电厂厂级实时监控信息系统网络安全问题的分析

电厂厂级实时监控信息系统网络安全问题的分析

发表时间：2018-01-10T13:36:07.303Z 来源：《基层建设》2017年第27期作者：云根图

[导读] 摘要：介绍了SIS系统与MIS系统通讯中存在的安全隐患，提出了一种采用软件和硬件相结合的网络防护方案，介绍了一种网络安全防护产品—天御6000单向安全隔离系统。

神华准能信息中心内蒙古鄂尔多斯市 010300

摘要：介绍了SIS系统与MIS系统通讯中存在的安全隐患，提出了一种采用软件和硬件相结合的网络防护方案，介绍了一种网络安全防护产品—天御6000单向安全隔离系统。在网络结构上保证了数据传输的单向性，从根本上解决了SIS系统的安全问题。

关键词：监控信息系统；管理信息系统；网络安全；防护隔离器

随着SIS系统的迅猛发展，在电厂形成了一个复杂的计算机网络系统。众多系统相连，内部网络开放，外部网络接入，从而产生了信息系统网络安全问题，如果网络和数据的安全没有保障，企业的重要信息就存在丢失、泄露、被更改的危险，因此，必须制定一套更加严密、可靠的防御体系，确保网络系统的安全，鉴于此种情况，本文以神华准能集团矸电公司SIS网络结构为例，探讨了厂级监控信息系统的网络安全问题。

一、天御6000单向安全隔离系统简介

1、系统概述

天御6000单向安全隔离系统是依照《全国电力二次系统安全防护总体方案》、国家经贸委【2002】第30号令《电网和电厂计算机监控系统及调度数据网络安全防护的规定》和《电力二次系统安全防护规定》（电监会5号令）由北京和信网安科技有限公司自主开发研制的，满足中国电力行业需求的网络安全产品。适用于电力安全Ⅰ/Ⅱ区与安全Ⅲ/Ⅳ区之间的安全连接，可以文件单向传输、数据库单向同步、实时数据流单向广播等不同环境的应用。

2、技术特点

采用非INTEL指令集的网络处理器；

硬件隔离控制器采用专用数据处理芯片，无操作系统，延时小于1毫秒；

安全、固化的操作系统，采用嵌入式LINUX系统内核，内、外网关取消所有网络功能；

内外网关TCP/IP协议栈被裁剪掉，内外网关之间采用私有通讯协议；

应用层数据完全单向传输，TCP应答包禁止携带应用层数据；

高可用性：支持双机容错，支持冗余电源，支持双链路。

3、技术参数

网络接口： 4个RJ45（内网、外网、热备、管理）

网络接口速率：10MBASE/100MBASE

串行通信接口：2个RS-232（RJ45接口）

贮存温度：-20℃～+55℃

工作温度：-5℃～+45℃

供电电源：220V±15%，50Hz，连续工作

功耗：≤50W

二、SIS在公司信息化系统中的位置

电厂信息化层次结构可以简单归结为三层：DCS、SIS、MIS。

DCS为分散控制系统，处于信息化的底层，一方面完成生产过程的监视与控制，另一方面还负责收集生产过程数据，向上一级传送。 SIS为厂级实时监控系统，从DCS接收信息，完成信息存储、分析、运行优化等功能。SIS中的原始数据或运算结果可以直接在本层终端上显示，也可以上传到MIS系统显示使用。

MIS为管理信息系统，包括协同办公、设备资产、生产管理、行政综合、全面预算、燃料管理、班组管理等，为企业的自动化办公服务。MIS上的实时数据一般通过SIS获取。

DCS、SIS与MIS之间的简单比较如下：

SIS与DCS

主要功能区别——SIS：生产过程监控，不参与直接控制；

DCS：生产过程控制、监视；

人员对象区别——SIS：生产管理人员、检修相关人员；

DCS：运行操作人员；

安全可靠性区别——SIS：低（或等同）；

DCS:高

SIS与MIS

主要功能区别——SIS：生产过程监控；

MIS：企业经营管理、办公自动化；

人员对象区别——SIS：生产管理人员、检修相关人员；

MIS：全厂人员

SIS系统是建立在DCS系统和MIS系统之间的一个高速度、高可靠性、超大数据容量的生产系统，该系统运行针对机组的实时监控、优化控制，达到使整个电厂工艺系统运行在最佳工况的目的。同时，在确保生产安全的要求下，将原本相互独立的、在可靠性、安全性和实时性等方面存在着明显差异的机组DCS和全厂MIS有机的连接在一起，在整个电厂范围内实现生产信息共享，有力地促进电力信息化建