智能安防 - 407 - 火电厂工控系统网络信息安全防护实践 浙江大唐乌沙山发电有限责任公司，高健 摘 要：信息技术的高速发展给工控系统安全带来了巨大挑战，而国内外频繁出现的工控安全事件将工控安全防御 建设提上日程。文章通过分析浙江大唐乌沙山发电有限责任公司工控系统网络存在的安全隐患，对工控系统采取一系列 措施进行升级改造，在保证系统稳定可靠运行的基础上提供有效防护，有效阻止恶意代码，黑客入侵等行为，大大提升 了系统的安全性。 关键词：工控系统；信息安全；防护 工控安全事关经济发展、社会稳定和国家安 全。近年来，随着信息化和工业化融合的不断深 入，随着工业互联网、大数据、智能化的发展，互 联的节点越来越多，暴露的机会多，信息安全的防 范越来越重要。在生产力显著提高的同时，工业控 制系统面临着日益严峻的信息安全威胁。作为关键 基础设施运营企业，发电企业的正常平稳运行对社 会秩序，经济发展有着至关重要的作用，因而更有 责任和义务提升工控系统信息安全防护能力。为了 进一步保障电力生产系统的安全，防范黑客及恶意 代码等对电厂 DCS 工控系统的攻击及侵害，防止 DCS 系统的崩溃或瘫痪，以及由此造成的电力生产系统 事故或电力安全事故（事件），浙江大唐乌沙山发 电有限责任公司（以下简称乌沙山电厂）对 DCS 系 统网络信息安全进行升级改造。 乌沙山电厂 1、2 号机组采用福克斯波罗 DCS 控 制系统，为 NODEBUS 和 MESH 网络混合结构，每台机 组配置 2 对冗余的 A2 交换机分别用于 MESH 网和 NODEBUS 网络， 配置 1 台 H92 工程师站（操作系统 Win7），2 台 51F（操作系统 Unix），以及 5 台 H92 操作员站（操作系统 Win7）。机组 DCS 系统分别通 过各自的 OPC 站，将 DCS 系统数据提供给 DCS 接口 机， 并通过防火墙和单向隔离网闸将数据传输给 SIS 的实时数据库。 现有的针对 DCS 系统的信息防护手段主要是在 边界，来自边界的单向隔离网闸和防火墙可以对来 自生产控制大区 II 区和管理信息大区的信息安全威 胁进行有效隔离。但在 DCS 系统内部，有效的防护 措施很少，无法满足等级保护制度以及能源局 36 号 文对关键信息基础设施防护的要求，无法对来自边 界以外的威胁提供有效的纵深的防护和检测。 2.1 缺乏统一的操作系统用户鉴别和访问控制 现场所有的 DCS 操作、维护人员和管理员均使 用同一账号密码登录，没有对用户分组进行权限设 定，密码强度不够，不符合安全策略。 2.2 工业主机未加固 未使用加固型的操作系统和 DCS 应用软件，工 业主机安全策略不合规，病毒库没有实时更新，操 作系统补丁没有及时更新，工业主机中未部署白名 单软件和基于主机的入侵防御软件。 2.3 安全日志未审计 未对 DCS 系统中工业主机的操作系统，应用程 序， 网络设备， 网络安全设备的安全相关日志进行审计， 没有统一的平台对日志进行统一归档，管理和分析。 2.4 恶意代码和入侵行为无法检测 未在网络边界和核心交换机处部署网络入侵检