基于數(shù)據(jù)照相傳送技術(shù)的本質(zhì)安全隔離設(shè)備應(yīng)用方案

陳鑫，張曉

(中國石化青島煉油化工有限責(zé)任公司，山東 青島 266500)

傳統(tǒng)模式下，工業(yè)控制系統(tǒng)網(wǎng)絡(luò)多采用專用技術(shù)的封閉網(wǎng)絡(luò)，即系統(tǒng)孤立封閉，對外沒有互聯(lián)互通，其面臨的網(wǎng)絡(luò)安全威脅不突出。但是隨著“兩化融合”“智能制造”的推進，使得工業(yè)控制系統(tǒng)不再孤立，正快速地從封閉、孤立的系統(tǒng)走向互通互聯(lián)，為了降低成本廣泛采用開放和通用技術(shù)，隨之而來的是各種威脅可被引入工業(yè)控制網(wǎng)絡(luò)中，互聯(lián)網(wǎng)中的病毒、網(wǎng)絡(luò)黑客等威脅通過開放的網(wǎng)絡(luò)連接正在向工業(yè)控制網(wǎng)絡(luò)擴散，威脅到生產(chǎn)裝置的安全生產(chǎn)，因此工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全問題日益突出。工業(yè)控制網(wǎng)絡(luò)與工廠辦公網(wǎng)絡(luò)之間的邊界防護是工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護中最重要的一個環(huán)節(jié)。

1 傳統(tǒng)的工業(yè)控制系統(tǒng)邊界防護辦法

在傳統(tǒng)的網(wǎng)絡(luò)邊界防護辦法中，一般是采用防火墻、工業(yè)網(wǎng)關(guān)、網(wǎng)閘等設(shè)備來實現(xiàn)。在工業(yè)控制網(wǎng)絡(luò)與工廠辦公網(wǎng)之間建設(shè)隔離區(qū)(DMZ)來實現(xiàn)工業(yè)控制網(wǎng)絡(luò)和工廠辦公網(wǎng)之間的邊界防護，是目前比較通用的方法。

以某煉化公司為例，其在工業(yè)控制網(wǎng)絡(luò)和工廠辦公網(wǎng)之間利用三道防火墻建設(shè)了DMZ區(qū)，按照應(yīng)用范圍進一步將DMZ區(qū)劃分為DMZ前區(qū)和DMZ后區(qū)，在DMZ前區(qū)配置網(wǎng)絡(luò)管理系統(tǒng)和堡壘機，主要監(jiān)控該區(qū)內(nèi)網(wǎng)絡(luò)設(shè)備運行情況以及工廠辦公網(wǎng)用戶訪問該區(qū)的動態(tài)。在DMZ后區(qū)部署工業(yè)控制態(tài)勢感知系統(tǒng)，用以監(jiān)控該區(qū)域內(nèi)所有設(shè)備運行情況，以及DMZ后區(qū)所有設(shè)備數(shù)據(jù)交換情況，包括與工業(yè)控制層、DMZ前區(qū)與DMZ后區(qū)內(nèi)設(shè)備數(shù)據(jù)的交換情況。

通過構(gòu)建DMZ區(qū)的方式進行工業(yè)控制系統(tǒng)和工廠辦公網(wǎng)之間的邊界防護，雖然能夠控制辦公網(wǎng)用戶訪問工業(yè)控制系統(tǒng)的權(quán)限，監(jiān)控其訪問動態(tài)，但是并不能真正做到工業(yè)控制網(wǎng)絡(luò)和工廠辦公網(wǎng)之間的隔離。據(jù)了解，目前的網(wǎng)絡(luò)攻擊技術(shù)中，有些已經(jīng)可以越過這些防護措施，使工業(yè)控制層的計算機仍然有受到病毒感染或者網(wǎng)絡(luò)攻擊的可能。同時，建立一個安全防護能力較高的DMZ區(qū)，不僅需要大量資金支持，而且日常的實際應(yīng)用及維護也非常繁瑣，需要對三道防火墻及其他網(wǎng)絡(luò)監(jiān)控系統(tǒng)進行日常查看和維護。

2 本質(zhì)安全隔離設(shè)備

針對目前普遍采用的邊界防護措施中存在的隱患，一種基于“照相數(shù)據(jù)傳送技術(shù)”的本質(zhì)安全隔離設(shè)備應(yīng)運而生，可以實現(xiàn)在無物理網(wǎng)絡(luò)鏈接的情況下，將工業(yè)控制系統(tǒng)的過程數(shù)據(jù)、報警信息和操作記錄等數(shù)據(jù)實時單向傳輸至工廠辦公網(wǎng)。該技術(shù)基本原理是： 通過照相數(shù)據(jù)傳輸技術(shù)將工業(yè)控制系統(tǒng)中的OPC Server中的數(shù)據(jù)“拍照、解析、復(fù)制”出來，從而實現(xiàn)工業(yè)控制網(wǎng)絡(luò)和工廠辦公網(wǎng)之間的“物理隔離”。照相數(shù)據(jù)傳送的基本原理如圖1所示。

