1 引言
石化企業生產工藝過程復雜,過程控制計算機系統應用普及,具有高溫高壓、易燃易爆、有毒有害、自動化程度高的特點。傳統的過程控制計算機系統以滿足生產現場操作管理為目標,是一個封閉系統。隨著網絡技術、計算機技術和控制技術的快速發展,集成生產過程信息實現企業管控一體化系統成為必然選擇。通過多年的信息集成實踐,石化企業基本上形成了管理網/控制網絡的2層網絡結構。
當封閉的過程控制計算機系統面對開放的網絡集成環境時,系統出現了邊界模糊、界線消失的新問題,部分石化企業的控制系統出現了病毒、木馬、外部侵入等事件,輕則導致控制系統響應變慢,重則導致控制系統不能操控、系統異常錯誤等問題,甚至有的企業發生裝置停工及其它嚴重后果。特別是最近出現的“超級工廠病毒”( Stuxnet ),專門針對工業控制系統進行破壞,對業界產生了極大的震動。石化企業事關國家能源供應,社會影響大,對國家安全和社會穩定具有重要的意義。面對這些新情況、新問題和新動向,必須加以分析研究。因此急需采用先進技術設計和組成生產專網,消除安全隱患,保證控制系統和生產裝置的正常運行。
2 企業生產數據集成的現狀分析
2.1數據集成現狀與面臨的安全問題
過程控制計算機系統一般分為DCS(集散控制系統)、FCS(現場總線控制系統)和PLC(可編程控制器系統)等類型。隨著網絡技術的不斷發展,推動了過程控制計算機系統的發展,形成了復雜的工業控制網絡。石化企業的過程控制計算機系統應用起步較早,在不同的裝置上,不同類型的控制系統都有大量應用。
石化企業管控一體化的系統集成經歷了20余年的發展,逐步形成了管理網/控制網絡的2層結構。實時數據庫作為管控一體化的基礎平臺,為控制系統與企業經營管理系統搭建了橋梁,實時數據庫通過接口機和過程控制計算機系統相連接。接口機的功能是“上傳下訪”,向上與實時數據庫通信,接受服務器調度、響應請求、轉發數據;向下與控制系統通信,發出請求、獲得數據、緩存數據。實時數據庫與過程控制計算機系統的接口機是整個系統的關鍵。
隨著過程控制計算機系統中DCS, FCS和PLC的分類被淡化,各種類型互相取長補短,技術上融合發展。控制網絡的結構由私有、專用網絡向層次化、標準化發展,控制網絡的協議也由私有協議轉向工業以太網協議。控制系統的外部接口從非標接口向標準接口發展,逐步統一于OPC標準,人機接口的操作系統也向微軟視窗等通用操作系統轉變。
過程控制計算機系統的安全問題主要是由系統結構變化和數據集成產生的川。系統面臨來自管理網絡上普遍存在的病毒、木馬、特定攻擊。由于人機接口采用視窗操作系統,存在BUG缺陷,需要根據不定期發布的補丁包來進行更新,以保障系統的安全。制造商和維護單位要求開放互聯網訪問,對系統進行維護診斷處理的外部訪問,也具有安全隱患。另外,人機接口設備的開放性,包括通用的光驅、軟驅、USB和富余的網絡接口,都易成為破壞性入口點。
2.2數據接口機的安全問題
在2層網絡結構中,實時數據庫與過程控制計算機系統之間的接口機是整個系統的關鍵。接口機在實際應用中普遍存在分布式和集中式2種模式,如圖1所示。
分布式接口機一側與管理網連接,另一側與控制系統直接連接,每個接口對應一套控制系統,又稱本地雙網卡接口模式。當接口通信故障時需要技術人員到現場處理,系統維護很不方便。系統集成的安全性全部依賴于接口機,主要的安全隱患來自管理網絡,系統風險高。集中式接口機根據集中程度又分為區域集中和全集中.接口機兩側都利用管理網絡傳輸信息,接口通信故障時不需要技術人員到現場處理,維護操作方便。但是控制網絡與管理網絡完全連通,系統集成的安全性差,系統風險高。
上述2種接口機都存在安全風險。每一個接口都連接一套控制系統,這樣每一個接口就是一條通道,就是一個安全風險點,只有確保了所有的通道安全才能保障通往關聯控制系統的安全。
圖1 2種類型的數據接口方案
3 生產專網的設計
