn)：

（1）PLC與監(jiān)控層及過程控制級(jí)一般采用OPC通訊，端口不固定。因此，安全隔離設(shè)備應(yīng)能進(jìn)行動(dòng)態(tài)端口監(jiān)控和防御。

（2）工控系統(tǒng)實(shí)時(shí)性高，要求通信速度快。因此，為保證所處理的流量較少，網(wǎng)絡(luò)延時(shí)小，實(shí)時(shí)性好，安全隔離設(shè)備應(yīng)布置在被保護(hù)設(shè)備的上游和控制網(wǎng)絡(luò)的邊緣。圖3安全防御技術(shù)措施實(shí)施簡圖經(jīng)過多方比較，現(xiàn)采用數(shù)據(jù)采集隔離平臺(tái)和智能保護(hù)平臺(tái)。在PLC采用終端保護(hù)，在L1監(jiān)控層實(shí)現(xiàn)L1區(qū)域保護(hù)，在PCS與MES、ERP和OA之間形成邊界保護(hù)。接著考慮增加L1外掛監(jiān)測審計(jì)平臺(tái)和漏洞挖掘檢測平臺(tái)。

3.6.4數(shù)據(jù)采集隔離平臺(tái)在L1的OPC服務(wù)器和實(shí)時(shí)數(shù)據(jù)庫采集站之間實(shí)現(xiàn)數(shù)據(jù)隔離，采用數(shù)據(jù)隔離網(wǎng)關(guān)+綜合管理平臺(tái)實(shí)現(xiàn)：動(dòng)態(tài)端口控制，白名單主動(dòng)防御，實(shí)時(shí)深度解析采集數(shù)據(jù)，實(shí)時(shí)報(bào)警阻斷。

3.6.5智能保護(hù)平臺(tái)快速識(shí)別ICS系統(tǒng)中的非法操作、異常事件及外部攻擊并及時(shí)告警和阻斷非法數(shù)據(jù)包。多重防御機(jī)制：將IP地址與MAC地址綁定，防止內(nèi)部IP地址被非法盜用；白名單防御機(jī)制：對(duì)網(wǎng)絡(luò)中所有不符合白名單的安全數(shù)據(jù)和行為特征進(jìn)行阻斷和告警，消除未知漏洞危害；黑名單防御機(jī)制：根據(jù)已知漏洞庫，對(duì)網(wǎng)絡(luò)中所有異常數(shù)據(jù)和行為進(jìn)行阻斷和告警，消除已知漏洞危害。邊界保護(hù)：布置在L1邊界，監(jiān)控L1網(wǎng)絡(luò)中的保護(hù)節(jié)點(diǎn)和網(wǎng)絡(luò)結(jié)構(gòu)，配置信息以及安全事件。區(qū)域保護(hù)：布置在L1級(jí)ICS內(nèi)部邊界，防御來自工業(yè)以太網(wǎng)以外及ICS內(nèi)部其他區(qū)域的威脅。終端保護(hù)：布置在終端節(jié)點(diǎn)，防御來自外部、內(nèi)部其他區(qū)域及終端的威脅。綜合管理平臺(tái)：通過對(duì)所在工控網(wǎng)絡(luò)環(huán)境的分析，自動(dòng)組合一套規(guī)則與策略的部署方案；可將合適的白名單規(guī)則與漏洞防護(hù)策略下發(fā)部署到不同的智能保護(hù)平臺(tái)。

4結(jié)束語

第4篇

工業(yè)以太網(wǎng)技術(shù)由于開放、靈活、高效、透明、標(biāo)準(zhǔn)化等特點(diǎn)，越來越多的在工控控制系統(tǒng)中得到廣泛應(yīng)用。隨著“兩化融合”和物聯(lián)網(wǎng)的普及，越來越多的信息技術(shù)應(yīng)用到了工業(yè)領(lǐng)域。目前，超過80%涉及國計(jì)民生的關(guān)鍵基礎(chǔ)設(shè)施依靠工業(yè)控制系統(tǒng)來實(shí)現(xiàn)自動(dòng)化控制作業(yè)，如：電力、水力、石化、交通運(yùn)輸、航空航天等工業(yè)控制系統(tǒng)的安全也直接關(guān)系到國家的戰(zhàn)略安全。2010年10月發(fā)生在伊朗核電站的“震網(wǎng)”（Stuxnet）病毒，為工業(yè)控制系統(tǒng)的信息安全敲響了警鐘。最近幾年，針對(duì)工業(yè)控制系統(tǒng)的信息安全攻擊事件成百倍的增長，引發(fā)了國家相關(guān)管理部門和企業(yè)用戶的高度重視。今年國家發(fā)改委公布的《2013年國家信息安全專項(xiàng)有關(guān)事項(xiàng)的通知》中，強(qiáng)調(diào)工業(yè)控制系統(tǒng)信息安全是國家重點(diǎn)支持的四大領(lǐng)域之一。2011年工信部451號(hào)文件《關(guān)于加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的通知》中更明確指出，有關(guān)國家大型企業(yè)要慎重選擇工業(yè)控制系統(tǒng)設(shè)備，確保產(chǎn)品安全可控。現(xiàn)在，國內(nèi)大型企業(yè)都把工業(yè)控制系統(tǒng)安全防護(hù)建設(shè)提上了日程。如何應(yīng)對(duì)工業(yè)控制系統(tǒng)的信息安全，是我們?cè)谛滦蝿?shì)下面臨的迫在眉睫需要解決的現(xiàn)實(shí)問題。

2企業(yè)信息安全現(xiàn)狀

目前，雖然國家和行業(yè)主管部門、國內(nèi)企業(yè)集團(tuán)等都開始重視工業(yè)控制系統(tǒng)的信息安全問題，并開始研究相應(yīng)的對(duì)策，但還面臨很多現(xiàn)實(shí)問題：（1）信息安全專責(zé)的缺失：國內(nèi)信息安全專門型人才比較缺失，很多企業(yè)甚至沒有專門負(fù)責(zé)信息安全的專員；（2）制度形式化：規(guī)范的管理制度作為工業(yè)控制系統(tǒng)信息安全的第一道“防火墻”，可以有效的防范最基礎(chǔ)的安全隱患，可是很多企業(yè)的管理制度并沒有真正落到實(shí)處，導(dǎo)致威脅工控系統(tǒng)信息安全的隱患長驅(qū)直入、如入無人之境進(jìn)入企業(yè)系統(tǒng)內(nèi)；（3）安全生產(chǎn)的矛盾現(xiàn)狀：保證工業(yè)企業(yè)安全生產(chǎn)和正常運(yùn)營是企業(yè)的首要目標(biāo)，而信息安全的解決方案部署又會(huì)影響到企業(yè)的正常運(yùn)營。因此，部分企業(yè)消極應(yīng)對(duì)信息安全的部署。

3常見的信息安全解決方案

面對(duì)工業(yè)控制系統(tǒng)的信息安全現(xiàn)狀，很多信息安全解決方案提供商提出了各自的安全策略，強(qiáng)調(diào)的是“自上而下”、注重“監(jiān)管”和“隔離”的安全策略。由于企業(yè)內(nèi)部產(chǎn)品、設(shè)備或資產(chǎn)繁多，產(chǎn)品供應(yīng)商較多，“監(jiān)管”系統(tǒng)無法“監(jiān)視和管理”企業(yè)內(nèi)部龐大的設(shè)備或資產(chǎn)，導(dǎo)致部分系統(tǒng)依然存在信息安全隱患。同時(shí)，這些解決方案部署時(shí)又面臨投資比較大，定制化程度比較高等缺點(diǎn)。有的企業(yè)通過在企業(yè)系統(tǒng)內(nèi)部部署“橫向分層、縱向分域、區(qū)域分等級(jí)”的安全策略，構(gòu)建“三層架構(gòu)，二層防護(hù)”的安全體系。這些解決方案又面臨著“安全區(qū)域”較大，無法避免系統(tǒng)內(nèi)部設(shè)備自身“帶病上崗”的現(xiàn)象發(fā)生。如何在企業(yè)內(nèi)部高效部署信息安全解決方案，同時(shí)又不影響系統(tǒng)的正常運(yùn)行，不增加企業(yè)的負(fù)擔(dān)，同時(shí)又不增加將來企業(yè)維護(hù)人員的工作量，降低對(duì)維護(hù)人員的能力等的過渡依賴，是企業(yè)部署信息安全解決方案時(shí)面臨的現(xiàn)實(shí)問題。

4符合國情的信息安全解決方案

針對(duì)這種現(xiàn)狀，施耐德電氣將原來“從上到下”的防御策略逐步完善為符合中國客戶實(shí)際應(yīng)用的、倡導(dǎo)以設(shè)備級(jí)防護(hù)優(yōu)先，兼顧系統(tǒng)級(jí)和管理級(jí)防護(hù)的“自下而上”的三級(jí)縱深防御策略。其中，設(shè)備級(jí)防護(hù)是整個(gè)安全防護(hù)策略的核心和基礎(chǔ)。

4.1設(shè)備級(jí)防護(hù)

企業(yè)內(nèi)部的系統(tǒng)從管理層、制造執(zhí)行層到工業(yè)控制層都是由不同的資產(chǎn)或者設(shè)備組成的，如果每個(gè)單體資產(chǎn)或者設(shè)備符合信息安全要求，做到防范基本的信息安全隱患。這些資產(chǎn)或者設(shè)備集成到企業(yè)系統(tǒng)中就可以避免“帶病上崗”的現(xiàn)象，作為信息安全防護(hù)體系的最后一道“防火墻”可以有效的防范針對(duì)這些設(shè)備或資產(chǎn)的各種安全威脅。施耐德電氣作為一家具有高度社會(huì)責(zé)任感的企業(yè)，積極推進(jìn)構(gòu)建安全、可靠的工業(yè)控制系統(tǒng)信息安全，率先在工業(yè)控制設(shè)備集成信息安全防護(hù)體系：（1）集成信息安全防護(hù)體系的昆騰PLC產(chǎn)品率先通過了國家權(quán)威信息安全測評(píng)機(jī)構(gòu)的雙重產(chǎn)品安全性檢測，成為首家也是目前唯一通過并獲得此類檢測認(rèn)可的PLC產(chǎn)品。在企業(yè)內(nèi)已經(jīng)運(yùn)行的昆騰PLC可以通過升級(jí)固件的方式達(dá)到信息安全要求，大大的減少了企業(yè)在部署信息安全過程中的資金投入，還可以減少對(duì)技術(shù)人員技能的要求；（2）SCADAPack控制器內(nèi)嵌的增強(qiáng)型安全性套件：IEEE1711加密和IEC62351認(rèn)證以及時(shí)標(biāo)等安全功能，最大化系統(tǒng)的安全性，確保遠(yuǎn)程通信鏈路不被惡意或其他通信網(wǎng)絡(luò)干擾破壞，有效的提升了信息安全功能；（3）針對(duì)所有的控制系統(tǒng)還可以采用軟件安全屬性的輔助設(shè)置功能，如增加訪問控制功能、增加審計(jì)和日志信息、增加用戶認(rèn)證和操作、采用增強(qiáng)型密碼等措施，增強(qiáng)和加固工業(yè)控制系統(tǒng)的信息安全功能。