圖1 照相數(shù)據(jù)傳送的基本原理示意

1套本質(zhì)安全隔離設(shè)備由數(shù)據(jù)采集映射子系統(tǒng)(1號機)、顯示系統(tǒng)、自動攝像系統(tǒng)和智能機器攝像閱讀子系統(tǒng)(2號機)組成，并且集成了標(biāo)準(zhǔn)OPC Server接口。本質(zhì)安全隔離設(shè)備的數(shù)據(jù)采集映射子系統(tǒng)作為OPC Client來讀取工業(yè)控制系統(tǒng)中OPC Server的數(shù)據(jù)，并且將這些數(shù)據(jù)顯示在本機屏幕上，智能機器攝像閱讀子系統(tǒng)將屏幕上顯示的實時數(shù)據(jù)定時自動拍攝下來，拍攝的數(shù)據(jù)畫面經(jīng)過自動解讀后得到要上傳的工業(yè)控制系統(tǒng)數(shù)據(jù)，同時智能機器攝像閱讀子系統(tǒng)作為OPC Server接入工廠辦公網(wǎng)，從而實現(xiàn)通過本質(zhì)安全隔離設(shè)備將工業(yè)控制網(wǎng)絡(luò)的數(shù)據(jù)上傳至工廠辦公網(wǎng)中的信息應(yīng)用系統(tǒng)。

本質(zhì)安全隔離設(shè)備實質(zhì)上是一個OPC Server的克隆機，支持OPC DA和OPC AE，它將工業(yè)控制網(wǎng)絡(luò)中OPC Server上的數(shù)據(jù)原封不動地拍照復(fù)制，并通過VGA識別轉(zhuǎn)換傳輸?shù)搅硗?臺對應(yīng)的設(shè)備上，形成新的OPC Server。本質(zhì)安全隔離設(shè)備的1號機和2號機之間沒有網(wǎng)絡(luò)連接，即工業(yè)控制網(wǎng)絡(luò)和工廠辦公網(wǎng)之間沒有網(wǎng)絡(luò)連接，并且數(shù)據(jù)是單向傳輸，所以病毒和網(wǎng)絡(luò)攻擊不可能通過辦公網(wǎng)絡(luò)入侵到工業(yè)控制系統(tǒng)網(wǎng)絡(luò)中，從本質(zhì)上可以保證工業(yè)控制系統(tǒng)的安全。

3 本質(zhì)安全隔離設(shè)備的測試應(yīng)用

本質(zhì)安全隔離設(shè)備從原理分析，確實能夠?qū)崿F(xiàn)網(wǎng)絡(luò)上的“物理隔離”，但是其作為OPC Server的克隆，是否能夠完整、穩(wěn)定的傳輸數(shù)據(jù)，需要進一步驗證。

3.1 測試應(yīng)用方案

為測試本質(zhì)安全隔離設(shè)備傳輸數(shù)據(jù)的穩(wěn)定性，2019年12月26日，在某煉化企業(yè)熱電機組生產(chǎn)過程監(jiān)控及運行優(yōu)化系統(tǒng)的數(shù)據(jù)采集中試用了本質(zhì)安全隔離設(shè)備。

1)原方案。熱電機組生產(chǎn)過程監(jiān)控及運行優(yōu)化系統(tǒng)服務(wù)器放置在辦公網(wǎng)內(nèi)，其通過放置在DMZ前區(qū)的接口機從DCS OPC Server讀取數(shù)據(jù)，依靠防火墻進行隔離。

2)隔離方案。將本質(zhì)安全隔離設(shè)備1號機接入DMZ后區(qū)交換機上，作為OPC Client從OPC Server讀取數(shù)據(jù)；將本質(zhì)安全隔離設(shè)備2號機接入DMZ前區(qū)交換機上，經(jīng)過攝像系統(tǒng)的數(shù)據(jù)拍照、識別傳輸、解讀后作為新的OPC Server，新的OPC Server為熱電監(jiān)控系統(tǒng)取數(shù)接口機提供數(shù)據(jù)。本質(zhì)安全隔離設(shè)備的1號機和2號機之間通過VGA線連接傳輸數(shù)據(jù)。試用本質(zhì)安全隔離設(shè)備后的熱電監(jiān)控系統(tǒng)數(shù)據(jù)傳輸網(wǎng)絡(luò)如圖2所示。

