時間:2022-02-15 03:29:00
引言:易發表網憑借豐富的文秘實踐,為您精心挑選了九篇控制系統信息安全范例。如需獲取更多原創內容,可隨時聯系我們的客服老師。
一、2015年工控安全漏洞與安全事件依然突出
通過對國家信息安全漏洞庫(CNNVD)的數據進行分析,2015年工控安全漏洞呈現以下幾個特點:
1.工控安全漏洞披露數量居高不下,總體呈遞增趨勢。受2010年“震網病毒”事件影響,工控信息安全迅速成為安全領域的焦點。國內外掀起針對工控安全漏洞的研究熱潮,因此自2010年以后工控漏洞披露數量激增,占全部數量的96%以上。隨著國內外對工控安全的研究逐漸深入,以及工控漏洞的公開披露開始逐漸制度化、規范化,近幾年漏洞披露數量趨于穩定。
2.工控核心硬件漏洞數量增長明顯。盡管在當前已披露的工控系統漏洞中軟件漏洞數量仍高居首位,但近幾年工控硬件漏洞數量增長明顯,所占比例有顯著提高。例如,2010年工控硬件漏洞占比不足10%,但是2015年其占比高達37.5%。其中,工控硬件包括可編程邏輯控制器(PLC)、遠程終端單元(RTU)、智能儀表設備(IED)及離散控制系統(DCS)等。
3.漏洞已覆蓋工控系統主要組件,主流工控廠商無一幸免。無論是國外工控廠商(如西門子、施耐德、羅克韋爾等)還是國內工控廠商(研華),其產品普遍存在安全漏洞,且許多漏洞很難修補。在2015年新披露的工控漏洞中,西門子、施耐德、羅克韋爾、霍尼韋爾產品的漏洞數量分列前四位。
二、工控信息安全標準需求強烈,標準制定工作正全面推進
盡管工控信息安全問題已得到世界各國普遍重視,但在工業生產環境中如何落實信息安全管理和技術卻沒有切實可行的方法,工控信息安全防護面臨著“無章可循”,工控信息安全標準已迫在眉睫。當前,無論是國外還是國內,工控信息安全標準的需求非常強烈,標準制定工作也如火如荼在開展,但工控系統的特殊性導致目前工控安全技術和管理仍處探索階段,目前絕大多數標準正處于草案或征求意見階段,而且在設計思路上存在較為明顯的差異,這充分反映了目前不同人員對工控信息安全標準認識的不同,因此工控信息安全標準的制定與落地任重道遠。
1.國外工控信息安全標準建設概況
IEC 62443(工業自動化控制系統信息安全)標準是當前國際最主要的工控信息安全標準,起始于2005年,但至今標準制定工作仍未結束,特別是在涉及到系統及產品的具體技術要求方面尚有一段時日。
此外,美國在工控信息安全標準方面也在不斷推進。其國家標準技術研究院NIST早在2010年了《工業控制系統安全指南》(NIST SP800-82),并2014年了修訂版2,對其控制和控制基線進行了調整,增加了專門針對工控系統的補充指南。在奧巴馬政府美國總統第13636號行政令《提高關鍵基礎設計網絡安全》后,NIST也隨即了《關鍵基礎設施網絡安全框架》,提出“識別保護檢測響應恢復”的總體框架。
2.國內工控信息安全標準建設概況
在國內,兩個標準化技術委員會都在制定工控信息安全標準工作,分別是:全國信息安全標準化技術委員會(SAC/TC260),以及全國工業過程測量與控制標準化技術委員會(SAC/TC 124)。
其中,由TC260委員會組織制定的《工業控制系統現場測控設備安全功能要求》和《工業控制系統安全控制應用指南》處于報批稿階段,《工業控制系統安全管理基本要求》、《工業控制系統安全檢查指南》、《工業控制系統風險影響等級劃分規范》、《工業控制系統安全防護技術要求和測試評價方法》和《安全可控信息系統(電力系統)安全指標體系》正在制定過程中,并且在2015年新啟動了《工業控制系統產品信息安全通用評估準則》、《工業控制系統漏洞檢測技術要求》、《工業控制系統網絡監測安全技術要求和測試評價方法》、《工業控制網絡安全隔離與信息交換系統安全技術要求》、《工業控制系統網絡審計產品安全技術要求》、《工業控制系統風險評估實施指南》等標準研制工作。
TC124委員會組織制定的工控信息安全標準工作也在如火如荼進行。2014年12月,TC124委員會了《工業控制系統信息安全》(GB/T 30976-2014),包括兩個部分內容:評估規范和驗收規范。另外,TC124委員會等同采用了IEC 62443中的部分標準,包括《工業通信網絡網絡和系統安全術語、概念和模型》(JB/T 11961-2014,等同采用IEC/TS 62443-1-1:2009)、《工業過程測量和控制安全網絡和系統安全》(JB/T 11960-2014,等同采用IEC PAS 62443-3:2008)、《工業通信網絡網絡和系統工業自動化和控制系統信息安全技術》(JB/T 11962-2014,等同采用IEC/TR 62443-3-1:2009),此外對IEC62443-2-1:2010標準轉標工作已經進入報批稿階段,并正在計劃對IEC 62443-3-3:2013進行轉標工作。除此之外,TC124委員會組織制定的集散控制系統(DCS)安全系列標準和可編程控制器(PLC)安全要求標準也已經進入征求意見稿后期階段。
由于不同行業的工業控制系統差異很大,因此我國部分行業已經制定或正在研究制定適合自身行業特點的工控信息安全標準。2014年,國家發改委了第14號令《電力監控系統安全防護規定》,取代原先的《電力二次系統安全防護規定》(電監會[2005]5號),以此作為電力監控系統信息安全防護的指導依據,同時原有配套的防護方案也進行了相應的更新。在城市軌道交通領域,上海申通地鐵集團有限公司2013年了《上海軌道交通信息安全技術架構》(滬地鐵信[2013]222號文),并在2015年以222號文為指導文件了企業標準《軌道交通信息安全技術建設指導意見》(2015,試行)。同時,北京市軌道交通設計研究院有限公司于2015年牽頭擬制國家標準草案《城市軌道交通工業控制系統信息安全要求》。在石油化工領域,2015年由石化盈科牽頭擬制《中石化工業控制系統信息安全要求》等。
三、工控安全防護技術正迅速發展并在局部開始試點,但離大規模部署和應用有一定差距
當前許多信息安全廠商和工控自動化廠商紛紛研究工業控制系統的信息安全防護技術并開發相應產品,近幾年出現了一系列諸如工控防火墻、工控異常監測系統、主機防護軟件等產品并在部分企業進行試點應用。比較有代表性的工控安全防護產品及特點如下:
1.工控防火墻 防火墻是目前網絡邊界上最常用的一種安全防護設備,主要功能包括訪問控制、地址轉換、應用、帶寬和流量控制等。相對于傳統的IT防火墻,工控防火墻不但需要對TCP/IP協議進行安全過濾,更需要對工控應用層協議進行深度解析和安全過濾,如OPC、Modbus TCP、EtherNet/IP、DNP3、S7、Profinet、FINS等。只有做到工控應用層協議的深度檢測,包括控制指令識別、操作地址和操作參數提取等,才能真正阻止那些不安全的控制指令及數據。
2.工控安全監測系統我國現有工業控制系統網絡普遍呈現出“無縱深”、“無監測”、“無防護”特點,工控安全監測系統正是針對上述問題而快速發展起來的技術。它通過數據鏡像方式采集大量工控網絡數據并進行分析,最終發現各種網絡異常行為、黑客攻擊線索等。利用該系統,相關人員能夠了解工控網絡實時通信狀況,及時發現潛在的攻擊前兆、病毒傳播痕跡以及各類網絡異常情況,同時,由于該系統是以“旁路”方式接入工控網絡中,不會對生產運行造成不良影響,因此更容易在工控系統這種特殊環境下進行部署和推廣。
3.主機防護產品在工業生產過程中,人員能夠通過工程師站或操作員站對PLC、DCS控制器等設備進行控制,從而實現閥門關閉、執行過程改變等操作。這些工程師站、操作員站等主機系統就變得十分重要,一旦出現問題,比如感染計算機病毒等,就會對正常生產造成較大影響。近年來發生的由于工程師站或操作員站感染計算機病毒最終導致控制通信中斷從而影響生產的報道屢見不鮮。加強這些重要主機系統的安全防護,尤其是病毒防護至關重要。但是,傳統的基于殺毒軟件的防護機制在工控系統中面臨著很多挑戰,其中最嚴重的就是在工控網絡這樣一個封閉的網絡環境中,殺毒軟件無法在線升級。另外,殺毒軟件對未知病毒、變異病毒也無能為力。在此情況下,基于白名單的防護技術開始出現。由于工控系統在建設完成投入運行后,其系統將基本保持穩定不變,應用單一、規律性強,因而很容易獲得系統合法的“白名單”。通過這種方式就能夠發現由于感染病毒或者攻擊而產生的各種異常狀況。
4.移動介質管控技術在工控網絡中,由于工控系統故障進行維修,或者由于工藝生產邏輯變更導致的工程邏輯控制程序的變更,需要在上位機插入U盤等外來移動介質,這必然成為工控網絡的一個攻擊點。例如,伊朗“震網”病毒就是采用U盤擺渡方式,對上位機(即WinCC主機)進行了滲透攻擊,從而最終控制了西門子PLC,造成了伊朗核設施損壞的嚴重危害后果。針對上述情況,一些針對U盤管控的技術和原型產品開始出現,包括專用U盤安全防護工具、USB漏洞檢測工具等。
總之,針對工控系統安全防護需求及工控環境特點,許多防護技術和產品正在快速研發中,甚至在部分企業進行試點應用。但是,由于這些技術和產品在穩定性、可靠性等方面還未經嚴格考驗,能否適用于工業環境的高溫、高濕、粉塵情況還未可知,再加上工控系統作為生產系統,一旦出現故障將會造成不可估量的財產損失甚至人員傷亡,用戶不敢冒然部署安全防護設備,因此目前還沒有行業大規模使用上述防護技術和產品。
四、主要對策建議
針對2015年工控信息安全總體情況,提出以下對策建議:
1.進一步強化工控信息安全領導機構,充分發揮組織管理職能。
2.對工控新建系統和存量系統進行區別對待。對于工控新建系統而言,要將信息安全納入總體規劃中,從安全管理和安全技術兩方面著手提升新建系統的安全保障能力,對關鍵設備進行安全選型,在系統上線運行前進行風險評估和滲透測試,及時發現安全漏洞并進行修補,避免系統投入生產后無法“打補丁”的情況。對于大量存量系統而言,應在不影響生產運行的情況下,通過旁路安全監測、外邊界保護等方式,形成基本的工控安全狀況監測和取證分析能力,徹底扭轉現階段對工控網絡內部狀況一無所知、面對工控病毒攻擊束手無策的局面。
