油氣管道工控系統(tǒng)網(wǎng)絡(luò)性能提升與隔離防護(hù)

李欣嶸 郭亮 朱同 賈立東 張志鋼 董瓊

1廊坊中油龍慧科技有限公司

2國(guó)家管網(wǎng)集團(tuán)北方管道有限責(zé)任公司

3中原油田熱力分公司

近年來(lái)，隨著國(guó)內(nèi)油氣管道建設(shè)的不斷加速，油氣管道生產(chǎn)運(yùn)行的安全性、可靠性、智能性等越來(lái)越被重視，對(duì)油氣管道行業(yè)的工業(yè)控制系統(tǒng)（以下簡(jiǎn)稱(chēng)“工控系統(tǒng)”）也提出了新的挑戰(zhàn)[1]。工控系統(tǒng)是油氣管道生產(chǎn)運(yùn)行的“神經(jīng)中樞”，通過(guò)監(jiān)測(cè)油氣管道生產(chǎn)運(yùn)行過(guò)程數(shù)據(jù)，分析生產(chǎn)趨勢(shì)走向，對(duì)現(xiàn)場(chǎng)設(shè)備下發(fā)控制指令，實(shí)現(xiàn)油氣管道輸送生產(chǎn)全過(guò)程的自動(dòng)監(jiān)測(cè)與控制。工控系統(tǒng)確保了油氣輸送過(guò)程的安全，提升了油氣管道生產(chǎn)的自動(dòng)化水平。工業(yè)控制網(wǎng)絡(luò)則是將工控系統(tǒng)各生產(chǎn)流程通過(guò)網(wǎng)絡(luò)設(shè)備組織為一個(gè)整體的通信網(wǎng)絡(luò)系統(tǒng)[2]，它貫穿于整個(gè)工控系統(tǒng)，實(shí)現(xiàn)各種網(wǎng)絡(luò)設(shè)備之間快速穩(wěn)定的數(shù)據(jù)通信。

在工控系統(tǒng)發(fā)展的過(guò)程中，工控系統(tǒng)網(wǎng)絡(luò)設(shè)備類(lèi)型及數(shù)量不斷增加，各種設(shè)備設(shè)施接入工業(yè)控制網(wǎng)引發(fā)網(wǎng)絡(luò)風(fēng)暴等問(wèn)題也逐漸增多。隨著當(dāng)前“兩化融合”工作逐步開(kāi)展，對(duì)工控系統(tǒng)網(wǎng)絡(luò)搭建也提出了更高的要求。基于油氣管道行業(yè)工控系統(tǒng)自動(dòng)化、智能化、智慧化新要求，著眼于當(dāng)下油氣管道工控系統(tǒng)易出現(xiàn)的網(wǎng)絡(luò)問(wèn)題，在常規(guī)的工業(yè)控制網(wǎng)絡(luò)部署方式基礎(chǔ)上，提出一種可靠性、安全性、時(shí)效性更高的油氣管道工業(yè)控制網(wǎng)絡(luò)部署方案。

1 通信網(wǎng)絡(luò)現(xiàn)狀分析

1.1 常規(guī)工控系統(tǒng)網(wǎng)絡(luò)部署

常規(guī)油氣管道站場(chǎng)工控系統(tǒng)網(wǎng)絡(luò)采用設(shè)備“單層次模式”，即部署一臺(tái)或多臺(tái)交換機(jī)，但是交換機(jī)處于同一網(wǎng)絡(luò)連接下，幾乎所有的工控設(shè)備都接入到此交換機(jī)上，工業(yè)控制網(wǎng)絡(luò)內(nèi)所有數(shù)據(jù)流全在此交換機(jī)之間運(yùn)行，無(wú)法保障系統(tǒng)安全性和可靠性，使系統(tǒng)擴(kuò)展能力受限，易導(dǎo)致安全級(jí)別較高的系統(tǒng)與設(shè)備遭受攻擊，同時(shí)數(shù)據(jù)交互量太大也加重了交換機(jī)的負(fù)擔(dān)，降低設(shè)備使用壽命。

圖1 為一種常規(guī)的站場(chǎng)工控網(wǎng)絡(luò)配置方案。在該方案中，采用雙交換機(jī)配置，過(guò)程控制系統(tǒng)Sequence Control System（SCS 系統(tǒng)）、安全儀表系統(tǒng)Safety Instrumented System（SIS 系統(tǒng)）、壓縮機(jī)系統(tǒng)、閥室遠(yuǎn)程終端（Remote Terminal Unit RTU）以及數(shù)據(jù)采集監(jiān)視服務(wù)器Supervisory Control And Data Acquisition（SCADA）分別接入到兩個(gè)交換機(jī)中。該方案雖實(shí)現(xiàn)了設(shè)備的雙網(wǎng)絡(luò)配置，但所有系統(tǒng)與設(shè)備全部接入至同一網(wǎng)絡(luò)，各系統(tǒng)之間相互透明開(kāi)放，不同安全等級(jí)的系統(tǒng)沒(méi)有進(jìn)行區(qū)分，帶來(lái)了網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。常規(guī)網(wǎng)絡(luò)配置未搭建網(wǎng)絡(luò)設(shè)備管理、遠(yuǎn)程維護(hù)，不具備向地區(qū)公司及信息化平臺(tái)發(fā)布數(shù)據(jù)的能力，也未部署網(wǎng)絡(luò)安全管理設(shè)備及軟件，缺乏網(wǎng)絡(luò)安全管理功能。

圖1 常規(guī)站場(chǎng)工控系統(tǒng)網(wǎng)絡(luò)部署方案Fig.1 Network deployment scheme of industrial control system in conventional stations