3.2 測試應(yīng)用總結(jié)

經(jīng)過5個月的測試應(yīng)用，熱電機組生產(chǎn)過程監(jiān)控及運行優(yōu)化系統(tǒng)所需的數(shù)據(jù)采集、傳輸穩(wěn)定正常，無數(shù)據(jù)丟失、錯亂現(xiàn)象。

圖2 試用本質(zhì)安全隔離設(shè)備后的熱電監(jiān)控系統(tǒng)數(shù)據(jù)傳輸網(wǎng)絡(luò)示意

使用本質(zhì)安全隔離設(shè)備后，針對熱電機組生產(chǎn)過程監(jiān)控及運行優(yōu)化系統(tǒng)，圖2中的DMZ區(qū)中間防火墻與DMZ前區(qū)交換機之間網(wǎng)線斷開，實現(xiàn)DMZ前區(qū)和DMZ后區(qū)完全隔離，即實現(xiàn)了工業(yè)控制系統(tǒng)網(wǎng)絡(luò)和工廠辦公網(wǎng)之間的物理隔離。

該次試用的本質(zhì)安全隔離設(shè)備是4000系列，是該設(shè)備同類型產(chǎn)品中技術(shù)最成熟、應(yīng)用最穩(wěn)定的系列，且支持OPC AE，適用于目前煉化企業(yè)工業(yè)控制系統(tǒng)數(shù)據(jù)采集現(xiàn)狀。1號機、2號機均是機架式設(shè)備，所需安裝空間較小，方便配置安裝。

4 本質(zhì)安全隔離設(shè)備的推廣應(yīng)用

經(jīng)過5個月的測試應(yīng)用，初步證明本質(zhì)安全隔離設(shè)備在傳輸數(shù)據(jù)方面是安全可靠的，因此在該煉化企業(yè)工業(yè)控制系統(tǒng)數(shù)據(jù)傳輸中進行第一階段的推廣應(yīng)用。

4.1 設(shè)備應(yīng)用方案

本質(zhì)安全隔離設(shè)備第一階段的應(yīng)用選定裝置自控提升項目，需要采集2 542個PID控制回路相關(guān)數(shù)據(jù)，共計約38 130個OPC DA位號，另外需要采集全廠DCS報警數(shù)據(jù)和操作記錄，即OPC AE數(shù)據(jù)。單套本質(zhì)安全隔離設(shè)備OPC DA數(shù)據(jù)采集最大支持每秒1.8×104個位號，OPC AE數(shù)據(jù)沒有限制，因此需要配置3套本質(zhì)安全隔離設(shè)備。

確定應(yīng)用方案如下： 本質(zhì)安全隔離設(shè)備1號機通過新增的交換機接入DMZ區(qū)中間防火墻，作為3臺OPC Client讀取DCS OPC Server數(shù)據(jù)，2號機通過新增的交換機接入工廠辦公網(wǎng)，作為OPC Server為裝置自控提升平臺提供數(shù)據(jù)，在充分考慮長期應(yīng)用的情況下，為保障2號機的網(wǎng)絡(luò)安全，在2號機接入工廠辦公網(wǎng)前增加一道防火墻進行訪問控制。本質(zhì)安全隔離設(shè)備在裝置自控提升項目應(yīng)用網(wǎng)絡(luò)如圖3所示。

圖3 本質(zhì)安全隔離設(shè)備在裝置自控提升項目應(yīng)用網(wǎng)絡(luò)示意

4.2 設(shè)備實際應(yīng)用情況

自2020年6月份，裝置自控提升項目平臺上線以來，數(shù)據(jù)傳輸穩(wěn)定正常，無數(shù)據(jù)丟失、錯亂現(xiàn)象。本質(zhì)安全隔離設(shè)備應(yīng)用情況總結(jié)如下：

1)OPC DA數(shù)據(jù)和OPC AE數(shù)據(jù)同時進行隔離傳輸，數(shù)據(jù)與OPC Server數(shù)據(jù)一致，報警事件和操作記錄能夠帶有時間戳進行動態(tài)傳遞。

2)單套本質(zhì)安全隔離設(shè)備可以配置1～5個OPC數(shù)據(jù)源輸入。

3)數(shù)據(jù)刷新頻率可控，最快可達1 s。

4)本質(zhì)隔離設(shè)備能夠?qū)崿F(xiàn)斷電自動重啟、自動恢復(fù)數(shù)據(jù)采集功能，恢復(fù)時間短，對系統(tǒng)應(yīng)用影響小。

