智能電站控制―維護(hù)―管理系統(tǒng)集成中的安全隔離技

標(biāo)簽：智能化變電站 CMMS

摘要：控制—維護(hù)—管理系統(tǒng)(control maintenance managementsystem，CMMS)集成是實(shí)現(xiàn)智能化電站的基礎(chǔ)，信息安全是系統(tǒng)集成中的關(guān)鍵問題。為此提出了CMMS 安全隔離設(shè)計(jì)方法，分析了大型電站CMMS 的安全現(xiàn)狀，對(duì)系統(tǒng)網(wǎng)絡(luò)進(jìn)行安全分區(qū)，加裝安全隔離裝置;設(shè)計(jì)了一種新的數(shù)據(jù)傳輸策略，保證安全隔離后系統(tǒng)原有功能能夠正常使用;并給出了實(shí)現(xiàn)安全隔離的硬件、軟件部署方案。該系統(tǒng)已在葛洲壩電站成功應(yīng)用，安全測試與實(shí)際應(yīng)用表明，安全隔離后的CMMS 運(yùn)行穩(wěn)定可靠，安全防護(hù)效果顯著。CMMS 的安全隔離為控制、維護(hù)和管理系統(tǒng)集成的安全設(shè)計(jì)提供了參考解決方案。

0 引言

目前在大型水電站中主要存在控制、維護(hù)和管理3 種系統(tǒng)，為實(shí)現(xiàn)智能化電站，加強(qiáng)系統(tǒng)之間的信息共享，綜合考慮系統(tǒng)性能、可靠性及效益，人們將維護(hù)與控制、管理系統(tǒng)進(jìn)行集成，提出了控制-維護(hù)-管理系統(tǒng)(control maintenance management system，CMMS)[1]，并在水電站逐步推廣，從而改變了控制、維護(hù)和管理系統(tǒng)相互孤立、缺乏信息交換的局面，提高了發(fā)電企業(yè)的綜合效益，增強(qiáng)了競爭力。

與此同時(shí)，CMMS 還沒有建立可靠的安全體系，網(wǎng)絡(luò)中存在許多潛在的威脅和安全隱患，隨著信息技術(shù)的發(fā)展，CMMS 中的安全問題愈來愈突出[2-3]：

1)維護(hù)系統(tǒng)與控制系統(tǒng)、管理信息系統(tǒng)存在頻繁的信息交互，網(wǎng)絡(luò)通道比較復(fù)雜，這使得病毒和黑客能夠通過Internet 輕易地對(duì)系統(tǒng)進(jìn)行惡意攻擊，從而引起系統(tǒng)的不穩(wěn)定和安全事故;

2)由于具有控制功能的監(jiān)控系統(tǒng)與維護(hù)系統(tǒng)之間存在互聯(lián)通道，可能存在采用“搭接”等手段對(duì)傳輸電力控制信息進(jìn)行“竊聽”和“篡改”，進(jìn)而對(duì)電力一次設(shè)備進(jìn)行非法破壞性操作的威脅，影響發(fā)電生產(chǎn)安全甚至整個(gè)電網(wǎng)的安全;

3)有些CMMS 用戶的PC 機(jī)還布置在局域網(wǎng)內(nèi)，許多人對(duì)信息安全問題的重視程度還不夠，對(duì)新出現(xiàn)的安全問題的認(rèn)識(shí)還不足，這可能使系統(tǒng)存在潛在的安全隱患;

4)缺乏對(duì)重要數(shù)據(jù)的安全性保護(hù)。由于CMMS 系統(tǒng)中的數(shù)據(jù)集中存放在少量幾個(gè)數(shù)據(jù)庫中，而目前對(duì)數(shù)據(jù)庫采用的安全措施強(qiáng)度不夠，存在著大量的結(jié)構(gòu)化查詢語言(structured query language，SQL)注入等攻擊漏洞。因此必須對(duì)CMMS 系統(tǒng)實(shí)施有效的安全防護(hù)。