3.大力推進工控安全防護技術在實際應用中“落地”,鼓勵主要工控行業用戶進行試點應用,并對那些實踐證明已經成熟的技術和產品在全行業進行推廣。
4.建立工控關鍵設備的安全測評機制,防止設備存在高危漏洞甚至是“后門”等重大隱患。
關鍵詞:火電廠;控制系統;信息安全;策略
1我國工業控制系統信息安全發展態勢
從2011年底起,國家各部委了一系列關于工業控制系統信息安全的文件,把工控信息安全列為“事關經濟發展、社會穩定和國家安全”的重要戰略,受到國家層面的高度重視。在國家層面的推動下,工控信息安全工作轟轟烈烈展開,大批行政指令以及標準應運而生;在行政和市場雙重動力的推動下,安全信息產業如雨后春筍般發展,工控信息安全產業聯盟迅速壯大。這種形勢下,我國電力、石化、鋼鐵等各大行業的集團和公司面臨著如何迅速研究工控信息安全這個新課題,學習這一系列文件精神和標準,加強工控信息安全管理,研究采取恰當的信息安全技術措施等,積極穩妥地把工控信息安全工作踏踏實實地開展起來這一系列緊迫任務。但是,當前面臨的困難是,從事信息安全產業的公司大多不太熟悉特點各異的各行業工控系統,有時還不免把工控系統視作一個互聯網信息系統去思考和防護,而從事工控系統應用行業的人們大多還來不及了解信息安全技術,主導制定本行業的相關標準和本行業控制系統信息安全的工作策略,并推動兩支力量的緊密配合。這正是當前面臨的困境和作者力圖要與同仁們一起學習和探討的問題。
2從工控系統特點出發正確制定信息安全發展策略
火電廠控制系統與傳統信息系統相比,相對來說,與外部完全開放的互聯網聯系極少,分布地域有限,接觸人員較少,而對實時性、穩定性和可靠性卻要求極高。這正是我們制定火電廠控制系統信息安全工作策略的基本出發點。為了形象起見,我們以人類抵抗疾病為例。人要不生病,一方面要自身強壯,不斷提高肌體的免疫系統和自修復能力;另一方面,要盡可能營造一個良好的外部環境(不要忽冷忽熱,空氣中污染物少,無彌漫的病菌和病毒)。人類積累了豐富的經驗,根據實際情況采取非常適當的保護措施。例如,對于一般人來說,他們改變環境的可行性較差。因此,確保自身強壯以及發現病兆及時吃藥修復等是其保護自己的主要手段。但是,對于新生兒,因為自身免疫系統還比較脆弱,短時間也不可能馬上提高。剛出生時醫生也有條件將其暫時置于無菌恒溫保護箱中哺養,以隔絕惡劣的環境。信息安全與人類抵抗病十分相似。對于一般互聯網信息系統,分布地域極廣,接觸人員多而雜,因此信息安全策略重點,除了在適當地點采取一些防火墻等隔離措施外,主要依靠提高自身健壯性,以及查殺病毒等措施防御信息安全。對于工控系統,特別是火電廠控制系統,它與外部互聯網聯系較少,分布地域有限,接觸人員較少。因此,對火電廠應該首先把重點放在為控制系統營造一個良好環境上。也就是說,盡可能與充斥病毒和惡意攻擊的源泉隔離,包括從互聯網進來的外部入侵,以及企業內外人員從內部的直接感染和入侵。前者可采取電力行業中證明行之有效的硬件網絡單向傳輸裝置(單向物理隔離裝置)等技術手段;后者則主要通過加強目前電廠內比較忽視和薄弱的信息安全管理措施。火電廠控制系統采取這種信息安全策略可以達到事半功倍的效果。從當前國內外出現的不少工控系統遭受惡意攻擊和植入病毒導致的嚴重事故來看,幾乎大多數是沒有或者隔離措施非常薄弱經互聯網端侵入,或者通過企業內外人員從內部直接植入病毒導致。當然,我們不能忽視提高控制系統自身健壯性的各種努力和措施,以便萬一惡意攻擊和病毒侵入的情況下仍能萬無一失確保安全。但是,開展這方面工作,特別是在已經投運的控制系統上進行這方面工作要特別慎重,這不僅因為這些工作代價較高,而且在當前信息安全產業中不少公司還不太熟悉相關行業工控系統特點,有些產品在工控系統中應用尚不成熟,而火電廠控制系統廠家對自身產品信息安全狀態研究剛剛開始,或者由于種種原因沒有介入和積極配合的情況下風險較高。這不是聳人聽聞,實踐已經發生,有的電廠為此已經付出了DCS停擺,機組誤跳的事故代價。
3火電廠控制系統供應側和應用側兩個信息安全戰場的不同策略及相互協調
火電廠控制系統,主要是DCS,不僅是保證功能安全的基礎,也是提高自身健壯性,確保信息安全的關鍵,它包括供應側和應用側兩個信息安全戰場。在DCS供應側提高自身健壯性,并通過驗收測收,確保系統信息安全有許多明顯的優點。它可以非常協調地融入信息安全策略,可以離線進行危險性較大的滲透性測試,發現的漏洞對應用其控制系統的電廠具有一定的通用性等。此外,DCS供應側在提高信息安全方面積累的經驗和措施,培養起來的隊伍,也將有助于現有電廠DCS的測試評估,以及安全加固等直接升級服務或配合服務。與信息安全產業的公司提供服務擴大了公司的市場不同,DCS供應側提高其信息安全水平增加了DCS成本。因此,為了推動DCS供應側提高信息安全水平,除了目前已經在發揮作用的行政手段外,我們還必須加強市場手段的動力。為此,當前我們電力行業應盡快從信息安全角度著手制定DCS準入標準,制定火電廠DCS信息安全技術標準和驗收測試標準,以及招標用典型技術規范書等。火電廠DCS應用側,是當前最緊迫面臨現實信息安全風險,而且范圍極廣的戰場,必須迅速有步驟地點面結合提高信息安全,降低風險。具體意見如下:
3.1應迅速全面開展下列三方面工作
(1)全面核查DCS與SIS及互聯網間是否真正貫徹落實了發改委2014年14號令和國家能源局2015年36號文附件中關于配置單向物理隔離的規定,沒有加裝必須盡快配置,已配置的要檢查是否符合要求。(2)迅速按照《工業控制系統信息安全防護指南》加強內部安全管理,杜絕內部和外部人員非法接近操作、介入或在現場總線及其它接入系統上偷掛攻擊設備等,并適度開展一些風險較小的安全測評項目。上述兩項工作,在已投運系統上實施難度較低,實施風險相對較低,但是卻能起到抵御當前大部分潛在病毒侵襲和惡意攻擊的風險。(3)通過試點,逐步開展對已運DCS進行較為深入的安全測評,適度增加信息安全技術措施,待取得經驗后,再組織力量全面推廣,把我國火電廠控制系統信息安全提高到一個新的水平。為了提高這項工作的總體效益,建議針對國內火電廠應用的各種型號的DCS品牌出發,各大電力集團互相協調,統籌規劃,選擇十個左右試點電廠,由應用單位上級領導組織,國家級或重點的測評機構、實驗室技術指導,相關DCS供應商、優秀信息安全產品生產商以及電廠負責DCS的工程師一起成立試點小組。這樣不僅可以融合DCS廠家的經驗,包括他們已經開展的信息安全測評和信息安全加強措施,減少不必要的某些現場直接工作帶來的較大風險。也有利于當前復合人才缺乏的情況下,確保工控系統技術和工控系統信息安全技術無縫融合,防止發生故障而影響安全生產(目前已經有電廠在測試和加入安全措施導致DCS故障而停機的事件)。
4DCS信息安全若干具體問題的建議
4.1關于控制大區和管理大區隔離的問題
根據國家發改委2014年14號令頒發的《電力監控系統安全防護規定》,以及國家能源局36號文附件《電力監控系統安全防護總體方案》的要求:(1)生產拉制大區和管理信息大區之間通信應當部署專用橫向單向安全隔離裝置,是橫向防護的關鍵設備。(2)生產控制大區內的控制區與非控制區之間應當采取具有訪問功能的設施,實現邏輯隔離。2016年修訂的電力行業標準《火電廠廠級監控信息系統技術條件》(DL/T 924-2016)對隔離問題做了新的補充規定:(1)當MIS網絡不與互聯網連接時,宜采用SIS與MIS共用同一網絡,在生產控制系統與SIS之間安裝硬件的網絡單向傳輸裝置(單向物理隔離裝置)。(2)當MIS網絡與互聯網連接時,宜采用SIS網絡獨立于MIS網絡,并加裝硬件的網絡單向傳輸裝置(單向物理隔離裝置),而在生產控制系統與SIS之間安裝硬件防火墻隔離。根椐當前嚴峻的網絡安全形勢,應當重新思考單向物理隔離裝置這個行之有效的關鍵安全措施的設置點問題。建議無論是剛才提到的哪一種情況,單向物理隔離裝置均應設置在生產控制系統(DCS)與SIS之間,理由是:(1)生產控制系統(DCS)對電廠人身設備危害和社會影響極大,而且危險事件瞬間爆發。因此,一定要把防控惡意操作、網絡攻擊和傳播病毒的區域限制在盡可能小的范圍內,這樣可以最大限度提高電廠控制系統應對網絡危害的能力。(2)SIS是全廠性的,涉及人員相對廣泛,跟每臺機組均有聯系。因此,一旦隔離屏障被攻破,故障將是全廠性的,事故危害面相對較大。
4.2DCS信息安全認證和測試驗收問題
火電廠在推廣應用DCS的30年歷史中,從一開始就適時提出了供編制招標技術規范書參考的典型技術規范書,進而逐步形成了標準, 明確規定了功能規范、性能指標以及驗收測試等一系列要求。隨后又根據發展適時增加了對電磁兼容性和功能安全等級認證的要求。當前,為確保得到信息安全的DCS產品,歷史經驗可以借鑒。筆者認為,宜首先對控制系統供應側開展阿基里斯認證(Achilles Communications Certification,簡稱ACC)作為當前提高DCS信息安全的突破口。眾所周知,ACC已得到全球前十大自動化公司中八個公司的確認,并對其產品進行認證;工業領域眾多全球企業巨頭,均已對其產品供應商提供的產品強制要求必須通過ACC認證。目前,ACC事實上已成為國際上公認的行業標準。國內參與石化和電廠市場競爭的不少外國主流DCS均已通過了ACC一級認證。至于國產主流DCS廠家,他們大多也看到了ACC認證是進入國際市場的門檻,也嗅到了國內市場未來的傾向,都在積極為達到ACC一級認證而努力(緊迫性程度明顯與行業客戶對ACC認證緊迫性要求有關)。此外,我國也已建立了進行測試認證的合格機構,具備了國內就地認證的條件。根據調查判斷,如果我們電力行業側開始編制技術規范書將ACC一級認證納入要求,相信在行政推動和市場促進雙重動力下,國產主流DCS在一年多時間內通過ACC一級認證是可以做到的。除ACC認證外,如前所述,當前還急需編制招標用火電廠信息安全技術規范和驗收測試標準,使用戶在采購時對其信息安全的保障有據可依。從源頭抓起,取得經驗,必將有利于在運DCS信息安全工作,少走彎路。
5結語