4.2系統(tǒng)級(jí)防護(hù)

主要是通過優(yōu)化和重建系統(tǒng)架構(gòu)，提升控制系統(tǒng)網(wǎng)絡(luò)的可靠性和可用性，保證企業(yè)系統(tǒng)的“橫向”、“縱向”、“區(qū)域”間數(shù)據(jù)交互的安全性。（1）施耐德電氣的ConneXium系列工業(yè)級(jí)以太網(wǎng)交換機(jī)的MAC的地址綁定、VLAN區(qū)域劃分、數(shù)據(jù)包過濾、減少網(wǎng)絡(luò)風(fēng)暴等影響保證了工業(yè)控制系統(tǒng)網(wǎng)絡(luò)的可靠性和安全性；（2）ConneXium系列工業(yè)級(jí)防火墻產(chǎn)品可實(shí)現(xiàn)針對(duì)通用網(wǎng)絡(luò)服務(wù)、OPC通訊服務(wù)的安全防護(hù)之外，還可實(shí)現(xiàn)所有工業(yè)以太網(wǎng)協(xié)議的協(xié)議包解析，有效的防范了威脅工業(yè)控制系統(tǒng)的安全隱患。同時(shí)，軟件內(nèi)置的針對(duì)施耐德電氣所有PLC系列的安全策略組件以及模板模式大大增強(qiáng)了產(chǎn)品的可用性。

第5篇

（一）連接管理要求

1. 斷開工業(yè)控制系統(tǒng)同公共網(wǎng)絡(luò)之間的所有不必要連接。

2. 對(duì)確實(shí)需要的連接，系統(tǒng)運(yùn)營單位要逐一進(jìn)行登記，采取設(shè)置防火墻、單向隔離等措施加以防護(hù)，并定期進(jìn)行風(fēng)險(xiǎn)評(píng)估，不斷完善防范措施。

3. 嚴(yán)格控制在工業(yè)控制系統(tǒng)和公共網(wǎng)絡(luò)之間交叉使用移動(dòng)存儲(chǔ)介質(zhì)以及便攜式計(jì)算機(jī)。

（二）組網(wǎng)管理要求

1. 工業(yè)控制系統(tǒng)組網(wǎng)時(shí)要同步規(guī)劃、同步建設(shè)、同步運(yùn)行安全防護(hù)措施。

2. 采取虛擬專用網(wǎng)絡(luò)（VPN）、線路冗余備份、數(shù)據(jù)加密等措施，加強(qiáng)對(duì)關(guān)鍵工業(yè)控制系統(tǒng)遠(yuǎn)程通信的保護(hù)。

3. 對(duì)無線組網(wǎng)采取嚴(yán)格的身份認(rèn)證、安全監(jiān)測等防護(hù)措施，防止經(jīng)無線網(wǎng)絡(luò)進(jìn)行惡意入侵，尤其要防止通過侵入遠(yuǎn)程終端單元（RTU）進(jìn)而控制部分或整個(gè)工業(yè)控制系統(tǒng)。

（三）配置管理要求

1. 建立控制服務(wù)器等工業(yè)控制系統(tǒng)關(guān)鍵設(shè)備安全配置和審計(jì)制度。

2. 嚴(yán)格賬戶管理，根據(jù)工作需要合理分類設(shè)置賬戶權(quán)限。

3. 嚴(yán)格口令管理，及時(shí)更改產(chǎn)品安裝時(shí)的預(yù)設(shè)口令，杜絕弱口令、空口令。

4. 定期對(duì)賬戶、口令、端口、服務(wù)等進(jìn)行檢查，及時(shí)清理不必要的用戶和管理員賬戶，停止無用的后臺(tái)程序和進(jìn)程，關(guān)閉無關(guān)的端口和服務(wù)。

（四）設(shè)備選擇與升級(jí)管理要求

1. 慎重選擇工業(yè)控制系統(tǒng)設(shè)備，在供貨合同中或以其他方式明確供應(yīng)商應(yīng)承擔(dān)的信息安全責(zé)任和義務(wù)，確保產(chǎn)品安全可控。

2. 加強(qiáng)對(duì)技術(shù)服務(wù)的信息安全管理，在安全得不到保證的情況下禁止采取遠(yuǎn)程在線服務(wù)。

3. 密切關(guān)注產(chǎn)品漏洞和補(bǔ)丁，嚴(yán)格軟件升級(jí)、補(bǔ)丁安裝管理，嚴(yán)防病毒、木馬等惡意代碼侵入。關(guān)鍵工業(yè)控制系統(tǒng)軟件升級(jí)、補(bǔ)丁安裝前要請(qǐng)專業(yè)技術(shù)機(jī)構(gòu)進(jìn)行安全評(píng)估和驗(yàn)證。

（五）數(shù)據(jù)管理要求

地理、礦產(chǎn)、原材料等國家基礎(chǔ)數(shù)據(jù)以及其他重要敏感數(shù)據(jù)的采集、傳輸、存儲(chǔ)、利用等，要采取訪問權(quán)限控制、數(shù)據(jù)加密、安全審計(jì)、災(zāi)難備份等措施加以保護(hù)，切實(shí)維護(hù)個(gè)人權(quán)益、企業(yè)利益和國家信息資源安全。

第6篇

關(guān)鍵詞 DCS控制系統(tǒng)；EPA；信號(hào)分配器；信息安全

中圖分類號(hào)：TP273 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1671-7597（2013）14-0067-02

為了實(shí)現(xiàn)能源的合理利用，達(dá)到“節(jié)能減排”的目標(biāo)，一家化工企業(yè)決定實(shí)施“各車間能源數(shù)據(jù)采集管理系統(tǒng)”，這家企業(yè)各生產(chǎn)車間原先都各自裝有“分布式控制系統(tǒng)（DCS）”，用于車間生產(chǎn)過程控制，車間能源消耗數(shù)據(jù)也存在于DCS控制系統(tǒng)中，如何能實(shí)現(xiàn)各車間能源數(shù)據(jù)的自動(dòng)采集，形成工廠級(jí)的能源管理系統(tǒng)，又能保障分布式控制系統(tǒng)（DCS）的信息安全，經(jīng)過慎重考慮，提出了2個(gè)實(shí)施方案。

1 基于DCS系統(tǒng)上的能源數(shù)據(jù)自動(dòng)采集方案比較

方案一：把各車間DCS系統(tǒng)作為能源數(shù)據(jù)管理系統(tǒng)的數(shù)據(jù)采集站，每個(gè)數(shù)據(jù)采集站通過OPC協(xié)議單向向PIMS服務(wù)器傳送能源數(shù)據(jù)，PIMS服務(wù)器對(duì)傳送上來的數(shù)據(jù)進(jìn)行二次處理，制作成用戶需要的能源界面、形成報(bào)表、以及實(shí)現(xiàn)設(shè)備管理等功能，經(jīng)硬件防火墻隔離將能源管理界面、數(shù)據(jù)以WEB形式向局域網(wǎng)絡(luò)。系統(tǒng)結(jié)構(gòu)如圖1所示。

方案二：為了徹底杜絕DCS操作站被網(wǎng)絡(luò)病毒侵?jǐn)_的隱患，將能源數(shù)據(jù)采集系統(tǒng)完全獨(dú)立于DCS系統(tǒng)。能源數(shù)據(jù)采集系統(tǒng)由“浙江中控”領(lǐng)銜制定的EPA現(xiàn)場總線標(biāo)準(zhǔn)產(chǎn)品實(shí)現(xiàn)。

1）在原有車間的DCS系統(tǒng)中將能源測點(diǎn)經(jīng)信號(hào)分配器一分為二，一路進(jìn)入車間DCS，實(shí)現(xiàn)車間生產(chǎn)管理的需要，另外一路進(jìn)入EPA總線系統(tǒng)進(jìn)行數(shù)據(jù)集中管理。

2）EPA系統(tǒng)各控制柜安裝24 V開關(guān)電源，光纖環(huán)網(wǎng)交換機(jī)，以及EPA系列模塊。

3）整個(gè)EPA系統(tǒng)采用光纖環(huán)網(wǎng)冗余的方式，任何一處斷開，均不影響整個(gè)系統(tǒng)的正常運(yùn)行。

4）為保證數(shù)據(jù)的安全，除了各服務(wù)器安裝殺毒軟件之外，在PIMS服務(wù)器和Internet之間設(shè)立一道硬件防火墻。即便防火墻失效，各服務(wù)器被病毒感染，由于DCS與能源管理系統(tǒng)完全獨(dú)立，病毒絲毫不會(huì)影響到車間DCS的運(yùn)作，各能源點(diǎn)在DCS操作站正常顯示及控制。系統(tǒng)結(jié)構(gòu)如圖2所示。

綜合比較，方案二能使車間分布式控制系統(tǒng)（DCS）與Internet之間完全獨(dú)立，可靠性更高，所以選擇方案二。

2 工業(yè)控制系統(tǒng)終端信息安全管理的方法

上述方案二最大的優(yōu)點(diǎn)在于使車間分布式控制系統(tǒng)（DCS）與Internet之間完全獨(dú)立，使工業(yè)控制系統(tǒng)規(guī)避了網(wǎng)絡(luò)安全的問題，只要針對(duì)做好工業(yè)控制終端（DCS）的安全管理，系統(tǒng)安全性就能得到保障，主要的安全措施有以下幾點(diǎn)。

1）不輕易對(duì)操作系統(tǒng)安裝補(bǔ)丁。由于考慮到工控軟件與操作系統(tǒng)補(bǔ)丁兼容性的問題，系統(tǒng)開車后一般不針對(duì)Windows平臺(tái)打補(bǔ)丁。

2）不安裝殺毒軟件。用于生產(chǎn)控制系統(tǒng)的Windows操作系統(tǒng)基于工控軟件與殺毒軟件的兼容性的考慮，通常不安裝殺毒軟件，給病毒與惡意代碼傳染與擴(kuò)散留下了空間。

3）加強(qiáng)對(duì)使用U盤、光盤的專項(xiàng)管理。由于在工控系統(tǒng)中不輕易對(duì)操作系統(tǒng)安裝補(bǔ)丁和安裝殺毒軟件，工控系統(tǒng)對(duì)病毒的防護(hù)能力很薄弱，必須對(duì)U盤和光盤使用進(jìn)行有效的管理。光盤，規(guī)定除本系統(tǒng)的安裝光盤外，不允許使用其他類光盤；U盤，一般在程序更新和維護(hù)過程中要使用到，首先保證U盤的專項(xiàng)使用，規(guī)定U盤每次使用前要經(jīng)過嚴(yán)格的病毒查殺，并且要有書面記錄和登記。

4）杜絕其他筆記本電腦的接入。工業(yè)控制系統(tǒng)的管理維護(hù)，沒有到達(dá)一定安全基線的筆記本電腦接入工業(yè)控制系統(tǒng)，會(huì)對(duì)工業(yè)控制系統(tǒng)的安全造成很大的威脅，所以要杜絕

