火力发电分布式控制系统电力DCS系统密码应用改造方案

一、背景与形势

近年来,针对火力发电企业DCS(分布式控制系统)的网络攻击频发,具有影响直接、传播迅速、破坏力强的特点。DCS系统直接关系电厂的运行安全与供电稳定性,一旦被入侵,轻则导致设备停机,重则引发人身伤亡或大面积停电事故。为此,国家已将网络安全提升至国家安全战略高度,明确鼓励并推动商用密码(国密)算法的应用,以从技术源头上保障电力关键信息基础设施的安全。

《密码法》《网络安全法》《商用密码管理条例》《电力监控系统安全防护规定》《火力发电企业电力监控系统商用密码应用技术要求》等法律法规,均明确规定了密码应用与安全性评估的要求。本项目建成后,DCS系统将满足GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》中第三级信息系统的相关要求。

图片

二、DCS系统架构与安全现状

1、系统基本情况

DCS系统位于电力生产I区(实时控制区),采用AB双网冗余结构,关键组件包括工程师站、操作员站、历史数据站、组态软件、PLC和DCS控制器以及各类现场设备。系统整体符合工控系统中的“三层架构”模型,即过程监控层、现场控制层和现场设备层。

在生产I区内,工程师站、操作员站与历史数据站等节点之间存在频繁数据交互,同时I区与II区之间采用逻辑隔离,历史数据站通过后方通讯站将数据发送至MIS、SIS等系统。

图片

2、主要安全风险

当前系统存在的短板主要包括:

身份认证薄弱:操作员站为了保持连续运行,经常跳过或忽略身份验证,存在被非法操控的风险。

通信协议不安全:控制器与上位机之间主要使用 Modbus TCP、OPC 等协议,缺乏加密和完整性校验,容易被中间人攻击。

数据存储明文:系统中的日志、组态文件、控制逻辑等重要数据都是明文存储,一旦被获取就有泄露或被篡改的风险。

运维接入风险高:工程师站权限很大,但缺少强身份认证机制,尤其在下载或更新程序时,容易被植入恶意代码。
3、重要业务数据

图片

三、密码改造方案总览

本方案遵循指导性、可行性、科学性原则,从物理和环境、网络和通信、设备和计算、应用和数据、管理要求五个层面进行密码改造,建设统一密码服务体系。

图片

1、物理和环境安全:守好机房大门

国密门禁系统:门禁读卡器与卡之间采用 SM4 算法做双向对称加密,保证身份可信。同时,系统用 SM3 生成数据摘要,再用 SM2 私钥签名,用非对称加密方式保证存储数据不会被篡改。

视频加密系统:视频服务器对关键帧进行SM3摘要运算后附加SM2签名,支持完整性验证。

两套系统均为独立闭环网络,不允许任何外部设备接入。

图片
图片

2、网络和通信安全:因地制宜

网络和通信安全的密码改造,需根据通信链路所处的物理环境、业务实时性要求以及边界隔离强度,采用差异化策略。
3、设备和计算安全:筑牢运维防线

设备和计算安全的核心是:身份可信 + 访问可控 + 日志可追溯。不同DCS系统中,工程师站、操作员站、控制器的改造能力差异较大,需分级施策。

典型场景举例:

• 在堡垒机前部署支持国密算法的IPSec/SSL VPN综合安全网关。

• 为运维管理用户配发智能密码钥匙(内置SM2个人数字证书),实现身份真实性确认。

• 用户通过“VPN网关+堡垒机”方式统一访问服务器、数据库,实现集中运维管理。

• 设备运行日志调用服务器密码机的HMAC-SM3服务进行完整性保护。

图片

4、应用和数据安全(核心改造)

• 身份鉴别(双因素认证)

操作员采用“SM2数字证书 + 口令”登录。证书和公私钥对存在智能密码钥匙里,服务端通过签名验签服务器验证签名。数字证书由合规 CA 机构签发。

• 访问控制信息完整性

调用服务器密码机的 HMAC-SM3 服务,对访问控制信息做完整性保护,防止被非授权篡改。

• 重要数据传输安全

需根据通信链路所处的物理环境、业务实时性要求以及边界隔离强度,采用差异化策略

• 重要数据存储机密性

对用户身份数据、工程配置文件等敏感信息,采用国密SM4算法加密存储。DCS调用服务器密码机的数据加解密服务,实现存储机密性保护。

• 重要数据存储完整性

对身份数据、访问控制策略、系统日志、配置文件等,采用HMAC-SM3算法进行完整性保护,DCS调用服务器密码机的HMAC-SM3服务,实现数据存储完整性保护。

图片

5、安全管理体系建设

制度建设:覆盖密码设备管理、人员职责、系统运维、应急处置和密钥全生命周期等五部分,每年评审修订;

人员管理:设立密钥管理员、安全审计员、密码操作员岗位,每岗2人;每半年开展一次安全演练和培训,签订保密协议

建设运行:委托密评机构评估方案,选用合规密码产品,每年进行一次密码安全性评估及攻防演练。

应急处置:制定密码安全事件应急预案,事件发生后2小时内报告,2个工作日内完成处置汇报。密评产品

四、清单示例

图片

五、总结

本方案围绕电力DCS系统的密码应用改造依据国家法律法规与GB/T 39786-2021第三级要求,从物理环境、网络通信、设备计算、应用数据、安全管理五个维度系统推进密码技术落地。

部署基于SM4/SM2/SM3算法的国密门禁与视频监控系统,保障物理环境安全;对运维链路采用“国密VPN网关+堡垒机+智能密码钥匙”的统一接入方案,实现通信安全与集中管控;实施基于“智能密码钥匙+签名验签服务器”的身份认证方式,确保用户身份可信;调用服务器密码机,采用SM4算法对用户身份数据、工程配置文件等重要数据进行存储加密,并利用HMAC-SM3算法对访问控制信息、系统日志、配置文件等进行完整性保护,有效应对当前系统在身份认证、通信协议、数据存储及运维接入方面的安全短板。

同时,配套完善的管理制度、人员培训和应急响应机制,形成了技术与管理并重的密码安全保障体系,为电厂关键信息基础设施的自主可控与安全稳定运行提供了坚实支撑。