在明確相關系統的分界面后,從內因外因兩方面入手,以接口機為關鍵點,對生產專網進行設計和部署,以保障控制系統的安全。生產專網的設計需要考慮安全性、經濟性、專業化、先進性等原則。
3.1企業網絡的功能劃分與生產專網的形成
管理網絡是企業公共基礎平臺,承載了企業資源計劃系統、綜合辦公事務處理系統、企業門戶、郵件和互聯網訪問等綜合管理信息系統,為各類經營管理人員辦公提供網絡系統。
工業控制系統自成體系,構成控制網絡,依據內部功能劃分從底向上依次為I/O層、控制通信層和操作信息層。為保障控制網絡的體系完整性和功能獨立性,利用操作信息層接口,在不改變控制網絡的體系結構前提下進行信息集成。
實時數據庫系統與控制網絡進行通信,面對各種控制系統的接口設備,為調度、設備、安全和生產人員提供實時信息,掌握生產動態,進行調度指揮。實時數據庫系統和企業綜合信息管理系統也有差別,服務對象不同、應用目標不同。為此,將實時數據庫系統的網絡環境從管理網絡中分離出來,企業網絡按功能進行分區設計,分為管理網絡、生產專網和控制網絡3層結構,每2層之間通過防火墻進行隔離,如圖2所示。
圖2 企業網絡層次結構圖
3.2生產專網的設計
生產專網結構如圖3所示,建立了物理上獨立的生產專用網絡,采用核心和接入2層網絡架構,采用雙路由的方式,網絡地址與管理網地址相互獨立、自成體系,并采用雙核心交換機、專用網管系統,網絡設備具有端口管理功能。
圖3 二期建設中通信專網建設拓撲圖
增加生產專網這一個層次,將管理網和控制網路分離,進行物理和邏輯隔離,兩者不再直接連接,從管理網到控制網路要穿透生產專網,增加了訪問難度,從而提高了安全性。
生產專網實現了與管理網只有一個接口通過防火墻進行隔離。在DMZ區為管理網提供信息服務和數據訪問代理;每套控制系統只有一個外部接口,連接點在控制系統的操作信息網絡上對應設備的網絡端口,通過防火墻隔離。
通過生產專網的設計,控制網絡中的各個控制系統只與生產專網相聯接,與管理網絡沒有直接通道。每套控制系統與生產專網只有一個點對點的物理接口,從而阻斷了來自管理網絡上普遍存在的病毒、木馬、特定攻擊等的直接威脅。
3.3控制網絡的信息安全管理
雖然徽軟視窗操作系統針對各種BUG缺陷會不定期發布補丁包,但需要用戶進行更新才能解決缺陷問題。而控制系統人機接口采用的視窗操作系統是由制造商進行了專用化改造的定制系統,系統投用后運行相對穩定的情況下,不用更新也能滿足系統正常使用,沒有及時更新的必要性,即使要更新,也需要在制造商測試后發布更新公告時才能進行系統更新。因此,系統補丁更新應通過手動更新方式進行。
對于通過互聯網訪問企業控制系統來進行故障診斷和系統維護處理的要求,則不應該滿足此項要求。對控制系統的診斷維護必須先進行測試,遠程維護處理在制度上是不允許的。人機接口設備具有開放性和通用性,易成為破壞性入侵點,則必須關閉有關接口設備。
4 基于虛擬化的技術方案
隨著云技術的飛速發展,網絡、計算和存儲的性能不斷提高,作為云技術基礎之一的虛擬化技術獲得越來越廣泛的應用閱。在生產專網的應用中引入了虛擬化技術,建立私有云平臺。
首先采用虛擬交換機構成虛擬網絡平臺間。虛擬交換機的網絡功能較為簡單,內置大量的虛擬端口。生產專網按照2層網絡設計,則在虛擬平臺網絡環境中也對應建成2層網絡架構。因此,虛擬交換機也分為2種類型,一種是提供虛擬服務器和虛擬接口機的網絡連接,即核心交換機;一種是用來連接外部控制系統的,即接入交換機。
由于實體交換機配置了防火墻模塊,因此為虛擬交換機也配置虛擬防火墻,還設置DMZ區,并利用防火墻的規則進行隔離和控制。
其次在虛擬計算中,所有接口的“上傳”功能是一致的、標準的,接口的“下訪”功能則有差別,訪問的控制系統不同、通信協議不一致。隨著通信協議的歸一化(OPC)提高,接口間的差別縮小,接口標準化程度高,適合采用虛擬機實現。