接入。

5）定期檢查工業(yè)控制系統(tǒng)控制終端、服務(wù)器、網(wǎng)絡(luò)設(shè)備的運(yùn)行情況。對(duì)工業(yè)控制系統(tǒng)中IT基礎(chǔ)設(shè)施的運(yùn)行狀態(tài)進(jìn)行監(jiān)控，是工業(yè)工控系統(tǒng)穩(wěn)定運(yùn)行的基礎(chǔ)。

6）加強(qiáng)身份認(rèn)證管理，控制系統(tǒng)進(jìn)行安全登錄和操作的用戶分級(jí)進(jìn)行管理，分為觀察員、操作員、系統(tǒng)工程師這3個(gè)不同級(jí)別，觀察員只允許觀看系統(tǒng)畫面，不能輸入任何的操作指令；操作員，具有日常生產(chǎn)的操作權(quán)限；系統(tǒng)工程師的權(quán)限最高，能進(jìn)入或退出工控運(yùn)行軟件，能進(jìn)行程序編寫和變更。

7）對(duì)工業(yè)控制系統(tǒng)的外設(shè)進(jìn)行管理，比如USB接口、光驅(qū)、網(wǎng)卡、串口等，對(duì)時(shí)貼上封條，每次系統(tǒng)工程師進(jìn)行維護(hù)操作時(shí)，拆下封條要進(jìn)行審批和登記。

3 結(jié)束語

國內(nèi)外發(fā)生了多起由于工控系統(tǒng)安全問題而造成的生產(chǎn)安全事故。最鮮活的例子就是2010年10月發(fā)生在伊朗布什爾核電站的“震網(wǎng)”（Stuxnet）病毒，為整個(gè)工業(yè)生產(chǎn)控制系統(tǒng)安全敲響了警鐘。

本文根據(jù)工業(yè)控制系統(tǒng)安全防護(hù)的特點(diǎn)，針對(duì)工業(yè)控制系統(tǒng)（DCS）與能源管理系統(tǒng)（EPA），通過信號(hào)分配器連接的獨(dú)特模式，建立了相對(duì)獨(dú)立、又能信號(hào)傳輸?shù)陌踩w系架構(gòu)，并通過工業(yè)控制系統(tǒng)終端安全管理措施，有效地保證了這種基于DCS系統(tǒng)上的能源數(shù)據(jù)自動(dòng)采集系統(tǒng)的可靠、安全運(yùn)行。

參考文獻(xiàn)

第7篇

關(guān)鍵詞：空管信息化；安全域；權(quán)值劃分；信息安全

中圖分類號(hào)：TP393文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1009-3044(2012)10-2222-03

Researches on Security Domain Distribution of ATC Information system

HAN Xuan-zong

(Bureau of Guizhou air Traffic Management, Guiyang 550012, China)

Abstract: This paper is based on the basic concept of information security, which give a MSA security domain allocate system to resolve privates distribute problem in these construction of air traffic management information system and security domain system, It has an effective solution to coordination of various administrator and collaboration between security domains and information circulation, It also strengthen the ATC Security ability.

Key words: ATC information; security domain; private allocate; information security

空中交通管制作為LRI(Life related industry)生死攸關(guān)行業(yè)的一種，在航班數(shù)量飛速增加的今天，日益面臨著嚴(yán)峻的挑戰(zhàn)；尤其是大量基礎(chǔ)支撐性的空管信息系統(tǒng)的引入，盡管有效地提升了管制工作效率，但是空管信息系統(tǒng)的安全管理問題卻越來越成為一個(gè)潛在的隱患。

在當(dāng)前空管行業(yè)應(yīng)用的各類空管信息系統(tǒng)當(dāng)中，從包括自動(dòng)化系統(tǒng)、航行情報(bào)控制系統(tǒng)在內(nèi)的管制直接相關(guān)系統(tǒng)，到日常應(yīng)用的班前準(zhǔn)備系統(tǒng)、設(shè)備運(yùn)維管理系統(tǒng)等，大都采用設(shè)置超級(jí)管理員用戶口令的方式進(jìn)行管理，此方式盡管便于實(shí)現(xiàn)對(duì)系統(tǒng)的配置和維護(hù)，但由于權(quán)限過大，使得其可以對(duì)空管信息系統(tǒng)中數(shù)據(jù)進(jìn)行任意操作，一旦出現(xiàn)超級(jí)管理員誤操作或外部黑客獲取到超級(jí)管理員權(quán)限，都可能造成難以估量的嚴(yán)重后果。

安全操作系統(tǒng)設(shè)計(jì)原則中包括的“最小特權(quán)”和“權(quán)值分離”的安全原則，可以有效地解決這一問題。最小特權(quán)原則思想在于控制為主體分配的每個(gè)操作的最小權(quán)限；權(quán)值分離原則思想在于實(shí)現(xiàn)操作由專人執(zhí)行同時(shí)由第三方用戶進(jìn)行監(jiān)管。

最小特權(quán)和權(quán)值分離兩大原則的共同使用，構(gòu)建出了基于角色的訪問控制（Role-Based Access Control，RBAC）安全策略模型[1]。RBAC作為對(duì)用戶角色權(quán)限的一種高度抽象，同一角色用戶仍然擁有同樣的權(quán)限，但為了能夠更好的體現(xiàn)最小特權(quán)原則，角色下用戶的權(quán)限仍必須得到進(jìn)一步的控制；DTE（Domain And Type Enforcement，DTE）策略模型實(shí)現(xiàn)了將空管信息系統(tǒng)的不同進(jìn)程劃分為不同的域（Domain），將不同類型的資源劃分為不同的類型（Type），通過對(duì)域和類型的安全屬性進(jìn)行限制，來實(shí)現(xiàn)對(duì)用戶權(quán)限的控制[2]。

該文在綜合了RBAC安全策略模型和DTE策略模型的基礎(chǔ)上，提出一種對(duì)空管信息系統(tǒng)進(jìn)行分域管理的劃分機(jī)制，該機(jī)制符合最小特權(quán)和權(quán)值分離原則，實(shí)現(xiàn)了對(duì)系統(tǒng)超級(jí)管理員的權(quán)限細(xì)分，通過對(duì)權(quán)限的劃分，建立管理員―域―類型的相關(guān)對(duì)應(yīng)關(guān)系，分散了由于超級(jí)管理員權(quán)限過大造成的安全風(fēng)險(xiǎn)。

1系統(tǒng)/安全/審計(jì)管理劃分機(jī)制

在任何一個(gè)構(gòu)建完善的管理體系運(yùn)行當(dāng)中，管理人員、管理行為審計(jì)人員、安全管理人員的角色都不可或缺。空管信息系統(tǒng)超級(jí)管理員的權(quán)限也應(yīng)依據(jù)此原則進(jìn)行劃分[3]。在具體實(shí)現(xiàn)中，應(yīng)結(jié)合DTE策略中對(duì)于域和類型的管理思想，采取二維訪問控制策略，強(qiáng)化對(duì)空管信息系統(tǒng)完整性和數(shù)據(jù)安全性的保護(hù)；DTE策略通過對(duì)管理權(quán)限進(jìn)行控制，阻止單一用戶權(quán)限造成的惡意程序擴(kuò)散等情況。通過系統(tǒng)管理、安全管理、審計(jì)管理三方面的協(xié)同制約，保護(hù)系統(tǒng)資源的安全性。

1.1基于MSA的管理機(jī)制

該文依據(jù)RBAC及DTE策略遵循的最小特權(quán)和權(quán)值分離原則，將空管信息系統(tǒng)中超級(jí)管理員權(quán)限進(jìn)行細(xì)粒度（Fine-Grain）的劃分，將其權(quán)限一分為三，即管理（Management）權(quán)限、安全（Security）權(quán)限、審計(jì)（Audit）權(quán)限，構(gòu)建一套基于MSA的權(quán)限管理機(jī)制。使三類管理員只具備完成所需工作的最小特權(quán)，在單項(xiàng)管理操作的整個(gè)生命周期中，必須歷經(jīng)安全權(quán)限的設(shè)置、管理權(quán)限的操作、 審計(jì)權(quán)限的審核這一流程。該文通過設(shè)立獨(dú)立的系統(tǒng)管理員、安全管理員、審計(jì)管理員，并為其設(shè)置獨(dú)立的與安全域掛勾的安全管理特權(quán)集，實(shí)現(xiàn)了管理-安全域-類型的二維離散對(duì)應(yīng)關(guān)系。具體而言，三類管理員主要承擔(dān)了以下職責(zé)：

1)系統(tǒng)管理特權(quán)集：歸屬于系統(tǒng)管理員，包括系統(tǒng)相關(guān)資源的分配，系統(tǒng)軟件的配置、維護(hù)等權(quán)限；

2)安全管理特權(quán)集：歸屬于安全管理員，包括系統(tǒng)內(nèi)部安全策略的制訂，安全闕值的設(shè)置等安全相關(guān)權(quán)限；

3)審計(jì)管理特權(quán)集：歸屬于審計(jì)管理員，包括對(duì)系統(tǒng)管理員和安全管理員操作記錄的審計(jì)和審批，作為一個(gè)獨(dú)立的第三方監(jiān)督角色出現(xiàn)。

MSA管理機(jī)制將系統(tǒng)超級(jí)管理員的權(quán)限劃分為三個(gè)相互獨(dú)立又相互依存的獨(dú)立環(huán)節(jié)，實(shí)現(xiàn)了系統(tǒng)特權(quán)的細(xì)粒度劃分，強(qiáng)化了系統(tǒng)的安全屬性。圖1展示了三類管理員之間的具體關(guān)系：圖1 MSA管理員協(xié)作流程

如圖1所示，空管信息系統(tǒng)用戶總是會(huì)提出一定的需求，并尋求通過系統(tǒng)得到相應(yīng)的應(yīng)用來解決面臨的問題。在這一過程中，首先會(huì)由系統(tǒng)管理員針對(duì)用戶需求，判斷滿足用戶需要調(diào)用的相應(yīng)資源，如功能域和資源的類型，同時(shí)生成解決方案，并將其提交至安全管理員處。

安全管理員在接收到系統(tǒng)管理員產(chǎn)生的解決方案后，即時(shí)的會(huì)依照相關(guān)規(guī)定要求，為解決方案制定對(duì)應(yīng)的安全級(jí)別，并實(shí)施可行的安全策略。如解決方案能夠較好地滿足安全級(jí)別和安全策略的要求，即通過安全管理員的安全評(píng)估，為其施加安全策略。

解決方案歷經(jīng)系統(tǒng)管理員、安全管理員的制定、安全策略實(shí)施等步驟后，將生成應(yīng)用提交至用戶，由用戶驗(yàn)證其需求是否得到滿足。

審計(jì)管理員在整個(gè)過程中，將針對(duì)從需求提出至應(yīng)用的所有環(huán)節(jié)進(jìn)行監(jiān)控，任何系統(tǒng)內(nèi)部的操作均需經(jīng)過審計(jì)管理員的審計(jì)和監(jiān)督，審計(jì)管理員有權(quán)停止任何涉及到安全的異常操作。

