陳鑫，張曉

(中國(guó)石化青島煉油化工有限責(zé)任公司，山東 青島 266500)

傳統(tǒng)模式下，工業(yè)控制系統(tǒng)網(wǎng)絡(luò)多采用專(zhuān)用技術(shù)的封閉網(wǎng)絡(luò)，即系統(tǒng)孤立封閉，對(duì)外沒(méi)有互聯(lián)互通，其面臨的網(wǎng)絡(luò)安全威脅不突出。但是隨著“兩化融合”“智能制造”的推進(jìn)，使得工業(yè)控制系統(tǒng)不再孤立，正快速地從封閉、孤立的系統(tǒng)走向互通互聯(lián)，為了降低成本廣泛采用開(kāi)放和通用技術(shù)，隨之而來(lái)的是各種威脅可被引入工業(yè)控制網(wǎng)絡(luò)中，互聯(lián)網(wǎng)中的病毒、網(wǎng)絡(luò)黑客等威脅通過(guò)開(kāi)放的網(wǎng)絡(luò)連接正在向工業(yè)控制網(wǎng)絡(luò)擴(kuò)散，威脅到生產(chǎn)裝置的安全生產(chǎn)，因此工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全問(wèn)題日益突出。工業(yè)控制網(wǎng)絡(luò)與工廠辦公網(wǎng)絡(luò)之間的邊界防護(hù)是工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)中最重要的一個(gè)環(huán)節(jié)。

1 傳統(tǒng)的工業(yè)控制系統(tǒng)邊界防護(hù)辦法

在傳統(tǒng)的網(wǎng)絡(luò)邊界防護(hù)辦法中，一般是采用防火墻、工業(yè)網(wǎng)關(guān)、網(wǎng)閘等設(shè)備來(lái)實(shí)現(xiàn)。在工業(yè)控制網(wǎng)絡(luò)與工廠辦公網(wǎng)之間建設(shè)隔離區(qū)(DMZ)來(lái)實(shí)現(xiàn)工業(yè)控制網(wǎng)絡(luò)和工廠辦公網(wǎng)之間的邊界防護(hù)，是目前比較通用的方法。

以某煉化公司為例，其在工業(yè)控制網(wǎng)絡(luò)和工廠辦公網(wǎng)之間利用三道防火墻建設(shè)了DMZ區(qū)，按照應(yīng)用范圍進(jìn)一步將DMZ區(qū)劃分為DMZ前區(qū)和DMZ后區(qū)，在DMZ前區(qū)配置網(wǎng)絡(luò)管理系統(tǒng)和堡壘機(jī)，主要監(jiān)控該區(qū)內(nèi)網(wǎng)絡(luò)設(shè)備運(yùn)行情況以及工廠辦公網(wǎng)用戶(hù)訪問(wèn)該區(qū)的動(dòng)態(tài)。在DMZ后區(qū)部署工業(yè)控制態(tài)勢(shì)感知系統(tǒng)，用以監(jiān)控該區(qū)域內(nèi)所有設(shè)備運(yùn)行情況，以及DMZ后區(qū)所有設(shè)備數(shù)據(jù)交換情況，包括與工業(yè)控制層、DMZ前區(qū)與DMZ后區(qū)內(nèi)設(shè)備數(shù)據(jù)的交換情況。

通過(guò)構(gòu)建DMZ區(qū)的方式進(jìn)行工業(yè)控制系統(tǒng)和工廠辦公網(wǎng)之間的邊界防護(hù)，雖然能夠控制辦公網(wǎng)用戶(hù)訪問(wèn)工業(yè)控制系統(tǒng)的權(quán)限，監(jiān)控其訪問(wèn)動(dòng)態(tài)，但是并不能真正做到工業(yè)控制網(wǎng)絡(luò)和工廠辦公網(wǎng)之間的隔離。據(jù)了解，目前的網(wǎng)絡(luò)攻擊技術(shù)中，有些已經(jīng)可以越過(guò)這些防護(hù)措施，使工業(yè)控制層的計(jì)算機(jī)仍然有受到病毒感染或者網(wǎng)絡(luò)攻擊的可能。同時(shí)，建立一個(gè)安全防護(hù)能力較高的DMZ區(qū)，不僅需要大量資金支持，而且日常的實(shí)際應(yīng)用及維護(hù)也非常繁瑣，需要對(duì)三道防火墻及其他網(wǎng)絡(luò)監(jiān)控系統(tǒng)進(jìn)行日常查看和維護(hù)。

