国产日韩欧美一区二区三区三州_亚洲少妇熟女av_久久久久亚洲av国产精品_波多野结衣网站一区二区_亚洲欧美色片在线91_国产亚洲精品精品国产优播av_日本一区二区三区波多野结衣 _久久国产av不卡

?

基于數(shù)據(jù)照相傳送技術(shù)的本質(zhì)安全隔離設(shè)備應(yīng)用方案

2021-06-02 11:29:48陳鑫張曉
石油化工自動(dòng)化 2021年3期
關(guān)鍵詞:本質(zhì)工廠傳輸

陳鑫,張曉

(中國(guó)石化青島煉油化工有限責(zé)任公司,山東 青島 266500)

傳統(tǒng)模式下,工業(yè)控制系統(tǒng)網(wǎng)絡(luò)多采用專(zhuān)用技術(shù)的封閉網(wǎng)絡(luò),即系統(tǒng)孤立封閉,對(duì)外沒(méi)有互聯(lián)互通,其面臨的網(wǎng)絡(luò)安全威脅不突出。但是隨著“兩化融合”“智能制造”的推進(jìn),使得工業(yè)控制系統(tǒng)不再孤立,正快速地從封閉、孤立的系統(tǒng)走向互通互聯(lián),為了降低成本廣泛采用開(kāi)放和通用技術(shù),隨之而來(lái)的是各種威脅可被引入工業(yè)控制網(wǎng)絡(luò)中,互聯(lián)網(wǎng)中的病毒、網(wǎng)絡(luò)黑客等威脅通過(guò)開(kāi)放的網(wǎng)絡(luò)連接正在向工業(yè)控制網(wǎng)絡(luò)擴(kuò)散,威脅到生產(chǎn)裝置的安全生產(chǎn),因此工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全問(wèn)題日益突出。工業(yè)控制網(wǎng)絡(luò)與工廠辦公網(wǎng)絡(luò)之間的邊界防護(hù)是工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)中最重要的一個(gè)環(huán)節(jié)。

1 傳統(tǒng)的工業(yè)控制系統(tǒng)邊界防護(hù)辦法

在傳統(tǒng)的網(wǎng)絡(luò)邊界防護(hù)辦法中,一般是采用防火墻、工業(yè)網(wǎng)關(guān)、網(wǎng)閘等設(shè)備來(lái)實(shí)現(xiàn)。在工業(yè)控制網(wǎng)絡(luò)與工廠辦公網(wǎng)之間建設(shè)隔離區(qū)(DMZ)來(lái)實(shí)現(xiàn)工業(yè)控制網(wǎng)絡(luò)和工廠辦公網(wǎng)之間的邊界防護(hù),是目前比較通用的方法。

以某煉化公司為例,其在工業(yè)控制網(wǎng)絡(luò)和工廠辦公網(wǎng)之間利用三道防火墻建設(shè)了DMZ區(qū),按照應(yīng)用范圍進(jìn)一步將DMZ區(qū)劃分為DMZ前區(qū)和DMZ后區(qū),在DMZ前區(qū)配置網(wǎng)絡(luò)管理系統(tǒng)和堡壘機(jī),主要監(jiān)控該區(qū)內(nèi)網(wǎng)絡(luò)設(shè)備運(yùn)行情況以及工廠辦公網(wǎng)用戶(hù)訪問(wèn)該區(qū)的動(dòng)態(tài)。在DMZ后區(qū)部署工業(yè)控制態(tài)勢(shì)感知系統(tǒng),用以監(jiān)控該區(qū)域內(nèi)所有設(shè)備運(yùn)行情況,以及DMZ后區(qū)所有設(shè)備數(shù)據(jù)交換情況,包括與工業(yè)控制層、DMZ前區(qū)與DMZ后區(qū)內(nèi)設(shè)備數(shù)據(jù)的交換情況。

通過(guò)構(gòu)建DMZ區(qū)的方式進(jìn)行工業(yè)控制系統(tǒng)和工廠辦公網(wǎng)之間的邊界防護(hù),雖然能夠控制辦公網(wǎng)用戶(hù)訪問(wèn)工業(yè)控制系統(tǒng)的權(quán)限,監(jiān)控其訪問(wèn)動(dòng)態(tài),但是并不能真正做到工業(yè)控制網(wǎng)絡(luò)和工廠辦公網(wǎng)之間的隔離。據(jù)了解,目前的網(wǎng)絡(luò)攻擊技術(shù)中,有些已經(jīng)可以越過(guò)這些防護(hù)措施,使工業(yè)控制層的計(jì)算機(jī)仍然有受到病毒感染或者網(wǎng)絡(luò)攻擊的可能。同時(shí),建立一個(gè)安全防護(hù)能力較高的DMZ區(qū),不僅需要大量資金支持,而且日常的實(shí)際應(yīng)用及維護(hù)也非常繁瑣,需要對(duì)三道防火墻及其他網(wǎng)絡(luò)監(jiān)控系統(tǒng)進(jìn)行日常查看和維護(hù)。