通過上述模式的應(yīng)用，將使得空管信息系統(tǒng)劃分為由MSA三個(gè)管理員所共同管理的系統(tǒng)，也形成了三大管理員之間的制約機(jī)制。該機(jī)制的建立，有效地避免了超級(jí)用戶誤操作和黑客入侵可能造成的危害。同時(shí)權(quán)限的細(xì)分，也使得任何一名管理員在操作自身環(huán)節(jié)事務(wù)時(shí)，都需要其它管理員的協(xié)助，無法獨(dú)立完成越權(quán)操作。如當(dāng)系統(tǒng)管理員進(jìn)行用戶的刪除時(shí)，此操作將依據(jù)安全管理員制定的安全策略確定為較危險(xiǎn)操作，實(shí)施的結(jié)果將由審計(jì)管理員進(jìn)行審核，在確保該行為是合理有效的情況下才能實(shí)施。

1.2 MSA管理體系安全域的劃分

MSA管理體系的應(yīng)用使得系統(tǒng)、安全、審計(jì)三類管理員之間相互協(xié)作，相互制約的關(guān)系成為可能，系統(tǒng)的安全性得到增強(qiáng)。而在MSA體系上應(yīng)用安全域思想及類資源的設(shè)置，將進(jìn)一步隔離域間的信息和資源流動(dòng)，防范非法信息泄漏現(xiàn)像，確保數(shù)據(jù)信息的安全。

該文在MSA體系中靈活運(yùn)用了安全域的思想，實(shí)現(xiàn)了對(duì)空管信息系統(tǒng)主體域的劃分，同時(shí)將空管信息系統(tǒng)管理的資源分為了不同的類型資源，MSA通過建立安全域和類型資源之間的關(guān)聯(lián)，實(shí)現(xiàn)了對(duì)域間信息流動(dòng)的監(jiān)控，通過對(duì)安全域規(guī)則的制定，使得系統(tǒng)用戶只能訪問到所屬安全域內(nèi)的安全類型資源。通過對(duì)用戶安全域訪問行為的控制，有效的防止了誤操作、惡意操作可能造成的惡意信息流的傳輸，進(jìn)而強(qiáng)化空管信息系統(tǒng)整體安全性。在空管信息系統(tǒng)遭遇病毒攻擊的環(huán)境下，病毒本身具有自我復(fù)制和傳染未遭感染區(qū)域的特性，通過對(duì)安全域的劃分和安全域內(nèi)類型資源的歸并，能夠有效的阻止病毒的無限制復(fù)制傳播，病毒只能訪問所屬主體的安全域及相關(guān)資源，無法傳播至安全域邊界之外。當(dāng)系統(tǒng)管理資源分散于多個(gè)不同安全域時(shí)，系統(tǒng)將有效避免形成整體癱瘓現(xiàn)象。

在空管信息系統(tǒng)中，根據(jù)需求通常可以把資源劃分到不同的安全域，同一安全域還能依據(jù)資源歸屬的不同，細(xì)分為不同的子域，子域在擁有部分父域特性和資源的同時(shí)，具有自身特有的特性，子域的存在不僅強(qiáng)化了安全域的安全管理特性，還能夠真實(shí)映射現(xiàn)實(shí)社會(huì)的組織結(jié)構(gòu)關(guān)系。

2管理機(jī)制安全規(guī)則研究

本節(jié)給出了MSA管理機(jī)制的實(shí)施規(guī)則，按照這些規(guī)則，可以根據(jù)MSA原則實(shí)施空管信息系統(tǒng)的管理。系統(tǒng)中的資源主要由主體(a)，客體(c)組成，用A表示主體的集合，B表示客體的集合，D表示域(d)的集合，P表示型(p)的集合，R為權(quán)限的集合，主體、域、客體權(quán)限之間的關(guān)系如下：

1)設(shè)函數(shù)dom_a(a)，是定義在主體集合A上的函數(shù)，將主體a映射到相應(yīng)的域。系統(tǒng)中的主體至少屬于1個(gè)域，即：?a∈A，? dom_a(a)≠?∧dom_a(a)?D。

2)設(shè)函數(shù)type(b)，是定義在客體集合B上的函數(shù)，將客體b映射到相應(yīng)的型，系統(tǒng)中的客體至少屬于1個(gè)型，即:?b∈B，? type(b)≠?∧type(b)?B。

3)若權(quán)限映射函數(shù)R_DT(d,p)，為定義在域D和型P上的函數(shù)，將域d對(duì)型p的權(quán)限映射為集合的某個(gè)子集，即為域d對(duì)型p擁有特權(quán)的集合。

為有效避免超級(jí)用戶的誤操作和惡意程序的攻擊，安全域間的信息流動(dòng)必須得到有效的控制。在每個(gè)獨(dú)立的信息流動(dòng)需求發(fā)起的同時(shí)，必須同步進(jìn)行安全信息的驗(yàn)證，確保信息不會(huì)對(duì)接收安全域的安全狀態(tài)造成破壞，在不影響安全域安全的前提下，才接收該信息流。信息流在由主體操作產(chǎn)生的同時(shí)，必須對(duì)操作本身進(jìn)行檢查，在操作和信息流均處于安全狀態(tài)時(shí)，可視系統(tǒng)為安全態(tài)。依據(jù)以下分析，可得出如下關(guān)于信息流動(dòng)的規(guī)則：

規(guī)則1安全域隔離規(guī)則：為有效阻止惡意操作，安全域間信息流動(dòng)必須處于受監(jiān)控狀態(tài)，實(shí)現(xiàn)對(duì)安全域中數(shù)據(jù)的保護(hù)。

不同安全域間存在著干擾性，而干擾性的存在又反映了不同域間的相互作用，合理的應(yīng)用安全域隔離規(guī)則，對(duì)安全域間信息的流動(dòng)進(jìn)行監(jiān)控，是實(shí)現(xiàn)安全域安全的一大前提條件。

規(guī)則2安全域訪問規(guī)則：安全域內(nèi)部主體對(duì)客體的訪問，必須滿足相應(yīng)的訪問控制規(guī)則，包括常見的只讀、讀寫等。具體的訪問規(guī)則包括如下幾類：

只讀規(guī)則:單純采用讀取形式取得客體中信息，對(duì)安全域中數(shù)據(jù)進(jìn)行不操作的讀取，有效保證數(shù)據(jù)的完整性和不可變更性，同時(shí)在利用了數(shù)字加密技術(shù)的基礎(chǔ)上，還保證了數(shù)據(jù)的機(jī)密性只讀需求。

只寫規(guī)則：主體對(duì)安全域內(nèi)客體只進(jìn)行單純寫入操作，不允許讀取安全域中原有數(shù)據(jù)，對(duì)于主體寫入數(shù)據(jù)的讀取可根據(jù)具體進(jìn)行進(jìn)行設(shè)置其是否具有讀取權(quán)限。

讀寫規(guī)則：包括只讀和只寫規(guī)則的部分安全控制因素，但主體在受控的情況下，可向安全域中客體寫入并讀取信息，在滿足機(jī)密性和完整性的基礎(chǔ)上，允許主體對(duì)安全域內(nèi)客體進(jìn)行讀寫。

以上幾條規(guī)則只涉及安全域內(nèi)部讀寫規(guī)則，當(dāng)需要實(shí)現(xiàn)安全域間訪問時(shí)，需要結(jié)合規(guī)則1進(jìn)行控制，對(duì)于安全域間的訪問控制，既要考慮到主體自身的權(quán)限要求，也要考慮到安全域之間的規(guī)則控制和系統(tǒng)監(jiān)管因素，只有經(jīng)過配置的安全策略實(shí)施后，才能允許實(shí)現(xiàn)域間的訪問。

規(guī)則3安全域間管理規(guī)則：安全域級(jí)別可分為父域和子域兩類，子域繼承父域的域內(nèi)資源，但采取獨(dú)立的安全策略機(jī)制管理，父域通過為子域配置相應(yīng)的安全策略實(shí)現(xiàn)子域?qū)Ω赣蛸Y源的安全訪問，保障父域自身的數(shù)據(jù)完整性和安全性。在父域和子域同時(shí)管理同一資源時(shí)，父域具有優(yōu)先級(jí)（安全策略進(jìn)行特殊配置除外）。管理規(guī)則的實(shí)施，在便于調(diào)用資源的同時(shí)，實(shí)現(xiàn)了資源的共享和優(yōu)化，也一定程度上防止了資源共享可能產(chǎn)生的沖突和安全患。

3結(jié)束語

最小特權(quán)原則和權(quán)值分離原則作為安全操作系統(tǒng)的基礎(chǔ)原則的內(nèi)容，能夠有效地應(yīng)用于空管信息系統(tǒng)超級(jí)用戶權(quán)限分離問題，該文提出的MSA管理機(jī)制，通過管理權(quán)限的劃分、管理員主體安全域的歸屬和相關(guān)資源類型的劃定，有效降低了管理員誤操作、黑客入侵等可能帶來的對(duì)系統(tǒng)的破壞。在MSA管理機(jī)制的基礎(chǔ)上，安全域的引入和資源類型的劃分，有效地阻隔了各安全域間信息和資源的流動(dòng)，阻止了惡意信息流的傳遞，增強(qiáng)了空管信息系統(tǒng)的安全。該文下一階段將把安全域之間的流動(dòng)控制作為下一步的研究重點(diǎn)，進(jìn)一步進(jìn)行開展，力圖實(shí)現(xiàn)對(duì)空管信息安全的不斷強(qiáng)化。

參考文獻(xiàn)：

[1]張德銀,劉連忠.多安全域下訪問控制模型研究[J].計(jì)算機(jī)應(yīng)用,2008,28(3):633-636.

[2]付長勝,肖儂,趙英杰.基于協(xié)商的跨社區(qū)訪問的動(dòng)態(tài)角色轉(zhuǎn)換機(jī)制[J].軟件學(xué)報(bào),2008,10(19):2754-2761.

[3]段立娟,劉燕,沈昌祥.一種多安全域支持的管理機(jī)制[J].北京工業(yè)大學(xué)學(xué)報(bào),2011,37(4):609-613.

[4]周偉.機(jī)場信息化規(guī)劃研究及應(yīng)用[J].科技創(chuàng)新導(dǎo)報(bào),2008(21).