2013年以來,重鋼集團作為重慶市的大型重工業企業工控信息安全試點,進行了積極的探索和實踐。研究工控系統信息安全問題,制定工控系統信息安全實施指南,建立重鋼ICS工控信息安全的模擬試驗中心,進行控制系統信息安全的模擬試驗,采取措施提高重鋼控制系統的安全防御能力,以保證重鋼集團控制系統的信息安全和安全生產,盡到自己的社會責任。
1工控系統信息安全問題的由來
工業控制系統(industrycontrolsystem,以下簡稱ICS)信息安全問題的核心是通信協議缺陷問題。工控協議安全問題可分為兩類:
1.1ICS設計時固有的安全缺失
傳統的ICS采用專用的硬件、軟件和通信協議,設計上注重效率、實時性、可靠性,為此放棄了諸如認證、授權和加密等需要附加開銷的安全特征和功能,一般采用封閉式的網絡架構來保證系統安全。工業控制網的防護功能都很弱,幾乎沒有隔離功能。由于ICS的相對封閉性,一直不是網絡攻防研究關注的重點。
1.2ICS開放發展而繼承的安全缺失
目前,幾乎所有的ICS廠商都提出了企業全自動化的解決方案,ICS通信協議已經演化為在通用計算機\操作系統上實現,并運行在工業以太網上,TCP/IP協議自身存在的安全問題不可避免地會影響到相應的應用層工控協議。潛在地將這些有漏洞的協議暴露給攻擊者。隨著工業信息化及物聯網技術的高速發展,企業自動化、信息化聯網融合,以往相對封閉的ICS逐漸采用通用的通信協議、硬軟件系統,甚至可以通過實時數據采集網、MES、ERP網絡連接到企業OA及互聯網等公共網絡。傳統信息網絡所面臨的病毒、木馬、入侵攻擊、拒絕服務等安全威脅也正在向ICS擴散。因此在ICS對企業信息化系統開放,使企業生產經營獲取巨大好處的同時,也減弱了ICS與外界的隔離,“兩化融合”使ICS信息安全隱患問題日益嚴峻。
2重鋼ICS信息安全問題的探索
2.1重鋼企業系統架構
重鋼新區的建設是以大幅提升工藝技術和控制、管理水平,以科技創新和裝備大型化推進流程再造為依據,降本增效、節能減排為目的來完成的。各主要工藝環節、生產線都實現了全流程智能化管控。依據“產銷一體化”的思想,重鋼在各產線上集成,實現“兩化”深度融合,形成了一個龐大而復雜的網絡拓撲結構。
2.2生產管控系統分級
管控系統按控制功能和邏輯分為4級網絡:L4(企業資源計劃ERP)、L3(生產管理級MES)、L2(過程控制級PCS)、L1(基礎自動化級BAS)。重鋼新區L1控制系統有:浙大中控、新華DCS、西門子PLC、GEPLC、MOX、施耐德和羅克威爾控制系統等。各主要生產環節L1獨立,L2互聯,L3和ERP是全流程整體構建。
2.3重鋼企業網絡架
重鋼新區網絡系統共分為4個層次:Internet和專線區,主干網區域,服務器區域,L2/L3通信專網區。
(1)主干網區域包括全廠無線覆蓋(用于各網絡點的補充接入備用)和辦公終端接入,主干網區域與Internet和專線區之間通過防火墻隔離,并部署行為管理系統;
(2)主干網區域與服務器區域之間通過防火墻隔離;
(3)L2與L3之間由布置在L2網絡的防火墻和L3側的數據交換平臺隔離;
(4)L2和L1之間通過L2級主機雙網卡方式進行邏輯隔離,各生產線L2和L1遍布整個新區,有多種控制系統。
(5)OA與ERP和MES服務器之間沒有隔離。在L2以下沒有防火墻,現有的安全措施不能保證ICS的安全。
2.4ICS安全漏洞
經過分析討論,我們認為重鋼管控系統ICS可能存在以下安全問題:
(1)通信協議漏洞基于TCP/IP的工業以太網、PROIBUS,MODBUS等總線通信協議,L1級與L2級之間通信采用的OPC協議,都有明顯的安全漏洞。
(2)操作系統漏洞:ICS的HMI上Windows操作系統補丁問題。
(3)安全策略和管理流程問題:安全策略與管理流程、人員信息安全意識缺乏,移動設備的使用及不嚴格的訪問控制策略。
(4)殺毒軟件問題:由于殺毒軟件可能查殺ICS的部分軟件,且其病毒庫需要不定期的更新,故此,ICS操作站\工程師站基本未安裝殺毒軟件。
3重鋼工控系統信息安全措施
對重鋼來說,ICS信息安全性研究是一個新領域,對此,需要重點研究ICS自身的脆弱性(漏洞)情況及系統間通信規約的安全性問題,對ICS系統進行安全測試,同時制定ICS的設備安全管理措施。
3.1制定ICS信息安全實施指南
根據國際行業標準ANSI/ISA-99及IT安防等級,重鋼與重慶郵電大學合作,制定出適合國內實際的《工業控制系統信息安全實施指南》(草案)。指南就ICS和IT系統的差異,ICS系統潛在的脆弱性,風險因素,ICS網絡隔離技術,安全事故緣由,ICS系統安全程序開發與部署,管理控制,運維控制,技術控制等多方面進行具體的規范,并提出ICS的縱深防御戰略的主要規則。并提出ICS的縱深防御戰略的主要規則。ICS的縱深防御戰略:
(1)在ICS從應用設計開始的整個生命周期內解決安全問題;
(2)實施多層的網絡拓撲結構;
(3)提供企業網和ICS的網絡邏輯隔離;
(4)ICS設備測試后封鎖未使用過的端口和服務,確保其不會影響ICS的運行;
(5)限制物理訪問ICS網絡和設備;
(6)限制ICS用戶使用特權,(權、責、人對應);
(7)在ICS網絡和企業網絡分別使用單獨的身份驗證機制;
(8)使用入侵檢測軟件、防病毒軟件等,實現防御工控系統中的入侵及破壞;
(9)在工控系統的數據存儲和通信中使用安全技術,例如加密技術;
(10)在安裝ICS之前,利用測試系統測試完所有補丁并盡快部署安全補丁;
(11)在工控系統的關鍵區域跟蹤和監測審計蹤跡。
3.2建立重鋼ICS信息安全模擬試驗中心
由于重鋼新區企業網絡架構異常復雜,要解決信息安全問題,必須對企業網絡及ICS進行信息安全測試,在此基礎上對系統進行加固。為避免攻擊等測試手段對正在生產運行的系統產生不可控制的惡劣影響,必須建立一個ICS信息安全的模擬試驗中心。為此,采用模擬在線運行的重鋼企業網絡的方式,構建重鋼ICS信息安全的模擬試驗中心。這個中心也是重鋼電子的軟件開發模擬平臺和信息安全攻防演練平臺。
3.3模擬系統信息安全的測試診斷
重鋼模擬系統安全測試,主要進行漏洞檢測和滲透測試,形成ICS安全評估報告。重鋼ICS安全問題主要集中在安全管理、ICS與網絡系統三個方面,高危漏洞占很大比重。
(1)骨干網作為內外網數據交換的節點,抗病毒能力弱、有明顯的攻擊路徑;
(2)生產管理系統中因為網絡架構、程序設計和安全管理等方面的因素,存在諸多高風險安全漏洞;
(3)L1的PLC與監控層之間無安全隔離,ICS與L2之間僅有雙網卡邏輯隔離,OA和ERP、MES的網絡拓撲沒有分級和隔離。對外部攻擊沒有防御手段。雖然各部分ICS(L1)相對獨立,但整個系統還是存在諸多不安全風險因素,主要有系統層缺陷、滲透攻擊、緩沖區溢出、口令破解及接口、企業網內部威脅五個方面。通過對安全測試結果進行分析,我們認為攻擊者最容易采用的攻擊途徑是:現場無線網絡、辦公網—HMI遠程網頁—HMI服務器、U盤或筆記本電腦在ICS接入。病毒最容易侵入地方是:外網、所有操作終端、調試接入的筆記本電腦。
3.4提高重鋼管控系統安防能力的措施
在原有網絡安全防御的基礎上根據ICS信息安全的要求和模擬測試的結果,我們采取一系列措施來提高重鋼管控系統的措施。
3.5安全管理措施
參照《工業控制系統信息安全實施指南》(草案),修訂《重鋼股份公司計算機信息網絡管理制度》,針對內部網絡容易出現的安全問題提出具體要求,重點突出網絡安全接入控制和資源共享規范;檢查所有ICS操作員\工程師站,封鎖USB口,重新清理所有終端,建立完整的操作權限和密碼體系。封鎖大部分骨干網區的無線接入,增加現場無線設備的加密級別。
3.6系統加固措施
3.6.1互聯網出口安全防護第一層:防火墻——在原來配置的防火墻上,清理端口,精確開放內部服務器服務端口,限制主要網絡木馬病毒入侵端口通訊;第二層:行為管理系統——對內外通訊的流量進行整形和帶寬控制,控制互聯網訪問權限,減少非法的互聯網資源訪問,同時對敏感信息進行控制和記錄;第三層:防病毒系統——部署瑞星防毒墻對進出內網的網絡流量進行掃描過濾,查殺占據絕大部分的HTTP、FTP、SMTP等協議流量,凈化內網網絡環境;
3.6.2內網(以太網)安全部署企業版殺毒系統、EAD準入控制系統(終端安裝),進行交換機加固,增加DHCP嗅探功能,拒絕非法DHCP服務器分配IP地址,廣播風暴抑制。
3.6.3工業以太網安全L1級安全隔離應考慮ICS的特點:
(1)PLC與監控層及過程控制級一般采用OPC通訊,端口不固定。因此,安全隔離設備應能進行動態端口監控和防御。
(2)工控系統實時性高,要求通信速度快。因此,為保證所處理的流量較少,網絡延時小,實時性好,安全隔離設備應布置在被保護設備的上游和控制網絡的邊緣。圖3安全防御技術措施實施簡圖經過多方比較,現采用數據采集隔離平臺和智能保護平臺。在PLC采用終端保護,在L1監控層實現L1區域保護,在PCS與MES、ERP和OA之間形成邊界保護。接著考慮增加L1外掛監測審計平臺和漏洞挖掘檢測平臺。
3.6.4數據采集隔離平臺在L1的OPC服務器和實時數據庫采集站之間實現數據隔離,采用數據隔離網關+綜合管理平臺實現:動態端口控制,白名單主動防御,實時深度解析采集數據,實時報警阻斷。
3.6.5智能保護平臺快速識別ICS系統中的非法操作、異常事件及外部攻擊并及時告警和阻斷非法數據包。多重防御機制:將IP地址與MAC地址綁定,防止內部IP地址被非法盜用;白名單防御機制:對網絡中所有不符合白名單的安全數據和行為特征進行阻斷和告警,消除未知漏洞危害;黑名單防御機制:根據已知漏洞庫,對網絡中所有異常數據和行為進行阻斷和告警,消除已知漏洞危害。邊界保護:布置在L1邊界,監控L1網絡中的保護節點和網絡結構,配置信息以及安全事件。區域保護:布置在L1級ICS內部邊界,防御來自工業以太網以外及ICS內部其他區域的威脅。終端保護:布置在終端節點,防御來自外部、內部其他區域及終端的威脅。綜合管理平臺:通過對所在工控網絡環境的分析,自動組合一套規則與策略的部署方案;可將合適的白名單規則與漏洞防護策略下發部署到不同的智能保護平臺。
4結束語
