2019 年（第七届）电力科技管理论坛 - 316 - 浅谈火电厂 DCS 等级保护测评实践 华润电力（菏泽）有限公司，王琼、邢伟、范学文、许颖 摘 要：本文简述了 DCS 系统的信息安全现状，结合信息安全威胁，通过某火电厂 DCS 系统等级测评的实际案例， 分析火电厂 DCS 系统测评中发现的信息安全问题，总结现阶段 DCS 系统等级测评工作遇到的难题和项目经验，得出通过 完善 DCS 系统安全保障及测评的相关标准规范，保障测评的全面性，建立长期、持续化的交流与培训机制，从整体上提 高对工业控制系统的安全评测能力及安全保障能力。 关键词：DCS 系统；等级保护评测；工控系统；网络安全 随着计算机和网络技术的发展，特别是信息化 与工业化深度融合以及物联网的快速发展，工业控 制系统产品越来越多采用通用协议、通用硬件和通 用软件，以各种方式与互联网等公共网络连接，病 毒、木马等威胁正向工业控制系统扩散，工业控制 系统信息安全问题日益突出。 2010 年发生的 “震网” 病毒事件，充分反映出工业控制系统信息安全面临 着严峻的形势。 工信部协[2011]451 号通知明确要求 加强对于 “SCADA、 DC、 PCS、 PLC 等广泛运营于工业、 能源、交通、水利以及市政等领域，用于控制生产 设备的运行工业控制系统”的信息安全管理。等级 保护制度作为我国信息安全保障的基本制度，在工 业控制等基础设施领域的应用显得尤为重要。 本文通过某火电厂 DCS 系统等级评测实践，分 析 DCS 系统面临的安全威胁及风险，同时对 DCS 系 统的评测延伸分析工业控制系统等级评测中遇见的 问题及解决建议。 1 DCS 电力系统作为典型的工业控制系统，面临着大 量的终端和现场设备的脆弱性、通信网及规约上可 能存在漏洞、采用线路搭接等手段对传输的电力控 制信息进行窃听或篡改等安全威胁，电力系统网络 安全已成为社会关注的焦点。 2014 年 2 月 27 日下午习近平总书记主持召开中 央网络安全和信息化领导小组第一次会议并发表重 要讲话时指出：“没有信息化就没有现代化，没有 网络安全就没有国家安全”。这个论点第一次将信 息安全与信息化放在同等地位提出，决定了我国今 后网络安全工作的国家战略地位。 2016 年中央网信办颁布《关键信息基础设施确 定指南》进一步细化了关键信息基础设施的概念和 范畴，明确了涉及国家战略安全的网络安全工作开 展范围。该指南提出了十一大行业，四十九类系统 为关键信息基础设施，在四十九类系统进一步分网 站类、平台类和生产业务类，提出了具体的定义指 标。可以看到，其中超过 50%以上定义的系统为工业 控制系统。 2017 年 6 月 1 日，《网络安全法》开始生效实 施。这是我国网络安全的第一部法律，这部法律继 续贯彻总书记的相关论述，提出了信息系统与信息 安全的同步规划、同步组织实施、同步运作投产的 “三同步”原则。在网络安全法中，同时提出了国 家信息基础设施概念，并提出了该类设施应“关键 信息基础设施在网络安全等级保护制度基础上，实 行重点保护。” 在 2019 年 12 月 1 日国家标准化管理委员 GB/T 22239-2019《信息安全技术网络安全等级保护基本