李欣嶸 郭亮 朱同 賈立東 張志鋼 董瓊
1廊坊中油龍慧科技有限公司
2國(guó)家管網(wǎng)集團(tuán)北方管道有限責(zé)任公司
3中原油田熱力分公司
近年來(lái),隨著國(guó)內(nèi)油氣管道建設(shè)的不斷加速,油氣管道生產(chǎn)運(yùn)行的安全性、可靠性、智能性等越來(lái)越被重視,對(duì)油氣管道行業(yè)的工業(yè)控制系統(tǒng)(以下簡(jiǎn)稱(chēng)“工控系統(tǒng)”)也提出了新的挑戰(zhàn)[1]。工控系統(tǒng)是油氣管道生產(chǎn)運(yùn)行的“神經(jīng)中樞”,通過(guò)監(jiān)測(cè)油氣管道生產(chǎn)運(yùn)行過(guò)程數(shù)據(jù),分析生產(chǎn)趨勢(shì)走向,對(duì)現(xiàn)場(chǎng)設(shè)備下發(fā)控制指令,實(shí)現(xiàn)油氣管道輸送生產(chǎn)全過(guò)程的自動(dòng)監(jiān)測(cè)與控制。工控系統(tǒng)確保了油氣輸送過(guò)程的安全,提升了油氣管道生產(chǎn)的自動(dòng)化水平。工業(yè)控制網(wǎng)絡(luò)則是將工控系統(tǒng)各生產(chǎn)流程通過(guò)網(wǎng)絡(luò)設(shè)備組織為一個(gè)整體的通信網(wǎng)絡(luò)系統(tǒng)[2],它貫穿于整個(gè)工控系統(tǒng),實(shí)現(xiàn)各種網(wǎng)絡(luò)設(shè)備之間快速穩(wěn)定的數(shù)據(jù)通信。
在工控系統(tǒng)發(fā)展的過(guò)程中,工控系統(tǒng)網(wǎng)絡(luò)設(shè)備類(lèi)型及數(shù)量不斷增加,各種設(shè)備設(shè)施接入工業(yè)控制網(wǎng)引發(fā)網(wǎng)絡(luò)風(fēng)暴等問(wèn)題也逐漸增多。隨著當(dāng)前“兩化融合”工作逐步開(kāi)展,對(duì)工控系統(tǒng)網(wǎng)絡(luò)搭建也提出了更高的要求。基于油氣管道行業(yè)工控系統(tǒng)自動(dòng)化、智能化、智慧化新要求,著眼于當(dāng)下油氣管道工控系統(tǒng)易出現(xiàn)的網(wǎng)絡(luò)問(wèn)題,在常規(guī)的工業(yè)控制網(wǎng)絡(luò)部署方式基礎(chǔ)上,提出一種可靠性、安全性、時(shí)效性更高的油氣管道工業(yè)控制網(wǎng)絡(luò)部署方案。
常規(guī)油氣管道站場(chǎng)工控系統(tǒng)網(wǎng)絡(luò)采用設(shè)備“單層次模式”,即部署一臺(tái)或多臺(tái)交換機(jī),但是交換機(jī)處于同一網(wǎng)絡(luò)連接下,幾乎所有的工控設(shè)備都接入到此交換機(jī)上,工業(yè)控制網(wǎng)絡(luò)內(nèi)所有數(shù)據(jù)流全在此交換機(jī)之間運(yùn)行,無(wú)法保障系統(tǒng)安全性和可靠性,使系統(tǒng)擴(kuò)展能力受限,易導(dǎo)致安全級(jí)別較高的系統(tǒng)與設(shè)備遭受攻擊,同時(shí)數(shù)據(jù)交互量太大也加重了交換機(jī)的負(fù)擔(dān),降低設(shè)備使用壽命。
圖1 為一種常規(guī)的站場(chǎng)工控網(wǎng)絡(luò)配置方案。在該方案中,采用雙交換機(jī)配置,過(guò)程控制系統(tǒng)Sequence Control System(SCS 系統(tǒng))、安全儀表系統(tǒng)Safety Instrumented System(SIS 系統(tǒng))、壓縮機(jī)系統(tǒng)、閥室遠(yuǎn)程終端(Remote Terminal Unit RTU)以及數(shù)據(jù)采集監(jiān)視服務(wù)器Supervisory Control And Data Acquisition(SCADA)分別接入到兩個(gè)交換機(jī)中。該方案雖實(shí)現(xiàn)了設(shè)備的雙網(wǎng)絡(luò)配置,但所有系統(tǒng)與設(shè)備全部接入至同一網(wǎng)絡(luò),各系統(tǒng)之間相互透明開(kāi)放,不同安全等級(jí)的系統(tǒng)沒(méi)有進(jìn)行區(qū)分,帶來(lái)了網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。常規(guī)網(wǎng)絡(luò)配置未搭建網(wǎng)絡(luò)設(shè)備管理、遠(yuǎn)程維護(hù),不具備向地區(qū)公司及信息化平臺(tái)發(fā)布數(shù)據(jù)的能力,也未部署網(wǎng)絡(luò)安全管理設(shè)備及軟件,缺乏網(wǎng)絡(luò)安全管理功能。