2 本質(zhì)安全隔離設(shè)備

針對(duì)目前普遍采用的邊界防護(hù)措施中存在的隱患，一種基于“照相數(shù)據(jù)傳送技術(shù)”的本質(zhì)安全隔離設(shè)備應(yīng)運(yùn)而生，可以實(shí)現(xiàn)在無(wú)物理網(wǎng)絡(luò)鏈接的情況下，將工業(yè)控制系統(tǒng)的過(guò)程數(shù)據(jù)、報(bào)警信息和操作記錄等數(shù)據(jù)實(shí)時(shí)單向傳輸至工廠辦公網(wǎng)。該技術(shù)基本原理是： 通過(guò)照相數(shù)據(jù)傳輸技術(shù)將工業(yè)控制系統(tǒng)中的OPC Server中的數(shù)據(jù)“拍照、解析、復(fù)制”出來(lái)，從而實(shí)現(xiàn)工業(yè)控制網(wǎng)絡(luò)和工廠辦公網(wǎng)之間的“物理隔離”。照相數(shù)據(jù)傳送的基本原理如圖1所示。

圖1 照相數(shù)據(jù)傳送的基本原理示意

1套本質(zhì)安全隔離設(shè)備由數(shù)據(jù)采集映射子系統(tǒng)(1號(hào)機(jī))、顯示系統(tǒng)、自動(dòng)攝像系統(tǒng)和智能機(jī)器攝像閱讀子系統(tǒng)(2號(hào)機(jī))組成，并且集成了標(biāo)準(zhǔn)OPC Server接口。本質(zhì)安全隔離設(shè)備的數(shù)據(jù)采集映射子系統(tǒng)作為OPC Client來(lái)讀取工業(yè)控制系統(tǒng)中OPC Server的數(shù)據(jù)，并且將這些數(shù)據(jù)顯示在本機(jī)屏幕上，智能機(jī)器攝像閱讀子系統(tǒng)將屏幕上顯示的實(shí)時(shí)數(shù)據(jù)定時(shí)自動(dòng)拍攝下來(lái)，拍攝的數(shù)據(jù)畫(huà)面經(jīng)過(guò)自動(dòng)解讀后得到要上傳的工業(yè)控制系統(tǒng)數(shù)據(jù)，同時(shí)智能機(jī)器攝像閱讀子系統(tǒng)作為OPC Server接入工廠辦公網(wǎng)，從而實(shí)現(xiàn)通過(guò)本質(zhì)安全隔離設(shè)備將工業(yè)控制網(wǎng)絡(luò)的數(shù)據(jù)上傳至工廠辦公網(wǎng)中的信息應(yīng)用系統(tǒng)。

本質(zhì)安全隔離設(shè)備實(shí)質(zhì)上是一個(gè)OPC Server的克隆機(jī)，支持OPC DA和OPC AE，它將工業(yè)控制網(wǎng)絡(luò)中OPC Server上的數(shù)據(jù)原封不動(dòng)地拍照復(fù)制，并通過(guò)VGA識(shí)別轉(zhuǎn)換傳輸?shù)搅硗?臺(tái)對(duì)應(yīng)的設(shè)備上，形成新的OPC Server。本質(zhì)安全隔離設(shè)備的1號(hào)機(jī)和2號(hào)機(jī)之間沒(méi)有網(wǎng)絡(luò)連接，即工業(yè)控制網(wǎng)絡(luò)和工廠辦公網(wǎng)之間沒(méi)有網(wǎng)絡(luò)連接，并且數(shù)據(jù)是單向傳輸，所以病毒和網(wǎng)絡(luò)攻擊不可能通過(guò)辦公網(wǎng)絡(luò)入侵到工業(yè)控制系統(tǒng)網(wǎng)絡(luò)中，從本質(zhì)上可以保證工業(yè)控制系統(tǒng)的安全。

3 本質(zhì)安全隔離設(shè)備的測(cè)試應(yīng)用

本質(zhì)安全隔離設(shè)備從原理分析，確實(shí)能夠?qū)崿F(xiàn)網(wǎng)絡(luò)上的“物理隔離”，但是其作為OPC Server的克隆，是否能夠完整、穩(wěn)定的傳輸數(shù)據(jù)，需要進(jìn)一步驗(yàn)證。