1.2 問(wèn)題分析

常規(guī)的工控系統(tǒng)網(wǎng)絡(luò)部署模式僅實(shí)現(xiàn)了站場(chǎng)數(shù)據(jù)采集、現(xiàn)場(chǎng)設(shè)備控制等基本功能，不能保證工控系統(tǒng)數(shù)據(jù)采集和控制功能的安全性、可靠性及穩(wěn)定性，其缺點(diǎn)主要體現(xiàn)在以下幾個(gè)方面：

（1）SIS 系統(tǒng)相比于其他系統(tǒng)具有更高的安全等級(jí)要求，將它們直接部署在同一網(wǎng)絡(luò)會(huì)降低SIS系統(tǒng)的安全性。

（2）局域網(wǎng)交換機(jī)內(nèi)部未進(jìn)行隔離規(guī)劃，極易出現(xiàn)局域網(wǎng)內(nèi)設(shè)備IP 地址沖突的問(wèn)題。

（3）各系統(tǒng)網(wǎng)絡(luò)不做區(qū)分，全部接入局域網(wǎng)，極易引起環(huán)網(wǎng)，造成網(wǎng)絡(luò)風(fēng)暴問(wèn)題。

（4）缺少網(wǎng)絡(luò)安全設(shè)備，如安全審計(jì)、安全終端防護(hù)、入侵監(jiān)測(cè)服務(wù)器等，增加了網(wǎng)絡(luò)入侵風(fēng)險(xiǎn)。

（5）該方案只能夠滿(mǎn)足現(xiàn)場(chǎng)控制，缺少數(shù)據(jù)發(fā)布平臺(tái)，未將生產(chǎn)數(shù)據(jù)與工業(yè)信息系統(tǒng)結(jié)合，無(wú)法實(shí)現(xiàn)“兩化融合”的相關(guān)功能。

2 方案設(shè)計(jì)

隨著“工業(yè)4.0”“中國(guó)制造2025”的提出，我國(guó)開(kāi)始大力推動(dòng)工業(yè)化和信息化深度融合，鑒于目前站場(chǎng)工控系統(tǒng)網(wǎng)絡(luò)存在的短板，需要設(shè)計(jì)一套滿(mǎn)足當(dāng)前油氣管道行業(yè)信息化、智能化、智慧化、高安全性等新要求的新型工控網(wǎng)絡(luò)部署方案。圖2 為優(yōu)化后的工控系統(tǒng)網(wǎng)絡(luò)部署方案。

圖2 優(yōu)化后的工控系統(tǒng)網(wǎng)絡(luò)部署方案Fig.2 Optimized industrial control system network deployment scheme

2.1 雙網(wǎng)絡(luò)配置

該方案將系統(tǒng)劃分為局域網(wǎng)和控制網(wǎng)兩部分，局域網(wǎng)部署工控系統(tǒng)SCADA 服務(wù)器、工程師站、操作員站、閥室RTU、壓縮機(jī)系統(tǒng)、遠(yuǎn)維數(shù)據(jù)發(fā)布服務(wù)器、區(qū)域化數(shù)據(jù)發(fā)布服務(wù)器及與調(diào)控中心通信的主備路由器等設(shè)備，并進(jìn)行了功能分區(qū)?？刂凭W(wǎng)主要部署SIS 系統(tǒng)、火氣系統(tǒng)等。SCS 系統(tǒng)則作為局域網(wǎng)與控制網(wǎng)連接的橋梁，負(fù)責(zé)采集SIS 系統(tǒng)、火氣系統(tǒng)數(shù)據(jù)并傳輸至SCADA 服務(wù)器，進(jìn)而通過(guò)操作員站展示給操作人員；同時(shí)接收操作人員下發(fā)的緊急命令并傳輸?shù)絊IS 系統(tǒng)進(jìn)行現(xiàn)場(chǎng)設(shè)備控制；安全審計(jì)系統(tǒng)通過(guò)隔離端口連接局域網(wǎng)及控制網(wǎng)交換機(jī)，負(fù)責(zé)采集系統(tǒng)網(wǎng)絡(luò)中所有設(shè)備的實(shí)時(shí)運(yùn)行狀況，當(dāng)檢測(cè)到異常情況時(shí)發(fā)出報(bào)警；工程師站同時(shí)連接至局域網(wǎng)和控制網(wǎng)，通過(guò)對(duì)交換機(jī)劃分虛擬局域網(wǎng)（Vlan Virtual Local Area Network）進(jìn)行端口隔離后，可以登錄SCS 系統(tǒng)及SIS 系統(tǒng)進(jìn)行組態(tài)編程與遠(yuǎn)程維護(hù)。時(shí)鐘服務(wù)器具備多個(gè)隔離網(wǎng)絡(luò)端口，獨(dú)立為各網(wǎng)段提供授時(shí)服務(wù)。

通過(guò)對(duì)局域網(wǎng)和控制網(wǎng)的劃分，使得兩個(gè)網(wǎng)絡(luò)內(nèi)的設(shè)備不直接連接，防止兩個(gè)網(wǎng)絡(luò)中不同安全級(jí)別的設(shè)備互相影響，提升了系統(tǒng)控制功能安全性，降低了各設(shè)備間的耦合性，可避免人為因素對(duì)SIS系統(tǒng)的影響（例如工程師臨時(shí)通過(guò)局域網(wǎng)接入調(diào)試電腦易造成SIS 系統(tǒng)IP 地址沖突或程序文件下載錯(cuò)誤等問(wèn)題）。

