伴隨國家工業(yè)化、信息化的兩化融合,石化企業(yè)提出管控一體化規(guī)劃,基于實時數(shù)據(jù)庫應(yīng)用的MES系統(tǒng)在各大企業(yè)得到大力推廣。實時數(shù)據(jù)庫的建立是以采集過程控制系統(tǒng)的數(shù)據(jù)為前提,這就需要MES的信息網(wǎng)絡(luò)必須要實現(xiàn)與控制網(wǎng)絡(luò)之間的數(shù)據(jù)交換,控制網(wǎng)絡(luò)不再以一個獨立的網(wǎng)絡(luò)運行,而要與信息網(wǎng)絡(luò)互通、互聯(lián),基于TCP/IP以太網(wǎng)通訊的OPC技術(shù)在該領(lǐng)域得到廣泛應(yīng)用。
網(wǎng)絡(luò)拓撲圖
系統(tǒng)說明及隱患分析
石化行業(yè)系統(tǒng)結(jié)構(gòu)通常分為三層,自上而下分別是辦公網(wǎng)、數(shù)采網(wǎng)和控制網(wǎng)。辦公網(wǎng)和數(shù)采網(wǎng)是物理上隔離的;數(shù)采網(wǎng)采用OPC標準從控制網(wǎng)采集數(shù)據(jù),數(shù)采機或OPC Server采用雙網(wǎng)卡結(jié)構(gòu)與控制網(wǎng)進行了隔離;工程師站通常需要接入第三方設(shè)備(U盤、筆記本電腦等),系統(tǒng)存在以下信息安全隱患:
1、數(shù)采網(wǎng)與控制網(wǎng)之間的病毒相互感染隱患。雖然通過Buffer數(shù)采機或OPC Server的雙網(wǎng)卡結(jié)構(gòu)對數(shù)采網(wǎng)與控制網(wǎng)進行了隔離,部分惡意程序不能直接攻擊到控制網(wǎng)絡(luò),但對于能夠利用 Windows 系統(tǒng)漏洞的網(wǎng)絡(luò)蠕蟲及病毒等,這種配置并不起作用,病毒仍會在數(shù)采網(wǎng)和控制網(wǎng)之間互相傳播。另外OPC通訊使用動態(tài)端口,無法使用常規(guī)防火墻進行防護。
2、來自工程師站的病毒擴散隱患。工程師站通常接入設(shè)備U盤、筆記本電腦等第三方,受到病毒攻擊和入侵的概率很大,存在較高的安全隱患。
3、網(wǎng)絡(luò)攻擊事件無法追蹤。網(wǎng)絡(luò)中缺乏對網(wǎng)絡(luò)進行實時監(jiān)控的工具,一旦出現(xiàn)問題后,無法進行原因查找、分析和故障點查詢。
解決方案
1、 網(wǎng)絡(luò)分區(qū)
針對石化行業(yè)網(wǎng)絡(luò)當前的安全隱患,根據(jù)系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)和安全要求,可以將整個網(wǎng)絡(luò)分為辦公網(wǎng)、數(shù)采網(wǎng)、控制網(wǎng)和工程師站四大區(qū)域。
2、 通訊管控
在控制網(wǎng)和數(shù)采網(wǎng)之間部署Tofino工業(yè)防火墻,通過OPC Enforcer軟插件自動跟蹤OPC通訊的動態(tài)端口,并對其通訊內(nèi)容進行深度檢查,保障數(shù)采通訊安全;此外,在工程師站前端部署Tofino工業(yè)防火墻,對工程師站進行隔離防護,防止病毒擴散。
3、 集中管理
在網(wǎng)絡(luò)中部署CMP配置管理平臺,用于配置、管理、監(jiān)測網(wǎng)絡(luò)中所有的Tofino工業(yè)防火墻,并接收來自防火墻的網(wǎng)絡(luò)報警信息。無需停車,Tofino工業(yè)防火墻特有的“測試”模式允許在線配置防火墻策略。
4、 預警分析
在企業(yè)辦公網(wǎng)部署SMP安全管理平臺,捕獲并分析現(xiàn)場所有安裝Tofino防火墻的通訊“管道”中的攻擊,一方面可以實現(xiàn)對整個生產(chǎn)網(wǎng)絡(luò)的實時監(jiān)控,另一方面也可以及時發(fā)現(xiàn)病毒、非法入侵以及各類威脅并迅速解決,以總攬大局的方式為工廠網(wǎng)絡(luò)故障的及時排查、分析提供可靠的依據(jù)。