智能電站控制―維護―管理系統集成中的安全隔離技

標簽：智能化變電站 CMMS

摘要：控制—維護—管理系統(control maintenance managementsystem，CMMS)集成是實(shí)現智能化電站的基礎，信息安全是系統集成中的關(guān)鍵問(wèn)題。為此提出了CMMS 安全隔離設計方法，分析了大型電站CMMS 的安全現狀，對系統網(wǎng)絡(luò )進(jìn)行安全分區，加裝安全隔離裝置;設計了一種新的數據傳輸策略，保證安全隔離后系統原有功能能夠正常使用;并給出了實(shí)現安全隔離的硬件、軟件部署方案。該系統已在葛洲壩電站成功應用，安全測試與實(shí)際應用表明，安全隔離后的CMMS 運行穩定可靠，安全防護效果顯著(zhù)。CMMS 的安全隔離為控制、維護和管理系統集成的安全設計提供了參考解決方案。

0 引言

目前在大型水電站中主要存在控制、維護和管理3 種系統，為實(shí)現智能化電站，加強系統之間的信息共享，綜合考慮系統性能、可靠性及效益，人們將維護與控制、管理系統進(jìn)行集成，提出了控制-維護-管理系統(control maintenance management system，CMMS)[1]，并在水電站逐步推廣，從而改變了控制、維護和管理系統相互孤立、缺乏信息交換的局面，提高了發(fā)電企業(yè)的綜合效益，增強了競爭力。

與此同時(shí)，CMMS 還沒(méi)有建立可靠的安全體系，網(wǎng)絡(luò )中存在許多潛在的威脅和安全隱患，隨著(zhù)信息技術(shù)的發(fā)展，CMMS 中的安全問(wèn)題愈來(lái)愈突出[2-3]：

1)維護系統與控制系統、管理信息系統存在頻繁的信息交互，網(wǎng)絡(luò )通道比較復雜，這使得病毒和黑客能夠通過(guò)Internet 輕易地對系統進(jìn)行惡意攻擊，從而引起系統的不穩定和安全事故;

2)由于具有控制功能的監控系統與維護系統之間存在互聯(lián)通道，可能存在采用“搭接”等手段對傳輸電力控制信息進(jìn)行“竊聽(tīng)”和“篡改”，進(jìn)而對電力一次設備進(jìn)行非法破壞性操作的威脅，影響發(fā)電生產(chǎn)安全甚至整個(gè)電網(wǎng)的安全;

3)有些CMMS 用戶(hù)的PC 機還布置在局域網(wǎng)內，許多人對信息安全問(wèn)題的重視程度還不夠，對新出現的安全問(wèn)題的認識還不足，這可能使系統存在潛在的安全隱患;

4)缺乏對重要數據的安全性保護。由于CMMS 系統中的數據集中存放在少量幾個(gè)數據庫中，而目前對數據庫采用的安全措施強度不夠，存在著(zhù)大量的結構化查詢(xún)語(yǔ)言(structured query language，SQL)注入等攻擊漏洞。因此必須對CMMS 系統實(shí)施有效的安全防護。

目前國內外對電力信息系統安全防護的研究已取得一些成果[4-7]。文獻[4]采用防火墻等傳統網(wǎng)絡(luò )安全技術(shù)對調度數據網(wǎng)絡(luò )進(jìn)行安全設計，其設計方案對電力信息系統安全來(lái)說(shuō)有一定不足。文獻[5-7]分別對電廠(chǎng)二次系統等進(jìn)行安全分析與硬件防護，但對防護后安全區之間的數據傳輸策略以及軟件改造則研究得比較少。本文對CMMS 進(jìn)行安全隔離，主要從系統網(wǎng)絡(luò )結構、數據傳輸策略及應用軟件改造幾個(gè)方面入手：

1)對網(wǎng)絡(luò )進(jìn)行安全分區，切斷不必要的網(wǎng)絡(luò )通道，對存在安全隱患的網(wǎng)絡(luò )通道加裝安全隔離裝置，特別是在安全II 區與安全III 區間，通過(guò)專(zhuān)用網(wǎng)絡(luò )隔離設備切斷其TCP 連接，確保安全I 區和安全II內系統不受直接的網(wǎng)絡(luò )攻擊。