2.2 內(nèi)網(wǎng)劃分

操作員站是工控系統(tǒng)網(wǎng)絡(luò)中現(xiàn)場(chǎng)人員獲取生產(chǎn)數(shù)據(jù)和下發(fā)控制指令最直接的設(shè)備，同時(shí)也是操作最頻繁的對(duì)象。由于操作人員存在安全不確定性，為了避免未經(jīng)授權(quán)的人員訪(fǎng)問(wèn)受限功能，保證系統(tǒng)安全，需要對(duì)操作員站的通信權(quán)限進(jìn)行設(shè)置，使操作員站僅能訪(fǎng)問(wèn)SCADA 服務(wù)器與校時(shí)服務(wù)器，不能訪(fǎng)問(wèn)其他設(shè)備。首先，在局域網(wǎng)交換機(jī)上開(kāi)辟內(nèi)網(wǎng)端口并分配內(nèi)網(wǎng)Vlan ID，從而與交換機(jī)上其他端口進(jìn)行隔離。其次，單獨(dú)設(shè)置一組內(nèi)網(wǎng)IP 地址，分配給SCADA 服務(wù)器、操作員站、校時(shí)服務(wù)器，并將這些設(shè)備通過(guò)局域網(wǎng)交換機(jī)內(nèi)網(wǎng)端口進(jìn)行連接。通過(guò)這種規(guī)劃及設(shè)置，操作員站只能與SCADA 服務(wù)器和校時(shí)服務(wù)器通信，進(jìn)行讀取數(shù)據(jù)、下發(fā)命令以及校時(shí)等，減輕了操作員站的工作負(fù)擔(dān)，降低了通過(guò)操作員站引起的系統(tǒng)故障風(fēng)險(xiǎn)。

2.3 SCS 系統(tǒng)與SIS 系統(tǒng)通信

SIS 系統(tǒng)是現(xiàn)場(chǎng)出現(xiàn)異常狀況時(shí)能第一時(shí)間進(jìn)行安全警告及緊急事件自動(dòng)處理的重要系統(tǒng)，SIS系統(tǒng)需通過(guò)SCS 系統(tǒng)將實(shí)時(shí)數(shù)據(jù)反饋給用戶(hù)，因此SCS 系統(tǒng)與SIS 系統(tǒng)之間的通信狀態(tài)影響著現(xiàn)場(chǎng)工控系統(tǒng)正常運(yùn)行。

在SCS 系統(tǒng)與SIS 系統(tǒng)中各安裝兩塊以太網(wǎng)通信模塊，以太網(wǎng)模塊之間兩兩建立通信，形成四條通信信道（圖3）。相比常規(guī)方案中的雙網(wǎng)冗余通信方式，四重信道的通信方式更加安全、穩(wěn)定。

圖3 SCS 系統(tǒng)與SIS 系統(tǒng)通信信道Fig.3 Communication channel of SCS system and SIS system

為實(shí)時(shí)監(jiān)測(cè)SCS 系統(tǒng)與SIS 系統(tǒng)的連接是否正常，在SCS 系統(tǒng)及SIS 系統(tǒng)中編寫(xiě)通信狀態(tài)診斷邏輯程序，利用時(shí)鐘法進(jìn)行通信狀態(tài)診斷。在SCS 系統(tǒng)內(nèi)編程設(shè)置一個(gè)從0～59 s 往復(fù)循環(huán)變化的時(shí)鐘值，并實(shí)時(shí)寫(xiě)入SIS 系統(tǒng)中，SIS 系統(tǒng)讀取該值后隔10 s 再傳回SCS 系統(tǒng)，SCS 系統(tǒng)對(duì)傳回的數(shù)值進(jìn)行判斷，若連續(xù)兩次傳回的數(shù)值不一致則表明系統(tǒng)之間通信正常。

四條通信信道在正常情況下按照“一條運(yùn)行，三條備用”的方式進(jìn)行工作。當(dāng)系統(tǒng)正常運(yùn)行后，激活1#信道，利用SCS 系統(tǒng)與SIS 系統(tǒng)各自第一塊以太網(wǎng)模塊進(jìn)行通信，并生成該信道通信標(biāo)志位上傳至上位機(jī)顯示，其他三條信道處于備用狀態(tài)。當(dāng)檢測(cè)到該信道通信中斷，立即切換至2#信道并發(fā)出報(bào)警提示，利用SCS 系統(tǒng)第一塊以太網(wǎng)模塊與SIS系統(tǒng)第二塊以太網(wǎng)模塊進(jìn)行通信，如果2#信道已存在通信故障，則直接跳過(guò)該信道，切換到3#信道進(jìn)行通信。同理其他信道也是如此切換。之前發(fā)生通信故障的信道在恢復(fù)通信后直接調(diào)整設(shè)置為備用信道。

通過(guò)該方式進(jìn)行通信連接穩(wěn)定性極高，提升了系統(tǒng)的通信故障識(shí)別度，滿(mǎn)足了SIS 系統(tǒng)的數(shù)據(jù)傳輸及邏輯控制功能對(duì)網(wǎng)絡(luò)通信的高要求。

2.4 冗余配置

生產(chǎn)數(shù)據(jù)是保證油氣管道輸送正常作業(yè)的基礎(chǔ)，它反映出生產(chǎn)過(guò)程的實(shí)時(shí)狀況，在整個(gè)生產(chǎn)過(guò)程中有著極其重要的地位。為了保證數(shù)據(jù)的安全性、可靠性，在工控系統(tǒng)網(wǎng)絡(luò)的關(guān)鍵節(jié)點(diǎn)均進(jìn)行冗余配置，主要包括路由器冗余、SCADA 服務(wù)器冗余、局域網(wǎng)冗余及控制網(wǎng)冗余等。這些冗余配置組成了一個(gè)完整的冗余工控網(wǎng)絡(luò)系統(tǒng)。