工業以太網技術由于開放、靈活、高效、透明、標準化等特點,越來越多的在工控控制系統中得到廣泛應用。隨著“兩化融合”和物聯網的普及,越來越多的信息技術應用到了工業領域。目前,超過80%涉及國計民生的關鍵基礎設施依靠工業控制系統來實現自動化控制作業,如:電力、水力、石化、交通運輸、航空航天等工業控制系統的安全也直接關系到國家的戰略安全。2010年10月發生在伊朗核電站的“震網”(Stuxnet)病毒,為工業控制系統的信息安全敲響了警鐘。最近幾年,針對工業控制系統的信息安全攻擊事件成百倍的增長,引發了國家相關管理部門和企業用戶的高度重視。今年國家發改委公布的《2013年國家信息安全專項有關事項的通知》中,強調工業控制系統信息安全是國家重點支持的四大領域之一。2011年工信部451號文件《關于加強工業控制系統信息安全管理的通知》中更明確指出,有關國家大型企業要慎重選擇工業控制系統設備,確保產品安全可控。現在,國內大型企業都把工業控制系統安全防護建設提上了日程。如何應對工業控制系統的信息安全,是我們在新形勢下面臨的迫在眉睫需要解決的現實問題。
2企業信息安全現狀
目前,雖然國家和行業主管部門、國內企業集團等都開始重視工業控制系統的信息安全問題,并開始研究相應的對策,但還面臨很多現實問題:(1)信息安全專責的缺失:國內信息安全專門型人才比較缺失,很多企業甚至沒有專門負責信息安全的專員;(2)制度形式化:規范的管理制度作為工業控制系統信息安全的第一道“防火墻”,可以有效的防范最基礎的安全隱患,可是很多企業的管理制度并沒有真正落到實處,導致威脅工控系統信息安全的隱患長驅直入、如入無人之境進入企業系統內;(3)安全生產的矛盾現狀:保證工業企業安全生產和正常運營是企業的首要目標,而信息安全的解決方案部署又會影響到企業的正常運營。因此,部分企業消極應對信息安全的部署。
3常見的信息安全解決方案
面對工業控制系統的信息安全現狀,很多信息安全解決方案提供商提出了各自的安全策略,強調的是“自上而下”、注重“監管”和“隔離”的安全策略。由于企業內部產品、設備或資產繁多,產品供應商較多,“監管”系統無法“監視和管理”企業內部龐大的設備或資產,導致部分系統依然存在信息安全隱患。同時,這些解決方案部署時又面臨投資比較大,定制化程度比較高等缺點。有的企業通過在企業系統內部部署“橫向分層、縱向分域、區域分等級”的安全策略,構建“三層架構,二層防護”的安全體系。這些解決方案又面臨著“安全區域”較大,無法避免系統內部設備自身“帶病上崗”的現象發生。如何在企業內部高效部署信息安全解決方案,同時又不影響系統的正常運行,不增加企業的負擔,同時又不增加將來企業維護人員的工作量,降低對維護人員的能力等的過渡依賴,是企業部署信息安全解決方案時面臨的現實問題。
4符合國情的信息安全解決方案
針對這種現狀,施耐德電氣將原來“從上到下”的防御策略逐步完善為符合中國客戶實際應用的、倡導以設備級防護優先,兼顧系統級和管理級防護的“自下而上”的三級縱深防御策略。其中,設備級防護是整個安全防護策略的核心和基礎。
4.1設備級防護
企業內部的系統從管理層、制造執行層到工業控制層都是由不同的資產或者設備組成的,如果每個單體資產或者設備符合信息安全要求,做到防范基本的信息安全隱患。這些資產或者設備集成到企業系統中就可以避免“帶病上崗”的現象,作為信息安全防護體系的最后一道“防火墻”可以有效的防范針對這些設備或資產的各種安全威脅。施耐德電氣作為一家具有高度社會責任感的企業,積極推進構建安全、可靠的工業控制系統信息安全,率先在工業控制設備集成信息安全防護體系:(1)集成信息安全防護體系的昆騰PLC產品率先通過了國家權威信息安全測評機構的雙重產品安全性檢測,成為首家也是目前唯一通過并獲得此類檢測認可的PLC產品。在企業內已經運行的昆騰PLC可以通過升級固件的方式達到信息安全要求,大大的減少了企業在部署信息安全過程中的資金投入,還可以減少對技術人員技能的要求;(2)SCADAPack控制器內嵌的增強型安全性套件:IEEE1711加密和IEC62351認證以及時標等安全功能,最大化系統的安全性,確保遠程通信鏈路不被惡意或其他通信網絡干擾破壞,有效的提升了信息安全功能;(3)針對所有的控制系統還可以采用軟件安全屬性的輔助設置功能,如增加訪問控制功能、增加審計和日志信息、增加用戶認證和操作、采用增強型密碼等措施,增強和加固工業控制系統的信息安全功能。
4.2系統級防護
主要是通過優化和重建系統架構,提升控制系統網絡的可靠性和可用性,保證企業系統的“橫向”、“縱向”、“區域”間數據交互的安全性。(1)施耐德電氣的ConneXium系列工業級以太網交換機的MAC的地址綁定、VLAN區域劃分、數據包過濾、減少網絡風暴等影響保證了工業控制系統網絡的可靠性和安全性;(2)ConneXium系列工業級防火墻產品可實現針對通用網絡服務、OPC通訊服務的安全防護之外,還可實現所有工業以太網協議的協議包解析,有效的防范了威脅工業控制系統的安全隱患。同時,軟件內置的針對施耐德電氣所有PLC系列的安全策略組件以及模板模式大大增強了產品的可用性。
(一)連接管理要求
1. 斷開工業控制系統同公共網絡之間的所有不必要連接。
2. 對確實需要的連接,系統運營單位要逐一進行登記,采取設置防火墻、單向隔離等措施加以防護,并定期進行風險評估,不斷完善防范措施。
3. 嚴格控制在工業控制系統和公共網絡之間交叉使用移動存儲介質以及便攜式計算機。
(二)組網管理要求
1. 工業控制系統組網時要同步規劃、同步建設、同步運行安全防護措施。
2. 采取虛擬專用網絡(VPN)、線路冗余備份、數據加密等措施,加強對關鍵工業控制系統遠程通信的保護。
3. 對無線組網采取嚴格的身份認證、安全監測等防護措施,防止經無線網絡進行惡意入侵,尤其要防止通過侵入遠程終端單元(RTU)進而控制部分或整個工業控制系統。
(三)配置管理要求
1. 建立控制服務器等工業控制系統關鍵設備安全配置和審計制度。
2. 嚴格賬戶管理,根據工作需要合理分類設置賬戶權限。
3. 嚴格口令管理,及時更改產品安裝時的預設口令,杜絕弱口令、空口令。
4. 定期對賬戶、口令、端口、服務等進行檢查,及時清理不必要的用戶和管理員賬戶,停止無用的后臺程序和進程,關閉無關的端口和服務。
(四)設備選擇與升級管理要求
1. 慎重選擇工業控制系統設備,在供貨合同中或以其他方式明確供應商應承擔的信息安全責任和義務,確保產品安全可控。
2. 加強對技術服務的信息安全管理,在安全得不到保證的情況下禁止采取遠程在線服務。
3. 密切關注產品漏洞和補丁,嚴格軟件升級、補丁安裝管理,嚴防病毒、木馬等惡意代碼侵入。關鍵工業控制系統軟件升級、補丁安裝前要請專業技術機構進行安全評估和驗證。
(五)數據管理要求
地理、礦產、原材料等國家基礎數據以及其他重要敏感數據的采集、傳輸、存儲、利用等,要采取訪問權限控制、數據加密、安全審計、災難備份等措施加以保護,切實維護個人權益、企業利益和國家信息資源安全。
關鍵詞 DCS控制系統;EPA;信號分配器;信息安全
中圖分類號:TP273 文獻標識碼:A 文章編號:1671-7597(2013)14-0067-02
為了實現能源的合理利用,達到“節能減排”的目標,一家化工企業決定實施“各車間能源數據采集管理系統”,這家企業各生產車間原先都各自裝有“分布式控制系統(DCS)”,用于車間生產過程控制,車間能源消耗數據也存在于DCS控制系統中,如何能實現各車間能源數據的自動采集,形成工廠級的能源管理系統,又能保障分布式控制系統(DCS)的信息安全,經過慎重考慮,提出了2個實施方案。
1 基于DCS系統上的能源數據自動采集方案比較
方案一:把各車間DCS系統作為能源數據管理系統的數據采集站,每個數據采集站通過OPC協議單向向PIMS服務器傳送能源數據,PIMS服務器對傳送上來的數據進行二次處理,制作成用戶需要的能源界面、形成報表、以及實現設備管理等功能,經硬件防火墻隔離將能源管理界面、數據以WEB形式向局域網絡。系統結構如圖1所示。
方案二:為了徹底杜絕DCS操作站被網絡病毒侵擾的隱患,將能源數據采集系統完全獨立于DCS系統。能源數據采集系統由“浙江中控”領銜制定的EPA現場總線標準產品實現。
1)在原有車間的DCS系統中將能源測點經信號分配器一分為二,一路進入車間DCS,實現車間生產管理的需要,另外一路進入EPA總線系統進行數據集中管理。
2)EPA系統各控制柜安裝24 V開關電源,光纖環網交換機,以及EPA系列模塊。
3)整個EPA系統采用光纖環網冗余的方式,任何一處斷開,均不影響整個系統的正常運行。
4)為保證數據的安全,除了各服務器安裝殺毒軟件之外,在PIMS服務器和Internet之間設立一道硬件防火墻。即便防火墻失效,各服務器被病毒感染,由于DCS與能源管理系統完全獨立,病毒絲毫不會影響到車間DCS的運作,各能源點在DCS操作站正常顯示及控制。系統結構如圖2所示。
綜合比較,方案二能使車間分布式控制系統(DCS)與Internet之間完全獨立,可靠性更高,所以選擇方案二。
2 工業控制系統終端信息安全管理的方法
上述方案二最大的優點在于使車間分布式控制系統(DCS)與Internet之間完全獨立,使工業控制系統規避了網絡安全的問題,只要針對做好工業控制終端(DCS)的安全管理,系統安全性就能得到保障,主要的安全措施有以下幾點。
1)不輕易對操作系統安裝補丁。由于考慮到工控軟件與操作系統補丁兼容性的問題,系統開車后一般不針對Windows平臺打補丁。
2)不安裝殺毒軟件。用于生產控制系統的Windows操作系統基于工控軟件與殺毒軟件的兼容性的考慮,通常不安裝殺毒軟件,給病毒與惡意代碼傳染與擴散留下了空間。
3)加強對使用U盤、光盤的專項管理。由于在工控系統中不輕易對操作系統安裝補丁和安裝殺毒軟件,工控系統對病毒的防護能力很薄弱,必須對U盤和光盤使用進行有效的管理。光盤,規定除本系統的安裝光盤外,不允許使用其他類光盤;U盤,一般在程序更新和維護過程中要使用到,首先保證U盤的專項使用,規定U盤每次使用前要經過嚴格的病毒查殺,并且要有書面記錄和登記。