目前國內(nèi)外對(duì)電力信息系統(tǒng)安全防護(hù)的研究已取得一些成果[4-7]。文獻(xiàn)[4]采用防火墻等傳統(tǒng)網(wǎng)絡(luò)安全技術(shù)對(duì)調(diào)度數(shù)據(jù)網(wǎng)絡(luò)進(jìn)行安全設(shè)計(jì)，其設(shè)計(jì)方案對(duì)電力信息系統(tǒng)安全來說有一定不足。文獻(xiàn)[5-7]分別對(duì)電廠二次系統(tǒng)等進(jìn)行安全分析與硬件防護(hù)，但對(duì)防護(hù)后安全區(qū)之間的數(shù)據(jù)傳輸策略以及軟件改造則研究得比較少。本文對(duì)CMMS 進(jìn)行安全隔離，主要從系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)、數(shù)據(jù)傳輸策略及應(yīng)用軟件改造幾個(gè)方面入手：

1)對(duì)網(wǎng)絡(luò)進(jìn)行安全分區(qū)，切斷不必要的網(wǎng)絡(luò)通道，對(duì)存在安全隱患的網(wǎng)絡(luò)通道加裝安全隔離裝置，特別是在安全I(xiàn)I 區(qū)與安全I(xiàn)II 區(qū)間，通過專用網(wǎng)絡(luò)隔離設(shè)備切斷其TCP 連接，確保安全I(xiàn) 區(qū)和安全I(xiàn)I內(nèi)系統(tǒng)不受直接的網(wǎng)絡(luò)攻擊。

2)由于網(wǎng)絡(luò)結(jié)構(gòu)變化，安全I(xiàn)I 區(qū)與安全I(xiàn)II 區(qū)間的TCP 連接被阻止，安全I(xiàn)II 區(qū)許多原有的應(yīng)用將不能使用。以往通常采用在III 區(qū)建立鏡像數(shù)據(jù)服務(wù)器、利用通信軟件定期同步II 區(qū)數(shù)據(jù)的方法保證原有應(yīng)用[5]，但該方法實(shí)時(shí)性較差，且增加了系統(tǒng)投資成本。為此本文設(shè)計(jì)了一種新的數(shù)據(jù)傳輸策略，通過應(yīng)用軟件改造，在保證系統(tǒng)安全、可靠、高效運(yùn)行前提下，無需增加鏡像服務(wù)器即可實(shí)現(xiàn)2個(gè)安全區(qū)間的實(shí)時(shí)數(shù)據(jù)交互。

1 CMMS 安全現(xiàn)狀分析

1.1 CMMS 集成框架

CMMS 框架下，最優(yōu)維護(hù)系統(tǒng)(hydropowerplant optimal maintenance system，HOMS)從機(jī)組級(jí)、廠房級(jí)和企業(yè)級(jí)分層次與控制、管理系統(tǒng)進(jìn)行集成[8-9]，其結(jié)構(gòu)如圖1 所示。

1)機(jī)組級(jí)。維護(hù)系統(tǒng)包括集成監(jiān)測與綜合診斷系統(tǒng)，主要由機(jī)組集成監(jiān)測與綜合診斷單元(簡稱為綜合單元)以及輔助設(shè)備(集成在機(jī)組綜合單元)、機(jī)械、電氣以及控制系統(tǒng)4 個(gè)設(shè)備數(shù)字化及狀態(tài)分析單元(簡稱為設(shè)備單元)組成[10]，完成對(duì)機(jī)組設(shè)備以及控制系統(tǒng)的實(shí)時(shí)在線監(jiān)測。

2)廠房級(jí)。在機(jī)組級(jí)基礎(chǔ)上建立維護(hù)局域網(wǎng)，添加診斷工作站、運(yùn)行分析站、廠房級(jí)WEB 服務(wù)器、維護(hù)數(shù)據(jù)服務(wù)器及交換機(jī)等設(shè)備，對(duì)機(jī)組設(shè)備進(jìn)行運(yùn)行分析、故障診斷及健康狀況評(píng)價(jià)，并以網(wǎng)頁形式發(fā)布監(jiān)測與分析診斷信息。

3)企業(yè)級(jí)。與管理信息系統(tǒng)集成，獲取維護(hù)管理數(shù)據(jù)以及設(shè)備離線檢測與分析數(shù)據(jù);維護(hù)決策支持系統(tǒng)綜合考慮各方面因素(設(shè)備健康狀況、水力資源及電力市場等)，提供最優(yōu)維護(hù)輔助決策;通過企業(yè)級(jí)WEB 服務(wù)器，將各類輔助決策信息提供給企業(yè)級(jí)用戶，作為決策依據(jù)。