（1）路由器冗余。不論外部數(shù)據(jù)通往站場(chǎng)，還是站場(chǎng)數(shù)據(jù)傳輸至調(diào)控中心，均應(yīng)為數(shù)據(jù)傳輸設(shè)置不同的物理通道，采用“一主一備”甚至“一主多備”的通信方式，以保證數(shù)據(jù)的可靠性和安全性。本套優(yōu)化的方案通過(guò)規(guī)劃四條物理通道，打通站場(chǎng)與調(diào)控中心的通信，包括主備光通信鏈路、衛(wèi)星及DDN 專(zhuān)網(wǎng)鏈路。在站場(chǎng)部署兩臺(tái)路由器，對(duì)通往主備調(diào)控中心的四條通道進(jìn)行路由轉(zhuǎn)發(fā)配置，每條通道設(shè)置不同優(yōu)先級(jí)別，使通道在通信故障時(shí)可以有規(guī)律的進(jìn)行通信切換。在正常通信狀態(tài)下，主調(diào)控中心訪(fǎng)問(wèn)站場(chǎng)通過(guò)主光通信鏈路，備調(diào)控中心訪(fǎng)問(wèn)站場(chǎng)通過(guò)備光通信鏈路；主光通信鏈路故障時(shí)，主調(diào)控中心通過(guò)備調(diào)控中心的通信鏈路訪(fǎng)問(wèn)站場(chǎng)；主備光通信鏈路故障時(shí)，主調(diào)控中心、備調(diào)控中心通過(guò)DDN 專(zhuān)網(wǎng)鏈路訪(fǎng)問(wèn)站場(chǎng)；衛(wèi)星則為優(yōu)先級(jí)最低的通信方式，只有其他通信方式均發(fā)生故障時(shí)才使用。通過(guò)這種添加優(yōu)先級(jí)的冗余配置，保證數(shù)據(jù)首先通過(guò)傳輸速率高、可靠性高的通道進(jìn)行傳遞，確保了數(shù)據(jù)通信的時(shí)效性、可靠性和安全性。

（2）SCADA 服務(wù)器冗余。SCADA 服務(wù)器是操作人員控制現(xiàn)場(chǎng)設(shè)備的總臺(tái)，一方面，它通過(guò)SCS系統(tǒng)從現(xiàn)場(chǎng)設(shè)備采集數(shù)據(jù)進(jìn)行處理、分析，并將結(jié)果反饋給操作人員；另一方面，它接受操作人員的指令并轉(zhuǎn)換為機(jī)器語(yǔ)言發(fā)送至現(xiàn)場(chǎng)設(shè)備執(zhí)行相關(guān)動(dòng)作，由此實(shí)現(xiàn)對(duì)現(xiàn)場(chǎng)設(shè)備及儀表的監(jiān)測(cè)和控制。因此，SCADA 服務(wù)器是工控系統(tǒng)中極其重要的一部分，須保證其長(zhǎng)時(shí)間穩(wěn)定的在線(xiàn)運(yùn)行。本方案部署A、B 兩臺(tái)SCADA 服務(wù)器，它們互為主備并同步實(shí)時(shí)采集數(shù)據(jù)。當(dāng)主服務(wù)器產(chǎn)生故障時(shí)，備服務(wù)器自動(dòng)切換為主服務(wù)器的角色接管系統(tǒng)的監(jiān)控功能。雙服務(wù)器的部署方式保證了工控系統(tǒng)監(jiān)控功能持續(xù)、穩(wěn)定、安全的運(yùn)行。

（3）網(wǎng)絡(luò)冗余。在單一網(wǎng)絡(luò)的模式下，若控制系統(tǒng)中任何一設(shè)備出現(xiàn)故障均會(huì)導(dǎo)致整個(gè)系統(tǒng)無(wú)法正常運(yùn)行。本文提出優(yōu)化后的局域網(wǎng)和控制網(wǎng)冗余方案，將局域網(wǎng)設(shè)置為A 網(wǎng)和B 網(wǎng)，將控制網(wǎng)設(shè)置為1#網(wǎng)和2#網(wǎng)，冗余網(wǎng)絡(luò)劃分兩個(gè)網(wǎng)段的IP 地址，網(wǎng)絡(luò)中的SCS 系統(tǒng)、SIS 系統(tǒng)、壓縮機(jī)系統(tǒng)、SCADA 服務(wù)器等設(shè)備也設(shè)置多個(gè)不同網(wǎng)段的IP 地址，并保證設(shè)備多個(gè)網(wǎng)絡(luò)端口之間物理隔離，這樣的目的在于既實(shí)現(xiàn)了冗余功能，也保證了冗余網(wǎng)絡(luò)之間IP 地址沒(méi)有沖突，避免形成環(huán)網(wǎng)問(wèn)題。若其中一個(gè)網(wǎng)絡(luò)發(fā)生故障，數(shù)據(jù)采集及命令下發(fā)可通過(guò)另一網(wǎng)絡(luò)進(jìn)行，保證了生產(chǎn)過(guò)程監(jiān)控的實(shí)時(shí)性、可靠性和穩(wěn)定性。