4)杜絕其他筆記本電腦的接入。工業控制系統的管理維護,沒有到達一定安全基線的筆記本電腦接入工業控制系統,會對工業控制系統的安全造成很大的威脅,所以要杜絕
接入。
5)定期檢查工業控制系統控制終端、服務器、網絡設備的運行情況。對工業控制系統中IT基礎設施的運行狀態進行監控,是工業工控系統穩定運行的基礎。
6)加強身份認證管理,控制系統進行安全登錄和操作的用戶分級進行管理,分為觀察員、操作員、系統工程師這3個不同級別,觀察員只允許觀看系統畫面,不能輸入任何的操作指令;操作員,具有日常生產的操作權限;系統工程師的權限最高,能進入或退出工控運行軟件,能進行程序編寫和變更。
7)對工業控制系統的外設進行管理,比如USB接口、光驅、網卡、串口等,對時貼上封條,每次系統工程師進行維護操作時,拆下封條要進行審批和登記。
3 結束語
國內外發生了多起由于工控系統安全問題而造成的生產安全事故。最鮮活的例子就是2010年10月發生在伊朗布什爾核電站的“震網”(Stuxnet)病毒,為整個工業生產控制系統安全敲響了警鐘。
本文根據工業控制系統安全防護的特點,針對工業控制系統(DCS)與能源管理系統(EPA),通過信號分配器連接的獨特模式,建立了相對獨立、又能信號傳輸的安全體系架構,并通過工業控制系統終端安全管理措施,有效地保證了這種基于DCS系統上的能源數據自動采集系統的可靠、安全運行。
參考文獻
關鍵詞:空管信息化;安全域;權值劃分;信息安全
中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2012)10-2222-03
Researches on Security Domain Distribution of ATC Information system
HAN Xuan-zong
(Bureau of Guizhou air Traffic Management, Guiyang 550012, China)
Abstract: This paper is based on the basic concept of information security, which give a MSA security domain allocate system to resolve privates distribute problem in these construction of air traffic management information system and security domain system, It has an effective solution to coordination of various administrator and collaboration between security domains and information circulation, It also strengthen the ATC Security ability.
Key words: ATC information; security domain; private allocate; information security
空中交通管制作為LRI(Life related industry)生死攸關行業的一種,在航班數量飛速增加的今天,日益面臨著嚴峻的挑戰;尤其是大量基礎支撐性的空管信息系統的引入,盡管有效地提升了管制工作效率,但是空管信息系統的安全管理問題卻越來越成為一個潛在的隱患。
在當前空管行業應用的各類空管信息系統當中,從包括自動化系統、航行情報控制系統在內的管制直接相關系統,到日常應用的班前準備系統、設備運維管理系統等,大都采用設置超級管理員用戶口令的方式進行管理,此方式盡管便于實現對系統的配置和維護,但由于權限過大,使得其可以對空管信息系統中數據進行任意操作,一旦出現超級管理員誤操作或外部黑客獲取到超級管理員權限,都可能造成難以估量的嚴重后果。
安全操作系統設計原則中包括的“最小特權”和“權值分離”的安全原則,可以有效地解決這一問題。最小特權原則思想在于控制為主體分配的每個操作的最小權限;權值分離原則思想在于實現操作由專人執行同時由第三方用戶進行監管。
最小特權和權值分離兩大原則的共同使用,構建出了基于角色的訪問控制(Role-Based Access Control,RBAC)安全策略模型[1]。RBAC作為對用戶角色權限的一種高度抽象,同一角色用戶仍然擁有同樣的權限,但為了能夠更好的體現最小特權原則,角色下用戶的權限仍必須得到進一步的控制;DTE(Domain And Type Enforcement,DTE)策略模型實現了將空管信息系統的不同進程劃分為不同的域(Domain),將不同類型的資源劃分為不同的類型(Type),通過對域和類型的安全屬性進行限制,來實現對用戶權限的控制[2]。
該文在綜合了RBAC安全策略模型和DTE策略模型的基礎上,提出一種對空管信息系統進行分域管理的劃分機制,該機制符合最小特權和權值分離原則,實現了對系統超級管理員的權限細分,通過對權限的劃分,建立管理員―域―類型的相關對應關系,分散了由于超級管理員權限過大造成的安全風險。
1系統/安全/審計管理劃分機制
在任何一個構建完善的管理體系運行當中,管理人員、管理行為審計人員、安全管理人員的角色都不可或缺。空管信息系統超級管理員的權限也應依據此原則進行劃分[3]。在具體實現中,應結合DTE策略中對于域和類型的管理思想,采取二維訪問控制策略,強化對空管信息系統完整性和數據安全性的保護;DTE策略通過對管理權限進行控制,阻止單一用戶權限造成的惡意程序擴散等情況。通過系統管理、安全管理、審計管理三方面的協同制約,保護系統資源的安全性。
1.1基于MSA的管理機制
該文依據RBAC及DTE策略遵循的最小特權和權值分離原則,將空管信息系統中超級管理員權限進行細粒度(Fine-Grain)的劃分,將其權限一分為三,即管理(Management)權限、安全(Security)權限、審計(Audit)權限,構建一套基于MSA的權限管理機制。使三類管理員只具備完成所需工作的最小特權,在單項管理操作的整個生命周期中,必須歷經安全權限的設置、管理權限的操作、 審計權限的審核這一流程。該文通過設立獨立的系統管理員、安全管理員、審計管理員,并為其設置獨立的與安全域掛勾的安全管理特權集,實現了管理-安全域-類型的二維離散對應關系。具體而言,三類管理員主要承擔了以下職責:
1)系統管理特權集:歸屬于系統管理員,包括系統相關資源的分配,系統軟件的配置、維護等權限;
2)安全管理特權集:歸屬于安全管理員,包括系統內部安全策略的制訂,安全闕值的設置等安全相關權限;
3)審計管理特權集:歸屬于審計管理員,包括對系統管理員和安全管理員操作記錄的審計和審批,作為一個獨立的第三方監督角色出現。
MSA管理機制將系統超級管理員的權限劃分為三個相互獨立又相互依存的獨立環節,實現了系統特權的細粒度劃分,強化了系統的安全屬性。圖1展示了三類管理員之間的具體關系:圖1 MSA管理員協作流程
如圖1所示,空管信息系統用戶總是會提出一定的需求,并尋求通過系統得到相應的應用來解決面臨的問題。在這一過程中,首先會由系統管理員針對用戶需求,判斷滿足用戶需要調用的相應資源,如功能域和資源的類型,同時生成解決方案,并將其提交至安全管理員處。
安全管理員在接收到系統管理員產生的解決方案后,即時的會依照相關規定要求,為解決方案制定對應的安全級別,并實施可行的安全策略。如解決方案能夠較好地滿足安全級別和安全策略的要求,即通過安全管理員的安全評估,為其施加安全策略。
解決方案歷經系統管理員、安全管理員的制定、安全策略實施等步驟后,將生成應用提交至用戶,由用戶驗證其需求是否得到滿足。
審計管理員在整個過程中,將針對從需求提出至應用的所有環節進行監控,任何系統內部的操作均需經過審計管理員的審計和監督,審計管理員有權停止任何涉及到安全的異常操作。
通過上述模式的應用,將使得空管信息系統劃分為由MSA三個管理員所共同管理的系統,也形成了三大管理員之間的制約機制。該機制的建立,有效地避免了超級用戶誤操作和黑客入侵可能造成的危害。同時權限的細分,也使得任何一名管理員在操作自身環節事務時,都需要其它管理員的協助,無法獨立完成越權操作。如當系統管理員進行用戶的刪除時,此操作將依據安全管理員制定的安全策略確定為較危險操作,實施的結果將由審計管理員進行審核,在確保該行為是合理有效的情況下才能實施。
1.2 MSA管理體系安全域的劃分
MSA管理體系的應用使得系統、安全、審計三類管理員之間相互協作,相互制約的關系成為可能,系統的安全性得到增強。而在MSA體系上應用安全域思想及類資源的設置,將進一步隔離域間的信息和資源流動,防范非法信息泄漏現像,確保數據信息的安全。
該文在MSA體系中靈活運用了安全域的思想,實現了對空管信息系統主體域的劃分,同時將空管信息系統管理的資源分為了不同的類型資源,MSA通過建立安全域和類型資源之間的關聯,實現了對域間信息流動的監控,通過對安全域規則的制定,使得系統用戶只能訪問到所屬安全域內的安全類型資源。通過對用戶安全域訪問行為的控制,有效的防止了誤操作、惡意操作可能造成的惡意信息流的傳輸,進而強化空管信息系統整體安全性。在空管信息系統遭遇病毒攻擊的環境下,病毒本身具有自我復制和傳染未遭感染區域的特性,通過對安全域的劃分和安全域內類型資源的歸并,能夠有效的阻止病毒的無限制復制傳播,病毒只能訪問所屬主體的安全域及相關資源,無法傳播至安全域邊界之外。當系統管理資源分散于多個不同安全域時,系統將有效避免形成整體癱瘓現象。
在空管信息系統中,根據需求通常可以把資源劃分到不同的安全域,同一安全域還能依據資源歸屬的不同,細分為不同的子域,子域在擁有部分父域特性和資源的同時,具有自身特有的特性,子域的存在不僅強化了安全域的安全管理特性,還能夠真實映射現實社會的組織結構關系。
2管理機制安全規則研究