2 本質(zhì)安全隔離設(shè)備

針對(duì)目前普遍采用的邊界防護(hù)措施中存在的隱患,一種基于“照相數(shù)據(jù)傳送技術(shù)”的本質(zhì)安全隔離設(shè)備應(yīng)運(yùn)而生,可以實(shí)現(xiàn)在無(wú)物理網(wǎng)絡(luò)鏈接的情況下,將工業(yè)控制系統(tǒng)的過(guò)程數(shù)據(jù)、報(bào)警信息和操作記錄等數(shù)據(jù)實(shí)時(shí)單向傳輸至工廠辦公網(wǎng)。該技術(shù)基本原理是: 通過(guò)照相數(shù)據(jù)傳輸技術(shù)將工業(yè)控制系統(tǒng)中的OPC Server中的數(shù)據(jù)“拍照、解析、復(fù)制”出來(lái),從而實(shí)現(xiàn)工業(yè)控制網(wǎng)絡(luò)和工廠辦公網(wǎng)之間的“物理隔離”。照相數(shù)據(jù)傳送的基本原理如圖1所示。

圖1 照相數(shù)據(jù)傳送的基本原理示意

1套本質(zhì)安全隔離設(shè)備由數(shù)據(jù)采集映射子系統(tǒng)(1號(hào)機(jī))、顯示系統(tǒng)、自動(dòng)攝像系統(tǒng)和智能機(jī)器攝像閱讀子系統(tǒng)(2號(hào)機(jī))組成,并且集成了標(biāo)準(zhǔn)OPC Server接口。本質(zhì)安全隔離設(shè)備的數(shù)據(jù)采集映射子系統(tǒng)作為OPC Client來(lái)讀取工業(yè)控制系統(tǒng)中OPC Server的數(shù)據(jù),并且將這些數(shù)據(jù)顯示在本機(jī)屏幕上,智能機(jī)器攝像閱讀子系統(tǒng)將屏幕上顯示的實(shí)時(shí)數(shù)據(jù)定時(shí)自動(dòng)拍攝下來(lái),拍攝的數(shù)據(jù)畫(huà)面經(jīng)過(guò)自動(dòng)解讀后得到要上傳的工業(yè)控制系統(tǒng)數(shù)據(jù),同時(shí)智能機(jī)器攝像閱讀子系統(tǒng)作為OPC Server接入工廠辦公網(wǎng),從而實(shí)現(xiàn)通過(guò)本質(zhì)安全隔離設(shè)備將工業(yè)控制網(wǎng)絡(luò)的數(shù)據(jù)上傳至工廠辦公網(wǎng)中的信息應(yīng)用系統(tǒng)。

本質(zhì)安全隔離設(shè)備實(shí)質(zhì)上是一個(gè)OPC Server的克隆機(jī),支持OPC DA和OPC AE,它將工業(yè)控制網(wǎng)絡(luò)中OPC Server上的數(shù)據(jù)原封不動(dòng)地拍照復(fù)制,并通過(guò)VGA識(shí)別轉(zhuǎn)換傳輸?shù)搅硗?臺(tái)對(duì)應(yīng)的設(shè)備上,形成新的OPC Server。本質(zhì)安全隔離設(shè)備的1號(hào)機(jī)和2號(hào)機(jī)之間沒(méi)有網(wǎng)絡(luò)連接,即工業(yè)控制網(wǎng)絡(luò)和工廠辦公網(wǎng)之間沒(méi)有網(wǎng)絡(luò)連接,并且數(shù)據(jù)是單向傳輸,所以病毒和網(wǎng)絡(luò)攻擊不可能通過(guò)辦公網(wǎng)絡(luò)入侵到工業(yè)控制系統(tǒng)網(wǎng)絡(luò)中,從本質(zhì)上可以保證工業(yè)控制系統(tǒng)的安全。

3 本質(zhì)安全隔離設(shè)備的測(cè)試應(yīng)用

本質(zhì)安全隔離設(shè)備從原理分析,確實(shí)能夠?qū)崿F(xiàn)網(wǎng)絡(luò)上的“物理隔離”,但是其作為OPC Server的克隆,是否能夠完整、穩(wěn)定的傳輸數(shù)據(jù),需要進(jìn)一步驗(yàn)證。