第8篇

我國未來電網(wǎng)發(fā)展形態(tài)具有高比例間歇式清潔能源大范圍消納，與周邊國家聯(lián)網(wǎng)構(gòu)建全球能源互聯(lián)網(wǎng)以及會(huì)大量應(yīng)用VSC電壓源換相直流輸電等特征，交直流電網(wǎng)相互影響的動(dòng)態(tài)響應(yīng)速度加快。要滿足大電網(wǎng)安全穩(wěn)定需求，重要的基礎(chǔ)是建設(shè)發(fā)展控制保護(hù)專用信息通信網(wǎng)（ControlandProtectionDedicatedNetwork，CPDN）（簡稱控制保護(hù)專網(wǎng)），實(shí)現(xiàn)大范圍多類型電網(wǎng)信息交互、融合。D-5000的WAMS系統(tǒng)因時(shí)滯長難以承擔(dān)控制的任務(wù)。控制保護(hù)專網(wǎng)信息中心級(jí)別按照信息中轉(zhuǎn)兩層架構(gòu)，實(shí)現(xiàn)二次設(shè)備接入安全識(shí)別、信息流量控制、信息優(yōu)先級(jí)調(diào)度等功能。控制保護(hù)專網(wǎng)原型系統(tǒng)已經(jīng)在華中電網(wǎng)建成投運(yùn)，新一代控制保護(hù)專網(wǎng)建成后，能夠?qū)崿F(xiàn)控制與保護(hù)系統(tǒng)之間的信息交換，有利于相互之間協(xié)調(diào)；安控系統(tǒng)將具有感知電網(wǎng)運(yùn)行趨勢(shì)的能力，有助于安全與效率之間的平衡；調(diào)度自動(dòng)化業(yè)務(wù)遷移至控制保護(hù)專網(wǎng)后，性能指標(biāo)將得到提升。控制保護(hù)專網(wǎng)的建設(shè)將是電網(wǎng)運(yùn)行控制水平大幅提升的重要基礎(chǔ)。

關(guān)鍵詞：

全球能源互聯(lián)網(wǎng)；控制保護(hù)專網(wǎng)；信息轉(zhuǎn)運(yùn)及控制；架構(gòu)

引言

目前，我國電網(wǎng)已經(jīng)到了非常特殊的發(fā)展時(shí)期，電網(wǎng)的特點(diǎn)和特征比較突出。同步電網(wǎng)裝機(jī)容量規(guī)模已經(jīng)位居世界前列，最高電壓等級(jí)、最大輸電容量的特高壓交直流工程和電網(wǎng)已經(jīng)建成投運(yùn)多年，并初步形成特高壓交直流電網(wǎng)，同一送端電網(wǎng)、同一受端電網(wǎng)接入超/特高壓直流工程數(shù)量和容量規(guī)模在全球是獨(dú)一無二的[1]。不遠(yuǎn)的將來，我國將首先推動(dòng)“一帶一路”周邊國家電網(wǎng)互聯(lián)互通，進(jìn)而實(shí)質(zhì)性推動(dòng)構(gòu)建全球能源互聯(lián)網(wǎng)，因此需要更大范圍傳輸清潔綠色能源[2]。此外，我國電力行業(yè)工程師駕馭大電網(wǎng)安全穩(wěn)定可靠運(yùn)行能力面臨著新的考驗(yàn)，需要面對(duì)有挑戰(zhàn)性的新需求。

1電網(wǎng)發(fā)展控制特點(diǎn)及其對(duì)信息通信技術(shù)的需求分析

1.1高比例間歇式清潔能源發(fā)電是未來電網(wǎng)發(fā)展的主要形態(tài)，需要發(fā)展結(jié)合多源信息的新型運(yùn)行控制技術(shù)

根據(jù)我國能源發(fā)展戰(zhàn)略行動(dòng)計(jì)劃（2014年—2020年），風(fēng)電重點(diǎn)規(guī)劃建設(shè)酒泉、蒙西、蒙東、冀北、吉林、黑龍江、山東、哈密、江蘇等9個(gè)大型現(xiàn)代風(fēng)電基地，到2020年，風(fēng)電裝機(jī)達(dá)到2億kW。風(fēng)電裝機(jī)規(guī)模接近華北或華中或華東2016年電網(wǎng)裝機(jī)水平，華北、華中、華東、西北及東北電網(wǎng)消納風(fēng)電比例約20%~30%。隨著中國經(jīng)濟(jì)的持續(xù)增長，無論是從國內(nèi)還是國外的視角來看，中國應(yīng)對(duì)全球氣候變化責(zé)任壓力都在持續(xù)加大，高比例（10%~50%）風(fēng)電、光伏等清潔能源消納是未來電網(wǎng)發(fā)展的主要形態(tài)[2]。風(fēng)電、光伏等清潔能源發(fā)電具有間歇性、隨機(jī)性特點(diǎn)，風(fēng)電發(fā)電負(fù)荷較大區(qū)間一般在后半夜，電網(wǎng)負(fù)荷處于低谷，在北方供暖期間熱電聯(lián)產(chǎn)機(jī)組以供熱定電模式為主，電網(wǎng)調(diào)峰調(diào)頻壓力巨大。電網(wǎng)調(diào)峰主要依據(jù)調(diào)度發(fā)電計(jì)劃曲線及依靠調(diào)度自動(dòng)化AGC系統(tǒng)協(xié)調(diào)，調(diào)整常規(guī)發(fā)電機(jī)機(jī)組、抽蓄機(jī)組等出力，調(diào)整響應(yīng)時(shí)間一般在分鐘級(jí)。電網(wǎng)調(diào)頻也是依靠常規(guī)發(fā)電機(jī)包括抽蓄機(jī)組，根據(jù)頻率偏差自動(dòng)實(shí)現(xiàn)調(diào)速器及原動(dòng)機(jī)系統(tǒng)的功率調(diào)整。依據(jù)儲(chǔ)能情況（如火電原動(dòng)機(jī)壓力包、水電水頭）調(diào)整響應(yīng)時(shí)間一般在秒級(jí)至數(shù)秒級(jí)甚至到分鐘級(jí)范圍。電網(wǎng)應(yīng)對(duì)更高比例間歇式清潔能源發(fā)電的策略，一方面需要建設(shè)堅(jiān)強(qiáng)的交直流混聯(lián)電網(wǎng)，包括發(fā)展配套的抽水蓄能及電化學(xué)儲(chǔ)能等大規(guī)模電量型儲(chǔ)能系統(tǒng)，為大規(guī)模、高比例間歇式清潔能源發(fā)電消納提供必要的物質(zhì)基礎(chǔ)；另一方面，風(fēng)電和光伏發(fā)電短期功率預(yù)測已基本實(shí)現(xiàn)大范圍應(yīng)用，對(duì)于提高電網(wǎng)更高精度的發(fā)電調(diào)峰和調(diào)頻控制具有工程應(yīng)用價(jià)值，結(jié)合大范圍采集電網(wǎng)實(shí)時(shí)運(yùn)行狀態(tài)、物聯(lián)設(shè)備等多源信息的系統(tǒng)運(yùn)行控制薄弱環(huán)節(jié)分析、調(diào)峰/調(diào)頻能力分析等技術(shù)，實(shí)現(xiàn)大規(guī)模風(fēng)電、光伏發(fā)電場主動(dòng)功率調(diào)整，提升整個(gè)電網(wǎng)的運(yùn)行控制水平。

1.2特高壓直流送端同方向、受端同方向并以捆狀

輸電，需要發(fā)展利用多源信息的新型交直流混聯(lián)電網(wǎng)協(xié)調(diào)控制技術(shù)±800kV天山—中州特高壓工程額定輸送容量達(dá)800萬kW、輸電距離2191.5km，于2014年1月13日完成全部系統(tǒng)調(diào)試試驗(yàn)并正式投運(yùn)，是我國首個(gè)送端風(fēng)電與火電以打捆配套建設(shè)電源方式并大規(guī)模遠(yuǎn)距離送出工程[3]。2017—2018年，還將陸續(xù)投運(yùn)以風(fēng)電與火電以打捆配套建設(shè)電源方式的±800kV、800萬kW酒泉—湖南、1000萬kW錫盟—江蘇2條特高壓工程。預(yù)計(jì)到2020年，送端西北、華北、東北“三北”并且受端在華北~華中~華東方向的直流工程將達(dá)到20多回[4-5]。當(dāng)前我國電網(wǎng)建設(shè)發(fā)展存在“強(qiáng)直弱交”現(xiàn)象，特高壓直流的建設(shè)投運(yùn)速度遠(yuǎn)遠(yuǎn)超過特高壓交流，交流電網(wǎng)可能難以承受故障轉(zhuǎn)移功率沖擊或者難以為多回特高壓或超高壓常規(guī)直流電網(wǎng)換相換流器（LineCommutatedConverter，LCC）提供有效的電壓支撐，交流系統(tǒng)存在薄弱環(huán)節(jié)，還可能反過來限制特高壓直流輸送能力[6]。如2015年9月19日，錦蘇特高壓直流帶負(fù)荷540萬kW發(fā)生雙極閉鎖，造成華東電網(wǎng)頻率跌落至49.563Hz、越限持續(xù)207s，對(duì)電網(wǎng)安全穩(wěn)定造成嚴(yán)重影響[7]。為解決“強(qiáng)直弱交”問題并保障電網(wǎng)的安全可靠運(yùn)行，一方面需要按照“強(qiáng)直強(qiáng)交”原則構(gòu)建交直流協(xié)調(diào)發(fā)展交直流混聯(lián)特高壓電網(wǎng)；另一方面，客觀上電網(wǎng)已經(jīng)形成送端同方向、受端同方向、直流落點(diǎn)密集多條直流捆狀群，可能影響的范圍更加嚴(yán)重，客觀上需要考慮利用多源信息，加強(qiáng)直流捆狀群與交流電網(wǎng)的協(xié)調(diào)控制能力，更好地應(yīng)對(duì)大規(guī)模、高比例間歇式清潔能源大范圍消納。

1.3電力系統(tǒng)一次設(shè)備“電力電子化”特征發(fā)展趨勢(shì)明顯，需要發(fā)展與此相適應(yīng)的快速安全穩(wěn)定控制技術(shù)

隨著大功率絕緣柵雙極型晶體管（InsulatedGateBipolarTransistor，IGBT）、脈寬調(diào)制（PulseWidthModulation，PWM）和多電平控制等技術(shù)的成熟，國內(nèi)自換相的電壓源換流器（VoltageSourceConverter，VSC）直流實(shí)現(xiàn)了示范工程應(yīng)用[8]。上海南匯、廣東南澳、浙江舟山等以電纜線路輸電形式的多端柔直工程已經(jīng)建成投運(yùn)，即將規(guī)劃建設(shè)渝鄂±500kV背靠背柔直工程，以及以架空線路輸電形式的±500kV張北柔直電網(wǎng)科技示范工程，工程計(jì)劃于2018年前后建成投運(yùn)。張北柔直電網(wǎng)工程將重點(diǎn)示范的安全穩(wěn)定控制關(guān)鍵技術(shù)主要有：純風(fēng)電和光伏發(fā)電系統(tǒng)并且無常規(guī)同步電源電網(wǎng)運(yùn)行控制技術(shù)，直流電網(wǎng)與落點(diǎn)交流電網(wǎng)有功功率和頻率類、無功功率和電壓類的協(xié)調(diào)控制技術(shù)，以及直流電網(wǎng)與風(fēng)電、光伏、抽水蓄能等多能源發(fā)電協(xié)調(diào)控制技術(shù)等。LCC常規(guī)直流采用晶閘管只能控制導(dǎo)通而不能控制關(guān)斷，通過控制觸發(fā)角實(shí)現(xiàn)直流電壓一個(gè)維度調(diào)整控制；VSC直流采用基于IGBT和與之反并聯(lián)二極管組成基本模塊的核心部分，可控制導(dǎo)通和關(guān)斷，進(jìn)行2個(gè)有功類和無功類維度調(diào)整控制[9]。因此VSC柔直的動(dòng)態(tài)響應(yīng)比常規(guī)直流響應(yīng)更快，柔直電網(wǎng)可控制的目標(biāo)也隨著節(jié)點(diǎn)規(guī)模的增加而增加。為充分利用柔直電網(wǎng)“電力電子化”特征明顯的快速響應(yīng)性能，需要依靠控制信號(hào)傳輸時(shí)滯小、容量大、覆蓋范圍廣的信息通信處理技術(shù)，利用風(fēng)電和光伏發(fā)電短期功率預(yù)測、D-5000調(diào)度自動(dòng)化、交直流電網(wǎng)實(shí)時(shí)運(yùn)行狀態(tài)數(shù)據(jù)等多源信息，滿足柔直電網(wǎng)與交流系統(tǒng)間多元化控制的需求和多目標(biāo)控制可能需要協(xié)調(diào)的需求，也可以適應(yīng)未來電網(wǎng)高比例間歇式清潔能源發(fā)電大范圍消納的需求[10]。