2.5 網(wǎng)絡(luò)安全

油氣管道是國(guó)家能源的大動(dòng)脈，一旦遭受攻擊，輕則對(duì)企業(yè)利益造成影響，重則造成人員傷亡，甚至威脅到國(guó)家能源安全。近年來(lái)針對(duì)能源行業(yè)工控系統(tǒng)的網(wǎng)絡(luò)攻擊行為呈上升趨勢(shì)，如攻擊伊朗的震網(wǎng)病毒、攻擊烏克蘭電廠(chǎng)的BlackEnergy等[3]。隨著“兩化融合”工作的逐步開(kāi)展，工控系統(tǒng)的開(kāi)放、數(shù)據(jù)在更大范圍內(nèi)的傳輸是未來(lái)工業(yè)發(fā)展的必然趨勢(shì)[4]，油氣管道工控系統(tǒng)的信息化程度不斷加強(qiáng)，對(duì)網(wǎng)絡(luò)安全的要求也越來(lái)越高?；凇暗缺?.0”對(duì)工控系統(tǒng)網(wǎng)絡(luò)安全提出的通用及擴(kuò)展要求，在工控系統(tǒng)網(wǎng)絡(luò)中部署終端防護(hù)、防火墻、安全審計(jì)等安全設(shè)備及軟件。終端防護(hù)軟件主要部署在工控系統(tǒng)中SCADA 服務(wù)器、工程師站、操作員站等終端設(shè)備上，保證通過(guò)終端設(shè)備進(jìn)入系統(tǒng)的數(shù)據(jù)是安全的。防火墻部署于網(wǎng)絡(luò)邊界處，使不同安全等級(jí)的區(qū)域網(wǎng)絡(luò)通過(guò)安全可控的方式互相訪(fǎng)問(wèn)。部署安全審計(jì)系統(tǒng)，針對(duì)具體項(xiàng)目實(shí)施要求配置安全策略，實(shí)時(shí)對(duì)網(wǎng)絡(luò)安全設(shè)備、服務(wù)器、終端應(yīng)用系統(tǒng)等設(shè)備的異常狀態(tài)、操作記錄、日志信息進(jìn)行采集和存儲(chǔ)，對(duì)違規(guī)操作行為進(jìn)行記錄，對(duì)系統(tǒng)網(wǎng)絡(luò)安全的整體狀況做出分析和預(yù)測(cè)。

通過(guò)部署網(wǎng)絡(luò)安全設(shè)備，可以有效阻隔針對(duì)工控系統(tǒng)網(wǎng)絡(luò)的攻擊，保護(hù)生產(chǎn)數(shù)據(jù)的安全，提升工控系統(tǒng)工業(yè)化與信息化的融合程度。

2.6 區(qū)域化數(shù)據(jù)發(fā)布

通過(guò)區(qū)域化數(shù)據(jù)發(fā)布功能，將工業(yè)生產(chǎn)數(shù)據(jù)傳至信息管理系統(tǒng)中，經(jīng)過(guò)授權(quán)的人員直接在辦公電腦或移動(dòng)終端即可實(shí)時(shí)查看生產(chǎn)數(shù)據(jù)；利用遠(yuǎn)維數(shù)據(jù)發(fā)布，實(shí)現(xiàn)工控系統(tǒng)運(yùn)行狀態(tài)的遠(yuǎn)程在線(xiàn)監(jiān)視與分析、故障診斷與預(yù)警，隨時(shí)掌握現(xiàn)場(chǎng)生產(chǎn)狀況。本方案部署數(shù)據(jù)發(fā)布專(zhuān)用路由器、服務(wù)器及遠(yuǎn)維數(shù)據(jù)和區(qū)域化數(shù)據(jù)上傳調(diào)控中心專(zhuān)用通道，將生產(chǎn)數(shù)據(jù)、設(shè)備運(yùn)行參數(shù)等信息實(shí)時(shí)傳輸至調(diào)控中心中間數(shù)據(jù)庫(kù)，中間數(shù)據(jù)庫(kù)再將數(shù)據(jù)提供給信息管理系統(tǒng)，實(shí)現(xiàn)數(shù)據(jù)的實(shí)時(shí)發(fā)布。

2.7 授時(shí)服務(wù)

油氣管道生產(chǎn)強(qiáng)調(diào)工控系統(tǒng)數(shù)據(jù)的時(shí)效性，只有實(shí)時(shí)的數(shù)據(jù)才能及時(shí)的反映出當(dāng)前生產(chǎn)狀況，SCADA 服務(wù)器需讀取工控系統(tǒng)網(wǎng)絡(luò)中各設(shè)備采集的實(shí)時(shí)數(shù)據(jù)，操作員站也需讀取SCADA 服務(wù)器的實(shí)時(shí)數(shù)據(jù)等等，因此要求工控系統(tǒng)網(wǎng)絡(luò)內(nèi)所有產(chǎn)生生產(chǎn)數(shù)據(jù)、接收調(diào)控指令的設(shè)備時(shí)區(qū)相同、時(shí)間一致。本設(shè)計(jì)方案部署一臺(tái)與衛(wèi)星時(shí)鐘同步的校時(shí)服務(wù)器，該時(shí)鐘源同時(shí)架設(shè)在局域網(wǎng)和控制網(wǎng)，通過(guò)對(duì)交換機(jī)端口分配Vlan ID 進(jìn)行端口隔離，可為工控系統(tǒng)網(wǎng)絡(luò)內(nèi)所有需要校時(shí)的設(shè)備進(jìn)行授時(shí)，確保所有設(shè)備的時(shí)間運(yùn)行一致。