3.1 測(cè)試應(yīng)用方案

為測(cè)試本質(zhì)安全隔離設(shè)備傳輸數(shù)據(jù)的穩(wěn)定性，2019年12月26日，在某煉化企業(yè)熱電機(jī)組生產(chǎn)過(guò)程監(jiān)控及運(yùn)行優(yōu)化系統(tǒng)的數(shù)據(jù)采集中試用了本質(zhì)安全隔離設(shè)備。

1)原方案。熱電機(jī)組生產(chǎn)過(guò)程監(jiān)控及運(yùn)行優(yōu)化系統(tǒng)服務(wù)器放置在辦公網(wǎng)內(nèi)，其通過(guò)放置在DMZ前區(qū)的接口機(jī)從DCS OPC Server讀取數(shù)據(jù)，依靠防火墻進(jìn)行隔離。

2)隔離方案。將本質(zhì)安全隔離設(shè)備1號(hào)機(jī)接入DMZ后區(qū)交換機(jī)上，作為OPC Client從OPC Server讀取數(shù)據(jù)；將本質(zhì)安全隔離設(shè)備2號(hào)機(jī)接入DMZ前區(qū)交換機(jī)上，經(jīng)過(guò)攝像系統(tǒng)的數(shù)據(jù)拍照、識(shí)別傳輸、解讀后作為新的OPC Server，新的OPC Server為熱電監(jiān)控系統(tǒng)取數(shù)接口機(jī)提供數(shù)據(jù)。本質(zhì)安全隔離設(shè)備的1號(hào)機(jī)和2號(hào)機(jī)之間通過(guò)VGA線(xiàn)連接傳輸數(shù)據(jù)。試用本質(zhì)安全隔離設(shè)備后的熱電監(jiān)控系統(tǒng)數(shù)據(jù)傳輸網(wǎng)絡(luò)如圖2所示。

3.2 測(cè)試應(yīng)用總結(jié)

經(jīng)過(guò)5個(gè)月的測(cè)試應(yīng)用，熱電機(jī)組生產(chǎn)過(guò)程監(jiān)控及運(yùn)行優(yōu)化系統(tǒng)所需的數(shù)據(jù)采集、傳輸穩(wěn)定正常，無(wú)數(shù)據(jù)丟失、錯(cuò)亂現(xiàn)象。

圖2 試用本質(zhì)安全隔離設(shè)備后的熱電監(jiān)控系統(tǒng)數(shù)據(jù)傳輸網(wǎng)絡(luò)示意

使用本質(zhì)安全隔離設(shè)備后，針對(duì)熱電機(jī)組生產(chǎn)過(guò)程監(jiān)控及運(yùn)行優(yōu)化系統(tǒng)，圖2中的DMZ區(qū)中間防火墻與DMZ前區(qū)交換機(jī)之間網(wǎng)線(xiàn)斷開(kāi)，實(shí)現(xiàn)DMZ前區(qū)和DMZ后區(qū)完全隔離，即實(shí)現(xiàn)了工業(yè)控制系統(tǒng)網(wǎng)絡(luò)和工廠辦公網(wǎng)之間的物理隔離。

該次試用的本質(zhì)安全隔離設(shè)備是4000系列，是該設(shè)備同類(lèi)型產(chǎn)品中技術(shù)最成熟、應(yīng)用最穩(wěn)定的系列，且支持OPC AE，適用于目前煉化企業(yè)工業(yè)控制系統(tǒng)數(shù)據(jù)采集現(xiàn)狀。1號(hào)機(jī)、2號(hào)機(jī)均是機(jī)架式設(shè)備，所需安裝空間較小，方便配置安裝。

4 本質(zhì)安全隔離設(shè)備的推廣應(yīng)用

經(jīng)過(guò)5個(gè)月的測(cè)試應(yīng)用，初步證明本質(zhì)安全隔離設(shè)備在傳輸數(shù)據(jù)方面是安全可靠的，因此在該煉化企業(yè)工業(yè)控制系統(tǒng)數(shù)據(jù)傳輸中進(jìn)行第一階段的推廣應(yīng)用。

