一种适用于各类DCS生产控制系统安全防护与安全审计的方法与装置

本发明涉及信息安全、数字签名、计算机软件、硬件及网络通信技术，特别是一种适用于各类DCS生 产控制系统安全防护与安全审计的方法与装置。

各类DCS生产控制系统具有资金密集型和技术密集型的特点，以发电企业为例，一台1000MW火力发 电机组造价约为50亿元，一个企业一般拥有一台或数台发电机组，以形成一定规模的生产能力向电网输 送电力；发电设备深度依赖于自动化控制，主控均采用单元机组集散型DCS生产控制系统，一台机组配备 一套主控DCS和数套辅控系统。DCS生产控制系统类似于发电机组的神经中枢，感应遍布机组的数万个传 感器，协调控制主、辅设备运行生产，直接影响发电机组的设备健康和经济性运行。由于生产控制系统故 障或误操作，轻则引起发电机组跳闸，对电网和用户造成影响；重则引起设备重大损坏，甚至发生人身伤 亡事故。为此，行业和企业各级对DCS的安全防护十分重视，按照“网络分区、专网专用、横向隔离、纵 向认证”的原则，将生产控制系统作为一个封闭系统防护起来。

但是在经济责任和社会责任的双重压力下，传统DCS产商和发电企业选择牺牲系统的安全防护能力， 集中精力改善系统的控制品质和提高系统的可靠性，从而造成目前发电企业DCS生产系统安全防护存在很 大的防护空白，并且无法采用其他行业普遍采用的安全防护手段，形成一些安全防护难点：

1.电站生产控制系统主机加固措施无法完全落实。由于当前电站单机发电容量较大，机组跳闸对电网影 响很大，确保生产控制系统安全稳定运行是企业和系统承建商的最大目标，按行业惯例，生产控制系统主 机不允许安装除主机操作系统和控制系统之外的任何软件，从而无法安装防病毒软件等安全防护软件；

2.生产控制大区与其它网络分区必须安全隔离，仅允许生产控制大区向其它网络分区单向传输必要的生 产实时数据。对于防病毒软件、主机补丁服务器软件等需要从外部网络定期获取升级代码的安全防护措施 无法在生产控制大区落实；

3.现代火力发电厂自动化程度高，均按照行业“新厂新办法”的要求定岗定编，一台1000MW机组实际 运行人员仅配备3-5人，一些重要系统的运行管理岗位定编数量很少，岗位职能非常集中，造成信息安全 职能过于集中，甚至存在系统管理、数据库管理甚至开发、使用和维护集中于一人的现象，又缺乏有效的 安全审计和完整的事件追溯手段，给系统安全运行、事故分析和行为审计带来很大的隐患；

4.电力行业的生产特点是发电生产7×24小时不间断连续运行，同时发电设备价格昂贵，系统复杂，自 动化程度高，非常依赖控制系统，从安全生产角度不允许对系统进行各类在线安全测评。造成无法对主机 进行日常较为深入的安全性检查，只有在机组停机检修时做一些安全防护检查工作，对系统日常性安全防 护管理提出更高的要求；

5.便携式电脑、移动存储设备和3G网络的普及对目前单纯采用“网络隔离，专网专用”隔离、无防病 毒软件和补丁升级防护的生产控制系统构成较大的威胁。存在外来工程维护人员便携式电脑携带病毒侵 入，移动存储设备摆渡式攻击，3G网络打破专网隔离等众多风险。目前仅能通过更加严格的机房出入制度 和主机管理来进行预防。

国家电网公司和石油化工等工业领域也具有设备昂贵、自动化程度高、生产不间断等与发电企业类似 的特点。国家电网公司的SCADA电力调度和远动系统，石化企业使用的工业自动化控制系统，多采用ABB、 GE、Rockwell(罗克韦尔)、Honeywell(霍尼韦尔)、Emerson(艾默生)、Siemens(西门子)等国际知名 工控品牌公司的产品，与发电企业的状况非常相似，发电企业存在的行业性安全防护难点也同样困扰着这 些行业企业。

2010年10月，全球首个专门破坏工业控制系统的Stuxnet“震网”病毒大面积爆发，造成伊朗核电 站推迟发电，在信息安全防护业界投下一枚重磅。该病毒针对的SiemensWinCC监控与采集系统广泛 使用于发电、电网、石化和其他工业控制领域，以引起各行业高度重视，各行业对成熟工控领域安全产品 的需求已经十分迫切。

