初探发电厂DCS网络的安全管理

初探发电厂 DCS网络的安全管理

李颖

福建华电邵武能源有限公司 354000

摘要：在科技水平不断提升的背景下，发电厂自动化领域开始广泛应用DCS这一分布式控制系统，该系统中集合的技术有计算机及控制、通信等多种技术，所以能够监控电力生产全过程。10Mbps以太网为DCS系统采用的网络，借此构建通道进行数据传输，而DCS网络稳定性情况与发电厂安全运行与否具有直接关系，所以近年来开始有越来越的发电厂在DCS网络安全管理方面强加了力度。

关键词：发电厂；DCS网络；安全管理

发电厂DCS系统中，重要的中枢神经就是DCS网络，是一种高效通信网络，具备的显著特征体现在安全、可靠、双冗余等多方面，所以DCS系统具有良好的拓展性及开放性。发电厂DCS网络与整个系统都具有密切关系，在网络安全可靠的情况下，系统才能得到正常、稳定运行，也能促使系统效能的最大化发挥，反之则会给整个系统的稳定性造成影响，所以在发电厂运行过程，必须要在DCS网络安全管理方面加强力度，避免受各种干扰因素而影响到DCS网络。

1. DCS网络

1. DCS实时数据网

实时数据网为A网、B网，通过这两条数据网络能进行实时数据传输，这两条数据网是以总线型网络拓扑结构的应用为主，具有10Mbps的网络数据传输速率，这两条数据网络具有相互冗余及并行通讯等显著特征，而在数据网硬件方面，是以1:1冗余的通讯接口卡应用为主，A、B两条实时数据分别有两台网管型核心交换机配备，所以能确保人机接口站及现场分散处理单元间的数据交换目标得以良好实现，属于DCS系统主干网的A、B网，能对发电机组实时数据进行高速传递，同时组台信息及控制指令等也能借助这两条数据网进行传递。

2. DCS信息数据库网

信息数据库网为C网，其并不是一种实时数据网，该数据网中是以单网配置为主，并且仅与OPU（操作员站）及ENG（工程师站）等相连。信息数据网无需进行机组设备控制信息的传递，该网仅需要传输、打印、共享机组级文件即可。

3. DCS的网络节点

分布式处理单元（DPU）。工业控制主机的重要基础所在就是分布式处理单元，在该单元中有实时多任务操作系统及标准算法等装载，属于控制单元的重要核心所在，该单元能借助高速总线连接到I/O接口站，同时基于冗余A、B网卡的利用，也能和A、B两条数据网建立实时通讯关系。

人机接口站（HMI）。OPU、ENG、HSU、值长站等为人机接口站包含的主要内容，其在进行人机交互的过程中，是以高可靠性工业控制计算机的应用为主，通过Net Win v6.0业务的运行，能使ENG获取最高权限，进而修改并监控机组组态情况；而对于OPU来说，仅能够监控机组；具有最低权限的为值长站，其仅以监视功能为主。设置权限的过程中，通过上述业务软件的运行，进而根据不同的登陆用户进行科学划分。

2. DCS网络的薄弱环节

1. 工业控制计算机为该网络采用的人机接口站，所以一般会有USB接口及光盘驱动器存在，此时因计算机能够和移动存储介质交换数据，导致感染外界病毒的风险极有可能因此产生。

2. Windows2000为人机接口站主要的操作系统，该系统运行的业务软件为Net Win v6.0，因并无杀毒软件安装，所以会导致重要的一层安全屏障缺失，此时如果输入病毒，则会出现直接感染现象，受病毒感染影响，机组自动控制逻辑混乱现象就会因此所致，同时生产流程也可能会出现失控现象^[1]。

3. 人机接口站Windows2000操作系统运行过程，受较长的运行时长这一因素影响，加之长时间缺少补丁程序安全的情况下，极有可能会出现蓝屏、死机等不良现象，导致系统的稳定性逐渐降低。

