[发明专利]一种提高电厂分散控制系统安全防护的方法及系统

说明书

一种提高电厂分散控制系统安全防护的方法及系统，属于电厂信息管理技术领域。本发明的方法主要通过横向单向安全隔离装置来完全隔绝控制区和非控制区之间的数据交互，然后通过开发的工业接口软件实现指定端口，指定的数据传输协议和指定数据格式的单向数据传输。本发明能够有效避免信息的泄露及外界网络的干扰，解决了控制区边界由于网络架构多样性导致的信息安全问题，大大降低了来自控制区外的网络安全风险，确保了电厂信息系统的安全性。

技术领域

本发明涉及电厂信息管理技术领域，尤其涉及一种提高电厂分散控制系统安全防护的方法及系统。

背景技术

根据发改委2014年14号令-《电力监控系统安全防护规定》指出：生产控制大区可以分为控制区(安全区 I)和非控制区(安全区Ⅱ)；管理信息大区内部在不影响生产控制大区安全的前提下，可以根据各企业不同安全要求划分安全区。根据应用系统实际情况，在满足总体安全要求的前提下，可以简化安全区的设置，但是应当避免形成不同安全区的纵向交叉联接。其中，生产控制大区内部的安全区之间应当采用具有访问控制功能的设备、防火墙或者相当功能的设施，实现逻辑隔离。

而《国家能源局关于印发电力监控系统安全防护总体方案等安全防护方案和评估规范》 (国能安全[2015]36 号文) 指出：横向隔离是电力监控系统安全防护体系的横向防线。应当采用不同强度的安全设备隔离各安全区，在生产控制大区与管理信息大区之间必须部署经国家指定部门检测认证的电力专用横向单向安全隔离装置，隔离强度应当接近或达到物理隔离。生产控制大区内部的安全区之间应当采用具有访问控制功能的网络设备、安全可靠的硬件防火墙或者相当功能的设施，实现逻辑隔离。防火墙的功能、性能、电磁兼容性必须经过国家相关部门的认证和测试。

当前，发电厂控制区到非控制区需要进行接口通讯，安全防护一般采用传统防火墙或等同功能产品实现逻辑隔离，在控制区与非控制区数据交互时，为保证通讯质量端口全部开放，这导致发电厂DCS中毒事件时有发生，严重影响了发电厂的安全生产。

发明内容

本发明的目的是为了解决上述现有技术存在的问题，提供一种提高电厂分散控制系统安全防护的方法及系统，其能够有效保证电厂控制区与非控制区之间信息传输的安全性。

本发明的目的是通过以下技术方案实现的：

一种提高电厂分散控制系统安全防护的方法，包括如下步骤：

步骤1，通过横向单向安全隔离装置将控制区和非控制区进行物理隔离；

步骤2，获取所述控制区的输出数据；

步骤3，判断所述输出数据是否为坏点数据，若否，则将所述输出数据的数据格式转换为非控制区可识别的数据格式；

步骤4，将格式转换后的所述输出数据保存至本地；

步骤5，采用指定的数据传输协议和数据格式，将所述输出数据从指定的发送端口经过所述横向单向安全隔离装置发送至非控制区指定的接收端口；

步骤6，通过所述非控制区指定的接收端口接收所述输出数据；

步骤7，将接收到的所述输出数据保存至本地；

步骤8，将接收到的所述输出数据写入所述非控制区的数据库中。

本发明首先通过经国家指定部门检测认证的电力专用横向单向安全隔离装置（正向安全隔离装置）来完全隔绝控制区和非控制区之间的数据交互，隔离强度达到物理隔离。然后通过指定的数据收发端口，指定的数据传输协议及指定的数据格式来进行自控制区经过正向安全隔离装置向非控制区的数据单向传输，以有效避免信息的泄露及外界网络的干扰，解决了控制区边界由于网络架构多样性导致的信息安全问题，大大降低了来自控制区外的网络安全风险，确保了电厂信息系统的安全性。必要时，还可加装国家指定部门检测认证的电力专用反向安全隔离装置，以实现非控制区至控制区的特定数据传输。