2)由于網(wǎng)絡(luò )結構變化，安全II 區與安全III 區間的TCP 連接被阻止，安全III 區許多原有的應用將不能使用。以往通常采用在III 區建立鏡像數據服務(wù)器、利用通信軟件定期同步II 區數據的方法保證原有應用[5]，但該方法實(shí)時(shí)性較差，且增加了系統投資成本。為此本文設計了一種新的數據傳輸策略，通過(guò)應用軟件改造，在保證系統安全、可靠、高效運行前提下，無(wú)需增加鏡像服務(wù)器即可實(shí)現2個(gè)安全區間的實(shí)時(shí)數據交互。

1 CMMS 安全現狀分析

1.1 CMMS 集成框架

CMMS 框架下，最優(yōu)維護系統(hydropowerplant optimal maintenance system，HOMS)從機組級、廠(chǎng)房級和企業(yè)級分層次與控制、管理系統進(jìn)行集成[8-9]，其結構如圖1 所示。

1)機組級。維護系統包括集成監測與綜合診斷系統，主要由機組集成監測與綜合診斷單元(簡(jiǎn)稱(chēng)為綜合單元)以及輔助設備(集成在機組綜合單元)、機械、電氣以及控制系統4 個(gè)設備數字化及狀態(tài)分析單元(簡(jiǎn)稱(chēng)為設備單元)組成[10]，完成對機組設備以及控制系統的實(shí)時(shí)在線(xiàn)監測。

2)廠(chǎng)房級。在機組級基礎上建立維護局域網(wǎng)，添加診斷工作站、運行分析站、廠(chǎng)房級WEB 服務(wù)器、維護數據服務(wù)器及交換機等設備，對機組設備進(jìn)行運行分析、故障診斷及健康狀況評價(jià)，并以網(wǎng)頁(yè)形式發(fā)布監測與分析診斷信息。

3)企業(yè)級。與管理信息系統集成，獲取維護管理數據以及設備離線(xiàn)檢測與分析數據;維護決策支持系統綜合考慮各方面因素(設備健康狀況、水力資源及電力市場(chǎng)等)，提供最優(yōu)維護輔助決策;通過(guò)企業(yè)級WEB 服務(wù)器，將各類(lèi)輔助決策信息提供給企業(yè)級用戶(hù)，作為決策依據。

CMMS 框架下HOMS 為專(zhuān)家進(jìn)行遠程故障診斷與維護決策提供了交互式信息平臺，為電站實(shí)現狀態(tài)檢修打下了基礎[11]。

1.2 CMMS 安全分析

在 CMMS 中，HOMS 系統與其他系統信息交互頻繁，各個(gè)系統的物理位置不同，管理部門(mén)也不同，因此形成了復雜的網(wǎng)絡(luò )通道。隨著(zhù)通信技術(shù)和網(wǎng)絡(luò )技術(shù)的迅猛發(fā)展，這種復雜性可能導致黑客、病毒以及惡意代碼等通過(guò)各種形式對系統發(fā)起惡意攻擊[12]，甚至對電力一次設備進(jìn)行非法破壞性的操作，在沒(méi)有進(jìn)行有效安全防護的情況下，系統存在嚴重的安全隱患。

1)機組級子系統與控制系統，如現地控制單元(local control unit，LCU)、調速器、勵磁調節器等一次設備存在信息交互通道，在沒(méi)有采取安全防護措施的情況下，可能導致電力一次設備遭受惡意攻擊或者破壞，影響一次設備的安全運行，甚至造成整個(gè)電力系統崩潰。

2)廠(chǎng)房級子系統接入企業(yè)管理信息網(wǎng)，黑客、病毒等可通過(guò)網(wǎng)絡(luò )通道對廠(chǎng)房級子系統進(jìn)行攻擊、入侵，影響系統的穩定運行，甚至會(huì )對一次設備的安全乃至整個(gè)電網(wǎng)安全造成威脅。