2與安全穩(wěn)定分析控制業(yè)務(wù)相關(guān)的信息通信技術(shù)發(fā)展現(xiàn)狀

從大電網(wǎng)安全穩(wěn)定計(jì)算分析和控制的角度來看，信息通信技術(shù)涉及安全穩(wěn)定控制專用通道、調(diào)度自動(dòng)化D-5000平臺(tái)SCADA/EMS系統(tǒng)和WAMS系統(tǒng)，以及智能變電站網(wǎng)絡(luò)系統(tǒng)。

2.1電網(wǎng)安全穩(wěn)定控制信息通信專用通道

采用專用信息傳輸時(shí)滯小，數(shù)據(jù)傳輸可靠性較高。即使在信息通信通道檢修情況下通道也能夠?qū)崿F(xiàn)“一主一備”模式運(yùn)行，能夠在300ms內(nèi)實(shí)現(xiàn)從信號(hào)觸發(fā)、處理到安全穩(wěn)定控制裝置動(dòng)作完畢全過程[11]。安控系統(tǒng)對(duì)于電網(wǎng)的安全穩(wěn)定運(yùn)行發(fā)揮了重要作用，目前已經(jīng)投運(yùn)的安控系統(tǒng)相互間并沒有信息交互，處于信息孤島狀態(tài)，適應(yīng)未來電網(wǎng)多目標(biāo)、多約束條件下安全穩(wěn)定控制的壓力較大。

2.2調(diào)度自動(dòng)化網(wǎng)

SCADA系統(tǒng)承擔(dān)EMS調(diào)度自動(dòng)化系統(tǒng)重要數(shù)據(jù)采集等任務(wù)，基本理念是假設(shè)系統(tǒng)運(yùn)行狀態(tài)在分鐘級(jí)范圍內(nèi)變化不大。調(diào)度自動(dòng)化系統(tǒng)的安全穩(wěn)定計(jì)算分析功能是EMS高級(jí)應(yīng)用系統(tǒng)中近幾年逐步接近于成熟的業(yè)務(wù)，是調(diào)度運(yùn)行人員了解和掌握電網(wǎng)安全穩(wěn)定特性的重要手段之一。面向安全穩(wěn)定分析業(yè)務(wù)的優(yōu)點(diǎn)及不足分別表現(xiàn)在以下幾方面。優(yōu)點(diǎn)：計(jì)算分析所需數(shù)據(jù)量豐富，潮流計(jì)算所需的電源開機(jī)、電網(wǎng)一次設(shè)備投運(yùn)狀態(tài)及變電站負(fù)荷等電網(wǎng)結(jié)構(gòu)和電網(wǎng)運(yùn)行狀態(tài)等主網(wǎng)信息均能夠提供，基本可以滿足計(jì)算分析業(yè)務(wù)需要。不足：難以實(shí)現(xiàn)安控裝置動(dòng)作邏輯模擬功能，原因是廠家多、裝置量大而廣，接口很難接入在線安全分析系統(tǒng)，較難實(shí)現(xiàn)實(shí)時(shí)校核安控策略對(duì)當(dāng)前狀態(tài)適應(yīng)性的功能。WAMS系統(tǒng)包括PMU裝置已經(jīng)廣泛應(yīng)用于電力系統(tǒng)，應(yīng)用最多的是系統(tǒng)運(yùn)行狀態(tài)監(jiān)測和記錄、故障錄波；其次是用于基于實(shí)時(shí)量測數(shù)據(jù)的電網(wǎng)運(yùn)行軌跡分析，如小干擾穩(wěn)定分析和擾動(dòng)源定位等功能。基于WAMS系統(tǒng)的穩(wěn)定控制理論上研究的較多，用于安全穩(wěn)定實(shí)際控制的成功案例幾乎沒有，究其原因首先是用于控制的信息傳輸機(jī)制欠缺，在建設(shè)設(shè)計(jì)階段沒有提出應(yīng)用于控制的需求以及欠缺大量控制信息傳輸時(shí)如何處理的方法，WAMS系統(tǒng)只是定位于錄波和數(shù)據(jù)存儲(chǔ)，其正常運(yùn)行時(shí)時(shí)滯可能很小，但通信鏈路檢修狀態(tài)下時(shí)滯可能長達(dá)數(shù)秒級(jí)，難以滿足安全穩(wěn)定控制信息對(duì)時(shí)滯、通道可靠性等方面的要求；其次是采用IP尋址技術(shù)，大量信息時(shí)存在網(wǎng)絡(luò)阻塞問題。

2.3智能變電站

智能變電站發(fā)展的驅(qū)動(dòng)力之一來自設(shè)備層面，節(jié)約人力和物力資源以及環(huán)境資源，提升變電站運(yùn)行效率。與以模擬量量測信號(hào)為特征的常規(guī)變電站相比較，智能變電站信息化、網(wǎng)絡(luò)化程度較高，變電器、開關(guān)等一次設(shè)備和電力系統(tǒng)自動(dòng)控制裝置二次設(shè)備狀態(tài)參數(shù)和運(yùn)行數(shù)據(jù)可采集、匯總的信息倍增，變電站包括自動(dòng)控制、運(yùn)維效率等業(yè)務(wù)在內(nèi)的運(yùn)行水平顯著提升。從大電網(wǎng)安全穩(wěn)定控制的角度來看，雖然智能變電站可以利用的信息容易獲得、控制輸出也更易實(shí)現(xiàn)，智能變電站的控制對(duì)象為變壓器抽頭調(diào)整等站內(nèi)慢速過程的調(diào)整、低頻/低壓減載等電網(wǎng)安全穩(wěn)定第三道防線設(shè)備的控制對(duì)信息通信時(shí)間響應(yīng)性能要求不高。但電網(wǎng)安全穩(wěn)定第一和第二道防線，對(duì)信息通信時(shí)間響應(yīng)性能要求較高。智能變電站如果緊急控制期間出現(xiàn)網(wǎng)絡(luò)阻塞或丟包等問題，將增加信息通信時(shí)延，對(duì)穩(wěn)定控制效果不利[12]。

2.4控制保護(hù)專網(wǎng)原型系統(tǒng)建設(shè)經(jīng)驗(yàn)教訓(xùn)和分析

國家863計(jì)劃“提升電網(wǎng)安全穩(wěn)定和運(yùn)行效率的柔性控制技術(shù)”課題研究了大電網(wǎng)智能柔性控制系統(tǒng)，在華中電網(wǎng)成功進(jìn)行了示范應(yīng)用以及長期運(yùn)行，華中跨區(qū)交直流協(xié)調(diào)控制系統(tǒng)工程具備9回直流和交流系統(tǒng)共70個(gè)信號(hào)的協(xié)調(diào)處理能力，除具備直流緊急功率控制功能外，還具備直流功率調(diào)制和直流阻尼調(diào)制等功能，驗(yàn)證了基于多源信息中轉(zhuǎn)調(diào)度模式的跨區(qū)協(xié)調(diào)控制工程實(shí)施可行性，提升了電網(wǎng)運(yùn)行效率和安全穩(wěn)定水平[11]。圖1為示范工程控制保護(hù)專網(wǎng)原型系統(tǒng)，站間流向?yàn)樾畔⑼ǖ馈Ｔ谑痉豆こ虒?shí)施過程中的經(jīng)驗(yàn)教訓(xùn)為：WAMS系統(tǒng)信息傳輸時(shí)滯長，難以滿足廣域控制對(duì)信息高速、可靠傳輸?shù)囊螅豢刂朴眯畔⑼ㄐ畔到y(tǒng)多采用點(diǎn)對(duì)點(diǎn)形式，未實(shí)現(xiàn)信息聯(lián)網(wǎng)，信息難以實(shí)現(xiàn)共享、利用率低；控制信息與調(diào)度數(shù)據(jù)網(wǎng)彼此孤立，難以實(shí)現(xiàn)聯(lián)動(dòng)。信息化是智能電網(wǎng)發(fā)展的重要特征之一，在配用電側(cè)尤為重要，主網(wǎng)具備多源數(shù)據(jù)融合、滿足多業(yè)務(wù)實(shí)時(shí)數(shù)據(jù)傳輸需求的信息通信系統(tǒng)是實(shí)現(xiàn)大電網(wǎng)智能分析與廣域協(xié)調(diào)控制的基礎(chǔ)。隨著國家能源戰(zhàn)略對(duì)特高壓交直流發(fā)展計(jì)劃中“四交、四直”的落實(shí)，大規(guī)模新能源基地及其送出工程的投入建成，以“三華”電網(wǎng)為中心的特高壓交直流混聯(lián)電網(wǎng)的“強(qiáng)直弱交”特征更為突出，大電網(wǎng)的安全、高效運(yùn)行需要以更為靈活、可靠、高速的信息通信體系為基礎(chǔ)的安全穩(wěn)定分析及控制系統(tǒng)作為必要的保障。必須研究基于廣域多源數(shù)據(jù)實(shí)時(shí)中轉(zhuǎn)處理的穩(wěn)定控制信息通信體系架構(gòu)及具有可操作性的構(gòu)建方案和運(yùn)行控制措施，滿足安全穩(wěn)定控制實(shí)時(shí)性和可靠性的要求，解決不同安控系統(tǒng)信息的“孤島”問題、原有WAMS系統(tǒng)時(shí)延至少數(shù)秒和難以承載海量實(shí)時(shí)信息傳輸問題以及連鎖故障防御仍處于被動(dòng)防御狀態(tài)等難題。安控、WAMS、智能變電站及控制保護(hù)專網(wǎng)穩(wěn)定控制性能和功能拓展性能比較如表1所示。

2.5控制保護(hù)專網(wǎng)實(shí)現(xiàn)思路及核心功能要點(diǎn)