圖1 常規(guī)站場(chǎng)工控系統(tǒng)網(wǎng)絡(luò)部署方案Fig.1 Network deployment scheme of industrial control system in conventional stations
常規(guī)的工控系統(tǒng)網(wǎng)絡(luò)部署模式僅實(shí)現(xiàn)了站場(chǎng)數(shù)據(jù)采集、現(xiàn)場(chǎng)設(shè)備控制等基本功能,不能保證工控系統(tǒng)數(shù)據(jù)采集和控制功能的安全性、可靠性及穩(wěn)定性,其缺點(diǎn)主要體現(xiàn)在以下幾個(gè)方面:
(1)SIS 系統(tǒng)相比于其他系統(tǒng)具有更高的安全等級(jí)要求,將它們直接部署在同一網(wǎng)絡(luò)會(huì)降低SIS系統(tǒng)的安全性。
(2)局域網(wǎng)交換機(jī)內(nèi)部未進(jìn)行隔離規(guī)劃,極易出現(xiàn)局域網(wǎng)內(nèi)設(shè)備IP 地址沖突的問(wèn)題。
(3)各系統(tǒng)網(wǎng)絡(luò)不做區(qū)分,全部接入局域網(wǎng),極易引起環(huán)網(wǎng),造成網(wǎng)絡(luò)風(fēng)暴問(wèn)題。
(4)缺少網(wǎng)絡(luò)安全設(shè)備,如安全審計(jì)、安全終端防護(hù)、入侵監(jiān)測(cè)服務(wù)器等,增加了網(wǎng)絡(luò)入侵風(fēng)險(xiǎn)。
(5)該方案只能夠滿(mǎn)足現(xiàn)場(chǎng)控制,缺少數(shù)據(jù)發(fā)布平臺(tái),未將生產(chǎn)數(shù)據(jù)與工業(yè)信息系統(tǒng)結(jié)合,無(wú)法實(shí)現(xiàn)“兩化融合”的相關(guān)功能。
隨著“工業(yè)4.0”“中國(guó)制造2025”的提出,我國(guó)開(kāi)始大力推動(dòng)工業(yè)化和信息化深度融合,鑒于目前站場(chǎng)工控系統(tǒng)網(wǎng)絡(luò)存在的短板,需要設(shè)計(jì)一套滿(mǎn)足當(dāng)前油氣管道行業(yè)信息化、智能化、智慧化、高安全性等新要求的新型工控網(wǎng)絡(luò)部署方案。圖2 為優(yōu)化后的工控系統(tǒng)網(wǎng)絡(luò)部署方案。
圖2 優(yōu)化后的工控系統(tǒng)網(wǎng)絡(luò)部署方案Fig.2 Optimized industrial control system network deployment scheme
該方案將系統(tǒng)劃分為局域網(wǎng)和控制網(wǎng)兩部分,局域網(wǎng)部署工控系統(tǒng)SCADA 服務(wù)器、工程師站、操作員站、閥室RTU、壓縮機(jī)系統(tǒng)、遠(yuǎn)維數(shù)據(jù)發(fā)布服務(wù)器、區(qū)域化數(shù)據(jù)發(fā)布服務(wù)器及與調(diào)控中心通信的主備路由器等設(shè)備,并進(jìn)行了功能分區(qū)??刂凭W(wǎng)主要部署SIS 系統(tǒng)、火氣系統(tǒng)等。SCS 系統(tǒng)則作為局域網(wǎng)與控制網(wǎng)連接的橋梁,負(fù)責(zé)采集SIS 系統(tǒng)、火氣系統(tǒng)數(shù)據(jù)并傳輸至SCADA 服務(wù)器,進(jìn)而通過(guò)操作員站展示給操作人員;同時(shí)接收操作人員下發(fā)的緊急命令并傳輸?shù)絊IS 系統(tǒng)進(jìn)行現(xiàn)場(chǎng)設(shè)備控制;安全審計(jì)系統(tǒng)通過(guò)隔離端口連接局域網(wǎng)及控制網(wǎng)交換機(jī),負(fù)責(zé)采集系統(tǒng)網(wǎng)絡(luò)中所有設(shè)備的實(shí)時(shí)運(yùn)行狀況,當(dāng)檢測(cè)到異常情況時(shí)發(fā)出報(bào)警;工程師站同時(shí)連接至局域網(wǎng)和控制網(wǎng),通過(guò)對(duì)交換機(jī)劃分虛擬局域網(wǎng)(Vlan Virtual Local Area Network)進(jìn)行端口隔離后,可以登錄SCS 系統(tǒng)及SIS 系統(tǒng)進(jìn)行組態(tài)編程與遠(yuǎn)程維護(hù)。時(shí)鐘服務(wù)器具備多個(gè)隔離網(wǎng)絡(luò)端口,獨(dú)立為各網(wǎng)段提供授時(shí)服務(wù)。
通過(guò)對(duì)局域網(wǎng)和控制網(wǎng)的劃分,使得兩個(gè)網(wǎng)絡(luò)內(nèi)的設(shè)備不直接連接,防止兩個(gè)網(wǎng)絡(luò)中不同安全級(jí)別的設(shè)備互相影響,提升了系統(tǒng)控制功能安全性,降低了各設(shè)備間的耦合性,可避免人為因素對(duì)SIS系統(tǒng)的影響(例如工程師臨時(shí)通過(guò)局域網(wǎng)接入調(diào)試電腦易造成SIS 系統(tǒng)IP 地址沖突或程序文件下載錯(cuò)誤等問(wèn)題)。