3.1 測(cè)試應(yīng)用方案

為測(cè)試本質(zhì)安全隔離設(shè)備傳輸數(shù)據(jù)的穩(wěn)定性,2019年12月26日,在某煉化企業(yè)熱電機(jī)組生產(chǎn)過(guò)程監(jiān)控及運(yùn)行優(yōu)化系統(tǒng)的數(shù)據(jù)采集中試用了本質(zhì)安全隔離設(shè)備。

1)原方案。熱電機(jī)組生產(chǎn)過(guò)程監(jiān)控及運(yùn)行優(yōu)化系統(tǒng)服務(wù)器放置在辦公網(wǎng)內(nèi),其通過(guò)放置在DMZ前區(qū)的接口機(jī)從DCS OPC Server讀取數(shù)據(jù),依靠防火墻進(jìn)行隔離。

2)隔離方案。將本質(zhì)安全隔離設(shè)備1號(hào)機(jī)接入DMZ后區(qū)交換機(jī)上,作為OPC Client從OPC Server讀取數(shù)據(jù);將本質(zhì)安全隔離設(shè)備2號(hào)機(jī)接入DMZ前區(qū)交換機(jī)上,經(jīng)過(guò)攝像系統(tǒng)的數(shù)據(jù)拍照、識(shí)別傳輸、解讀后作為新的OPC Server,新的OPC Server為熱電監(jiān)控系統(tǒng)取數(shù)接口機(jī)提供數(shù)據(jù)。本質(zhì)安全隔離設(shè)備的1號(hào)機(jī)和2號(hào)機(jī)之間通過(guò)VGA線(xiàn)連接傳輸數(shù)據(jù)。試用本質(zhì)安全隔離設(shè)備后的熱電監(jiān)控系統(tǒng)數(shù)據(jù)傳輸網(wǎng)絡(luò)如圖2所示。

3.2 測(cè)試應(yīng)用總結(jié)

經(jīng)過(guò)5個(gè)月的測(cè)試應(yīng)用,熱電機(jī)組生產(chǎn)過(guò)程監(jiān)控及運(yùn)行優(yōu)化系統(tǒng)所需的數(shù)據(jù)采集、傳輸穩(wěn)定正常,無(wú)數(shù)據(jù)丟失、錯(cuò)亂現(xiàn)象。

圖2 試用本質(zhì)安全隔離設(shè)備后的熱電監(jiān)控系統(tǒng)數(shù)據(jù)傳輸網(wǎng)絡(luò)示意

使用本質(zhì)安全隔離設(shè)備后,針對(duì)熱電機(jī)組生產(chǎn)過(guò)程監(jiān)控及運(yùn)行優(yōu)化系統(tǒng),圖2中的DMZ區(qū)中間防火墻與DMZ前區(qū)交換機(jī)之間網(wǎng)線(xiàn)斷開(kāi),實(shí)現(xiàn)DMZ前區(qū)和DMZ后區(qū)完全隔離,即實(shí)現(xiàn)了工業(yè)控制系統(tǒng)網(wǎng)絡(luò)和工廠辦公網(wǎng)之間的物理隔離。

該次試用的本質(zhì)安全隔離設(shè)備是4000系列,是該設(shè)備同類(lèi)型產(chǎn)品中技術(shù)最成熟、應(yīng)用最穩(wěn)定的系列,且支持OPC AE,適用于目前煉化企業(yè)工業(yè)控制系統(tǒng)數(shù)據(jù)采集現(xiàn)狀。1號(hào)機(jī)、2號(hào)機(jī)均是機(jī)架式設(shè)備,所需安裝空間較小,方便配置安裝。

4 本質(zhì)安全隔離設(shè)備的推廣應(yīng)用

經(jīng)過(guò)5個(gè)月的測(cè)試應(yīng)用,初步證明本質(zhì)安全隔離設(shè)備在傳輸數(shù)據(jù)方面是安全可靠的,因此在該煉化企業(yè)工業(yè)控制系統(tǒng)數(shù)據(jù)傳輸中進(jìn)行第一階段的推廣應(yīng)用。

4.1 設(shè)備應(yīng)用方案

本質(zhì)安全隔離設(shè)備第一階段的應(yīng)用選定裝置自控提升項(xiàng)目,需要采集2 542個(gè)PID控制回路相關(guān)數(shù)據(jù),共計(jì)約38 130個(gè)OPC DA位號(hào),另外需要采集全廠DCS報(bào)警數(shù)據(jù)和操作記錄,即OPC AE數(shù)據(jù)。單套本質(zhì)安全隔離設(shè)備OPC DA數(shù)據(jù)采集最大支持每秒1.8×104個(gè)位號(hào),OPC AE數(shù)據(jù)沒(méi)有限制,因此需要配置3套本質(zhì)安全隔離設(shè)備。

