分散控制系统安全防护的研究与开发 浙江浙能兰溪发电有限责任公司，徐书德、舒畅、韩峰 摘 要： 为了提高DCS 分散控制系统安全防护能力， 浙能兰溪电厂在#2 机组DCS 系统主机上安装了一种介于主机和外部输入输 出设备之间的安全防护及监控系统，通过硬件设备串联连接，不需要在DCS 系统内安装其它第三方防护软件，进而提高了分散控制 系统的安全防护能力,对工业控制系统的安全防护具有示范性作用。 关键词：分散控制系统；安全防护 0 引言 近年来针对电力工业控制系统的恶意攻击和破坏事件不断增加，我国电力工业控制系统信息安全形势非常严峻。 2010 年，Stuxnet“震网”病毒作为世界上第一个以攻击国家关键基础设施安全为目的的网络病毒出现，直接导致了 伊朗布什尔核电站推迟并网发电，引起了工业控制系统信息安全领域的震动。 按照国家电力监管委员会《电力二次系统安全防护总体方案》 （电监安全[2006]34 号）要求，原则在系统网络边 界按照“安全分区、网络专用、横向隔离、纵向认证”落实。但 DCS 分散控制系统还面临长期被国外厂商所垄断、工 业控制系统内部信息安全措施重视不够、 相关标准规范缺失、 技术防护措施不到位、 安全防护能力和应急处置能力不 强等问题，普遍缺乏有效的工业系统信息安全防御及数据通信保密措施。 随着电监会 《电力二次系统安全防护规定》 、 《电力行业信息安全等级保护基本要求》 等政策制度不断出台， 工业 控制系统越来越受到重视， 针对目前分散控制系统存在的主机防护能力不强等问题， 浙江浙能兰溪发电有限责任公司 （以下简称浙能兰溪电厂）通过在#2 机组工程师站加装相关的安全防护及监控装置，提升了 DCS 分散控制系统的安 全防护能力。 1 浙能兰溪电厂机组概况 浙能兰溪电厂分散控制系统为ABB 公司研制的Symphony 系统，生产自动化程度高，发电设备深度依赖于自动化 控制。 目前浙能兰溪电厂厂区内网络划分为生产控制大区和管理信息大区， 生产控制大区可以分为控制区(安全区I)和 非控制区(安全区Ⅱ)，DCS 生产控制系统主要置入控制区。但目前国际国内安全风险越来越严重，近年来通过借助主 机攻击应用系统的安全事件越来越多，如近期发现的 Stuxnet(震网)、Duqu、Flame(火焰)、Night-dragon(夜龙)等， 通过主机、利用系统漏洞攻击工业控制系统，所以目前工程师站（EWS） 、历史站(HRS)和操作员站（OIS）等主机安全 防护措施显得越来越重要。 浙能兰溪电厂通过等保测评， 发现生产控制系统存在一些安全风险， 主要表现在身份鉴别 弱、没有防病毒体系等等。 2 安全防护与监控研究 2．1 工业控制信息安全分析 由于按照DCS 系统行业惯例均不安装除操作系统、 应用软件之外的第三方软件， 即不安装可能会影响生产控制系 统运行的安全管理软件，如有些防病毒软件会将 DCS 系统软件作为病毒处理、造成网络数据拥堵等情况，存在 USB 端口安全管理关闭与数据交换升级之间的自相矛盾等等。 相比传统的网络与信息系统， 电力工业控制系统需要兼顾应用环境、 控制管理等多方面因素， 首要考虑效率和实 时特性， 普遍缺乏有效的工业安全防御措施， 传统的信息安全防护手段和产品不能满足电力工业控制系统安全防护的