4. 如果并未将安全隔离网闸及防火墙等设置到DCS网络和其他网络之间，加之和外网之间的链路层链接并未在电路上切断，DCS网络中有其他网络入侵的现象就可能会出现。

2. 发电厂DCS网络的安全管理

1. 硬件安全管理

在进行DCS网络安全管理工作的过程中，首要环节就是硬件管理，具体可从以下几方面为出发点：用封条密封人机接口站计算机USB接口及光盘驱动器，同时无关人员移动存储介质的随意插播行为应积极防止，借此确保感染病毒的有效大幅度降低；将封条贴在机组核心交换机空余接口上，避免非法访问网络的现象发生；设备标识牌应张贴到网络设备上，并且在这一标识牌上应注意设备应用名称及网络IP地址、编号等的标明，避免维护作业开展时，维护人员设备操作不当问题产生；安全隔离网闸及防火墙的设置十分必要，应将其设置在DCS网络和其它网络接口位置，借此确保一种安全网间通信有效建立起来；入侵检测系统利于非法入侵等行为的检测，所以可将该系统布置到网络生产大区边界位置，进而利用此系统详细记录入侵时间及类型等内容。

2. 软件安全管理

DCS网络安全管理中，另一方面重要的管理内容就是软件安全管理，在进行这方面管理工作时，第一，应注意正版杀毒软件的积极安装，具体是将其安装到机组DCS网络中，同时注意病毒库的定期更新。第二，应用windows操作系统时，注意补丁程序的及时下载和安装，通过拷贝的方式安装到人机接口站。值得注意的是，在拷贝过程，通常需要使用移动存储介质，如U盘等，而这些介质应注意严格扫描及杀毒，之后方可与计算机连接

^[2]。第三，在每隔半年时间后应备份一次机组历史运行数据，同时可借助移动硬盘导出并存储数据，并且安排专人进行数据的保管工作，而在保存数据的移动硬盘上，应注意机组名称及备份起止时间的清晰标注，为保存重要数据提供保障，以可靠参考数据确保网络受破坏时的影响能够大幅度减小。第四，Net Win v6.0业务软件开关自启动功能应在OPU（操作员站）计算机上设置，在进行开机操作的情况下，应向业务软件界面自动进入，借此使软件中配置及系统等文件遭受更改的现象得到有效防止，为软件应用及系统操作提供保障。第五，其他所有与发电厂业务不相关的软件都不应安装到DCS网络人机接口站，为系统具备充足内存提供保障，使业务软件能够流畅运行。第六，用户账户及密码可设置在ENG（工程师站）计算机上，同时严格保密账号和密码信息，避免机组控制逻辑遭到其他无关人员的随意修改。

3. 制定并完善安全管理制度

健全网络安全管理制度的制定，利于安全管理工作的规范、有序开展，所以发电厂要想更好地维护DCS网络安全性，就应积极制定网络安全管理制度。首先，注意出入登记制度的积极制定，这一制度应针对工程师站及电子设备间，对于出入这两处环境的人员来说，都必须要填写登记表，同时来访姓名及单位、事由、具体时间等信息都应清晰注明^[3]。其次，定期巡检制度的制定也尤为关键，通过这一制度能指导相关维护检查人员定期检查DCS网络并记录具体巡检情况，这一过程主干网网络连接正常与否、通讯指示灯闪烁正常与否、计算机空余接口密封完好与否等都是巡检记录所包含的主要内容。

4. 日常维护的安全注意事项

如果电子设备间有分布式处理单元放置，拨打电话行为应严格禁止，同时使用无线电对讲机等行为也应积极避免，主要原因在于上述行为都会有强电磁干扰现象，而禁止使用上述通讯设备，能避免电磁干扰DCS网络信号。维护现场控制单元的后期，应注意机柜柜门的及时关闭，借此使得外部可能出现的电磁干扰现象得以有效避免。插拔网线及通信设备之前，应注意名称及编号的积极核对，避免有拔错及插错等现象发生，一旦出现上述现象，网络中断问题极有可能因此产生，使得系统运行遭到影响。

结束语：

发电厂要想确保整体系统能够长久处于安全稳定运行状态中，尤为关键的一项工作就是DCS网络安全管理。在开展该项管理工作时，为有效防止网络攻击行为，促进网络安全性、稳定性水平有效提升，可从软硬件方面加强安全管理力度，同时积极制定各种安全管理制度，确保全面把控网络安全，为系统运行提供充足保障。

参考文献：

[1]王磊.浅谈电力网络安全管理及防御措施[J].网络安全技术与应用,2020,000(12):137-138.

[2]李伟.电力监控系统网络安全管理平台设计[J].电子世界,2020,6(22):176-177.

[3]张鹏燕.DCS系统对安全管理的促进与局限[J].当代化工研究,2020,17(22):164-165.