2.8 站場(chǎng)與閥室通信

長(zhǎng)輸油氣管道閥室數(shù)據(jù)分別傳至上下游站場(chǎng)，再通過(guò)站場(chǎng)路由器上傳至調(diào)控中心。目前閥室按照有無(wú)外部市電供應(yīng)的區(qū)別劃分為監(jiān)控閥室與監(jiān)視閥室，監(jiān)控閥室有外電接入，可利用光通信設(shè)備將監(jiān)控閥室局域網(wǎng)絡(luò)接入到上下游站場(chǎng)。而監(jiān)視閥室無(wú)外電接入，只能利用太陽(yáng)能供電，無(wú)法保證光通信設(shè)備的正常運(yùn)行，因此通過(guò)將各監(jiān)視閥室的光交換機(jī)相互串聯(lián)，使監(jiān)視閥室網(wǎng)絡(luò)接入到站場(chǎng)[5-7]，如圖4 所示。

由圖4 可知，上下游站場(chǎng)通過(guò)監(jiān)視閥室與監(jiān)控閥室連接，有形成環(huán)網(wǎng)的風(fēng)險(xiǎn)，從而引起網(wǎng)絡(luò)風(fēng)暴，并且還會(huì)造成上下游站場(chǎng)局域網(wǎng)互通的問(wèn)題。

圖4 站場(chǎng)與閥室網(wǎng)絡(luò)連接Fig.4 Network connection between stations and valve chambers

針對(duì)此問(wèn)題，將監(jiān)視閥室的工業(yè)交換機(jī)分為兩個(gè)區(qū)域，分別連接上下游閥室或站場(chǎng)，通過(guò)對(duì)工業(yè)交換機(jī)端口分配不同Vlan ID（圖4 中以Vlan 101 和Vlan 102 為例），分別只接收上下游閥室傳遞過(guò)來(lái)的帶有各自Vlan 標(biāo)簽的數(shù)據(jù)。當(dāng)站場(chǎng)訪(fǎng)問(wèn)監(jiān)視閥室數(shù)據(jù)時(shí)，數(shù)據(jù)流可通過(guò)閥室交換機(jī)從第一個(gè)閥室跳轉(zhuǎn)至第二個(gè)閥室，再?gòu)牡诙€(gè)閥室跳轉(zhuǎn)至第三個(gè)閥室，以此類(lèi)推。但由于分配了不同的VLAN ID，上下游站場(chǎng)最多只能訪(fǎng)問(wèn)到各自線(xiàn)路最尾端閥室，無(wú)法進(jìn)一步實(shí)現(xiàn)站場(chǎng)之間的通信。

通過(guò)這種方式，既有效避免了上下游站場(chǎng)與閥室形成環(huán)網(wǎng)，也保證了閥室數(shù)據(jù)可以通過(guò)級(jí)聯(lián)鏈路傳遞至上下游站場(chǎng)，同時(shí)也解決了上下游站場(chǎng)間的網(wǎng)絡(luò)互通問(wèn)題。

3 方案的優(yōu)點(diǎn)

相比常規(guī)工控系統(tǒng)網(wǎng)絡(luò)設(shè)置，經(jīng)過(guò)優(yōu)化后的網(wǎng)絡(luò)部署更能適應(yīng)當(dāng)前油氣管道行業(yè)的發(fā)展，其優(yōu)點(diǎn)主要體現(xiàn)在以下六點(diǎn)：

（1）對(duì)現(xiàn)場(chǎng)劃分兩個(gè)網(wǎng)段，實(shí)現(xiàn)雙網(wǎng)絡(luò)通信，實(shí)現(xiàn)網(wǎng)絡(luò)冗余功能，提升了安全性及可靠性。

（2）采用三層交換機(jī)，并通過(guò)對(duì)交換機(jī)劃分不同的Vlan，有助于控制流量、減少設(shè)備投資、簡(jiǎn)化網(wǎng)絡(luò)管理、提高網(wǎng)絡(luò)的安全性，防止同一交換機(jī)上不同網(wǎng)段的設(shè)備互聯(lián)，保證通信安全，避免網(wǎng)絡(luò)風(fēng)暴。

（3）依據(jù)等保2.0 要求，部署網(wǎng)絡(luò)安全設(shè)備及軟件，提升工控系統(tǒng)網(wǎng)絡(luò)安全。

（4）與調(diào)控中心通信采用多個(gè)互相獨(dú)立的傳輸通道，并在路由器中建立策略，劃分不同路徑的優(yōu)先級(jí)，提升了數(shù)據(jù)傳輸可靠性和穩(wěn)定性。

（5）分開(kāi)設(shè)置局域網(wǎng)和控制網(wǎng)，實(shí)現(xiàn)邏輯控制功能與上位機(jī)監(jiān)測(cè)功能分開(kāi)管理，降低了系統(tǒng)耦合性。

（6）通過(guò)將區(qū)域化數(shù)據(jù)進(jìn)行網(wǎng)絡(luò)發(fā)布，可將生產(chǎn)數(shù)據(jù)信息化，實(shí)現(xiàn)工業(yè)生產(chǎn)系統(tǒng)向信息管理系統(tǒng)的邁入。

4 網(wǎng)絡(luò)測(cè)試

經(jīng)過(guò)優(yōu)化后的工控系統(tǒng)網(wǎng)絡(luò)部署方案，是否能適應(yīng)當(dāng)前油氣管道行業(yè)的發(fā)展，提高工控系統(tǒng)應(yīng)用能力，滿(mǎn)足現(xiàn)場(chǎng)生產(chǎn)監(jiān)控要求，需要經(jīng)過(guò)現(xiàn)場(chǎng)測(cè)試后方可驗(yàn)證。方案通過(guò)在現(xiàn)有天然氣長(zhǎng)輸管道控制站場(chǎng)與閥室進(jìn)行測(cè)試，驗(yàn)證了其可行性。