操作員站是工控系統(tǒng)網(wǎng)絡(luò)中現(xiàn)場(chǎng)人員獲取生產(chǎn)數(shù)據(jù)和下發(fā)控制指令最直接的設(shè)備,同時(shí)也是操作最頻繁的對(duì)象。由于操作人員存在安全不確定性,為了避免未經(jīng)授權(quán)的人員訪(fǎng)問(wèn)受限功能,保證系統(tǒng)安全,需要對(duì)操作員站的通信權(quán)限進(jìn)行設(shè)置,使操作員站僅能訪(fǎng)問(wèn)SCADA 服務(wù)器與校時(shí)服務(wù)器,不能訪(fǎng)問(wèn)其他設(shè)備。首先,在局域網(wǎng)交換機(jī)上開(kāi)辟內(nèi)網(wǎng)端口并分配內(nèi)網(wǎng)Vlan ID,從而與交換機(jī)上其他端口進(jìn)行隔離。其次,單獨(dú)設(shè)置一組內(nèi)網(wǎng)IP 地址,分配給SCADA 服務(wù)器、操作員站、校時(shí)服務(wù)器,并將這些設(shè)備通過(guò)局域網(wǎng)交換機(jī)內(nèi)網(wǎng)端口進(jìn)行連接。通過(guò)這種規(guī)劃及設(shè)置,操作員站只能與SCADA 服務(wù)器和校時(shí)服務(wù)器通信,進(jìn)行讀取數(shù)據(jù)、下發(fā)命令以及校時(shí)等,減輕了操作員站的工作負(fù)擔(dān),降低了通過(guò)操作員站引起的系統(tǒng)故障風(fēng)險(xiǎn)。
SIS 系統(tǒng)是現(xiàn)場(chǎng)出現(xiàn)異常狀況時(shí)能第一時(shí)間進(jìn)行安全警告及緊急事件自動(dòng)處理的重要系統(tǒng),SIS系統(tǒng)需通過(guò)SCS 系統(tǒng)將實(shí)時(shí)數(shù)據(jù)反饋給用戶(hù),因此SCS 系統(tǒng)與SIS 系統(tǒng)之間的通信狀態(tài)影響著現(xiàn)場(chǎng)工控系統(tǒng)正常運(yùn)行。
在SCS 系統(tǒng)與SIS 系統(tǒng)中各安裝兩塊以太網(wǎng)通信模塊,以太網(wǎng)模塊之間兩兩建立通信,形成四條通信信道(圖3)。相比常規(guī)方案中的雙網(wǎng)冗余通信方式,四重信道的通信方式更加安全、穩(wěn)定。
圖3 SCS 系統(tǒng)與SIS 系統(tǒng)通信信道Fig.3 Communication channel of SCS system and SIS system
為實(shí)時(shí)監(jiān)測(cè)SCS 系統(tǒng)與SIS 系統(tǒng)的連接是否正常,在SCS 系統(tǒng)及SIS 系統(tǒng)中編寫(xiě)通信狀態(tài)診斷邏輯程序,利用時(shí)鐘法進(jìn)行通信狀態(tài)診斷。在SCS 系統(tǒng)內(nèi)編程設(shè)置一個(gè)從0~59 s 往復(fù)循環(huán)變化的時(shí)鐘值,并實(shí)時(shí)寫(xiě)入SIS 系統(tǒng)中,SIS 系統(tǒng)讀取該值后隔10 s 再傳回SCS 系統(tǒng),SCS 系統(tǒng)對(duì)傳回的數(shù)值進(jìn)行判斷,若連續(xù)兩次傳回的數(shù)值不一致則表明系統(tǒng)之間通信正常。
四條通信信道在正常情況下按照“一條運(yùn)行,三條備用”的方式進(jìn)行工作。當(dāng)系統(tǒng)正常運(yùn)行后,激活1#信道,利用SCS 系統(tǒng)與SIS 系統(tǒng)各自第一塊以太網(wǎng)模塊進(jìn)行通信,并生成該信道通信標(biāo)志位上傳至上位機(jī)顯示,其他三條信道處于備用狀態(tài)。當(dāng)檢測(cè)到該信道通信中斷,立即切換至2#信道并發(fā)出報(bào)警提示,利用SCS 系統(tǒng)第一塊以太網(wǎng)模塊與SIS系統(tǒng)第二塊以太網(wǎng)模塊進(jìn)行通信,如果2#信道已存在通信故障,則直接跳過(guò)該信道,切換到3#信道進(jìn)行通信。同理其他信道也是如此切換。之前發(fā)生通信故障的信道在恢復(fù)通信后直接調(diào)整設(shè)置為備用信道。
通過(guò)該方式進(jìn)行通信連接穩(wěn)定性極高,提升了系統(tǒng)的通信故障識(shí)別度,滿(mǎn)足了SIS 系統(tǒng)的數(shù)據(jù)傳輸及邏輯控制功能對(duì)網(wǎng)絡(luò)通信的高要求。