本質(zhì)安全隔離設(shè)備采用的照相數(shù)據(jù)傳送技術(shù)實現(xiàn)了工業(yè)控制網(wǎng)和生產(chǎn)辦公網(wǎng)之間的“物理隔離”，能夠避免工業(yè)控制系統(tǒng)受到來自外部網(wǎng)絡(luò)的病毒和網(wǎng)絡(luò)攻擊，基于此，只要工業(yè)控制系統(tǒng)內(nèi)部管理防護到位，就可以保證工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全，確保生產(chǎn)安全。

5 應(yīng)用前景

本質(zhì)安全隔離設(shè)備在裝置自控提升項目上的成功應(yīng)用，為其進一步拓寬應(yīng)用前景提供了良好的基礎(chǔ)。若持續(xù)穩(wěn)定應(yīng)用2～3 a，能夠保證數(shù)據(jù)采集、傳輸完整且準(zhǔn)確，可廣泛應(yīng)用于目前基于傳統(tǒng)數(shù)據(jù)采集、傳輸方法的信息系統(tǒng)，如實時數(shù)據(jù)庫等，同時也可擴展應(yīng)用到SIS等聯(lián)鎖系統(tǒng)中。

為保證聯(lián)鎖系統(tǒng)的安全，目前普遍采用的是先將SIS的數(shù)據(jù)通信傳輸至DCS，再通過DCS的 OPC Server傳輸至工廠辦公網(wǎng)。該方法雖然能夠保證SIS本身的信息安全，但是目前只能通過該方式傳輸過程數(shù)據(jù)，無法傳輸系統(tǒng)報警數(shù)據(jù)，而傳輸過多的過程數(shù)據(jù)也會加重DCS的控制器和網(wǎng)絡(luò)負荷，額外增加人工組態(tài)的工作量。因此，將本質(zhì)安全隔離設(shè)備應(yīng)用至SIS等聯(lián)鎖系統(tǒng)的數(shù)據(jù)傳輸中，可將系統(tǒng)的報警、操作記錄連同過程數(shù)據(jù)一并傳輸?shù)焦S辦公網(wǎng)，為企業(yè)的生產(chǎn)管理和設(shè)備管理提供充分的數(shù)據(jù)。

以該煉化企業(yè)為例，若繼續(xù)推廣本質(zhì)隔離設(shè)備的應(yīng)用，屆時，現(xiàn)有的DMZ區(qū)將斷開與工廠辦公網(wǎng)的連接，所有的數(shù)據(jù)均通過本質(zhì)安全隔離設(shè)備傳輸，可實現(xiàn)工業(yè)控制網(wǎng)絡(luò)與工廠辦公網(wǎng)的“物理隔離”。

本質(zhì)安全隔離設(shè)備亦可傳輸圖片、視頻、文檔等，基于此，該技術(shù)的應(yīng)用前景當(dāng)前不僅僅局限于工業(yè)控制系統(tǒng)數(shù)據(jù)傳輸，例如視頻監(jiān)控系統(tǒng)的應(yīng)用、智能設(shè)備狀態(tài)監(jiān)測的應(yīng)用都可以驗證應(yīng)用的可行性。

6 結(jié)束語

基于照相數(shù)據(jù)傳送技術(shù)的本質(zhì)安全隔離設(shè)備，打開了工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護領(lǐng)域的一扇新大門，其單向數(shù)據(jù)傳送，徹底切斷了來自外部對工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)威脅，其工業(yè)控制系統(tǒng)在面對基于網(wǎng)絡(luò)的病毒攻擊，不再依賴于病毒庫的更新，不再存在先有病毒再有防護的這種“受制于人”的情況，對于網(wǎng)絡(luò)的攻擊不再依賴于“你攻我防”和“亡羊補牢”的措施。

本質(zhì)安全隔離設(shè)備具有標(biāo)準(zhǔn)的OPC Server接口，非常便于信息系統(tǒng)的應(yīng)用，同時具有多套工業(yè)控制系統(tǒng)合用、甚至是不同控制系統(tǒng)合用的功能，大幅降低了網(wǎng)絡(luò)安全隔離的成本。該設(shè)備還可以實現(xiàn)多隔離設(shè)備的主-備功能，并能實現(xiàn)全自動切換，大幅提高了其傳輸數(shù)據(jù)的可靠性，減少事故宕機時間。

本質(zhì)安全隔離設(shè)備在以上案例中的成功應(yīng)用，驗證了該技術(shù)在數(shù)據(jù)傳輸上的可靠性，其應(yīng)用的技術(shù)本身就證明了是一種徹底、有效的物理隔離措施，它能夠在滿足生產(chǎn)管理需求的基礎(chǔ)上，保證工業(yè)控制系統(tǒng)不受到來自外部網(wǎng)絡(luò)的病毒和網(wǎng)絡(luò)攻擊威脅，確保了生產(chǎn)安全。