4.1 局域網(wǎng)測(cè)試

局域網(wǎng)交換機(jī)劃分為過(guò)程數(shù)據(jù)采集網(wǎng)端口與SCADA 上位機(jī)內(nèi)網(wǎng)端口兩部分。其中內(nèi)網(wǎng)端口用于操作員站與服務(wù)器的連接，在每臺(tái)交換機(jī)上都選取4 個(gè)端口劃分至同一Vlan 區(qū)域。而過(guò)程數(shù)據(jù)采集網(wǎng)則使用每臺(tái)交換機(jī)剩余的端口，并分為A、B 兩個(gè)通信網(wǎng)絡(luò)。局域網(wǎng)測(cè)試分兩部分，內(nèi)網(wǎng)測(cè)試和采集網(wǎng)測(cè)試[8-10]。

4.1.1 內(nèi)網(wǎng)測(cè)試

（1）將兩臺(tái)交換機(jī)1-4 口均劃分為Vlan 20，并做級(jí)聯(lián)。

（2）SCADA 上位機(jī)兩臺(tái)操作員站與兩臺(tái)服務(wù)器連接到交換機(jī)1-4 口上，每臺(tái)操作員站與每臺(tái)服務(wù)器均有2 個(gè)端口分別連接到兩臺(tái)交換機(jī)的Vlan 20端口中。服務(wù)器兩個(gè)端口配置為bond 接口并設(shè)置成冗余非交換接口模式。接口拓?fù)鋱D如圖5 所示[11]。

圖5 內(nèi)網(wǎng)接口拓?fù)銯ig.5 Intranet interface topology

（3）分別切斷主服務(wù)器、備服務(wù)器以及操作員站一個(gè)端口的網(wǎng)絡(luò)連接，檢查服務(wù)器與操作員站的通信狀況，并檢查兩臺(tái)服務(wù)器的冗余狀況，此時(shí)通信與冗余情況均未受影響。

（4）切斷服務(wù)器采集網(wǎng)絡(luò)，對(duì)采集網(wǎng)絡(luò)做端口強(qiáng)制禁用操作以及在采集網(wǎng)絡(luò)模擬網(wǎng)絡(luò)風(fēng)暴現(xiàn)象，客戶(hù)端與服務(wù)器內(nèi)網(wǎng)未受任何影響，客戶(hù)端可正常訪(fǎng)問(wèn)服務(wù)器。

4.1.2 采集網(wǎng)測(cè)試

（1）第一臺(tái)局域網(wǎng)交換機(jī)除內(nèi)網(wǎng)網(wǎng)口外，其余網(wǎng)口劃分為Vlan 30，為采集網(wǎng)A 網(wǎng)網(wǎng)絡(luò)，接入SCS系統(tǒng)1#口通信端口、遠(yuǎn)維數(shù)據(jù)服務(wù)器1#口通信端口、SCADA 數(shù)據(jù)服務(wù)器3#口通信端口。

（2）第二臺(tái)局域網(wǎng)交換機(jī)除內(nèi)網(wǎng)網(wǎng)口外，其余網(wǎng)口劃分為Vlan 40，為采集網(wǎng)B 網(wǎng)網(wǎng)絡(luò)，接入SCS系統(tǒng)2#口通信端口、遠(yuǎn)維數(shù)據(jù)服務(wù)器2#口通信端口、SCADA 數(shù)據(jù)服務(wù)器4#口通信端口，如圖6所示。

圖6 采集網(wǎng)接口拓?fù)銯ig.6 Acquisition network interface topology

（3）分別順序切斷SCS 系統(tǒng)、遠(yuǎn)維數(shù)據(jù)服務(wù)器與SCADA 數(shù)據(jù)服務(wù)器的A/B 網(wǎng)端口，檢查數(shù)據(jù)采集與指令下發(fā)情況，此時(shí)數(shù)據(jù)采集與指令下發(fā)均正常。

（4）切斷服務(wù)器與客戶(hù)端內(nèi)網(wǎng)、對(duì)內(nèi)網(wǎng)做端口強(qiáng)制禁用操作以及在內(nèi)網(wǎng)模擬網(wǎng)絡(luò)風(fēng)暴現(xiàn)象，采集網(wǎng)的數(shù)據(jù)采集與命令下發(fā)未受任何影響，SCS 系統(tǒng)與服務(wù)器數(shù)據(jù)采集監(jiān)控業(yè)務(wù)正常。

4.2 控制網(wǎng)測(cè)試

控制網(wǎng)內(nèi)接SIS 系統(tǒng)與火氣系統(tǒng)，與過(guò)程控制系統(tǒng)的局域網(wǎng)以及遠(yuǎn)維網(wǎng)是相互獨(dú)立并且隔離的。每個(gè)系統(tǒng)均有兩個(gè)端口分別接到控制網(wǎng)的兩臺(tái)交換機(jī)上，過(guò)程控制系統(tǒng)訪(fǎng)問(wèn)控制網(wǎng)是通過(guò)SCS 系統(tǒng)本地機(jī)架上的通信模塊實(shí)現(xiàn)，通信模塊兩個(gè)端口也分別接到控制網(wǎng)兩臺(tái)交換機(jī)上。因此控制網(wǎng)測(cè)試較局域網(wǎng)相對(duì)簡(jiǎn)單，不劃分Vlan，不做級(jí)聯(lián)，僅需進(jìn)行雙網(wǎng)冗余測(cè)試即可。經(jīng)過(guò)分別切斷SIS 系統(tǒng)與火氣系統(tǒng)其中一個(gè)端口與控制網(wǎng)交換機(jī)的連接，各系統(tǒng)之間的數(shù)據(jù)通信均正常，未受到影響。在局域網(wǎng)中模擬網(wǎng)絡(luò)入侵、網(wǎng)絡(luò)風(fēng)暴等現(xiàn)象，也未對(duì)控制網(wǎng)造成任何影響[12]。