從以上分析可以看出，與安全穩(wěn)定分析控制相關(guān)的信息通信業(yè)務(wù)雖然能夠滿足當(dāng)前電網(wǎng)的需要，但難以滿足未來電網(wǎng)的需要，有必要建成面向電網(wǎng)安全穩(wěn)定業(yè)務(wù)需要的控制保護(hù)專網(wǎng)。控制保護(hù)專網(wǎng)的建設(shè)要點(diǎn)是：實(shí)現(xiàn)信息通信流可管、可控，并可以管理安全穩(wěn)定控制類設(shè)備的自動(dòng)接入身份識(shí)別。從帶寬及利用率、業(yè)務(wù)承載能力等方面來看，SDH/MSTP業(yè)務(wù)小范圍用于安全穩(wěn)定分析控制已是成熟技術(shù)，但用于應(yīng)對(duì)大范圍、大容量安全穩(wěn)定控制信息交換其承載能力壓力較大。需要考慮采用PTN技術(shù)，設(shè)備帶寬達(dá)到1000M和10G，業(yè)務(wù)承載性能更好，實(shí)際成熟時(shí)應(yīng)考慮優(yōu)先采用[12]。此外，對(duì)于輸電距離達(dá)到數(shù)千km或者對(duì)于通信時(shí)滯敏感場景，可以考慮載波通信技術(shù)，類似于股票信息交換技術(shù)也可利用，大量信息同時(shí)觸發(fā)，可靠性也較高。

3控制保護(hù)專網(wǎng)關(guān)鍵支撐技術(shù)及應(yīng)用前景

3.1關(guān)鍵技術(shù)

從未來適應(yīng)高比例清潔能源消納的電網(wǎng)發(fā)展形態(tài)以及電網(wǎng)安全穩(wěn)定協(xié)調(diào)控制的需求分析，未來電網(wǎng)需要發(fā)展?jié)M足安全控制大范圍信息交換、捆狀多換流站間協(xié)調(diào)控制等方面的技術(shù)，發(fā)展基于控制保護(hù)專網(wǎng)的跨區(qū)大容量輸電交直流電網(wǎng)協(xié)調(diào)控制技術(shù)，核心是實(shí)現(xiàn)原有安全穩(wěn)定控制專網(wǎng)、調(diào)度自動(dòng)化網(wǎng)、站域網(wǎng)等信通網(wǎng)的安全穩(wěn)定控制保護(hù)業(yè)務(wù)數(shù)據(jù)融合，特征是具備信息傳輸通道和信息流的“調(diào)度”管控能力、管控多廠家信通和安控以及監(jiān)測設(shè)備的標(biāo)準(zhǔn)化接入，適應(yīng)我國電力市場化復(fù)雜運(yùn)行條件、大范圍和高比例間歇式清潔能源消納等背景下的安全穩(wěn)定分析與控制業(yè)務(wù)發(fā)展需要。主要關(guān)鍵支撐技術(shù)體現(xiàn)在以下幾方面。

1）控制保護(hù)專網(wǎng)信息通信通道架構(gòu)和信息管控及設(shè)備研制。主要研究建設(shè)控制保護(hù)專網(wǎng)組網(wǎng)技術(shù)路線及技術(shù)經(jīng)濟(jì)比較，制定控制保護(hù)專網(wǎng)安全防護(hù)、信息交換標(biāo)準(zhǔn)，研發(fā)信息通信硬件管控平臺(tái)（核心芯片）、軟件管控平臺(tái)，研制適應(yīng)控制保護(hù)業(yè)務(wù)數(shù)據(jù)轉(zhuǎn)發(fā)模式的信通設(shè)備。

2）基于控制保護(hù)專網(wǎng)的交直流協(xié)調(diào)控制技術(shù)研究。研發(fā)適應(yīng)更多直流信息交互、具備連續(xù)換相失敗防御的交直流協(xié)調(diào)控制方法；借鑒運(yùn)行方式計(jì)算數(shù)據(jù)安排的思路，研究結(jié)合實(shí)時(shí)信息等多源信息的跨區(qū)輸電穩(wěn)定特性、安控策略校核方法；研究基于多源信息的連鎖故障主動(dòng)防御技術(shù)，包括聯(lián)絡(luò)線振蕩中心廣域快解和振蕩軌跡預(yù)測解列技術(shù)。

3）基于控制保護(hù)專網(wǎng)的安全穩(wěn)定控制關(guān)鍵設(shè)備研制。研制監(jiān)測與控制一體化設(shè)備，監(jiān)測設(shè)備支持控制信號(hào)、支持物聯(lián)設(shè)備信息處理、支持電磁暫態(tài)記錄、支持控制設(shè)備自適應(yīng)模塊化接入，解決在役PMU錄波性能不一致、對(duì)控制支撐薄弱問題；研制能夠遠(yuǎn)程維護(hù)、支持多源信息接入的安控裝置；研究與直流、安控設(shè)備信息交互的接入技術(shù)標(biāo)準(zhǔn)。

4）研發(fā)支撐全球能源互聯(lián)網(wǎng)格局的信息通信架構(gòu)及設(shè)備研制。研發(fā)支撐多業(yè)務(wù)并且信息安全符合防護(hù)要求的大容量、高性能信息通信技術(shù)，研制自適應(yīng)安全身份識(shí)別和辨識(shí)等關(guān)鍵設(shè)備，突破PTN技術(shù)瓶頸。

3.2應(yīng)用前景

控制保護(hù)專網(wǎng)建成后，能夠?qū)崿F(xiàn)控制與保護(hù)系統(tǒng)之間的信息交換，有利于相互之間協(xié)調(diào)；安控系統(tǒng)將具有感知電網(wǎng)運(yùn)行趨勢(shì)的能力，有助于安全與效率之間的平衡；調(diào)度自動(dòng)化業(yè)務(wù)遷移至控制保護(hù)專網(wǎng)后，在線安全分析等高級(jí)應(yīng)用數(shù)據(jù)質(zhì)量等性能指標(biāo)將得到提升；安控裝置動(dòng)作邏輯實(shí)現(xiàn)聯(lián)網(wǎng)后將能夠?qū)崿F(xiàn)安控策略實(shí)時(shí)分析校核；交直流協(xié)調(diào)控制系統(tǒng)將具備更廣域的控制能力，能夠?qū)崿F(xiàn)直流送端與受端聯(lián)合多回直流相繼長時(shí)間換相失敗的交直流系統(tǒng)主動(dòng)防御，控制保護(hù)專網(wǎng)應(yīng)用前景廣闊。

4結(jié)語

基于國家863計(jì)劃項(xiàng)目配套跨區(qū)交直流協(xié)調(diào)控制示范工程成功經(jīng)驗(yàn)，為適應(yīng)我國未來電網(wǎng)發(fā)展形態(tài)以及全球能源互聯(lián)網(wǎng)建設(shè)發(fā)展需求，提出了發(fā)展廣域交直流協(xié)調(diào)控制技術(shù)的思路，重點(diǎn)建設(shè)控制保護(hù)專網(wǎng)，重點(diǎn)研發(fā)接入控制保護(hù)專網(wǎng)的新型安控裝備和信通管控平臺(tái)和設(shè)備，同時(shí)也需要實(shí)現(xiàn)針對(duì)跨區(qū)輸電結(jié)合多源信息分析和控制技術(shù)上的突破。實(shí)現(xiàn)故障跨區(qū)影響傳導(dǎo)的預(yù)防性協(xié)調(diào)控制，是一種適應(yīng)于大電網(wǎng)發(fā)展趨勢(shì)的跨換代技術(shù)，對(duì)于安全穩(wěn)定控制保護(hù)技術(shù)的發(fā)展具有重大影響和示范作用。

參考文獻(xiàn)：

[1]劉振亞.特高壓直流輸電理論[M].北京:中國電力出版社,2009.

[2]劉振亞.全球能源互聯(lián)網(wǎng)[M].北京:中國電力出版社,2015.

[3]楊萬開,印永華,曾南超,等.天高壓直流輸電工程系統(tǒng)試驗(yàn)方案[J].電網(wǎng)技術(shù),2015,39(2):349-355.

[4]國家電網(wǎng)公司.國家電網(wǎng)公司“十三五”電網(wǎng)發(fā)展規(guī)劃[R].2015.

[5]周孝信.2015年“二〇八”科學(xué)會(huì)議:我國西部直流輸電網(wǎng)組網(wǎng)形態(tài)研究[R].北京:中國電力科學(xué)研究院,2015.

[6]湯涌,郭強(qiáng),周勤勇,等.特高壓同步電網(wǎng)安全性論證[J].電網(wǎng)技術(shù),2016,40(1):97-104.

[7]劉開俊.關(guān)于“十三五”電網(wǎng)規(guī)劃若干重大問題的思考[EB/OL].

[8]湯廣福,羅湘,魏曉光.多端直流輸電與直流電網(wǎng)技術(shù)[J].中國電機(jī)工程學(xué)報(bào),2013,33(10):8-10.

[9]徐政.柔性直流輸電系統(tǒng)[M].北京:機(jī)械工業(yè)出版社,2012.

[10]卜廣全.2014年“二〇八”科學(xué)會(huì)議:適應(yīng)更高比例新能源接入的大電網(wǎng)安全穩(wěn)定控制的一些想法[R].北京:中國電力科學(xué)研究院,2014.

[11]郭劍波,卜廣全,趙兵,等.提升電網(wǎng)安全穩(wěn)定和運(yùn)行效率的柔性控制技術(shù)[R].2014.