有鉴于此，本发明的目的在于提供一种新型的、适用于国内发电企业各类DCS生产控制系统的安全防 护与安全审计的方法与装置。提供系统画面监控、操作记录、事件回溯、身份认证、权限控制、安全数据 交换、运行管理优化等功能，可与防火墙、网络安全审计等传统信息安全产品组成发电企业生产控制系统 信息安全整体解决方案，产品的全部或部分模块适用于电网、石化等工业生产控制领域的安全防护。

本发明采用如下技术方案：

一种创新的DCS生产控制系统安全防护与安全审计方法，包括以下步骤：

1.在不影响DCS系统控制品质和可靠性的前提下，通过监视器、键盘、鼠标串接方式，采集、存储和回 放DCS操作员站、工程师站的画面和操作记录，实现对发电企业DCS生产控制系统全面监控和审计；

2.提供符合发电企业生产管理实际的DCS操作维护人员身份认证和权限控制功能，可选IC卡、RFID射 频卡、指纹识别器等身份识别手段，根据灵活的权限配置赋予合法用户键盘、鼠标操作权限，记录身份审 核日志，满足发电企业对DCS生产控制系统运维人员安全管理和审计的需求；

3.采用CA签名认证技术，为DCS主机增加摆渡式安全数据交换设备。对输入DCS系统的数据，按照发 电企业的管理流程在产品外部(如企业MIS管理信息系统)进行申请、检查、批准和数字签名，用认证的 移动存储介质拷贝签名后的数据经安全数据交换设备确认未被篡改后放行进入DCS系统；对输出数据，用 认证的移动存储介质经安全数据交换设备拷出；提供灵活的权限配置方式，记录输入输出日志，实现对DCS 生产控制系统的安全管理和审计；

4.所采集的DCS系统画面、人员操作记录、身份验证记录、数据交换记录等数据按照用户需要的时限长 期保存，提供界面友好、操作方便、功能完备的管理工具软件展现和分析，结合发电企业已建SIS厂级监 控信息系统和耗差经济竞赛软件，为发电企业事件回溯、事故分析、操作绩效评价、人员培训、运行管理 优化提供有力的技术支撑；

5.产品经国家电监会等行业专家论证和典型发电企业试点完善，取得电力行业适用资格，满足发电企业 电力二次系统安全防护的要求；

6.产品经中国信息安全测评中心认证和公安部信息系统安全等级保护评估中心认证，取得三级系统销售 许可证明，满足发电企业三级信息系统等级保护要求；

7.产品与防火墙、网络安全审计、网络单向物理隔离装置等其它传统信息安全产品形成完整的生产控制 系统安全防护解决方案，利用本产品实现对DCS系统的监控审计等安全防护功能，利用防火墙和网络安全 审计系统实现对外来工程维护人员电脑接入DCS系统网络的安全管理和审计，利用网络单向物理隔离装置 实现DCS系统与其它系统的物理隔离，在发电企业生产控制大区形成系统、网络、边界三个层次全方位的 安全防护体系，填补目前发电企业生产控制大区整体安全防护的空白。

本发明包括一种DCS生产控制系统的安全防护与安全审计的装置：

硬件部分：

DCS安全防护与安全审计主机(服务器)：用于运行后台服务程序、接收和存储前端数据采集装置的数 据、运行记录回放与分析软件、系统配置；

前端VGA视频数据采集装置：以串接的方式，从DCS主机和操作员站采集操作画面，压缩、优先后传 送至服务器存储，在确保画面质量的前提下尽量压缩数据；

前端键盘鼠标数据采集装置：以串接的方式，从DCS主机和操作员站采集键盘和鼠标的操作记录，传 送至服务器存储；装置上预留扩展接口，可插接不同类型的身份验证装置，接收来自身份验证装置的用户 信息，判明权限，开放或禁止用户对键盘和鼠标的操作；装置上还提供前端信息显示装置接口，显示当前 操作人员信息和其它系统提示或告警；

身份验证装置：分别开发IC卡、RFID卡/二代身份证、指纹、密码器、USB Key等不同身份验证手段 的装置，接入前端键盘鼠标数据采集装置预留扩展接口，将采集的用户身份信息送至前端键盘鼠标数据采 集装置，供验证权限；