CMMS 框架下HOMS 為專家進(jìn)行遠(yuǎn)程故障診斷與維護(hù)決策提供了交互式信息平臺(tái)，為電站實(shí)現(xiàn)狀態(tài)檢修打下了基礎(chǔ)[11]。

1.2 CMMS 安全分析

在 CMMS 中，HOMS 系統(tǒng)與其他系統(tǒng)信息交互頻繁，各個(gè)系統(tǒng)的物理位置不同，管理部門也不同，因此形成了復(fù)雜的網(wǎng)絡(luò)通道。隨著通信技術(shù)和網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展，這種復(fù)雜性可能導(dǎo)致黑客、病毒以及惡意代碼等通過各種形式對(duì)系統(tǒng)發(fā)起惡意攻擊[12]，甚至對(duì)電力一次設(shè)備進(jìn)行非法破壞性的操作，在沒有進(jìn)行有效安全防護(hù)的情況下，系統(tǒng)存在嚴(yán)重的安全隱患。

1)機(jī)組級(jí)子系統(tǒng)與控制系統(tǒng)，如現(xiàn)地控制單元(local control unit，LCU)、調(diào)速器、勵(lì)磁調(diào)節(jié)器等一次設(shè)備存在信息交互通道，在沒有采取安全防護(hù)措施的情況下，可能導(dǎo)致電力一次設(shè)備遭受惡意攻擊或者破壞，影響一次設(shè)備的安全運(yùn)行，甚至造成整個(gè)電力系統(tǒng)崩潰。

2)廠房級(jí)子系統(tǒng)接入企業(yè)管理信息網(wǎng)，黑客、病毒等可通過網(wǎng)絡(luò)通道對(duì)廠房級(jí)子系統(tǒng)進(jìn)行攻擊、入侵，影響系統(tǒng)的穩(wěn)定運(yùn)行，甚至?xí)?duì)一次設(shè)備的安全乃至整個(gè)電網(wǎng)安全造成威脅。

3)重要數(shù)據(jù)的安全性威脅。由于HOMS 系統(tǒng)中的數(shù)據(jù)集中存放在少量幾個(gè)數(shù)據(jù)庫中，而目前存在著大量的SQL 注入等攻擊漏洞，將會(huì)對(duì)HOMS數(shù)據(jù)產(chǎn)生威脅。

2 安全隔離網(wǎng)絡(luò)設(shè)計(jì)

2.1 安全區(qū)劃分

為了防范黑客及惡意代碼等對(duì)電力二次系統(tǒng)的攻擊侵害，根據(jù)國家電監(jiān)會(huì)發(fā)布的《電力二次系統(tǒng)安全防護(hù)規(guī)定》，將二次系統(tǒng)按照安全級(jí)別劃分為不同的安全工作區(qū)。HOMS 系統(tǒng)與生產(chǎn)密切相關(guān)，但不直接控制生產(chǎn)過程。為了發(fā)揮HOMS 系統(tǒng)強(qiáng)大的遠(yuǎn)程監(jiān)測與分析診斷功能，使安全I(xiàn)II 區(qū)用戶能正常使用HOMS 系統(tǒng)，所以電廠將HOMS 系統(tǒng)企業(yè)級(jí)子系統(tǒng)部署在安全I(xiàn)II 區(qū)，廠房級(jí)子系統(tǒng)及機(jī)組級(jí)子系統(tǒng)劃分在安全I(xiàn)I 區(qū)，保持原有結(jié)構(gòu)不變。與HOMS 系統(tǒng)相關(guān)的多個(gè)系統(tǒng)分別屬于不同的安全區(qū)，如：監(jiān)控系統(tǒng)、調(diào)速器等屬于安全I(xiàn) 區(qū)，管理信息系統(tǒng)屬于安全I(xiàn)II 區(qū)。

2.2 安全隔離后系統(tǒng)的網(wǎng)絡(luò)結(jié)

