一��、 項目概述
石化工業(yè)是國家的支柱產(chǎn)業(yè)之一�,在信息技術的驅(qū)動下�,正由傳統(tǒng)工業(yè)向高度集約化、知識化�����、技術化工業(yè)轉(zhuǎn)變��。PIMS(生產(chǎn)信息管理系統(tǒng))作為MES的核心���,是一套用于生產(chǎn)管理的軟件系統(tǒng)�����。在石化等流程行業(yè)�,PIMS提供了一個信息集成和管理的平臺,主要用于企業(yè)網(wǎng)絡環(huán)境下的全廠生產(chǎn)數(shù)據(jù)的采集��、數(shù)據(jù)存儲���、數(shù)據(jù)查看����、數(shù)據(jù)處理和數(shù)據(jù)管理����。它真正實現(xiàn)了辦公室和生產(chǎn)現(xiàn)場的信息溝通���,完成了過程控制系統(tǒng)與信息系統(tǒng)的網(wǎng)絡集成與綜合管理。
某石化企業(yè)為了適用不斷變化的市場需求���,及時調(diào)整生產(chǎn)策略�,也為了便于全廠生產(chǎn)的統(tǒng)一調(diào)度�����、加強企業(yè)內(nèi)部管理����,在其二分廠率先實踐了PIMS生產(chǎn)管理系統(tǒng)����。該廠有2套控制系統(tǒng)�,全部采用浙大中控的大型DCS系統(tǒng)ECS-100����。該PIMS需要集成的DCS點數(shù)多達一萬點�����,并完全通過Web方式實現(xiàn):生產(chǎn)實時數(shù)據(jù)的管理��、實時流程查看����、實時趨勢瀏覽���、報警的記錄與查看、開關量變位的記錄與查看�����、歷史趨勢查看���、生產(chǎn)過程報表生成�、生產(chǎn)統(tǒng)計報表生成等功能�����。
二�����、 系統(tǒng)說明
PIMS系統(tǒng)的結(jié)構(gòu)分為三層��,自下而上依次為:過程控制層、工廠管理層��、企業(yè)管理層����。其中企業(yè)管理層完成管理者和各職能科室生產(chǎn)管理報表生成的任務;工廠管理層完成各職能科室實時監(jiān)控的任務����,它對下連接現(xiàn)場控制層����,對上通過網(wǎng)絡連接企業(yè)管理層�����,它不僅負責現(xiàn)場控制設備的實時數(shù)據(jù)采集��,而且在系統(tǒng)中起到上傳下達的重要作用���;過程控制層由DCS、PLC�����、智能儀表等控制器組成�����,是整個生產(chǎn)管理系統(tǒng)的基礎。
該廠出于安全因素考慮�����,將其DCS的運行網(wǎng)絡劃分為單獨的生產(chǎn)控制網(wǎng)絡��,相對封閉��,與總廠的管理信息網(wǎng)絡完全分開����。而PIMS系統(tǒng)需要實現(xiàn)這兩個網(wǎng)絡的互通、互聯(lián)����,以滿足PIMS對DCS數(shù)據(jù)的采集��。
由于該企業(yè)為上市企業(yè)�,面向東南亞的國際貿(mào)易業(yè)務往來頻繁�,所以其總廠的管理信息網(wǎng)絡都是面向互聯(lián)網(wǎng)開放的商業(yè)網(wǎng)絡�,如果直接實現(xiàn)與DCS控制網(wǎng)絡的連通���,商業(yè)網(wǎng)絡本身存在的各種安全隱患將直接威脅到控制網(wǎng)絡的安全�����。特別是隨著網(wǎng)絡攻擊復雜性的增加�,即使在兩個網(wǎng)絡邊界中間使用傳統(tǒng)的網(wǎng)絡防火墻產(chǎn)品和攻擊檢測技術��,也已經(jīng)難于保護網(wǎng)絡的安全��。因為現(xiàn)代網(wǎng)絡安全威脅來自于商業(yè)網(wǎng)絡的各個層面�����,并且更多的是來自于網(wǎng)絡數(shù)據(jù)流量的應用數(shù)據(jù)部分�����,這一特性決定了僅使用防火墻或入侵檢測系統(tǒng)�,依靠檢查數(shù)據(jù)包的頭部�����,已經(jīng)越來越難發(fā)現(xiàn)諸如病毒�����、蠕蟲、后門程序等高級復雜的網(wǎng)絡安全風險����。在很多成功的攻擊案例中,黑客可以很快了解到網(wǎng)絡在應用數(shù)據(jù)層面的安全漏洞���,從而迅速使用后門��、木馬�、蠕蟲或者其它攻擊行為���,對控制網(wǎng)絡造成不同程度的損害����。
三�、 解決方案
該廠為了從根本上解決DCS控制網(wǎng)絡的安全可靠運行,在該PIMS系統(tǒng)中選用了pSafetyLink作為DCS控制網(wǎng)絡的安全防護裝置��。
pSafetyLink是專為工業(yè)網(wǎng)絡應用設計的安全防護裝置�����,用于解決工業(yè)SCADA控制網(wǎng)絡如何安全接入信息網(wǎng)絡(外網(wǎng))的問題�。它與防火墻等網(wǎng)絡安全設備本質(zhì)不同的地方是它阻斷網(wǎng)絡的直接連接,只完成特定工業(yè)應用數(shù)據(jù)的交換��。由于沒有了網(wǎng)絡的連接��,攻擊就沒有了載體��,如同網(wǎng)絡的“物理隔離”��。由于目前的安全技術,無論防火墻��、UTM等防護系統(tǒng)都不能保證攻擊的徹底阻斷�����,入侵檢測等監(jiān)控系統(tǒng)也不能保證入侵行為完全被捕獲����,所以最安全的方式就是物理的分開。
pSafetyLink通過內(nèi)部的雙獨立主機系統(tǒng)��,分別接入到控制網(wǎng)絡和信息網(wǎng)絡�����,雙主機之間通過專用硬件裝置連接����,從物理層上斷開了控制網(wǎng)絡和信息網(wǎng)絡的直接網(wǎng)絡連接。同時pSafetyLink通過內(nèi)嵌的高性能OPC通信軟件��,很好地解決了PIMS通過OPC接口采集DCS數(shù)據(jù)的通信問題��。另外,由于pSafetyLink內(nèi)部完全實現(xiàn)了通信協(xié)議的接口服務��,因此可以實現(xiàn)針對測點一級的訪問控制��。例如:對于OPC可以控制到Item(項)一級的訪問權限控制�,通過設置為只讀屬性方式保證PIMS對DCS數(shù)據(jù)的訪問是單向的���,禁止數(shù)據(jù)回置操作�����。
四�、 系統(tǒng)架構(gòu)
系統(tǒng)架構(gòu)如下圖所示:
五�����、 應用總結(jié)
pSafetyLink在該企業(yè)PIMS系統(tǒng)投運以來���,為DCS控制系統(tǒng)網(wǎng)絡的安全運行提供了有力保障�。由于pSafetyLink專門面向自動化應用設計�����,符合自控工程師使用習慣,不需要工程師了解太多網(wǎng)絡有關的專業(yè)內(nèi)容�,就很容易完成對產(chǎn)品的調(diào)試和部署,因此大大提高了項目實施的效率���,pSafetyLink也因此得到了系統(tǒng)集成商的高度肯定��。
京公網(wǎng)安備11010802042889號