4.3 遠(yuǎn)維網(wǎng)測(cè)試

遠(yuǎn)維網(wǎng)負(fù)責(zé)對(duì)外發(fā)布過(guò)程控制系統(tǒng)的數(shù)據(jù)，如向信息化平臺(tái)、中心遠(yuǎn)維數(shù)據(jù)庫(kù)等平臺(tái)進(jìn)行數(shù)據(jù)發(fā)布。遠(yuǎn)維數(shù)據(jù)服務(wù)器具有多個(gè)隔離端口，設(shè)置不同端口分別負(fù)責(zé)數(shù)據(jù)采集與數(shù)據(jù)對(duì)外發(fā)布。遠(yuǎn)維數(shù)據(jù)服務(wù)器支持多種工業(yè)通信協(xié)議，如Modbus Tcp/Ip、IEC104、OPC UA、Snmp 協(xié)議等。本次測(cè)試采用Modbus Tcp/Ip 協(xié)議采集過(guò)程控制系統(tǒng)SCS 數(shù)據(jù)后，再采用IEC104 協(xié)議對(duì)外發(fā)布；采用SNMP 協(xié)議采集工控網(wǎng)絡(luò)內(nèi)網(wǎng)絡(luò)設(shè)備信息后，再采用OPC UA 協(xié)議對(duì)外發(fā)布[13]。

4.4 網(wǎng)絡(luò)安全測(cè)試

對(duì)局域網(wǎng)交換機(jī)與控制網(wǎng)交換機(jī)設(shè)置鏡像口，網(wǎng)絡(luò)安全審計(jì)設(shè)備接入交換機(jī)鏡像口，監(jiān)視網(wǎng)絡(luò)流量。網(wǎng)絡(luò)安全測(cè)試主要分以下幾個(gè)步驟進(jìn)行：

（1）設(shè)置網(wǎng)絡(luò)流量審計(jì)探針I(yè)P 地址、上聯(lián)設(shè)備端口、監(jiān)聽(tīng)交換機(jī)鏡像接口。

（2）配置網(wǎng)絡(luò)安全審計(jì)設(shè)備為硬件管理平臺(tái)和安全管理平臺(tái)。

（3）物理連接網(wǎng)絡(luò)安全審計(jì)設(shè)備與工控網(wǎng)絡(luò)交換機(jī)。

（4）開(kāi)啟網(wǎng)絡(luò)安全審計(jì)設(shè)備的攻擊策略、防病毒檢測(cè)策略、網(wǎng)絡(luò)攻擊策略、特征檢測(cè)策略、主機(jī)監(jiān)控策略、時(shí)鐘同步與日志外發(fā)策略等。

（5）測(cè)試與中心安全審計(jì)總部平臺(tái)的數(shù)據(jù)收發(fā)。

（6）導(dǎo)入工控測(cè)試包與攻擊測(cè)試包，用筆記本本地網(wǎng)卡接網(wǎng)絡(luò)流量審計(jì)任意工作口，使用數(shù)據(jù)包播放器回放攻擊包和工控會(huì)話(huà)包，查看是否有網(wǎng)絡(luò)會(huì)話(huà)和安全事件產(chǎn)生。圖7 為安全審計(jì)潛在風(fēng)險(xiǎn)報(bào)警。

圖7 安全審計(jì)潛在風(fēng)險(xiǎn)報(bào)警Fig.7 Security audit potential risk alarm

（7）檢查中心安全審計(jì)服務(wù)器平臺(tái)日志接收情況。中心安全審計(jì)平臺(tái)能夠正常讀取站場(chǎng)安全審計(jì)信息并對(duì)信息進(jìn)行記錄存儲(chǔ)。

5 結(jié)論

（1）優(yōu)化后的工控系統(tǒng)網(wǎng)絡(luò)空間層次更加清晰，系統(tǒng)網(wǎng)絡(luò)內(nèi)各子系統(tǒng)間的數(shù)據(jù)交互穩(wěn)定性及時(shí)效性得到了極大的提高，系統(tǒng)控制安全性得到了進(jìn)一步加強(qiáng)。

（2）優(yōu)化后的工控系統(tǒng)網(wǎng)絡(luò)提升了工業(yè)數(shù)據(jù)向信息系統(tǒng)傳輸過(guò)程中的網(wǎng)絡(luò)安全性和可靠性，滿(mǎn)足“等保2.0”對(duì)工控系統(tǒng)提出的要求。

（3）該工控系統(tǒng)網(wǎng)絡(luò)部署方案能夠更好的適應(yīng)當(dāng)前油氣行業(yè)的需求，在實(shí)用性、安全性、可靠性、智能性等方面比常規(guī)工控系統(tǒng)網(wǎng)絡(luò)有更大的優(yōu)勢(shì)，這種優(yōu)勢(shì)也順應(yīng)當(dāng)前“兩化融合”、“工業(yè)4.0”、“中國(guó)制造2025”等新概念提出的新要求，對(duì)于后續(xù)油氣行業(yè)的工控系統(tǒng)發(fā)展具有一定的指導(dǎo)作用。