3)重要數據的安全性威脅。由于HOMS 系統中的數據集中存放在少量幾個(gè)數據庫中，而目前存在著(zhù)大量的SQL 注入等攻擊漏洞，將會(huì )對HOMS數據產(chǎn)生威脅。

2 安全隔離網(wǎng)絡(luò )設計

2.1 安全區劃分

為了防范黑客及惡意代碼等對電力二次系統的攻擊侵害，根據國家電監會(huì )發(fā)布的《電力二次系統安全防護規定》，將二次系統按照安全級別劃分為不同的安全工作區。HOMS 系統與生產(chǎn)密切相關(guān)，但不直接控制生產(chǎn)過(guò)程。為了發(fā)揮HOMS 系統強大的遠程監測與分析診斷功能，使安全III 區用戶(hù)能正常使用HOMS 系統，所以電廠(chǎng)將HOMS 系統企業(yè)級子系統部署在安全III 區，廠(chǎng)房級子系統及機組級子系統劃分在安全II 區，保持原有結構不變。與HOMS 系統相關(guān)的多個(gè)系統分別屬于不同的安全區，如：監控系統、調速器等屬于安全I 區，管理信息系統屬于安全III 區。

2.2 安全隔離后系統的網(wǎng)絡(luò )結

構安全分區后，對HOMS 系統進(jìn)行隔離，主要是調整系統網(wǎng)絡(luò )結構，切斷不必要的網(wǎng)絡(luò )通道，對存在安全隱患的網(wǎng)絡(luò )通道加裝安全防護裝置[13]。在安全II 區與安全III 之間，加裝正、反向隔離裝置，切斷其TCP 連接，確保安全I 區和安全II 內系統不會(huì )受到直接的網(wǎng)絡(luò )攻擊。企業(yè)級子系統與廠(chǎng)級子系統通過(guò)正、反向隔離裝置有機地聯(lián)系在一起，這樣既確保了HOMS 系統數據的安全性，又實(shí)現了安全II 區與安全III 區的數據交互;機組級子系統與安全I 區設備通過(guò)正向隔離裝置進(jìn)行隔離，并切斷機組級子系統向安全I 區設備發(fā)送數據的通道，保證電力一次設備的安全性和可靠性;企業(yè)級子系統，通過(guò)硬件防火墻與管理信息網(wǎng)相連，抵御網(wǎng)絡(luò )惡意代碼等的攻擊。安全隔離后系統的網(wǎng)絡(luò )結構見(jiàn)圖2。

3 安全隔離數據傳輸策略設計

3.1 總體思路

安全隔離后，安全I/II 區與安全III 區之間安裝了電力系統專(zhuān)用橫向隔離裝置。隔離裝置切斷了安全區之間的TCP 連接，禁用了SQL 等數據查詢(xún)命令;且安全區之間數據只能單向傳輸，因此系統許多原有的應用及數據傳輸方式將不能使用，需要進(jìn)行改造才能適應新的網(wǎng)絡(luò )結構。目前，在HOMS系統中，主要的數據包括實(shí)時(shí)數據和歷史數據[14]。不同的數據其傳輸策略也不相同。

3.2 實(shí)時(shí)數據傳輸策略

實(shí)時(shí)數據表征機組實(shí)時(shí)運行狀態(tài)與健康狀態(tài)，貫穿整個(gè)監測系統，其數據源位于HOMS 系統底層設備單元的數據采集系統。各設備單元將采集到的實(shí)時(shí)數據經(jīng)過(guò)分析處理，上傳至綜合單元;綜合單元進(jìn)行數據綜合和存儲，并以每1s 一次的頻率向上轉發(fā)至廠(chǎng)級WEB 服務(wù)器;廠(chǎng)級WEB 服務(wù)器上部署數據轉發(fā)程序，接收實(shí)時(shí)數據，響應客戶(hù)連接請求，并以Flash 及曲線(xiàn)的形式將實(shí)時(shí)數據展現給用戶(hù)。