4.1 設(shè)備應(yīng)用方案

本質(zhì)安全隔離設(shè)備第一階段的應(yīng)用選定裝置自控提升項(xiàng)目，需要采集2 542個(gè)PID控制回路相關(guān)數(shù)據(jù)，共計(jì)約38 130個(gè)OPC DA位號(hào)，另外需要采集全廠DCS報(bào)警數(shù)據(jù)和操作記錄，即OPC AE數(shù)據(jù)。單套本質(zhì)安全隔離設(shè)備OPC DA數(shù)據(jù)采集最大支持每秒1.8×104個(gè)位號(hào)，OPC AE數(shù)據(jù)沒(méi)有限制，因此需要配置3套本質(zhì)安全隔離設(shè)備。

確定應(yīng)用方案如下： 本質(zhì)安全隔離設(shè)備1號(hào)機(jī)通過(guò)新增的交換機(jī)接入DMZ區(qū)中間防火墻，作為3臺(tái)OPC Client讀取DCS OPC Server數(shù)據(jù)，2號(hào)機(jī)通過(guò)新增的交換機(jī)接入工廠辦公網(wǎng)，作為OPC Server為裝置自控提升平臺(tái)提供數(shù)據(jù)，在充分考慮長(zhǎng)期應(yīng)用的情況下，為保障2號(hào)機(jī)的網(wǎng)絡(luò)安全，在2號(hào)機(jī)接入工廠辦公網(wǎng)前增加一道防火墻進(jìn)行訪問(wèn)控制。本質(zhì)安全隔離設(shè)備在裝置自控提升項(xiàng)目應(yīng)用網(wǎng)絡(luò)如圖3所示。

圖3 本質(zhì)安全隔離設(shè)備在裝置自控提升項(xiàng)目應(yīng)用網(wǎng)絡(luò)示意

4.2 設(shè)備實(shí)際應(yīng)用情況

自2020年6月份，裝置自控提升項(xiàng)目平臺(tái)上線(xiàn)以來(lái)，數(shù)據(jù)傳輸穩(wěn)定正常，無(wú)數(shù)據(jù)丟失、錯(cuò)亂現(xiàn)象。本質(zhì)安全隔離設(shè)備應(yīng)用情況總結(jié)如下：

1)OPC DA數(shù)據(jù)和OPC AE數(shù)據(jù)同時(shí)進(jìn)行隔離傳輸，數(shù)據(jù)與OPC Server數(shù)據(jù)一致，報(bào)警事件和操作記錄能夠帶有時(shí)間戳進(jìn)行動(dòng)態(tài)傳遞。

2)單套本質(zhì)安全隔離設(shè)備可以配置1～5個(gè)OPC數(shù)據(jù)源輸入。

3)數(shù)據(jù)刷新頻率可控，最快可達(dá)1 s。

4)本質(zhì)隔離設(shè)備能夠?qū)崿F(xiàn)斷電自動(dòng)重啟、自動(dòng)恢復(fù)數(shù)據(jù)采集功能，恢復(fù)時(shí)間短，對(duì)系統(tǒng)應(yīng)用影響小。

本質(zhì)安全隔離設(shè)備采用的照相數(shù)據(jù)傳送技術(shù)實(shí)現(xiàn)了工業(yè)控制網(wǎng)和生產(chǎn)辦公網(wǎng)之間的“物理隔離”，能夠避免工業(yè)控制系統(tǒng)受到來(lái)自外部網(wǎng)絡(luò)的病毒和網(wǎng)絡(luò)攻擊，基于此，只要工業(yè)控制系統(tǒng)內(nèi)部管理防護(hù)到位，就可以保證工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全，確保生產(chǎn)安全。

5 應(yīng)用前景

本質(zhì)安全隔離設(shè)備在裝置自控提升項(xiàng)目上的成功應(yīng)用，為其進(jìn)一步拓寬應(yīng)用前景提供了良好的基礎(chǔ)。若持續(xù)穩(wěn)定應(yīng)用2～3 a，能夠保證數(shù)據(jù)采集、傳輸完整且準(zhǔn)確，可廣泛應(yīng)用于目前基于傳統(tǒng)數(shù)據(jù)采集、傳輸方法的信息系統(tǒng)，如實(shí)時(shí)數(shù)據(jù)庫(kù)等，同時(shí)也可擴(kuò)展應(yīng)用到SIS等聯(lián)鎖系統(tǒng)中。