生產(chǎn)數(shù)據(jù)是保證油氣管道輸送正常作業(yè)的基礎(chǔ),它反映出生產(chǎn)過(guò)程的實(shí)時(shí)狀況,在整個(gè)生產(chǎn)過(guò)程中有著極其重要的地位。為了保證數(shù)據(jù)的安全性、可靠性,在工控系統(tǒng)網(wǎng)絡(luò)的關(guān)鍵節(jié)點(diǎn)均進(jìn)行冗余配置,主要包括路由器冗余、SCADA 服務(wù)器冗余、局域網(wǎng)冗余及控制網(wǎng)冗余等。這些冗余配置組成了一個(gè)完整的冗余工控網(wǎng)絡(luò)系統(tǒng)。
(1)路由器冗余。不論外部數(shù)據(jù)通往站場(chǎng),還是站場(chǎng)數(shù)據(jù)傳輸至調(diào)控中心,均應(yīng)為數(shù)據(jù)傳輸設(shè)置不同的物理通道,采用“一主一備”甚至“一主多備”的通信方式,以保證數(shù)據(jù)的可靠性和安全性。本套優(yōu)化的方案通過(guò)規(guī)劃四條物理通道,打通站場(chǎng)與調(diào)控中心的通信,包括主備光通信鏈路、衛(wèi)星及DDN 專(zhuān)網(wǎng)鏈路。在站場(chǎng)部署兩臺(tái)路由器,對(duì)通往主備調(diào)控中心的四條通道進(jìn)行路由轉(zhuǎn)發(fā)配置,每條通道設(shè)置不同優(yōu)先級(jí)別,使通道在通信故障時(shí)可以有規(guī)律的進(jìn)行通信切換。在正常通信狀態(tài)下,主調(diào)控中心訪(fǎng)問(wèn)站場(chǎng)通過(guò)主光通信鏈路,備調(diào)控中心訪(fǎng)問(wèn)站場(chǎng)通過(guò)備光通信鏈路;主光通信鏈路故障時(shí),主調(diào)控中心通過(guò)備調(diào)控中心的通信鏈路訪(fǎng)問(wèn)站場(chǎng);主備光通信鏈路故障時(shí),主調(diào)控中心、備調(diào)控中心通過(guò)DDN 專(zhuān)網(wǎng)鏈路訪(fǎng)問(wèn)站場(chǎng);衛(wèi)星則為優(yōu)先級(jí)最低的通信方式,只有其他通信方式均發(fā)生故障時(shí)才使用。通過(guò)這種添加優(yōu)先級(jí)的冗余配置,保證數(shù)據(jù)首先通過(guò)傳輸速率高、可靠性高的通道進(jìn)行傳遞,確保了數(shù)據(jù)通信的時(shí)效性、可靠性和安全性。
(2)SCADA 服務(wù)器冗余。SCADA 服務(wù)器是操作人員控制現(xiàn)場(chǎng)設(shè)備的總臺(tái),一方面,它通過(guò)SCS系統(tǒng)從現(xiàn)場(chǎng)設(shè)備采集數(shù)據(jù)進(jìn)行處理、分析,并將結(jié)果反饋給操作人員;另一方面,它接受操作人員的指令并轉(zhuǎn)換為機(jī)器語(yǔ)言發(fā)送至現(xiàn)場(chǎng)設(shè)備執(zhí)行相關(guān)動(dòng)作,由此實(shí)現(xiàn)對(duì)現(xiàn)場(chǎng)設(shè)備及儀表的監(jiān)測(cè)和控制。因此,SCADA 服務(wù)器是工控系統(tǒng)中極其重要的一部分,須保證其長(zhǎng)時(shí)間穩(wěn)定的在線(xiàn)運(yùn)行。本方案部署A、B 兩臺(tái)SCADA 服務(wù)器,它們互為主備并同步實(shí)時(shí)采集數(shù)據(jù)。當(dāng)主服務(wù)器產(chǎn)生故障時(shí),備服務(wù)器自動(dòng)切換為主服務(wù)器的角色接管系統(tǒng)的監(jiān)控功能。雙服務(wù)器的部署方式保證了工控系統(tǒng)監(jiān)控功能持續(xù)、穩(wěn)定、安全的運(yùn)行。
(3)網(wǎng)絡(luò)冗余。在單一網(wǎng)絡(luò)的模式下,若控制系統(tǒng)中任何一設(shè)備出現(xiàn)故障均會(huì)導(dǎo)致整個(gè)系統(tǒng)無(wú)法正常運(yùn)行。本文提出優(yōu)化后的局域網(wǎng)和控制網(wǎng)冗余方案,將局域網(wǎng)設(shè)置為A 網(wǎng)和B 網(wǎng),將控制網(wǎng)設(shè)置為1#網(wǎng)和2#網(wǎng),冗余網(wǎng)絡(luò)劃分兩個(gè)網(wǎng)段的IP 地址,網(wǎng)絡(luò)中的SCS 系統(tǒng)、SIS 系統(tǒng)、壓縮機(jī)系統(tǒng)、SCADA 服務(wù)器等設(shè)備也設(shè)置多個(gè)不同網(wǎng)段的IP 地址,并保證設(shè)備多個(gè)網(wǎng)絡(luò)端口之間物理隔離,這樣的目的在于既實(shí)現(xiàn)了冗余功能,也保證了冗余網(wǎng)絡(luò)之間IP 地址沒(méi)有沖突,避免形成環(huán)網(wǎng)問(wèn)題。若其中一個(gè)網(wǎng)絡(luò)發(fā)生故障,數(shù)據(jù)采集及命令下發(fā)可通過(guò)另一網(wǎng)絡(luò)進(jìn)行,保證了生產(chǎn)過(guò)程監(jiān)控的實(shí)時(shí)性、可靠性和穩(wěn)定性。