摆渡式安全数据交换装置：采用CA签名认证技术和移动存储介质认证技术，可对插入的移动存储介 质写入认证信息进行授权认证，只有认证过的移动存储介质才能在本装置上进行数据交换操作。首先，按 照发电企业的管理流程，在本装置以外(如企业MIS管理信息系统)使用产品软件部分提供的数字签名工 具/控件，将待输入DCS系统的数据和审批人信息进行数字签名；然后，用认证的移动存储介质拷贝签名 后的数据经安全数据交换设备确认未被篡改后放行进入DCS系统主机(Windows或Unix操作系统，Windows 居多)；输出数据时，使用认证的移动存储介质经安全数据交换设备拷出；输入输出的数据信息和认证信 息传送至服务器存储，实现对DCS生产控制系统输入输出数据的安全管理和审计；

前端信息显示装置：连接自前端键盘鼠标数据采集装置信息输出接口，安装于操作运维人员显示器下 方，通过LED液晶屏显示当前操作人员信息和其它系统提示或声光告警。

软件部分：

行为采集与存储模块：运行于服务器端；接收多路前端VAG视频数据采集装置数据，保存至存储设备， 根据画面回放和长期存储的要求进行压缩、分段等优化存储，条件允许时存储时间越长越好；接收多路前 端键盘、鼠标采集装置数据，保存至存储设备；配置前端VGA视频数据采集装置参数；

行为跟踪与回放审计模块：运行于服务器端；可按照时间、人员、值次、班次和事件等方式回放画面 和操作记录，支持单一画面和多画面回放，考虑支持多显示器回放；支持将画面和操作数据的片段收藏、 分类、备注和导出保存；人员管理和值次、班次配置；

身份验证与权限管理模块：运行于服务器端；接收多路前端键盘鼠标数据采集装置数据，保存至存储 设备，根据回放要求进行优化存储；可按人员、值次、班次等方式对受控的键盘鼠标分配操作权限；按时 间、人员、值次、权限许可状态对身份验证历史记录进行筛选查询和统计；人员管理和权限配置；配置前 端键盘鼠标数据采集装置参数；

安全数据交换管控与审计模块：运行于服务器端；接收摆渡式安全数据交换装置记录的DCS系统输入 输出数据信息；可按时间、文件包名称、审批人、认证存储介质所有人、认证状态进行筛选查询和统计；

行为分析、异常告警、绩效评价及运行优化管理模块：运行于服务端；对身份验证记录、安全数据交 换记录、键盘鼠标操作记录进行统计分析；设置异常报警参数，对异常操作进行告警提醒；结合SIS厂级 监控信息系统对操作人员进行绩效评价，按照SIS系统耗差经济性分析的时段自动筛选操作记录，供回放 和学习；结合SIS厂级监控信息系统生产实时数据库，预设提醒规则，当生产实时数据符合预设的提醒规 则时向前端信息显示装置发送提醒信息，提醒操作人员及时调看相关画面，促进运行优化管理；

第三方软件数据交换接口：输出接口，经防火墙向管理信息大区提供画面和操作等数据接口，供第三 方软件调用；输入接口，经防火墙从生产控制大区SIS厂级监控信息系统实时数据库获取机组生产实时与 历史数据，供绩效评价与运行优化管理分析。