構(gòu)安全分區(qū)后，對(duì)HOMS 系統(tǒng)進(jìn)行隔離，主要是調(diào)整系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)，切斷不必要的網(wǎng)絡(luò)通道，對(duì)存在安全隱患的網(wǎng)絡(luò)通道加裝安全防護(hù)裝置[13]。在安全I(xiàn)I 區(qū)與安全I(xiàn)II 之間，加裝正、反向隔離裝置，切斷其TCP 連接，確保安全I(xiàn) 區(qū)和安全I(xiàn)I 內(nèi)系統(tǒng)不會(huì)受到直接的網(wǎng)絡(luò)攻擊。企業(yè)級(jí)子系統(tǒng)與廠級(jí)子系統(tǒng)通過正、反向隔離裝置有機(jī)地聯(lián)系在一起，這樣既確保了HOMS 系統(tǒng)數(shù)據(jù)的安全性，又實(shí)現(xiàn)了安全I(xiàn)I 區(qū)與安全I(xiàn)II 區(qū)的數(shù)據(jù)交互;機(jī)組級(jí)子系統(tǒng)與安全I(xiàn) 區(qū)設(shè)備通過正向隔離裝置進(jìn)行隔離，并切斷機(jī)組級(jí)子系統(tǒng)向安全I(xiàn) 區(qū)設(shè)備發(fā)送數(shù)據(jù)的通道，保證電力一次設(shè)備的安全性和可靠性;企業(yè)級(jí)子系統(tǒng)，通過硬件防火墻與管理信息網(wǎng)相連，抵御網(wǎng)絡(luò)惡意代碼等的攻擊。安全隔離后系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)見圖2。

3 安全隔離數(shù)據(jù)傳輸策略設(shè)計(jì)

3.1 總體思路

安全隔離后，安全I(xiàn)/II 區(qū)與安全I(xiàn)II 區(qū)之間安裝了電力系統(tǒng)專用橫向隔離裝置。隔離裝置切斷了安全區(qū)之間的TCP 連接，禁用了SQL 等數(shù)據(jù)查詢命令;且安全區(qū)之間數(shù)據(jù)只能單向傳輸，因此系統(tǒng)許多原有的應(yīng)用及數(shù)據(jù)傳輸方式將不能使用，需要進(jìn)行改造才能適應(yīng)新的網(wǎng)絡(luò)結(jié)構(gòu)。目前，在HOMS系統(tǒng)中，主要的數(shù)據(jù)包括實(shí)時(shí)數(shù)據(jù)和歷史數(shù)據(jù)[14]。不同的數(shù)據(jù)其傳輸策略也不相同。

3.2 實(shí)時(shí)數(shù)據(jù)傳輸策略

實(shí)時(shí)數(shù)據(jù)表征機(jī)組實(shí)時(shí)運(yùn)行狀態(tài)與健康狀態(tài)，貫穿整個(gè)監(jiān)測系統(tǒng)，其數(shù)據(jù)源位于HOMS 系統(tǒng)底層設(shè)備單元的數(shù)據(jù)采集系統(tǒng)。各設(shè)備單元將采集到的實(shí)時(shí)數(shù)據(jù)經(jīng)過分析處理，上傳至綜合單元;綜合單元進(jìn)行數(shù)據(jù)綜合和存儲(chǔ)，并以每1s 一次的頻率向上轉(zhuǎn)發(fā)至廠級(jí)WEB 服務(wù)器;廠級(jí)WEB 服務(wù)器上部署數(shù)據(jù)轉(zhuǎn)發(fā)程序，接收實(shí)時(shí)數(shù)據(jù)，響應(yīng)客戶連接請(qǐng)求，并以Flash 及曲線的形式將實(shí)時(shí)數(shù)據(jù)展現(xiàn)給用戶。

加裝隔離裝置以后，位于安全I(xiàn)I 區(qū)的用戶對(duì)實(shí)時(shí)數(shù)據(jù)的瀏覽不受影響，但位于安全I(xiàn)II 區(qū)的用戶由于無法向安全I(xiàn)I 區(qū)發(fā)送TCP 數(shù)據(jù)連接請(qǐng)求，所以不能獲取實(shí)時(shí)數(shù)據(jù)。為此采取的數(shù)據(jù)傳輸策略為：選擇面向無連接的UDP 傳輸模式，由廠級(jí)WEB服務(wù)器主動(dòng)將接收到的實(shí)時(shí)數(shù)據(jù)轉(zhuǎn)發(fā)至企業(yè)級(jí)WEB 服務(wù)器。由于在實(shí)時(shí)數(shù)據(jù)與客戶端的交互過程中，F(xiàn)lash 可視化及曲線顯示模塊不支持UDP 協(xié)議，因此必須在企業(yè)級(jí)WEB 服務(wù)器上對(duì)實(shí)時(shí)數(shù)據(jù)進(jìn)行轉(zhuǎn)換，并以TCP 模式與客戶端進(jìn)行通信，通過可視化模塊中的腳本完成實(shí)時(shí)數(shù)據(jù)的交互。實(shí)時(shí)數(shù)據(jù)詳細(xì)的傳輸流程如圖3 所示。