為保證聯(lián)鎖系統(tǒng)的安全，目前普遍采用的是先將SIS的數(shù)據(jù)通信傳輸至DCS，再通過(guò)DCS的 OPC Server傳輸至工廠辦公網(wǎng)。該方法雖然能夠保證SIS本身的信息安全，但是目前只能通過(guò)該方式傳輸過(guò)程數(shù)據(jù)，無(wú)法傳輸系統(tǒng)報(bào)警數(shù)據(jù)，而傳輸過(guò)多的過(guò)程數(shù)據(jù)也會(huì)加重DCS的控制器和網(wǎng)絡(luò)負(fù)荷，額外增加人工組態(tài)的工作量。因此，將本質(zhì)安全隔離設(shè)備應(yīng)用至SIS等聯(lián)鎖系統(tǒng)的數(shù)據(jù)傳輸中，可將系統(tǒng)的報(bào)警、操作記錄連同過(guò)程數(shù)據(jù)一并傳輸?shù)焦S辦公網(wǎng)，為企業(yè)的生產(chǎn)管理和設(shè)備管理提供充分的數(shù)據(jù)。

以該煉化企業(yè)為例，若繼續(xù)推廣本質(zhì)隔離設(shè)備的應(yīng)用，屆時(shí)，現(xiàn)有的DMZ區(qū)將斷開(kāi)與工廠辦公網(wǎng)的連接，所有的數(shù)據(jù)均通過(guò)本質(zhì)安全隔離設(shè)備傳輸，可實(shí)現(xiàn)工業(yè)控制網(wǎng)絡(luò)與工廠辦公網(wǎng)的“物理隔離”。

本質(zhì)安全隔離設(shè)備亦可傳輸圖片、視頻、文檔等，基于此，該技術(shù)的應(yīng)用前景當(dāng)前不僅僅局限于工業(yè)控制系統(tǒng)數(shù)據(jù)傳輸，例如視頻監(jiān)控系統(tǒng)的應(yīng)用、智能設(shè)備狀態(tài)監(jiān)測(cè)的應(yīng)用都可以驗(yàn)證應(yīng)用的可行性。

6 結(jié)束語(yǔ)

基于照相數(shù)據(jù)傳送技術(shù)的本質(zhì)安全隔離設(shè)備，打開(kāi)了工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)領(lǐng)域的一扇新大門(mén)，其單向數(shù)據(jù)傳送，徹底切斷了來(lái)自外部對(duì)工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)威脅，其工業(yè)控制系統(tǒng)在面對(duì)基于網(wǎng)絡(luò)的病毒攻擊，不再依賴(lài)于病毒庫(kù)的更新，不再存在先有病毒再有防護(hù)的這種“受制于人”的情況，對(duì)于網(wǎng)絡(luò)的攻擊不再依賴(lài)于“你攻我防”和“亡羊補(bǔ)牢”的措施。

本質(zhì)安全隔離設(shè)備具有標(biāo)準(zhǔn)的OPC Server接口，非常便于信息系統(tǒng)的應(yīng)用，同時(shí)具有多套工業(yè)控制系統(tǒng)合用、甚至是不同控制系統(tǒng)合用的功能，大幅降低了網(wǎng)絡(luò)安全隔離的成本。該設(shè)備還可以實(shí)現(xiàn)多隔離設(shè)備的主-備功能，并能實(shí)現(xiàn)全自動(dòng)切換，大幅提高了其傳輸數(shù)據(jù)的可靠性，減少事故宕機(jī)時(shí)間。

本質(zhì)安全隔離設(shè)備在以上案例中的成功應(yīng)用，驗(yàn)證了該技術(shù)在數(shù)據(jù)傳輸上的可靠性，其應(yīng)用的技術(shù)本身就證明了是一種徹底、有效的物理隔離措施，它能夠在滿(mǎn)足生產(chǎn)管理需求的基礎(chǔ)上，保證工業(yè)控制系統(tǒng)不受到來(lái)自外部網(wǎng)絡(luò)的病毒和網(wǎng)絡(luò)攻擊威脅，確保了生產(chǎn)安全。