本節給出了MSA管理機制的實施規則,按照這些規則,可以根據MSA原則實施空管信息系統的管理。系統中的資源主要由主體(a),客體(c)組成,用A表示主體的集合,B表示客體的集合,D表示域(d)的集合,P表示型(p)的集合,R為權限的集合,主體、域、客體權限之間的關系如下:
1)設函數dom_a(a),是定義在主體集合A上的函數,將主體a映射到相應的域。系統中的主體至少屬于1個域,即:?a∈A,? dom_a(a)≠?∧dom_a(a)?D。
2)設函數type(b),是定義在客體集合B上的函數,將客體b映射到相應的型,系統中的客體至少屬于1個型,即:?b∈B,? type(b)≠?∧type(b)?B。
3)若權限映射函數R_DT(d,p),為定義在域D和型P上的函數,將域d對型p的權限映射為集合的某個子集,即為域d對型p擁有特權的集合。
為有效避免超級用戶的誤操作和惡意程序的攻擊,安全域間的信息流動必須得到有效的控制。在每個獨立的信息流動需求發起的同時,必須同步進行安全信息的驗證,確保信息不會對接收安全域的安全狀態造成破壞,在不影響安全域安全的前提下,才接收該信息流。信息流在由主體操作產生的同時,必須對操作本身進行檢查,在操作和信息流均處于安全狀態時,可視系統為安全態。依據以下分析,可得出如下關于信息流動的規則:
規則1安全域隔離規則:為有效阻止惡意操作,安全域間信息流動必須處于受監控狀態,實現對安全域中數據的保護。
不同安全域間存在著干擾性,而干擾性的存在又反映了不同域間的相互作用,合理的應用安全域隔離規則,對安全域間信息的流動進行監控,是實現安全域安全的一大前提條件。
規則2安全域訪問規則:安全域內部主體對客體的訪問,必須滿足相應的訪問控制規則,包括常見的只讀、讀寫等。具體的訪問規則包括如下幾類:
只讀規則:單純采用讀取形式取得客體中信息,對安全域中數據進行不操作的讀取,有效保證數據的完整性和不可變更性,同時在利用了數字加密技術的基礎上,還保證了數據的機密性只讀需求。
只寫規則:主體對安全域內客體只進行單純寫入操作,不允許讀取安全域中原有數據,對于主體寫入數據的讀取可根據具體進行進行設置其是否具有讀取權限。
讀寫規則:包括只讀和只寫規則的部分安全控制因素,但主體在受控的情況下,可向安全域中客體寫入并讀取信息,在滿足機密性和完整性的基礎上,允許主體對安全域內客體進行讀寫。
以上幾條規則只涉及安全域內部讀寫規則,當需要實現安全域間訪問時,需要結合規則1進行控制,對于安全域間的訪問控制,既要考慮到主體自身的權限要求,也要考慮到安全域之間的規則控制和系統監管因素,只有經過配置的安全策略實施后,才能允許實現域間的訪問。
規則3安全域間管理規則:安全域級別可分為父域和子域兩類,子域繼承父域的域內資源,但采取獨立的安全策略機制管理,父域通過為子域配置相應的安全策略實現子域對父域資源的安全訪問,保障父域自身的數據完整性和安全性。在父域和子域同時管理同一資源時,父域具有優先級(安全策略進行特殊配置除外)。管理規則的實施,在便于調用資源的同時,實現了資源的共享和優化,也一定程度上防止了資源共享可能產生的沖突和安全患。
3結束語
最小特權原則和權值分離原則作為安全操作系統的基礎原則的內容,能夠有效地應用于空管信息系統超級用戶權限分離問題,該文提出的MSA管理機制,通過管理權限的劃分、管理員主體安全域的歸屬和相關資源類型的劃定,有效降低了管理員誤操作、黑客入侵等可能帶來的對系統的破壞。在MSA管理機制的基礎上,安全域的引入和資源類型的劃分,有效地阻隔了各安全域間信息和資源的流動,阻止了惡意信息流的傳遞,增強了空管信息系統的安全。該文下一階段將把安全域之間的流動控制作為下一步的研究重點,進一步進行開展,力圖實現對空管信息安全的不斷強化。
參考文獻:
[1]張德銀,劉連忠.多安全域下訪問控制模型研究[J].計算機應用,2008,28(3):633-636.
[2]付長勝,肖儂,趙英杰.基于協商的跨社區訪問的動態角色轉換機制[J].軟件學報,2008,10(19):2754-2761.
[3]段立娟,劉燕,沈昌祥.一種多安全域支持的管理機制[J].北京工業大學學報,2011,37(4):609-613.
[4]周偉.機場信息化規劃研究及應用[J].科技創新導報,2008(21).
我國未來電網發展形態具有高比例間歇式清潔能源大范圍消納,與周邊國家聯網構建全球能源互聯網以及會大量應用VSC電壓源換相直流輸電等特征,交直流電網相互影響的動態響應速度加快。要滿足大電網安全穩定需求,重要的基礎是建設發展控制保護專用信息通信網(ControlandProtectionDedicatedNetwork,CPDN)(簡稱控制保護專網),實現大范圍多類型電網信息交互、融合。D-5000的WAMS系統因時滯長難以承擔控制的任務。控制保護專網信息中心級別按照信息中轉兩層架構,實現二次設備接入安全識別、信息流量控制、信息優先級調度等功能。控制保護專網原型系統已經在華中電網建成投運,新一代控制保護專網建成后,能夠實現控制與保護系統之間的信息交換,有利于相互之間協調;安控系統將具有感知電網運行趨勢的能力,有助于安全與效率之間的平衡;調度自動化業務遷移至控制保護專網后,性能指標將得到提升。控制保護專網的建設將是電網運行控制水平大幅提升的重要基礎。
關鍵詞:
全球能源互聯網;控制保護專網;信息轉運及控制;架構
引言
目前,我國電網已經到了非常特殊的發展時期,電網的特點和特征比較突出。同步電網裝機容量規模已經位居世界前列,最高電壓等級、最大輸電容量的特高壓交直流工程和電網已經建成投運多年,并初步形成特高壓交直流電網,同一送端電網、同一受端電網接入超/特高壓直流工程數量和容量規模在全球是獨一無二的[1]。不遠的將來,我國將首先推動“一帶一路”周邊國家電網互聯互通,進而實質性推動構建全球能源互聯網,因此需要更大范圍傳輸清潔綠色能源[2]。此外,我國電力行業工程師駕馭大電網安全穩定可靠運行能力面臨著新的考驗,需要面對有挑戰性的新需求。
1電網發展控制特點及其對信息通信技術的需求分析
1.1高比例間歇式清潔能源發電是未來電網發展的主要形態,需要發展結合多源信息的新型運行控制技術
根據我國能源發展戰略行動計劃(2014年—2020年),風電重點規劃建設酒泉、蒙西、蒙東、冀北、吉林、黑龍江、山東、哈密、江蘇等9個大型現代風電基地,到2020年,風電裝機達到2億kW。風電裝機規模接近華北或華中或華東2016年電網裝機水平,華北、華中、華東、西北及東北電網消納風電比例約20%~30%。隨著中國經濟的持續增長,無論是從國內還是國外的視角來看,中國應對全球氣候變化責任壓力都在持續加大,高比例(10%~50%)風電、光伏等清潔能源消納是未來電網發展的主要形態[2]。風電、光伏等清潔能源發電具有間歇性、隨機性特點,風電發電負荷較大區間一般在后半夜,電網負荷處于低谷,在北方供暖期間熱電聯產機組以供熱定電模式為主,電網調峰調頻壓力巨大。電網調峰主要依據調度發電計劃曲線及依靠調度自動化AGC系統協調,調整常規發電機機組、抽蓄機組等出力,調整響應時間一般在分鐘級。電網調頻也是依靠常規發電機包括抽蓄機組,根據頻率偏差自動實現調速器及原動機系統的功率調整。依據儲能情況(如火電原動機壓力包、水電水頭)調整響應時間一般在秒級至數秒級甚至到分鐘級范圍。電網應對更高比例間歇式清潔能源發電的策略,一方面需要建設堅強的交直流混聯電網,包括發展配套的抽水蓄能及電化學儲能等大規模電量型儲能系統,為大規模、高比例間歇式清潔能源發電消納提供必要的物質基礎;另一方面,風電和光伏發電短期功率預測已基本實現大范圍應用,對于提高電網更高精度的發電調峰和調頻控制具有工程應用價值,結合大范圍采集電網實時運行狀態、物聯設備等多源信息的系統運行控制薄弱環節分析、調峰/調頻能力分析等技術,實現大規模風電、光伏發電場主動功率調整,提升整個電網的運行控制水平。
1.2特高壓直流送端同方向、受端同方向并以捆狀
輸電,需要發展利用多源信息的新型交直流混聯電網協調控制技術±800kV天山—中州特高壓工程額定輸送容量達800萬kW、輸電距離2191.5km,于2014年1月13日完成全部系統調試試驗并正式投運,是我國首個送端風電與火電以打捆配套建設電源方式并大規模遠距離送出工程[3]。2017—2018年,還將陸續投運以風電與火電以打捆配套建設電源方式的±800kV、800萬kW酒泉—湖南、1000萬kW錫盟—江蘇2條特高壓工程。預計到2020年,送端西北、華北、東北“三北”并且受端在華北~華中~華東方向的直流工程將達到20多回[4-5]。當前我國電網建設發展存在“強直弱交”現象,特高壓直流的建設投運速度遠遠超過特高壓交流,交流電網可能難以承受故障轉移功率沖擊或者難以為多回特高壓或超高壓常規直流電網換相換流器(LineCommutatedConverter,LCC)提供有效的電壓支撐,交流系統存在薄弱環節,還可能反過來限制特高壓直流輸送能力[6]。如2015年9月19日,錦蘇特高壓直流帶負荷540萬kW發生雙極閉鎖,造成華東電網頻率跌落至49.563Hz、越限持續207s,對電網安全穩定造成嚴重影響[7]。為解決“強直弱交”問題并保障電網的安全可靠運行,一方面需要按照“強直強交”原則構建交直流協調發展交直流混聯特高壓電網;另一方面,客觀上電網已經形成送端同方向、受端同方向、直流落點密集多條直流捆狀群,可能影響的范圍更加嚴重,客觀上需要考慮利用多源信息,加強直流捆狀群與交流電網的協調控制能力,更好地應對大規模、高比例間歇式清潔能源大范圍消納。
1.3電力系統一次設備“電力電子化”特征發展趨勢明顯,需要發展與此相適應的快速安全穩定控制技術