油氣管道是國(guó)家能源的大動(dòng)脈,一旦遭受攻擊,輕則對(duì)企業(yè)利益造成影響,重則造成人員傷亡,甚至威脅到國(guó)家能源安全。近年來(lái)針對(duì)能源行業(yè)工控系統(tǒng)的網(wǎng)絡(luò)攻擊行為呈上升趨勢(shì),如攻擊伊朗的震網(wǎng)病毒、攻擊烏克蘭電廠(chǎng)的BlackEnergy等[3]。隨著“兩化融合”工作的逐步開(kāi)展,工控系統(tǒng)的開(kāi)放、數(shù)據(jù)在更大范圍內(nèi)的傳輸是未來(lái)工業(yè)發(fā)展的必然趨勢(shì)[4],油氣管道工控系統(tǒng)的信息化程度不斷加強(qiáng),對(duì)網(wǎng)絡(luò)安全的要求也越來(lái)越高?;凇暗缺?.0”對(duì)工控系統(tǒng)網(wǎng)絡(luò)安全提出的通用及擴(kuò)展要求,在工控系統(tǒng)網(wǎng)絡(luò)中部署終端防護(hù)、防火墻、安全審計(jì)等安全設(shè)備及軟件。終端防護(hù)軟件主要部署在工控系統(tǒng)中SCADA 服務(wù)器、工程師站、操作員站等終端設(shè)備上,保證通過(guò)終端設(shè)備進(jìn)入系統(tǒng)的數(shù)據(jù)是安全的。防火墻部署于網(wǎng)絡(luò)邊界處,使不同安全等級(jí)的區(qū)域網(wǎng)絡(luò)通過(guò)安全可控的方式互相訪(fǎng)問(wèn)。部署安全審計(jì)系統(tǒng),針對(duì)具體項(xiàng)目實(shí)施要求配置安全策略,實(shí)時(shí)對(duì)網(wǎng)絡(luò)安全設(shè)備、服務(wù)器、終端應(yīng)用系統(tǒng)等設(shè)備的異常狀態(tài)、操作記錄、日志信息進(jìn)行采集和存儲(chǔ),對(duì)違規(guī)操作行為進(jìn)行記錄,對(duì)系統(tǒng)網(wǎng)絡(luò)安全的整體狀況做出分析和預(yù)測(cè)。
通過(guò)部署網(wǎng)絡(luò)安全設(shè)備,可以有效阻隔針對(duì)工控系統(tǒng)網(wǎng)絡(luò)的攻擊,保護(hù)生產(chǎn)數(shù)據(jù)的安全,提升工控系統(tǒng)工業(yè)化與信息化的融合程度。
通過(guò)區(qū)域化數(shù)據(jù)發(fā)布功能,將工業(yè)生產(chǎn)數(shù)據(jù)傳至信息管理系統(tǒng)中,經(jīng)過(guò)授權(quán)的人員直接在辦公電腦或移動(dòng)終端即可實(shí)時(shí)查看生產(chǎn)數(shù)據(jù);利用遠(yuǎn)維數(shù)據(jù)發(fā)布,實(shí)現(xiàn)工控系統(tǒng)運(yùn)行狀態(tài)的遠(yuǎn)程在線(xiàn)監(jiān)視與分析、故障診斷與預(yù)警,隨時(shí)掌握現(xiàn)場(chǎng)生產(chǎn)狀況。本方案部署數(shù)據(jù)發(fā)布專(zhuān)用路由器、服務(wù)器及遠(yuǎn)維數(shù)據(jù)和區(qū)域化數(shù)據(jù)上傳調(diào)控中心專(zhuān)用通道,將生產(chǎn)數(shù)據(jù)、設(shè)備運(yùn)行參數(shù)等信息實(shí)時(shí)傳輸至調(diào)控中心中間數(shù)據(jù)庫(kù),中間數(shù)據(jù)庫(kù)再將數(shù)據(jù)提供給信息管理系統(tǒng),實(shí)現(xiàn)數(shù)據(jù)的實(shí)時(shí)發(fā)布。
油氣管道生產(chǎn)強(qiáng)調(diào)工控系統(tǒng)數(shù)據(jù)的時(shí)效性,只有實(shí)時(shí)的數(shù)據(jù)才能及時(shí)的反映出當(dāng)前生產(chǎn)狀況,SCADA 服務(wù)器需讀取工控系統(tǒng)網(wǎng)絡(luò)中各設(shè)備采集的實(shí)時(shí)數(shù)據(jù),操作員站也需讀取SCADA 服務(wù)器的實(shí)時(shí)數(shù)據(jù)等等,因此要求工控系統(tǒng)網(wǎng)絡(luò)內(nèi)所有產(chǎn)生生產(chǎn)數(shù)據(jù)、接收調(diào)控指令的設(shè)備時(shí)區(qū)相同、時(shí)間一致。本設(shè)計(jì)方案部署一臺(tái)與衛(wèi)星時(shí)鐘同步的校時(shí)服務(wù)器,該時(shí)鐘源同時(shí)架設(shè)在局域網(wǎng)和控制網(wǎng),通過(guò)對(duì)交換機(jī)端口分配Vlan ID 進(jìn)行端口隔離,可為工控系統(tǒng)網(wǎng)絡(luò)內(nèi)所有需要校時(shí)的設(shè)備進(jìn)行授時(shí),確保所有設(shè)備的時(shí)間運(yùn)行一致。