在高性能服務器集群平臺上,采用虛擬技術,應用虛擬軟件,在物理平臺上建立虛擬接口群,為每套控制系統分配一臺虛擬接口機。建立虛擬服務器群,為各類服務器按需分配一臺虛擬機,建立域控、授權、實時數據庫、WEB、開發測試、備份和網管等服務器。實體接口機和服務器的安全管理同樣適用于虛擬計算環境.對虛擬接口機與控制網絡的邏輯接口通過虛擬防火墻進行隔離和訪問控制,對虛擬服務器進行主機加固。對虛擬接口機群和服務器群統一部署安全策略,實現防病毒、補丁分發和端口控制;制定系統備份恢復策略,提高系統的應急處置能力。
對于虛擬存儲,則通過建立IP SAN物理存儲平臺來實現.利用端口聚合功能,擴大吞吐量,依據應用的存儲需求進行容量分配和管理策略。在網絡和計算虛擬化以后,為虛擬服務器、虛擬接口機分配存儲。
5 案例應用
某石化企業有生產裝置so余套,其中過程控制計算機系統有50多套,但是控制系統應用品牌繁雜、版本各異。目前在用的控制系統有32套,包括Honeywell的PKS/TDC3000, YOKOGAWA的X1/CS 1000/CS3000、和利時的MACS、浙江中控的ECS 100等類型。上述過程控制系統相互獨立,分散在企業的煉油、化肥、化纖、熱電等生產區域。企業數據集成系統進行了多次擴容和完善,從“分布”到“集中”,其中對控制系統的安全保障主要是基于接口機的雙網卡、私有地址,保障安全的技術本質沒有改變。
由于企業管理網絡環境的日益復雜,控制系統不安全事件則時有發生。為了確保控制系統的安全、提升系統整體的安全性,采用本文提出的3層網絡結構,建設了生產專網,進行了虛擬化應用改造。改造后的整個系統拓撲如圖4所示。
圖4 改造后的系統拓撲圖
企業建成了獨立的生產專網,采用2臺H3C 7506E通過VRRP協議實現核心設備冗余備份;插配H3CSecBlade FW萬兆防火墻模塊實現與管理網隔離、各個VLAN之間的隔離、與控制系統的隔離,采用iMC網絡管理平臺對生產專網進行管理和監控;通過VMware Esx系列軟件進行虛擬化,采用2臺DELL 8900做虛擬服務器群替代9臺服務器,采用3臺DELL 8710做虛擬接口機群替代32臺接口機,接口機分配虛擬資源為1個CPU2G內存,15 G存儲空間,2個網絡接口分成2個VLAN。每個虛擬接口機與一套控制系統相對應,采用遠程連接實現,對虛擬接口機進行統一防病毒,打補丁更新,以及訪問地址、端口和協議的控制等安全策略的部署。
通過實際應用,在技術上提升了控制網絡的安全,收到了很好的效果,保障了控制系統的安全;減少了物理服務器和接口機的使用數量,降低了設備采購費用、備件消耗、人工維護成本、能源消耗,取得了直接經濟效益和節能減排成效。
6 結論
石化企業目前普遍采用管理網控制網絡的2層結構,本文在分析2層網絡結構存在的問題、結合部分企業出現的一些安全事故案例的基礎上,提出了管理網/生產專網腔制網絡的3層網絡結構,并對生產專網進行了較詳細的設計,利用虛擬化技術開展了生產專網的建設和應用,取得了一定成效。本文取得的經驗可以為有關企業提供借鑒。
核心關注:拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業務管理理念,功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理,全面涵蓋了企業關注ERP管理系統的核心領域,是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。
轉載請注明出處:拓步ERP資訊網http://m.hanmeixuan.com/
本文轉自:e-works制造業信息化門戶網
本文來源于互聯網,拓步ERP資訊網本著傳播知識、有益學習和研究的目的進行的轉載,為網友免費提供,并盡力標明作者與出處,如有著作權人或出版方提出異議,本站將立即刪除。如果您對文章轉載有任何疑問請告之我們,以便我們及時糾正。聯系方式:QQ:10877846 Tel:0755-26405298。
相關文章