隨著大功率絕緣柵雙極型晶體管(InsulatedGateBipolarTransistor,IGBT)、脈寬調制(PulseWidthModulation,PWM)和多電平控制等技術的成熟,國內自換相的電壓源換流器(VoltageSourceConverter,VSC)直流實現了示范工程應用[8]。上海南匯、廣東南澳、浙江舟山等以電纜線路輸電形式的多端柔直工程已經建成投運,即將規劃建設渝鄂±500kV背靠背柔直工程,以及以架空線路輸電形式的±500kV張北柔直電網科技示范工程,工程計劃于2018年前后建成投運。張北柔直電網工程將重點示范的安全穩定控制關鍵技術主要有:純風電和光伏發電系統并且無常規同步電源電網運行控制技術,直流電網與落點交流電網有功功率和頻率類、無功功率和電壓類的協調控制技術,以及直流電網與風電、光伏、抽水蓄能等多能源發電協調控制技術等。LCC常規直流采用晶閘管只能控制導通而不能控制關斷,通過控制觸發角實現直流電壓一個維度調整控制;VSC直流采用基于IGBT和與之反并聯二極管組成基本模塊的核心部分,可控制導通和關斷,進行2個有功類和無功類維度調整控制[9]。因此VSC柔直的動態響應比常規直流響應更快,柔直電網可控制的目標也隨著節點規模的增加而增加。為充分利用柔直電網“電力電子化”特征明顯的快速響應性能,需要依靠控制信號傳輸時滯小、容量大、覆蓋范圍廣的信息通信處理技術,利用風電和光伏發電短期功率預測、D-5000調度自動化、交直流電網實時運行狀態數據等多源信息,滿足柔直電網與交流系統間多元化控制的需求和多目標控制可能需要協調的需求,也可以適應未來電網高比例間歇式清潔能源發電大范圍消納的需求[10]。
2與安全穩定分析控制業務相關的信息通信技術發展現狀
從大電網安全穩定計算分析和控制的角度來看,信息通信技術涉及安全穩定控制專用通道、調度自動化D-5000平臺SCADA/EMS系統和WAMS系統,以及智能變電站網絡系統。
2.1電網安全穩定控制信息通信專用通道
采用專用信息傳輸時滯小,數據傳輸可靠性較高。即使在信息通信通道檢修情況下通道也能夠實現“一主一備”模式運行,能夠在300ms內實現從信號觸發、處理到安全穩定控制裝置動作完畢全過程[11]。安控系統對于電網的安全穩定運行發揮了重要作用,目前已經投運的安控系統相互間并沒有信息交互,處于信息孤島狀態,適應未來電網多目標、多約束條件下安全穩定控制的壓力較大。
2.2調度自動化網
SCADA系統承擔EMS調度自動化系統重要數據采集等任務,基本理念是假設系統運行狀態在分鐘級范圍內變化不大。調度自動化系統的安全穩定計算分析功能是EMS高級應用系統中近幾年逐步接近于成熟的業務,是調度運行人員了解和掌握電網安全穩定特性的重要手段之一。面向安全穩定分析業務的優點及不足分別表現在以下幾方面。優點:計算分析所需數據量豐富,潮流計算所需的電源開機、電網一次設備投運狀態及變電站負荷等電網結構和電網運行狀態等主網信息均能夠提供,基本可以滿足計算分析業務需要。不足:難以實現安控裝置動作邏輯模擬功能,原因是廠家多、裝置量大而廣,接口很難接入在線安全分析系統,較難實現實時校核安控策略對當前狀態適應性的功能。WAMS系統包括PMU裝置已經廣泛應用于電力系統,應用最多的是系統運行狀態監測和記錄、故障錄波;其次是用于基于實時量測數據的電網運行軌跡分析,如小干擾穩定分析和擾動源定位等功能。基于WAMS系統的穩定控制理論上研究的較多,用于安全穩定實際控制的成功案例幾乎沒有,究其原因首先是用于控制的信息傳輸機制欠缺,在建設設計階段沒有提出應用于控制的需求以及欠缺大量控制信息傳輸時如何處理的方法,WAMS系統只是定位于錄波和數據存儲,其正常運行時時滯可能很小,但通信鏈路檢修狀態下時滯可能長達數秒級,難以滿足安全穩定控制信息對時滯、通道可靠性等方面的要求;其次是采用IP尋址技術,大量信息時存在網絡阻塞問題。
2.3智能變電站
智能變電站發展的驅動力之一來自設備層面,節約人力和物力資源以及環境資源,提升變電站運行效率。與以模擬量量測信號為特征的常規變電站相比較,智能變電站信息化、網絡化程度較高,變電器、開關等一次設備和電力系統自動控制裝置二次設備狀態參數和運行數據可采集、匯總的信息倍增,變電站包括自動控制、運維效率等業務在內的運行水平顯著提升。從大電網安全穩定控制的角度來看,雖然智能變電站可以利用的信息容易獲得、控制輸出也更易實現,智能變電站的控制對象為變壓器抽頭調整等站內慢速過程的調整、低頻/低壓減載等電網安全穩定第三道防線設備的控制對信息通信時間響應性能要求不高。但電網安全穩定第一和第二道防線,對信息通信時間響應性能要求較高。智能變電站如果緊急控制期間出現網絡阻塞或丟包等問題,將增加信息通信時延,對穩定控制效果不利[12]。
2.4控制保護專網原型系統建設經驗教訓和分析
國家863計劃“提升電網安全穩定和運行效率的柔性控制技術”課題研究了大電網智能柔性控制系統,在華中電網成功進行了示范應用以及長期運行,華中跨區交直流協調控制系統工程具備9回直流和交流系統共70個信號的協調處理能力,除具備直流緊急功率控制功能外,還具備直流功率調制和直流阻尼調制等功能,驗證了基于多源信息中轉調度模式的跨區協調控制工程實施可行性,提升了電網運行效率和安全穩定水平[11]。圖1為示范工程控制保護專網原型系統,站間流向為信息通道。在示范工程實施過程中的經驗教訓為:WAMS系統信息傳輸時滯長,難以滿足廣域控制對信息高速、可靠傳輸的要求;控制用信息通信系統多采用點對點形式,未實現信息聯網,信息難以實現共享、利用率低;控制信息與調度數據網彼此孤立,難以實現聯動。信息化是智能電網發展的重要特征之一,在配用電側尤為重要,主網具備多源數據融合、滿足多業務實時數據傳輸需求的信息通信系統是實現大電網智能分析與廣域協調控制的基礎。隨著國家能源戰略對特高壓交直流發展計劃中“四交、四直”的落實,大規模新能源基地及其送出工程的投入建成,以“三華”電網為中心的特高壓交直流混聯電網的“強直弱交”特征更為突出,大電網的安全、高效運行需要以更為靈活、可靠、高速的信息通信體系為基礎的安全穩定分析及控制系統作為必要的保障。必須研究基于廣域多源數據實時中轉處理的穩定控制信息通信體系架構及具有可操作性的構建方案和運行控制措施,滿足安全穩定控制實時性和可靠性的要求,解決不同安控系統信息的“孤島”問題、原有WAMS系統時延至少數秒和難以承載海量實時信息傳輸問題以及連鎖故障防御仍處于被動防御狀態等難題。安控、WAMS、智能變電站及控制保護專網穩定控制性能和功能拓展性能比較如表1所示。
2.5控制保護專網實現思路及核心功能要點
從以上分析可以看出,與安全穩定分析控制相關的信息通信業務雖然能夠滿足當前電網的需要,但難以滿足未來電網的需要,有必要建成面向電網安全穩定業務需要的控制保護專網。控制保護專網的建設要點是:實現信息通信流可管、可控,并可以管理安全穩定控制類設備的自動接入身份識別。從帶寬及利用率、業務承載能力等方面來看,SDH/MSTP業務小范圍用于安全穩定分析控制已是成熟技術,但用于應對大范圍、大容量安全穩定控制信息交換其承載能力壓力較大。需要考慮采用PTN技術,設備帶寬達到1000M和10G,業務承載性能更好,實際成熟時應考慮優先采用[12]。此外,對于輸電距離達到數千km或者對于通信時滯敏感場景,可以考慮載波通信技術,類似于股票信息交換技術也可利用,大量信息同時觸發,可靠性也較高。
3控制保護專網關鍵支撐技術及應用前景
3.1關鍵技術
從未來適應高比例清潔能源消納的電網發展形態以及電網安全穩定協調控制的需求分析,未來電網需要發展滿足安全控制大范圍信息交換、捆狀多換流站間協調控制等方面的技術,發展基于控制保護專網的跨區大容量輸電交直流電網協調控制技術,核心是實現原有安全穩定控制專網、調度自動化網、站域網等信通網的安全穩定控制保護業務數據融合,特征是具備信息傳輸通道和信息流的“調度”管控能力、管控多廠家信通和安控以及監測設備的標準化接入,適應我國電力市場化復雜運行條件、大范圍和高比例間歇式清潔能源消納等背景下的安全穩定分析與控制業務發展需要。主要關鍵支撐技術體現在以下幾方面。
1)控制保護專網信息通信通道架構和信息管控及設備研制。主要研究建設控制保護專網組網技術路線及技術經濟比較,制定控制保護專網安全防護、信息交換標準,研發信息通信硬件管控平臺(核心芯片)、軟件管控平臺,研制適應控制保護業務數據轉發模式的信通設備。
2)基于控制保護專網的交直流協調控制技術研究。研發適應更多直流信息交互、具備連續換相失敗防御的交直流協調控制方法;借鑒運行方式計算數據安排的思路,研究結合實時信息等多源信息的跨區輸電穩定特性、安控策略校核方法;研究基于多源信息的連鎖故障主動防御技術,包括聯絡線振蕩中心廣域快解和振蕩軌跡預測解列技術。
3)基于控制保護專網的安全穩定控制關鍵設備研制。研制監測與控制一體化設備,監測設備支持控制信號、支持物聯設備信息處理、支持電磁暫態記錄、支持控制設備自適應模塊化接入,解決在役PMU錄波性能不一致、對控制支撐薄弱問題;研制能夠遠程維護、支持多源信息接入的安控裝置;研究與直流、安控設備信息交互的接入技術標準。
4)研發支撐全球能源互聯網格局的信息通信架構及設備研制。研發支撐多業務并且信息安全符合防護要求的大容量、高性能信息通信技術,研制自適應安全身份識別和辨識等關鍵設備,突破PTN技術瓶頸。
3.2應用前景
控制保護專網建成后,能夠實現控制與保護系統之間的信息交換,有利于相互之間協調;安控系統將具有感知電網運行趨勢的能力,有助于安全與效率之間的平衡;調度自動化業務遷移至控制保護專網后,在線安全分析等高級應用數據質量等性能指標將得到提升;安控裝置動作邏輯實現聯網后將能夠實現安控策略實時分析校核;交直流協調控制系統將具備更廣域的控制能力,能夠實現直流送端與受端聯合多回直流相繼長時間換相失敗的交直流系統主動防御,控制保護專網應用前景廣闊。
4結語
基于國家863計劃項目配套跨區交直流協調控制示范工程成功經驗,為適應我國未來電網發展形態以及全球能源互聯網建設發展需求,提出了發展廣域交直流協調控制技術的思路,重點建設控制保護專網,重點研發接入控制保護專網的新型安控裝備和信通管控平臺和設備,同時也需要實現針對跨區輸電結合多源信息分析和控制技術上的突破。實現故障跨區影響傳導的預防性協調控制,是一種適應于大電網發展趨勢的跨換代技術,對于安全穩定控制保護技術的發展具有重大影響和示范作用。
參考文獻:
[1]劉振亞.特高壓直流輸電理論[M].北京:中國電力出版社,2009.