長(zhǎng)輸油氣管道閥室數(shù)據(jù)分別傳至上下游站場(chǎng),再通過(guò)站場(chǎng)路由器上傳至調(diào)控中心。目前閥室按照有無(wú)外部市電供應(yīng)的區(qū)別劃分為監(jiān)控閥室與監(jiān)視閥室,監(jiān)控閥室有外電接入,可利用光通信設(shè)備將監(jiān)控閥室局域網(wǎng)絡(luò)接入到上下游站場(chǎng)。而監(jiān)視閥室無(wú)外電接入,只能利用太陽(yáng)能供電,無(wú)法保證光通信設(shè)備的正常運(yùn)行,因此通過(guò)將各監(jiān)視閥室的光交換機(jī)相互串聯(lián),使監(jiān)視閥室網(wǎng)絡(luò)接入到站場(chǎng)[5-7],如圖4 所示。
由圖4 可知,上下游站場(chǎng)通過(guò)監(jiān)視閥室與監(jiān)控閥室連接,有形成環(huán)網(wǎng)的風(fēng)險(xiǎn),從而引起網(wǎng)絡(luò)風(fēng)暴,并且還會(huì)造成上下游站場(chǎng)局域網(wǎng)互通的問(wèn)題。
圖4 站場(chǎng)與閥室網(wǎng)絡(luò)連接Fig.4 Network connection between stations and valve chambers
針對(duì)此問(wèn)題,將監(jiān)視閥室的工業(yè)交換機(jī)分為兩個(gè)區(qū)域,分別連接上下游閥室或站場(chǎng),通過(guò)對(duì)工業(yè)交換機(jī)端口分配不同Vlan ID(圖4 中以Vlan 101 和Vlan 102 為例),分別只接收上下游閥室傳遞過(guò)來(lái)的帶有各自Vlan 標(biāo)簽的數(shù)據(jù)。當(dāng)站場(chǎng)訪(fǎng)問(wèn)監(jiān)視閥室數(shù)據(jù)時(shí),數(shù)據(jù)流可通過(guò)閥室交換機(jī)從第一個(gè)閥室跳轉(zhuǎn)至第二個(gè)閥室,再?gòu)牡诙€(gè)閥室跳轉(zhuǎn)至第三個(gè)閥室,以此類(lèi)推。但由于分配了不同的VLAN ID,上下游站場(chǎng)最多只能訪(fǎng)問(wèn)到各自線(xiàn)路最尾端閥室,無(wú)法進(jìn)一步實(shí)現(xiàn)站場(chǎng)之間的通信。
通過(guò)這種方式,既有效避免了上下游站場(chǎng)與閥室形成環(huán)網(wǎng),也保證了閥室數(shù)據(jù)可以通過(guò)級(jí)聯(lián)鏈路傳遞至上下游站場(chǎng),同時(shí)也解決了上下游站場(chǎng)間的網(wǎng)絡(luò)互通問(wèn)題。
相比常規(guī)工控系統(tǒng)網(wǎng)絡(luò)設(shè)置,經(jīng)過(guò)優(yōu)化后的網(wǎng)絡(luò)部署更能適應(yīng)當(dāng)前油氣管道行業(yè)的發(fā)展,其優(yōu)點(diǎn)主要體現(xiàn)在以下六點(diǎn):
(1)對(duì)現(xiàn)場(chǎng)劃分兩個(gè)網(wǎng)段,實(shí)現(xiàn)雙網(wǎng)絡(luò)通信,實(shí)現(xiàn)網(wǎng)絡(luò)冗余功能,提升了安全性及可靠性。
(2)采用三層交換機(jī),并通過(guò)對(duì)交換機(jī)劃分不同的Vlan,有助于控制流量、減少設(shè)備投資、簡(jiǎn)化網(wǎng)絡(luò)管理、提高網(wǎng)絡(luò)的安全性,防止同一交換機(jī)上不同網(wǎng)段的設(shè)備互聯(lián),保證通信安全,避免網(wǎng)絡(luò)風(fēng)暴。
(3)依據(jù)等保2.0 要求,部署網(wǎng)絡(luò)安全設(shè)備及軟件,提升工控系統(tǒng)網(wǎng)絡(luò)安全。
(4)與調(diào)控中心通信采用多個(gè)互相獨(dú)立的傳輸通道,并在路由器中建立策略,劃分不同路徑的優(yōu)先級(jí),提升了數(shù)據(jù)傳輸可靠性和穩(wěn)定性。
(5)分開(kāi)設(shè)置局域網(wǎng)和控制網(wǎng),實(shí)現(xiàn)邏輯控制功能與上位機(jī)監(jiān)測(cè)功能分開(kāi)管理,降低了系統(tǒng)耦合性。
(6)通過(guò)將區(qū)域化數(shù)據(jù)進(jìn)行網(wǎng)絡(luò)發(fā)布,可將生產(chǎn)數(shù)據(jù)信息化,實(shí)現(xiàn)工業(yè)生產(chǎn)系統(tǒng)向信息管理系統(tǒng)的邁入。
經(jīng)過(guò)優(yōu)化后的工控系統(tǒng)網(wǎng)絡(luò)部署方案,是否能適應(yīng)當(dāng)前油氣管道行業(yè)的發(fā)展,提高工控系統(tǒng)應(yīng)用能力,滿(mǎn)足現(xiàn)場(chǎng)生產(chǎn)監(jiān)控要求,需要經(jīng)過(guò)現(xiàn)場(chǎng)測(cè)試后方可驗(yàn)證。方案通過(guò)在現(xiàn)有天然氣長(zhǎng)輸管道控制站場(chǎng)與閥室進(jìn)行測(cè)試,驗(yàn)證了其可行性。
