PDF《DCS与SIS系统间安全隔离技术 设计与实施》

2007.

06 CHINA P LANT ENGINEERING 随着老机组的自动化技术改造, 分散控制系统 ( DCS) 得到广泛应用.SIS 系统中的实时管理程序 对机组生产数据自动采集、处理、存储和统计分 析, 实现对发电机组的安全运行分析和经济运行指 导.由于DCS 系统与SIS 系统直接连接,导致DCS 系统存在很大的安全隐患.因此, 必须在二者 之间实行有效隔离, 最大限度地减少由于网络系统 互联造成的安全问题. 按照原国家经贸委 《 电网与电厂计算机监控系 统及调度数据网络安全防护规定》要求, 电力监控 系统与办公自动化系统或其他信息系统之间以网络 方式互联时,必须采用经国家有关部门认证的专用、 可靠的安全隔离设施. 《 电力二次系统安全防护总 体方案》强调, 必须采用电力专用安全隔离装置作 为安全区Ⅰ、Ⅱ、Ⅲ的必备边界, 具有最高的安全 防护强度, 是安全区Ⅰ、Ⅱ横向防护的要点. 根据电力系统的特点和安全要求, 数据网络系 统分为实时控制区 ( 安全区Ⅰ) 、非控制生产区 ( 安全区Ⅱ) 、生产管理区 ( 安全区Ⅲ) 和管理信息 区(安全区Ⅳ) 等四个安全工作区.其中, 安全隔 离装置 ( 正向) 用于安全区Ⅰ/Ⅱ到安全区Ⅲ的单 向数据传递.大唐长山热电厂 SIS 系统设计和建设 过程中, 采用的就是这种正向安全隔离装置.

一、DCS 与SIS 系统连接现状 大唐长山热电厂

8、9 号发电机组 DCS 采用和 利时 HS2000 系统, 通信网络为标准令牌环网, 符合IEEE802.4 协议, 专用网关机与 SIS 网直接连接, 通过网关软件将有关实时数据发送到 SIS 网内, 两 个网络之间采用 Netware 的IPX 协议 ( 或TCP/IP 协议) 通信.在SIS 网采集站, 通过处理程序接受 实时数据并转发到实时服务器, 供各用户共享.专 用网关机将两个安全级别不同的网络隔离开, 但这 并非真正的 " 物理隔离" , 两端的机器在链路层上 是互通的, 逻辑上也未隔离, 病毒仍可通过串口隔 离程序与链路层协议入侵. 1. 两系统连接中存在的安全隐患 ( 1) SIS 系统采用的均为使用广泛、受攻击 最多、安全漏洞表现相对突出的操作系统.与In- ternet 相联时更增加了受攻击的可能性. ( 2) 与DCS 系统连接的网桥采用的均为通用 产品, 未能很好地解决通用性与安全性之间的关 系. ( 3) 在DCS 控制系统侧, 考虑到开发和应用 上的方便性及其它因素, 一般采用通用操作系统 ( 嵌入) , 也增加了受病毒攻击的可能性. ( 4) 就计算机硬件而言, 两系统 所采用的CPU 都是同一计算机指令系统, 这也为各种攻击 提供了机会. 2. 对安全隐患的分析 虽然从网络结构上讲, DCS 与SIS 系统是通过 网关机及不同网卡来完成数据通信的, 但从网络底 层驱动来讲, 网络访问是完全透明的, 在此基础上 的网络访问是任意的, 即只要物理上有连接, 就能 够进行数据的交流和访问. 摘要: 介绍在 SIS 系统建设过程中, 采用单向物理隔离装置, 实现了系统安全目标. 关键词: DCS 系统;

SIS 系统;

安全隔离: 单向物理隔离装置 中图分类号: TM769 文献标识码: B ( 大唐长山热电厂, 吉林 松原 131000) 文章编号: 1671-

0711 ( 2007) 06- 0028-

02 DCS与SIS系统间安全隔离技术 设计与实施 李达28 %& 修理与改造 2007.06 CHINA P LANT ENGINEERING 目前, 大唐长山热电厂 DCS 系统实时数据的 获取方法, 通常是在网关机中安装多块网卡, 分别 使用不同协议, 以令牌网协议连接到 DCS 系统, 通过 IPX 及NETBEUI 协议连接到 SIS 系统.这实 际上为数据信息在硬件上提供了物理通路, 假如网 关机受到恶意程序攻击, 例如使其具备路由功能, 则DCS 和SIS 系统之间就等于处在同一网络中, 操作就没有了限制.即使其它程序不对 DCS 系统 进行恶意破坏, 网络 " 垃圾包"也会造成通信滞后 或瘫痪.因此, 采用这种网桥的方法存在着极大的 安全隐患. 3. 应用防火墙技术的局限 防火墙一般分三种类型, 即基于路由器的包过 滤防火墙、基于通用操作系统的防火墙、基于专用 安全操作系统的防火墙.除支持 IP 协议外, 还支 持AppleTalk、 DECnet、 IPX 及Netbeui 等通用协议.它采取访问控制, 包过滤防火墙的过滤, 应用 层提供代理支持病毒扫描、入侵实时警告、实时入 侵防范、实时入侵响应等措施来抵御攻击.当发生 入侵事件时, 防火墙能够动态响应, 调整安全策 略, 阻挡恶意报文, 识别、记录、防止企图进行 IP 地址欺骗等手段. 采取防火墙技术后, 数据通信仍是双向的, 无 论哪种类型的防护手段, 从本质上均处于 " 被动防 御" , 只有不断升级软件和硬件, 才能防止已知病 毒和常规攻击.而对未知病毒的防御则是有限的、 滞后的.同时,作为DCS 与SIS 系统间的网桥(或其它类似设备) , 如果受到攻击, 即使没有攻击 到DCS 系统, 也可能会在网络上增加额外数据处 理量, 最终将影响 DCS 系统的数据实时传递.对 于安全性要求极高的电站而言, 是绝对不允许发生 任何一次对 DCS 系统攻击的.因此这些方法始终 存在安全漏洞, 无法从根本上杜绝网络安全隐患.