確定應(yīng)用方案如下: 本質(zhì)安全隔離設(shè)備1號(hào)機(jī)通過(guò)新增的交換機(jī)接入DMZ區(qū)中間防火墻,作為3臺(tái)OPC Client讀取DCS OPC Server數(shù)據(jù),2號(hào)機(jī)通過(guò)新增的交換機(jī)接入工廠辦公網(wǎng),作為OPC Server為裝置自控提升平臺(tái)提供數(shù)據(jù),在充分考慮長(zhǎng)期應(yīng)用的情況下,為保障2號(hào)機(jī)的網(wǎng)絡(luò)安全,在2號(hào)機(jī)接入工廠辦公網(wǎng)前增加一道防火墻進(jìn)行訪問(wèn)控制。本質(zhì)安全隔離設(shè)備在裝置自控提升項(xiàng)目應(yīng)用網(wǎng)絡(luò)如圖3所示。

圖3 本質(zhì)安全隔離設(shè)備在裝置自控提升項(xiàng)目應(yīng)用網(wǎng)絡(luò)示意

4.2 設(shè)備實(shí)際應(yīng)用情況

自2020年6月份,裝置自控提升項(xiàng)目平臺(tái)上線(xiàn)以來(lái),數(shù)據(jù)傳輸穩(wěn)定正常,無(wú)數(shù)據(jù)丟失、錯(cuò)亂現(xiàn)象。本質(zhì)安全隔離設(shè)備應(yīng)用情況總結(jié)如下:

1)OPC DA數(shù)據(jù)和OPC AE數(shù)據(jù)同時(shí)進(jìn)行隔離傳輸,數(shù)據(jù)與OPC Server數(shù)據(jù)一致,報(bào)警事件和操作記錄能夠帶有時(shí)間戳進(jìn)行動(dòng)態(tài)傳遞。

2)單套本質(zhì)安全隔離設(shè)備可以配置1~5個(gè)OPC數(shù)據(jù)源輸入。

3)數(shù)據(jù)刷新頻率可控,最快可達(dá)1 s。

4)本質(zhì)隔離設(shè)備能夠?qū)崿F(xiàn)斷電自動(dòng)重啟、自動(dòng)恢復(fù)數(shù)據(jù)采集功能,恢復(fù)時(shí)間短,對(duì)系統(tǒng)應(yīng)用影響小。

本質(zhì)安全隔離設(shè)備采用的照相數(shù)據(jù)傳送技術(shù)實(shí)現(xiàn)了工業(yè)控制網(wǎng)和生產(chǎn)辦公網(wǎng)之間的“物理隔離”,能夠避免工業(yè)控制系統(tǒng)受到來(lái)自外部網(wǎng)絡(luò)的病毒和網(wǎng)絡(luò)攻擊,基于此,只要工業(yè)控制系統(tǒng)內(nèi)部管理防護(hù)到位,就可以保證工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全,確保生產(chǎn)安全。

5 應(yīng)用前景

本質(zhì)安全隔離設(shè)備在裝置自控提升項(xiàng)目上的成功應(yīng)用,為其進(jìn)一步拓寬應(yīng)用前景提供了良好的基礎(chǔ)。若持續(xù)穩(wěn)定應(yīng)用2~3 a,能夠保證數(shù)據(jù)采集、傳輸完整且準(zhǔn)確,可廣泛應(yīng)用于目前基于傳統(tǒng)數(shù)據(jù)采集、傳輸方法的信息系統(tǒng),如實(shí)時(shí)數(shù)據(jù)庫(kù)等,同時(shí)也可擴(kuò)展應(yīng)用到SIS等聯(lián)鎖系統(tǒng)中。

為保證聯(lián)鎖系統(tǒng)的安全,目前普遍采用的是先將SIS的數(shù)據(jù)通信傳輸至DCS,再通過(guò)DCS的 OPC Server傳輸至工廠辦公網(wǎng)。該方法雖然能夠保證SIS本身的信息安全,但是目前只能通過(guò)該方式傳輸過(guò)程數(shù)據(jù),無(wú)法傳輸系統(tǒng)報(bào)警數(shù)據(jù),而傳輸過(guò)多的過(guò)程數(shù)據(jù)也會(huì)加重DCS的控制器和網(wǎng)絡(luò)負(fù)荷,額外增加人工組態(tài)的工作量。因此,將本質(zhì)安全隔離設(shè)備應(yīng)用至SIS等聯(lián)鎖系統(tǒng)的數(shù)據(jù)傳輸中,可將系統(tǒng)的報(bào)警、操作記錄連同過(guò)程數(shù)據(jù)一并傳輸?shù)焦S辦公網(wǎng),為企業(yè)的生產(chǎn)管理和設(shè)備管理提供充分的數(shù)據(jù)。