局域網(wǎng)交換機(jī)劃分為過(guò)程數(shù)據(jù)采集網(wǎng)端口與SCADA 上位機(jī)內(nèi)網(wǎng)端口兩部分。其中內(nèi)網(wǎng)端口用于操作員站與服務(wù)器的連接,在每臺(tái)交換機(jī)上都選取4 個(gè)端口劃分至同一Vlan 區(qū)域。而過(guò)程數(shù)據(jù)采集網(wǎng)則使用每臺(tái)交換機(jī)剩余的端口,并分為A、B 兩個(gè)通信網(wǎng)絡(luò)。局域網(wǎng)測(cè)試分兩部分,內(nèi)網(wǎng)測(cè)試和采集網(wǎng)測(cè)試[8-10]。
4.1.1 內(nèi)網(wǎng)測(cè)試
(1)將兩臺(tái)交換機(jī)1-4 口均劃分為Vlan 20,并做級(jí)聯(lián)。
(2)SCADA 上位機(jī)兩臺(tái)操作員站與兩臺(tái)服務(wù)器連接到交換機(jī)1-4 口上,每臺(tái)操作員站與每臺(tái)服務(wù)器均有2 個(gè)端口分別連接到兩臺(tái)交換機(jī)的Vlan 20端口中。服務(wù)器兩個(gè)端口配置為bond 接口并設(shè)置成冗余非交換接口模式。接口拓?fù)鋱D如圖5 所示[11]。
圖5 內(nèi)網(wǎng)接口拓?fù)銯ig.5 Intranet interface topology
(3)分別切斷主服務(wù)器、備服務(wù)器以及操作員站一個(gè)端口的網(wǎng)絡(luò)連接,檢查服務(wù)器與操作員站的通信狀況,并檢查兩臺(tái)服務(wù)器的冗余狀況,此時(shí)通信與冗余情況均未受影響。
(4)切斷服務(wù)器采集網(wǎng)絡(luò),對(duì)采集網(wǎng)絡(luò)做端口強(qiáng)制禁用操作以及在采集網(wǎng)絡(luò)模擬網(wǎng)絡(luò)風(fēng)暴現(xiàn)象,客戶(hù)端與服務(wù)器內(nèi)網(wǎng)未受任何影響,客戶(hù)端可正常訪(fǎng)問(wèn)服務(wù)器。
4.1.2 采集網(wǎng)測(cè)試
(1)第一臺(tái)局域網(wǎng)交換機(jī)除內(nèi)網(wǎng)網(wǎng)口外,其余網(wǎng)口劃分為Vlan 30,為采集網(wǎng)A 網(wǎng)網(wǎng)絡(luò),接入SCS系統(tǒng)1#口通信端口、遠(yuǎn)維數(shù)據(jù)服務(wù)器1#口通信端口、SCADA 數(shù)據(jù)服務(wù)器3#口通信端口。
(2)第二臺(tái)局域網(wǎng)交換機(jī)除內(nèi)網(wǎng)網(wǎng)口外,其余網(wǎng)口劃分為Vlan 40,為采集網(wǎng)B 網(wǎng)網(wǎng)絡(luò),接入SCS系統(tǒng)2#口通信端口、遠(yuǎn)維數(shù)據(jù)服務(wù)器2#口通信端口、SCADA 數(shù)據(jù)服務(wù)器4#口通信端口,如圖6所示。
圖6 采集網(wǎng)接口拓?fù)銯ig.6 Acquisition network interface topology
(3)分別順序切斷SCS 系統(tǒng)、遠(yuǎn)維數(shù)據(jù)服務(wù)器與SCADA 數(shù)據(jù)服務(wù)器的A/B 網(wǎng)端口,檢查數(shù)據(jù)采集與指令下發(fā)情況,此時(shí)數(shù)據(jù)采集與指令下發(fā)均正常。
(4)切斷服務(wù)器與客戶(hù)端內(nèi)網(wǎng)、對(duì)內(nèi)網(wǎng)做端口強(qiáng)制禁用操作以及在內(nèi)網(wǎng)模擬網(wǎng)絡(luò)風(fēng)暴現(xiàn)象,采集網(wǎng)的數(shù)據(jù)采集與命令下發(fā)未受任何影響,SCS 系統(tǒng)與服務(wù)器數(shù)據(jù)采集監(jiān)控業(yè)務(wù)正常。
控制網(wǎng)內(nèi)接SIS 系統(tǒng)與火氣系統(tǒng),與過(guò)程控制系統(tǒng)的局域網(wǎng)以及遠(yuǎn)維網(wǎng)是相互獨(dú)立并且隔離的。每個(gè)系統(tǒng)均有兩個(gè)端口分別接到控制網(wǎng)的兩臺(tái)交換機(jī)上,過(guò)程控制系統(tǒng)訪(fǎng)問(wèn)控制網(wǎng)是通過(guò)SCS 系統(tǒng)本地機(jī)架上的通信模塊實(shí)現(xiàn),通信模塊兩個(gè)端口也分別接到控制網(wǎng)兩臺(tái)交換機(jī)上。因此控制網(wǎng)測(cè)試較局域網(wǎng)相對(duì)簡(jiǎn)單,不劃分Vlan,不做級(jí)聯(lián),僅需進(jìn)行雙網(wǎng)冗余測(cè)試即可。經(jīng)過(guò)分別切斷SIS 系統(tǒng)與火氣系統(tǒng)其中一個(gè)端口與控制網(wǎng)交換機(jī)的連接,各系統(tǒng)之間的數(shù)據(jù)通信均正常,未受到影響。在局域網(wǎng)中模擬網(wǎng)絡(luò)入侵、網(wǎng)絡(luò)風(fēng)暴等現(xiàn)象,也未對(duì)控制網(wǎng)造成任何影響[12]。