[2]劉振亞.全球能源互聯網[M].北京:中國電力出版社,2015.
[3]楊萬開,印永華,曾南超,等.天高壓直流輸電工程系統試驗方案[J].電網技術,2015,39(2):349-355.
[4]國家電網公司.國家電網公司“十三五”電網發展規劃[R].2015.
[5]周孝信.2015年“二〇八”科學會議:我國西部直流輸電網組網形態研究[R].北京:中國電力科學研究院,2015.
[6]湯涌,郭強,周勤勇,等.特高壓同步電網安全性論證[J].電網技術,2016,40(1):97-104.
[7]劉開俊.關于“十三五”電網規劃若干重大問題的思考[EB/OL].
[8]湯廣福,羅湘,魏曉光.多端直流輸電與直流電網技術[J].中國電機工程學報,2013,33(10):8-10.
[9]徐政.柔性直流輸電系統[M].北京:機械工業出版社,2012.
[10]卜廣全.2014年“二〇八”科學會議:適應更高比例新能源接入的大電網安全穩定控制的一些想法[R].北京:中國電力科學研究院,2014.
[11]郭劍波,卜廣全,趙兵,等.提升電網安全穩定和運行效率的柔性控制技術[R].2014.
關鍵詞:鐵路信號;故障-安全;措施
中圖分類號: F530.32 文獻標識碼: A 文章編號:
所謂“故障—安全”,是指當設備發生故障的時候,在設備出現動作以后應當是安全的。也就是說,不管設備發生什么樣的故障,在故障發生以后,都應該設定一個保證安全的輸出信號,這種系統我們叫做“故障—安全”系統,簡稱“FSS”。
1 信號系統的“FSS”保障措施
1.1 傳統鐵路信號控制系統的“FSS”設計
為了實現”故障—安全”,鐵路信號控制系統在設計時,采取了多項安全控制措施:
1.1.1機械控制手段上,大多利用重力向下的原理,保證安全。如過去應用的臂板信號機,利用重錘控制臂板動作,當傳導拉力的導線或拉桿折斷時,靠重錘的重力使臂板保持水平狀態,指示列車停車,從而實現”故障—安全”。
1.1.2廣泛應用的繼電控制,采用非對稱的安全型繼電器。信號控制電路所用的繼電器為安全型繼電器,保證繼電器故障落下的概率遠遠大于故障吸起的概率。電路設計時,采用安全對應原則,用繼電器的吸起狀態對應設備的危險側,而用繼電器的落下狀態對應設備的安全側。例如在信號點燈控制電路中,用列車信號繼電器(LXJ)吸起接點控制允許燈光(綠燈或黃燈)點亮,而用列車信號繼電器的落下接點控制紅燈點亮,當發生故障使列車信號繼電器落下時,信號顯示紅燈,指示列車停車,從而實現了繼電電路的”故障—安全”。
圖1 “FSS”系統繼電電路
1.2 現代鐵路信號控制系統的“FSS”控制
以現代集成電子電路和信息技術為核心的鐵路信號控制系統,通過軟件和硬件冗余的方式,實現“FSS”,下面是幾種常用的“FSS”控制方式。
1.2.1 安全性冗余結構
圖2 安全性冗余結構
如圖2,模塊A和模塊B經與門輸出,兩個模塊同步工作,只有兩個模塊輸出一致才能使系統輸出,如果有一個模塊故障,系統將不能輸出正常結果,從而發現故障,停止輸出危險側的執行信息。由于兩個模塊發生相同的故障而產生相同的錯誤結果的概率很小,這樣提高了系統工作的安全性,減少了危險側輸出的概率。
1.2.2 靜態多元控制
靜態“FSS”輸入接口電路如圖3所示,一個采集條件(GJ)同時由多個光電耦合采集單元同時采集,送入計算機。當采集條件接通時,各單元輸出均為高電平,計算機收到代碼為1111;當采集條件斷開時,各單元輸出均為低電平,計算機收到代碼為0000。計算機對四個碼元進行邏輯“與”的運算,結果為“1”時證明采集條件接通(危險側),結果為“0”,證明采集條件斷開(危險側)。顯然當采集條件斷開而電路發生故障時,運算的結果為“0”的概率遠遠大于運算結果為“1”的概率,實現了“故障-安全”。
圖3 靜態多元控制
1.2.3 動態閉環控制
圖4 動態閉環控制電路
動態“FSS”輸入接口的電路形式如圖4所示,由計算機輸出口控制的光電耦合管G2輸出側與采集輸入口的光電耦合管G1輸入側串聯。在采集條件接通時,由計算機輸出的脈沖序列,會返回到計算機的輸入端,即用動態脈沖作為危險側信息;采集條件斷開時,計算機輸入口收到穩定的低電平(0);當電路任何一點發生斷線或混線故障時。計算機輸入端必然收到穩定的電平(1或0),將穩定的1或0均作為安全側信息處理。
動態輸出驅動電路則采用輸出動態脈沖作為控制信息。只有動態信息才能驅動執行繼電器吸起,靜態電平驅動無效。輸出代碼還要回讀到計算機。當計算機“死機”或輸出電路故障時,計算機不能連續輸出動態信息,執行繼電器不吸,設備不會錯誤動作。
實際上,動態輸入或輸出電路是一個閉環控制系統,它是通過計算機校驗輸入或輸出代碼是否畸變來判斷電路是否故障。這種動態閉環控制,以動態信息對應危險側,以靜態信息對應安全側,當電路發生故障,只能產生靜態信息,從而實現“FSS”。
2 提高現代鐵路信號控制系統安全性的探討
隨著鐵路運輸車流密度的加大和列車運行速度的提高,鐵路信號自動控制系統越來越復雜,現代鐵路信號控制已有傳統的機電控制變為集自動控制、機電一體化、網絡通信、信息處理為一體的綜合控制系統。但是無論系統如何復雜,都應嚴格保證實現”故障—安全”。
2.1 采用綜合安全性冗余方式保證列車運行安全
高速鐵路的信號控制設備,主要包括車站聯鎖控制系統、區間閉塞控制系統、調度集中(CTC)控制系統、列車運行控制系統等,各系統之間即相對獨立,又相互聯系。為了保證列車運行安全,應設計綜合上述各系統的安全性冗余環節,如圖5所示,只有各子系統均輸出指示列車正常運行的命令,列車才能正常運行。當任一子系統輸出要求列車“減速或停車”的安全側信息時,綜合控制系統都能輸出使列車“減速或停車”的控制命令,防止“故障—危險”。
圖5 高速鐵路“FSS”綜合系統
2.2 增加“丟車”檢查功能,防止故障—危險
“7.23”大事故是由于前方運行的列車占用信息被覆蓋,即發生了“丟車”才造成了后續列車追尾。實際在線路上運行的列車,不可能丟失,出清一個區段,必然已進入另一區段。如果出現“丟車”或“飛車”信息,一定是設備發生了故障。因此,在各控制系統中應增加“丟車”檢查功能,一旦發現“丟車”,應立即使綜合系統輸出后續列車“緊急制動”信息,以保證后續列車的運行安全。
2.3 增加機頭和列尾防護設備,防止列車沖突
鐵路運輸盡管有一套功能完善、性能可靠的信號控制系統,但歷史上不止一次發生了列車追尾甚至正面沖突的重大事故。如果在現有信號控制系統之外,在列車頭部和尾部增加一套防護設備,當兩車之間的距離小于“安全距離”時,通過無線設備或通過鋼軌直接向前后運行的列車分別發送 “相撞危險”的信息。相鄰列車接收后,立即報警和緊急制動,這是避免列車沖突的最好方法。當然這種防護設備要考慮防止干擾,需要認真研究和實驗。現有條件下,即使在列車尾部增加傳輸距離較遠的監視設備或者特殊顏色燈光閃光提示,也能減少列車沖突事故的發生。
2.4 提高系統可靠性,減少危險故障發生
相對鐵路運輸而言,航空運輸“故障—危險”的概率更大,但飛機發生“危險失效”的概率極低,主要原因在機采用“多個發動機”等措施,使系統運行的可靠性遠遠高于其他運輸方式,從而也提高了運輸的安全性。
鐵路信號控制設備雖然在車站聯鎖等系統中采用了多套冗余設備,但為了提高鐵路運輸的安全性,還應在區間閉塞、調度集中(CTC)、列車運行控制等系統中增加冗余設備,以保證發生故障后,能夠通過自動切換等方式正常運行,以減少系統發生故障失效的概率。
3結語
總之,“故障—安全”是鐵路信號控制系統應嚴格遵循的重要原則,任何高科技的設備,發生任何故障時,都應確保安全,否則再先進的技術設備也不會有生命力。
參考文獻
[1] 何文卿.車站信號自動控制.北京:中國鐵道出版社,1980.
[2] 林瑜筠.鐵路信號基礎.北京:中國鐵道出版社,2006.