第9篇

關(guān)鍵詞：鐵路信號(hào)；故障-安全；措施

中圖分類號(hào)： F530.32 文獻(xiàn)標(biāo)識(shí)碼： A 文章編號(hào)：

所謂“故障—安全”，是指當(dāng)設(shè)備發(fā)生故障的時(shí)候，在設(shè)備出現(xiàn)動(dòng)作以后應(yīng)當(dāng)是安全的。也就是說，不管設(shè)備發(fā)生什么樣的故障，在故障發(fā)生以后，都應(yīng)該設(shè)定一個(gè)保證安全的輸出信號(hào)，這種系統(tǒng)我們叫做“故障—安全”系統(tǒng)，簡稱“FSS”。

1 信號(hào)系統(tǒng)的“FSS”保障措施

1.1 傳統(tǒng)鐵路信號(hào)控制系統(tǒng)的“FSS”設(shè)計(jì)

為了實(shí)現(xiàn)”故障—安全”，鐵路信號(hào)控制系統(tǒng)在設(shè)計(jì)時(shí)，采取了多項(xiàng)安全控制措施：

1.1.1機(jī)械控制手段上，大多利用重力向下的原理，保證安全。如過去應(yīng)用的臂板信號(hào)機(jī)，利用重錘控制臂板動(dòng)作，當(dāng)傳導(dǎo)拉力的導(dǎo)線或拉桿折斷時(shí)，靠重錘的重力使臂板保持水平狀態(tài)，指示列車停車，從而實(shí)現(xiàn)”故障—安全”。

1.1.2廣泛應(yīng)用的繼電控制，采用非對(duì)稱的安全型繼電器。信號(hào)控制電路所用的繼電器為安全型繼電器，保證繼電器故障落下的概率遠(yuǎn)遠(yuǎn)大于故障吸起的概率。電路設(shè)計(jì)時(shí)，采用安全對(duì)應(yīng)原則，用繼電器的吸起狀態(tài)對(duì)應(yīng)設(shè)備的危險(xiǎn)側(cè)，而用繼電器的落下狀態(tài)對(duì)應(yīng)設(shè)備的安全側(cè)。例如在信號(hào)點(diǎn)燈控制電路中，用列車信號(hào)繼電器（LXJ）吸起接點(diǎn)控制允許燈光（綠燈或黃燈）點(diǎn)亮，而用列車信號(hào)繼電器的落下接點(diǎn)控制紅燈點(diǎn)亮，當(dāng)發(fā)生故障使列車信號(hào)繼電器落下時(shí)，信號(hào)顯示紅燈，指示列車停車，從而實(shí)現(xiàn)了繼電電路的”故障—安全”。

圖1 “FSS”系統(tǒng)繼電電路

1.2 現(xiàn)代鐵路信號(hào)控制系統(tǒng)的“FSS”控制

以現(xiàn)代集成電子電路和信息技術(shù)為核心的鐵路信號(hào)控制系統(tǒng)，通過軟件和硬件冗余的方式，實(shí)現(xiàn)“FSS”，下面是幾種常用的“FSS”控制方式。

1.2.1 安全性冗余結(jié)構(gòu)

圖2 安全性冗余結(jié)構(gòu)

如圖2，模塊A和模塊B經(jīng)與門輸出，兩個(gè)模塊同步工作，只有兩個(gè)模塊輸出一致才能使系統(tǒng)輸出，如果有一個(gè)模塊故障，系統(tǒng)將不能輸出正常結(jié)果，從而發(fā)現(xiàn)故障，停止輸出危險(xiǎn)側(cè)的執(zhí)行信息。由于兩個(gè)模塊發(fā)生相同的故障而產(chǎn)生相同的錯(cuò)誤結(jié)果的概率很小，這樣提高了系統(tǒng)工作的安全性，減少了危險(xiǎn)側(cè)輸出的概率。

1.2.2 靜態(tài)多元控制

靜態(tài)“FSS”輸入接口電路如圖3所示，一個(gè)采集條件（GJ）同時(shí)由多個(gè)光電耦合采集單元同時(shí)采集，送入計(jì)算機(jī)。當(dāng)采集條件接通時(shí)，各單元輸出均為高電平，計(jì)算機(jī)收到代碼為1111；當(dāng)采集條件斷開時(shí)，各單元輸出均為低電平，計(jì)算機(jī)收到代碼為0000。計(jì)算機(jī)對(duì)四個(gè)碼元進(jìn)行邏輯“與”的運(yùn)算，結(jié)果為“1”時(shí)證明采集條件接通（危險(xiǎn)側(cè)），結(jié)果為“0”，證明采集條件斷開（危險(xiǎn)側(cè)）。顯然當(dāng)采集條件斷開而電路發(fā)生故障時(shí)，運(yùn)算的結(jié)果為“0”的概率遠(yuǎn)遠(yuǎn)大于運(yùn)算結(jié)果為“1”的概率，實(shí)現(xiàn)了“故障-安全”。

圖3 靜態(tài)多元控制

1.2.3 動(dòng)態(tài)閉環(huán)控制

圖4 動(dòng)態(tài)閉環(huán)控制電路

動(dòng)態(tài)“FSS”輸入接口的電路形式如圖4所示，由計(jì)算機(jī)輸出口控制的光電耦合管G2輸出側(cè)與采集輸入口的光電耦合管G1輸入側(cè)串聯(lián)。在采集條件接通時(shí)，由計(jì)算機(jī)輸出的脈沖序列，會(huì)返回到計(jì)算機(jī)的輸入端，即用動(dòng)態(tài)脈沖作為危險(xiǎn)側(cè)信息；采集條件斷開時(shí)，計(jì)算機(jī)輸入口收到穩(wěn)定的低電平（0）；當(dāng)電路任何一點(diǎn)發(fā)生斷線或混線故障時(shí)。計(jì)算機(jī)輸入端必然收到穩(wěn)定的電平（1或0），將穩(wěn)定的1或0均作為安全側(cè)信息處理。

動(dòng)態(tài)輸出驅(qū)動(dòng)電路則采用輸出動(dòng)態(tài)脈沖作為控制信息。只有動(dòng)態(tài)信息才能驅(qū)動(dòng)執(zhí)行繼電器吸起，靜態(tài)電平驅(qū)動(dòng)無效。輸出代碼還要回讀到計(jì)算機(jī)。當(dāng)計(jì)算機(jī)“死機(jī)”或輸出電路故障時(shí)，計(jì)算機(jī)不能連續(xù)輸出動(dòng)態(tài)信息，執(zhí)行繼電器不吸，設(shè)備不會(huì)錯(cuò)誤動(dòng)作。

實(shí)際上，動(dòng)態(tài)輸入或輸出電路是一個(gè)閉環(huán)控制系統(tǒng)，它是通過計(jì)算機(jī)校驗(yàn)輸入或輸出代碼是否畸變來判斷電路是否故障。這種動(dòng)態(tài)閉環(huán)控制，以動(dòng)態(tài)信息對(duì)應(yīng)危險(xiǎn)側(cè)，以靜態(tài)信息對(duì)應(yīng)安全側(cè)，當(dāng)電路發(fā)生故障，只能產(chǎn)生靜態(tài)信息，從而實(shí)現(xiàn)“FSS”。

2 提高現(xiàn)代鐵路信號(hào)控制系統(tǒng)安全性的探討

隨著鐵路運(yùn)輸車流密度的加大和列車運(yùn)行速度的提高，鐵路信號(hào)自動(dòng)控制系統(tǒng)越來越復(fù)雜，現(xiàn)代鐵路信號(hào)控制已有傳統(tǒng)的機(jī)電控制變?yōu)榧詣?dòng)控制、機(jī)電一體化、網(wǎng)絡(luò)通信、信息處理為一體的綜合控制系統(tǒng)。但是無論系統(tǒng)如何復(fù)雜，都應(yīng)嚴(yán)格保證實(shí)現(xiàn)”故障—安全”。

2.1 采用綜合安全性冗余方式保證列車運(yùn)行安全

高速鐵路的信號(hào)控制設(shè)備，主要包括車站聯(lián)鎖控制系統(tǒng)、區(qū)間閉塞控制系統(tǒng)、調(diào)度集中（CTC）控制系統(tǒng)、列車運(yùn)行控制系統(tǒng)等，各系統(tǒng)之間即相對(duì)獨(dú)立，又相互聯(lián)系。為了保證列車運(yùn)行安全，應(yīng)設(shè)計(jì)綜合上述各系統(tǒng)的安全性冗余環(huán)節(jié)，如圖5所示，只有各子系統(tǒng)均輸出指示列車正常運(yùn)行的命令，列車才能正常運(yùn)行。當(dāng)任一子系統(tǒng)輸出要求列車“減速或停車”的安全側(cè)信息時(shí)，綜合控制系統(tǒng)都能輸出使列車“減速或停車”的控制命令，防止“故障—危險(xiǎn)”。

圖5 高速鐵路“FSS”綜合系統(tǒng)

2.2 增加“丟車”檢查功能，防止故障—危險(xiǎn)

“7.23”大事故是由于前方運(yùn)行的列車占用信息被覆蓋，即發(fā)生了“丟車”才造成了后續(xù)列車追尾。實(shí)際在線路上運(yùn)行的列車，不可能丟失，出清一個(gè)區(qū)段，必然已進(jìn)入另一區(qū)段。如果出現(xiàn)“丟車”或“飛車”信息，一定是設(shè)備發(fā)生了故障。因此，在各控制系統(tǒng)中應(yīng)增加“丟車”檢查功能，一旦發(fā)現(xiàn)“丟車”，應(yīng)立即使綜合系統(tǒng)輸出后續(xù)列車“緊急制動(dòng)”信息，以保證后續(xù)列車的運(yùn)行安全。

2.3 增加機(jī)頭和列尾防護(hù)設(shè)備，防止列車沖突

鐵路運(yùn)輸盡管有一套功能完善、性能可靠的信號(hào)控制系統(tǒng)，但歷史上不止一次發(fā)生了列車追尾甚至正面沖突的重大事故。如果在現(xiàn)有信號(hào)控制系統(tǒng)之外，在列車頭部和尾部增加一套防護(hù)設(shè)備，當(dāng)兩車之間的距離小于“安全距離”時(shí)，通過無線設(shè)備或通過鋼軌直接向前后運(yùn)行的列車分別發(fā)送 “相撞危險(xiǎn)”的信息。相鄰列車接收后，立即報(bào)警和緊急制動(dòng)，這是避免列車沖突的最好方法。當(dāng)然這種防護(hù)設(shè)備要考慮防止干擾，需要認(rèn)真研究和實(shí)驗(yàn)。現(xiàn)有條件下,即使在列車尾部增加傳輸距離較遠(yuǎn)的監(jiān)視設(shè)備或者特殊顏色燈光閃光提示，也能減少列車沖突事故的發(fā)生。

2.4 提高系統(tǒng)可靠性，減少危險(xiǎn)故障發(fā)生

相對(duì)鐵路運(yùn)輸而言，航空運(yùn)輸“故障—危險(xiǎn)”的概率更大，但飛機(jī)發(fā)生“危險(xiǎn)失效”的概率極低,主要原因在機(jī)采用“多個(gè)發(fā)動(dòng)機(jī)”等措施，使系統(tǒng)運(yùn)行的可靠性遠(yuǎn)遠(yuǎn)高于其他運(yùn)輸方式，從而也提高了運(yùn)輸?shù)陌踩浴?/p>

鐵路信號(hào)控制設(shè)備雖然在車站聯(lián)鎖等系統(tǒng)中采用了多套冗余設(shè)備，但為了提高鐵路運(yùn)輸?shù)陌踩裕€應(yīng)在區(qū)間閉塞、調(diào)度集中（CTC）、列車運(yùn)行控制等系統(tǒng)中增加冗余設(shè)備，以保證發(fā)生故障后，能夠通過自動(dòng)切換等方式正常運(yùn)行，以減少系統(tǒng)發(fā)生故障失效的概率。

3結(jié)語

總之，“故障—安全”是鐵路信號(hào)控制系統(tǒng)應(yīng)嚴(yán)格遵循的重要原則，任何高科技的設(shè)備，發(fā)生任何故障時(shí)，都應(yīng)確保安全，否則再先進(jìn)的技術(shù)設(shè)備也不會(huì)有生命力。

參考文獻(xiàn)

[1] 何文卿.車站信號(hào)自動(dòng)控制.北京：中國鐵道出版社，1980.

[2] 林瑜筠.鐵路信號(hào)基礎(chǔ).北京：中國鐵道出版社，2006.