遠(yuǎn)維網(wǎng)負(fù)責(zé)對(duì)外發(fā)布過(guò)程控制系統(tǒng)的數(shù)據(jù),如向信息化平臺(tái)、中心遠(yuǎn)維數(shù)據(jù)庫(kù)等平臺(tái)進(jìn)行數(shù)據(jù)發(fā)布。遠(yuǎn)維數(shù)據(jù)服務(wù)器具有多個(gè)隔離端口,設(shè)置不同端口分別負(fù)責(zé)數(shù)據(jù)采集與數(shù)據(jù)對(duì)外發(fā)布。遠(yuǎn)維數(shù)據(jù)服務(wù)器支持多種工業(yè)通信協(xié)議,如Modbus Tcp/Ip、IEC104、OPC UA、Snmp 協(xié)議等。本次測(cè)試采用Modbus Tcp/Ip 協(xié)議采集過(guò)程控制系統(tǒng)SCS 數(shù)據(jù)后,再采用IEC104 協(xié)議對(duì)外發(fā)布;采用SNMP 協(xié)議采集工控網(wǎng)絡(luò)內(nèi)網(wǎng)絡(luò)設(shè)備信息后,再采用OPC UA 協(xié)議對(duì)外發(fā)布[13]。
對(duì)局域網(wǎng)交換機(jī)與控制網(wǎng)交換機(jī)設(shè)置鏡像口,網(wǎng)絡(luò)安全審計(jì)設(shè)備接入交換機(jī)鏡像口,監(jiān)視網(wǎng)絡(luò)流量。網(wǎng)絡(luò)安全測(cè)試主要分以下幾個(gè)步驟進(jìn)行:
(1)設(shè)置網(wǎng)絡(luò)流量審計(jì)探針I(yè)P 地址、上聯(lián)設(shè)備端口、監(jiān)聽(tīng)交換機(jī)鏡像接口。
(2)配置網(wǎng)絡(luò)安全審計(jì)設(shè)備為硬件管理平臺(tái)和安全管理平臺(tái)。
(3)物理連接網(wǎng)絡(luò)安全審計(jì)設(shè)備與工控網(wǎng)絡(luò)交換機(jī)。
(4)開(kāi)啟網(wǎng)絡(luò)安全審計(jì)設(shè)備的攻擊策略、防病毒檢測(cè)策略、網(wǎng)絡(luò)攻擊策略、特征檢測(cè)策略、主機(jī)監(jiān)控策略、時(shí)鐘同步與日志外發(fā)策略等。
(5)測(cè)試與中心安全審計(jì)總部平臺(tái)的數(shù)據(jù)收發(fā)。
(6)導(dǎo)入工控測(cè)試包與攻擊測(cè)試包,用筆記本本地網(wǎng)卡接網(wǎng)絡(luò)流量審計(jì)任意工作口,使用數(shù)據(jù)包播放器回放攻擊包和工控會(huì)話(huà)包,查看是否有網(wǎng)絡(luò)會(huì)話(huà)和安全事件產(chǎn)生。圖7 為安全審計(jì)潛在風(fēng)險(xiǎn)報(bào)警。
圖7 安全審計(jì)潛在風(fēng)險(xiǎn)報(bào)警Fig.7 Security audit potential risk alarm
(7)檢查中心安全審計(jì)服務(wù)器平臺(tái)日志接收情況。中心安全審計(jì)平臺(tái)能夠正常讀取站場(chǎng)安全審計(jì)信息并對(duì)信息進(jìn)行記錄存儲(chǔ)。
(1)優(yōu)化后的工控系統(tǒng)網(wǎng)絡(luò)空間層次更加清晰,系統(tǒng)網(wǎng)絡(luò)內(nèi)各子系統(tǒng)間的數(shù)據(jù)交互穩(wěn)定性及時(shí)效性得到了極大的提高,系統(tǒng)控制安全性得到了進(jìn)一步加強(qiáng)。
(2)優(yōu)化后的工控系統(tǒng)網(wǎng)絡(luò)提升了工業(yè)數(shù)據(jù)向信息系統(tǒng)傳輸過(guò)程中的網(wǎng)絡(luò)安全性和可靠性,滿(mǎn)足“等保2.0”對(duì)工控系統(tǒng)提出的要求。
(3)該工控系統(tǒng)網(wǎng)絡(luò)部署方案能夠更好的適應(yīng)當(dāng)前油氣行業(yè)的需求,在實(shí)用性、安全性、可靠性、智能性等方面比常規(guī)工控系統(tǒng)網(wǎng)絡(luò)有更大的優(yōu)勢(shì),這種優(yōu)勢(shì)也順應(yīng)當(dāng)前“兩化融合”、“工業(yè)4.0”、“中國(guó)制造2025”等新概念提出的新要求,對(duì)于后續(xù)油氣行業(yè)的工控系統(tǒng)發(fā)展具有一定的指導(dǎo)作用。