加裝隔離裝置以后，位于安全II 區的用戶(hù)對實(shí)時(shí)數據的瀏覽不受影響，但位于安全III 區的用戶(hù)由于無(wú)法向安全II 區發(fā)送TCP 數據連接請求，所以不能獲取實(shí)時(shí)數據。為此采取的數據傳輸策略為：選擇面向無(wú)連接的UDP 傳輸模式，由廠(chǎng)級WEB服務(wù)器主動(dòng)將接收到的實(shí)時(shí)數據轉發(fā)至企業(yè)級WEB 服務(wù)器。由于在實(shí)時(shí)數據與客戶(hù)端的交互過(guò)程中，Flash 可視化及曲線(xiàn)顯示模塊不支持UDP 協(xié)議，因此必須在企業(yè)級WEB 服務(wù)器上對實(shí)時(shí)數據進(jìn)行轉換，并以TCP 模式與客戶(hù)端進(jìn)行通信，通過(guò)可視化模塊中的腳本完成實(shí)時(shí)數據的交互。實(shí)時(shí)數據詳細的傳輸流程如圖3 所示。

改變數據傳輸策略后，處于安全III 區的用戶(hù)在WEB 頁(yè)面提交查詢(xún)請求給Flash，Action Script腳本響應客戶(hù)端動(dòng)作并調用Socket 服務(wù)，向數據緩存與轉發(fā)模塊提交TCP 連接申請;轉發(fā)模塊與客戶(hù)端建立通信連接后，從企業(yè)級WEB 服務(wù)器調出指定的Flash 文件并接收從安全II 區轉發(fā)過(guò)來(lái)的實(shí)時(shí)數據，最后返回到WEB 頁(yè)面展現給用戶(hù)。

3.3 歷史數據傳輸策略

歷史數據表征機組歷史運行狀況與健康狀況，為專(zhuān)家進(jìn)行機組故障辨識、故障分析與診斷提供了寶貴的運行數據與樣本資料。它是由機組綜合單元根據各設備單元上傳的監測數據，經(jīng)過(guò)分析和處理所得到的，根據其距離當前時(shí)間的長(cháng)短分別保存在廠(chǎng)級數據庫服務(wù)器和機組綜合單元的數據庫中(距今超過(guò)3 個(gè)月的數據保存在廠(chǎng)級數據庫服務(wù)器中，否則數據保存在機組綜合單元的數據庫中)。根據數據生成方式以及保存條件的不同，歷史數據可分為原始采樣數據、瞬變狀態(tài)數據、詳細狀態(tài)數據、概要狀態(tài)數據與趨勢數據。用戶(hù)可通過(guò)WEB 服務(wù)器使用SQL 命令訪(fǎng)問(wèn)數據庫進(jìn)行調閱。

由于SQL命令是一種基于TCP協(xié)議的雙向訪(fǎng)問(wèn)方式，加裝橫向隔離裝置之后，TCP 連接被切斷，安全Ⅲ區用戶(hù)將無(wú)法通過(guò)數據庫查詢(xún)命令訪(fǎng)問(wèn)歷史數據，所以必須進(jìn)行應用程序改造。改造后的數據傳輸方案為：企業(yè)級WEB 服務(wù)器響應遠程用戶(hù)請求，將數據查詢(xún)命令寫(xiě)入文件;反向隔離通信軟件將文件進(jìn)行加密，并通過(guò)反向隔離裝置傳至廠(chǎng)級WEB 服務(wù)器，廠(chǎng)級WEB 服務(wù)器實(shí)時(shí)檢測文件更新，讀取文件，根據查詢(xún)命令訪(fǎng)問(wèn)數據庫服務(wù)器獲取數據，生成數據文件;正向隔離通信軟件將數據文件通過(guò)正向隔離裝置返回企業(yè)級WEB 服務(wù)器，企業(yè)級WEB 服務(wù)器訪(fǎng)問(wèn)數據文件，生成WEB 頁(yè)面，與用戶(hù)完成數據交互。歷史數據傳輸流程見(jiàn)圖4。