改變數(shù)據(jù)傳輸策略后，處于安全I(xiàn)II 區(qū)的用戶在WEB 頁面提交查詢請(qǐng)求給Flash，Action Script腳本響應(yīng)客戶端動(dòng)作并調(diào)用Socket 服務(wù)，向數(shù)據(jù)緩存與轉(zhuǎn)發(fā)模塊提交TCP 連接申請(qǐng);轉(zhuǎn)發(fā)模塊與客戶端建立通信連接后，從企業(yè)級(jí)WEB 服務(wù)器調(diào)出指定的Flash 文件并接收從安全I(xiàn)I 區(qū)轉(zhuǎn)發(fā)過來的實(shí)時(shí)數(shù)據(jù)，最后返回到WEB 頁面展現(xiàn)給用戶。

3.3 歷史數(shù)據(jù)傳輸策略

歷史數(shù)據(jù)表征機(jī)組歷史運(yùn)行狀況與健康狀況，為專家進(jìn)行機(jī)組故障辨識(shí)、故障分析與診斷提供了寶貴的運(yùn)行數(shù)據(jù)與樣本資料。它是由機(jī)組綜合單元根據(jù)各設(shè)備單元上傳的監(jiān)測數(shù)據(jù)，經(jīng)過分析和處理所得到的，根據(jù)其距離當(dāng)前時(shí)間的長短分別保存在廠級(jí)數(shù)據(jù)庫服務(wù)器和機(jī)組綜合單元的數(shù)據(jù)庫中(距今超過3 個(gè)月的數(shù)據(jù)保存在廠級(jí)數(shù)據(jù)庫服務(wù)器中，否則數(shù)據(jù)保存在機(jī)組綜合單元的數(shù)據(jù)庫中)。根據(jù)數(shù)據(jù)生成方式以及保存條件的不同，歷史數(shù)據(jù)可分為原始采樣數(shù)據(jù)、瞬變狀態(tài)數(shù)據(jù)、詳細(xì)狀態(tài)數(shù)據(jù)、概要狀態(tài)數(shù)據(jù)與趨勢(shì)數(shù)據(jù)。用戶可通過WEB 服務(wù)器使用SQL 命令訪問數(shù)據(jù)庫進(jìn)行調(diào)閱。

由于SQL命令是一種基于TCP協(xié)議的雙向訪問方式，加裝橫向隔離裝置之后，TCP 連接被切斷，安全Ⅲ區(qū)用戶將無法通過數(shù)據(jù)庫查詢命令訪問歷史數(shù)據(jù)，所以必須進(jìn)行應(yīng)用程序改造。改造后的數(shù)據(jù)傳輸方案為：企業(yè)級(jí)WEB 服務(wù)器響應(yīng)遠(yuǎn)程用戶請(qǐng)求，將數(shù)據(jù)查詢命令寫入文件;反向隔離通信軟件將文件進(jìn)行加密，并通過反向隔離裝置傳至廠級(jí)WEB 服務(wù)器，廠級(jí)WEB 服務(wù)器實(shí)時(shí)檢測文件更新，讀取文件，根據(jù)查詢命令訪問數(shù)據(jù)庫服務(wù)器獲取數(shù)據(jù)，生成數(shù)據(jù)文件;正向隔離通信軟件將數(shù)據(jù)文件通過正向隔離裝置返回企業(yè)級(jí)WEB 服務(wù)器，企業(yè)級(jí)WEB 服務(wù)器訪問數(shù)據(jù)文件，生成WEB 頁面，與用戶完成數(shù)據(jù)交互。歷史數(shù)據(jù)傳輸流程見圖4。