以該煉化企業(yè)為例,若繼續(xù)推廣本質(zhì)隔離設(shè)備的應(yīng)用,屆時(shí),現(xiàn)有的DMZ區(qū)將斷開(kāi)與工廠辦公網(wǎng)的連接,所有的數(shù)據(jù)均通過(guò)本質(zhì)安全隔離設(shè)備傳輸,可實(shí)現(xiàn)工業(yè)控制網(wǎng)絡(luò)與工廠辦公網(wǎng)的“物理隔離”。

本質(zhì)安全隔離設(shè)備亦可傳輸圖片、視頻、文檔等,基于此,該技術(shù)的應(yīng)用前景當(dāng)前不僅僅局限于工業(yè)控制系統(tǒng)數(shù)據(jù)傳輸,例如視頻監(jiān)控系統(tǒng)的應(yīng)用、智能設(shè)備狀態(tài)監(jiān)測(cè)的應(yīng)用都可以驗(yàn)證應(yīng)用的可行性。

6 結(jié)束語(yǔ)

基于照相數(shù)據(jù)傳送技術(shù)的本質(zhì)安全隔離設(shè)備,打開(kāi)了工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)領(lǐng)域的一扇新大門(mén),其單向數(shù)據(jù)傳送,徹底切斷了來(lái)自外部對(duì)工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)威脅,其工業(yè)控制系統(tǒng)在面對(duì)基于網(wǎng)絡(luò)的病毒攻擊,不再依賴(lài)于病毒庫(kù)的更新,不再存在先有病毒再有防護(hù)的這種“受制于人”的情況,對(duì)于網(wǎng)絡(luò)的攻擊不再依賴(lài)于“你攻我防”和“亡羊補(bǔ)牢”的措施。

本質(zhì)安全隔離設(shè)備具有標(biāo)準(zhǔn)的OPC Server接口,非常便于信息系統(tǒng)的應(yīng)用,同時(shí)具有多套工業(yè)控制系統(tǒng)合用、甚至是不同控制系統(tǒng)合用的功能,大幅降低了網(wǎng)絡(luò)安全隔離的成本。該設(shè)備還可以實(shí)現(xiàn)多隔離設(shè)備的主-備功能,并能實(shí)現(xiàn)全自動(dòng)切換,大幅提高了其傳輸數(shù)據(jù)的可靠性,減少事故宕機(jī)時(shí)間。

本質(zhì)安全隔離設(shè)備在以上案例中的成功應(yīng)用,驗(yàn)證了該技術(shù)在數(shù)據(jù)傳輸上的可靠性,其應(yīng)用的技術(shù)本身就證明了是一種徹底、有效的物理隔離措施,它能夠在滿(mǎn)足生產(chǎn)管理需求的基礎(chǔ)上,保證工業(yè)控制系統(tǒng)不受到來(lái)自外部網(wǎng)絡(luò)的病毒和網(wǎng)絡(luò)攻擊威脅,確保了生產(chǎn)安全。

猜你喜歡
本質(zhì)工廠傳輸
廢棄工廠
混合型隨機(jī)微分方程的傳輸不等式
牽引8K超高清傳輸時(shí)代 FIBBR Pure38K
回歸本質(zhì)
童年的本質(zhì)
電子制作(2018年18期)2018-11-14 01:48:00
支持長(zhǎng)距離4K HDR傳輸 AudioQuest Pearl、 Forest、 Cinnamon HDMI線(xiàn)
對(duì)求極限本質(zhì)的探討
為什么工廠的煙囪都很高?
WUU——讓“物”回歸其使用本質(zhì)
怀集县| 射阳县| 西贡区| 卫辉市| 玉溪市| 尼勒克县| 奈曼旗| 宜城市| 诸城市| 陵川县| 封开县| 彭水| 绥棱县| 河源市| 洛川县| 台北县| 常州市| 梁山县| 高要市| 永德县| 柞水县| 东乡族自治县| 新民市| 宁安市| 饶河县| 台北市| 平邑县| 大同县| 定安县| 介休市| 改则县| 沧州市| 会昌县| 宝兴县| 大同市| 北安市| 竹山县| 兴宁市| 绩溪县| 郴州市| 珠海市|