(国电双维内蒙古上海庙能源有限公司内蒙古鄂尔多斯017000)
摘要:本文对火电厂信息系统中的安全防护问题进行了探讨,文章从阐述火电厂信息系统的安全现状入手,进一步分析了信息系统安全防护重点,力求从各个方面做好基础处理工作,保证系统的安全性。
关键词:火电厂信息系统;安全现状;安全防护重点
前言
火电厂是我国重工业领域的重要组成部分,作为传统的第二产业,其发展模式和新兴产业相比会存在一定的落后,但随着信息技术的进步,火电厂也引入了许多先进的技术和设备,信息系统的建设就是其中之一。而为了保证信息系统处于安全稳定的运行状态,必须就其安全防护工作进行探讨。
1火电厂信息系统的安全现状
目前的大部分火电厂都已经建成了较为专业的信息系统,但是在信息系统的实际运行中,则暴露出了一系列的问题,比如安全意识不强,系统内部缺乏专业的安全防护措施,这就严重降低了信息系统的利用效率和可靠度,而在该系统内基于微软操作平台的DCS也会面临着严重的安全威胁,加上DCS、MIS等与信息系统的安全隔离不到位,于是MIS中的网络病毒可能会传入DCS系统,影响系统的安全稳定运行,而信息系统的单向物理隔离器因为不满足规范,比如未能设置经安全机构认证的隔离设备等,就可能会影响信息系统的安全性。不仅如此,在高度发达的信息社会,调度中心、电厂、用户间的信息流通也越发频繁,就可能发生黑客采取“搭接”手段“窃听”或者“篡改”电力信息系统中的数据信息,最终威胁厂内的电力设备。
2信息系统安全防护重点
2.1信息系统安全网络结构
国家曾对火电厂信息系统进行了一定的概念界定,其中电力二次系统就是指包括电力监控系统、电力通信及数据网络等的信息系统。电力监控系统,指的是专用于监测、控制电网和电厂设备运作状况,以及以计算机技术为基础的业务处理功能体系等。在电力二次系统中,必须做好安全防护工作,遵循“安全分区、网络专用、横向隔离、纵向认证”的原则,在系统内建立生产控制和管理信息两个大区,其中又包括DCS、MIS等子系统。在各个分区间利用硬件防火墙或物理隔离器等加以隔离,保障系统的独立性和安全性(如下图所示)。而设置防火墙是所有网络体系安全管理中最为常见的方法,它可以高效将非法攻击、病毒等拦截在某区域内,以免病毒大范围传播,对其他系统构成威胁。
2.2信息系统防计算机病毒策略
在安全Ⅱ区的各个接口机和数据服务器上设置必要的杀毒软件,起自带的病毒库可以周期性自动更新,因为安全Ⅱ区隔绝了外部网络体系,因此病毒库能够在网络平台上安全下载完成,下载后再用杀毒软件对病毒库实现查杀,如果查杀发现无病毒则可以将该病毒库刻录到光盘。经过多方审核确认,保证无病毒侵扰后,将其接入安全Ⅱ区的计算机设备体系中。在安全Ⅱ区的设备里拷贝资料时,尽量避免利用U盘等工具,利用光盘导入导出的安全性往往更高,能避免病毒由移动U盘携带进安全Ⅱ区。而做好信息系统的病毒防护工作,必须得到有关的管理机制的严格管束,并且在电厂内安排专门的管理人员完成技术操作。
2.3信息系统防黑客非法攻击策略
在信息化时代,黑客袭击是最常见的网络安全事故,如果电厂内的信息系统遭遇黑客袭击,与其紧密相连的DCS系统也可能会因此受到不利影响。因此在各区之间需要设置必要的防火墙或者物理隔离器装置,在安装时,必须确保不使用的端口都处于关闭状态,并且在后期根据操作步骤需要对应打开各端口,结合DCS系统和信息系统的数据传输特征,对各个端口做必要的开放处理。防火墙及隔离器的产口需要采用得到国家安全机构认证的产品,保证其质量合格。当然,在信息系统和调度网络等有衔接时,也需要进行必要的安全隔离处理。
2.4信息系统可靠性
在电厂的信息系统中,其内部数据的系统性和科学性对整个系统的分析和优化控制工作都有着关键意义,所以,信息系统必须保证实时数据的精确性和真实性,并且做好历史数据的记录,使其保持连续性和完整性。信息系统的数据服务器能够采取双机的形式,在必要的时候进行自动切换处理。比如在主服务器出现故障时,可以自动切换到备用的服务器。在SIS网与DCS或PLC网、SIS网与MIS网利用系统中的接口机完成彼此之间的数据信息输送时,必须要在前期做好准备工作,保证接口机的数据缓存功能正常发挥作用,对出现故障时的数据信息加以保存。当数据服务器或网络发生故障,接口机仍然不会受到感染而保持工作状态,将从DCS系统收集到的信息首先存储在本地硬盘中。与此对应的,接口机会持续测试数据库服务器或网络的恢复状态,发现恢复正常后,接口软件会把之前所收到的数据信息直接传送给数据库服务器,保证数据在时间上的连续性。
2.5信息系统电源冗余
为了保证信息系统数据及设备的安全性,最好使用双重电源供电,用户应确保所使用的电源可以自动无干扰地从主设备切换到从设备,防止因失电造成设备的损坏及数据的丢失。系统所使用的服务器、网络交换机等设备也最好采用双电源,这样提高了设备运行的可靠性,某一电源损坏设备仍能正常运行。信息系统使用的电源最好通过UPS进行供给,相关单位为了控制系统建设经济成本,可以采取将两路电源共用一组UPS的策略,并且对其设置自动切换开关的程序,如果其中的某路电源失电时,则可以直接自行切换到另一路上面继续运转。
2.6信息系统数据备份
信息系统存储的生产数据为火电厂生产管理提供了有力的支持,尤其很多设备运行参数为分析设备运行状态很有帮助,一旦数据发生丢失,对火电厂是很大的损失。信息系统数据备份主要包括接口机数据备份及数据服务器数据备份。对于防火墙及物理隔离器的配置也有必要进行手动备份。接口机最主要的是备份测点数据,每次发生测点数据变化,可以手动备份出来,或者备份至其它接口机。数据服务器数据备份主要备份测点数据和历史数据,数据服务器最好采用双机冗余,两台服务器实现数据同步,某一台出现故障不会影响信息系统运行。
结语
综上所述,加强对火电厂信息系统中的安全防护问题的探讨,有着重要意义,相关工作人员需要明确火电厂信息系统的安全现状,同时探讨息系统安全防护重点所在,包括信息系统安全网络结构、信息系统防计算机病毒策略、信息系统防黑客非法攻击策略、信息系统可靠性、信息系统电源冗余、信息系统数据备份等等方面。
参考文献:
[1]侯子良.再论火电厂厂级监控信息系统[J].北京:电力系统自动化,2002.
[2]余克陆.浅谈火电厂信息化安全建设[J].城市建设理论研究(电子版),2015(19).
[3]侯子良.当前火电厂控制系统信息安全工作策略探讨[J].自动化博览,2017(7).