与现有技术相比，本发明实施例具有如下优点：

与DCS系统主机无关，不安装任何软件插件，对DCS生产控制品质和可靠性无影响；

创新式的采用I/O输入输出设备串接方式对DCS系统的行为数据进行采集和管控，实现DCS系统安全 防护与安全审计；

产品适用性强，因只通过I/O设备实现安全管控，与主机采用哪种DCS生产控制系统无关，理论上适 用于各类品牌DCS生产控制系统；

填补国内市场发电企业DCS安全防护与审计产品的空白，避免在DCS主机上安装防病毒软件等信息安 全产品，避免威胁DCS系统的控制品质和可靠性。

图1是本发明的实施例示意图。

下面结合附图对本发明实施例的具体实施方式作进一步的详细阐述。

如图1所示，是本发明中的系统(包括软件及硬件)的实施示意图。

系统的连接：

DCS的键盘及鼠标连接该发明的装置，再通过键盘及鼠标连接线将DCS的键盘及鼠标输入同该发明的 装置的键盘及鼠标输出连接；

DCS的VGA输出通过VGA分离器一分为二，一路接DCS显示器，另一路接该发明的装置；

DCS的USB通过USB线与该发明中的装置连接，或DCS的以太网口与该发明中的一个以太网口连接；

ID卡、RFID卡、身份证读卡器可以通过USB或RS232与该发明中的装置连接；

指纹器/指纹扫描机可以通过USB或RS232与该发明中的装置连接；

密码器可以通过USB或RS232与该发明中的装置连接；

该发明中的设备为移动介质：U盘、S A T A硬盘、I D E硬盘提供U S B或其它相应的接口。

该发明中的采集及控制装置提供以太网线与局域网连接；

该发明中的采集及控制装置通过连接外供电源供电。

工作流程：

首先在该发明中安全防护与安全审计服务器上的采集及控制装置管理软件模块上注册该发明中的采 集及控制装置，可以使用采集及控制装置的MAC地址或硬盘ID号进行注册；

用户将该发明中的采集及控制装置按上述的连接方式连接后，开启装置，该装置通过网络向安全防护 与安全审计服务器进行认证，认证通过后，该设备进入数据采集及控制工作状态；

在该发明中安全防护与安全审计服务器上的用户管理软件模块对用户进行注册，为用户提供ID卡、 RFID卡、身份证或密码的之中的任何一种或它们的任意组合进行用户身份注册；

用户通过该发明中的采集及控制装置提供的ID卡、RFID卡、身份证读卡器或密码器其中的任何一项或 它们的任意组合来读取用户身份，采集及控制装置将读取的用户身份上传到安全防护与安全审计服务器， 安全防护与安全审计服务器对用户身份进行识别，如是合法用户，安全防护与安全审计服务器通知采集及 控制装置接通键盘和鼠标与DCS的连接，因而用户有使用键盘和鼠标来操作DCS的权限；

该发明中的采集及控制装置对D C S的键盘、鼠标和显示器进行数据采集、压缩、暂存以及通过网络 向安全防护与安全审计服务器上传；

该发明中安全防护与安全审计服务器的行为跟踪与回放审计软件模块可按照时间、人员、值次、班次 和事件等方式回放画面和操作记录；

通过该发明中安全防护与安全审计服务器上的移动介质管理软件模块对用户的移动介质进行注册，通 过移动介质管理软件模块向移动介质中写入只读不能复制的一个加密的移动介质识别文件，该加密文件中 包含了该移动介质的编号、用户名、权限等。

用户将移动介质插入该发明中的采集及控制装置后，采集及控制装置会将该移动介质的识别文件上传 到该发明中的安全防护与安全审计服务器上，安全防护与安全审计服务器通过移动介质管理软件模块对移 动介质识别文件进行解密并读出该移动介质的编号、用户名、权限与安全防护与安全审计服务器的注册信 息核对移动介质为可信移动介质后，安全防护与安全审计服务器将移动介质的权限、移动介质数据文件内 容数字签名密码回传到该发明中的采集及控制装置上；

采集及控制装置接通同DCS的移动介质连接；

采集及控制装置通过从安全防护与安全审计服务器上得到的密钥对移动介质数据文件内容解密和数 字签名核对，DCS可以从采集及控制装置上的可信移动介质复制可信文件；

同时DCS也可以将DCS上的文件复制到可信移动介质，DCS先将文件复制到采集及控制装置上，采集及 控制装置将用从安全防护与安全审计服务器上得到的密钥对被复制文件加密和数字签名，然后将加密和数 字签名后的文件复制到可行移动介质上。

该发明中的采集及控制装置会将以上的任何操作连同时间戳上传到安全防护与安全审计服务器；安全 防护与安全审计服务器将上传得信息进行处理存入数据库中，用户可以通过安全防护与安全审计服务器的 软件对所有信息进行展现和查询。

安全防护与安全审计服务器上的行为分析、异常告警、绩效评价及运行优化管理软件对身份验证记录、 安全数据交换记录、键盘鼠标操作记录进行统计分析；设置异常报警参数，对异常操作进行告警提醒；结 合SIS厂级监控信息系统对操作人员进行绩效评价，按照SIS系统耗差经济性分析的时段自动筛选操作记 录，供回放和学习；结合SIS厂级监控信息系统生产实时数据库，预设提醒规则，当生产实时数据符合预 设的提醒规则时向前端信息显示装置发送提醒信息，提醒操作人员及时调看相关画面，促进运行优化管理。

通过以上实施方式的描述，本领域的技术人员可以清楚地了解到本发明可借助软件和硬件的方式来实 现。基于这样的理解，本发明的技术方案对现有技术做出的贡献部分可以以软件和硬件产品的形式体现出 来。

以上所述的本发明实施方式，并不构成对本发明保护范围的限定。任何在本发明的精神和原则之内所 作的修改、等同替换和改进等，均应包含在本发明的保护范围之内。