煤化工企業工控網絡安全設計檢視原始碼討論檢視歷史
煤化工企業工控網絡安全設計本文分析了煤化工企業在工控安全方面存在的問題,在此基礎上提出了工控網絡安全設計方案。並以某煤化工企業生產運行過程為例,分別闡述了中控室網絡、熱電網絡、輸煤輔助網絡、DMZ、數采專網的具體網絡安全設計方案。以此確保工控網絡更加安全穩定的運行,進而為煤化工企業生產運行管理提供有力保障。
關鍵詞:網絡安全;煤化工;工業控制;設計方案
項目簡介
隨着化工行業信息化與自動化的不斷融合,企業管理[1]信息系統不斷利用數據採集與過程控制系統進行互聯,完成經營管理層與生產執行層的信息交互。然而,伴隨着信息化與自動化的深度融合,原本相對獨立的工業控制系統越來越多地與企業管理網互聯互通,使得信息安全威脅逐漸向工業控制系統擴散,工業控制系統信息安全問題日益突出。
2010年發生的「震網」病毒及2013年的「稜鏡門」事件,充分反映出工業控制系統安全面臨着嚴峻的形勢。工信部已注意到上述問題的嚴重性,2011年9月特發文要求切實加強工業過程控制系統的安全管理(工信部協[2011]451號《關於加強工業控制系統信息安全管理的通知》);2013年8月國家發展改革委辦公廳下發《關於組織實施2013年國家信息安全專項有關事項的通知》,通知針對關係國計民生領域的工業控制系統,要求建立安全檢測機制、查找漏洞和隱患、提升工業系統安全防護水平、保障業務、捍衛國家安全。
因此本文遵循國家和行業有關標準,結合煤化工企業生產的具體情況和需求,從企業工控網絡的角度進行了系統安全建設方案的積極探索,通過建立完善工控安全體系,為煤化工企業生產運行管理保駕護航。
1 煤化工企業工控網絡安全問題
通過對煤化工企業工控系統、數據[2]採集、生產網、管理網以及對日常生產管理等現場調研,目前安全問題主要包括以下幾個方面:
(1)缺乏邊界防護技術手段
在控制網與信息網互聯的情況下,兩個網絡之間的邊界防護就成為控制系統信息安全防禦的重點。由於控制系統與信息系統的差異,控制系統的信息安全要求遠高於信息系統的信息安全要求,當缺乏有效的邊界防護技術手段時,必然會出現信息安全問題從信息網絡向控制網絡蔓延的情況。
(2)缺少信息安全威脅感知手段
信息安全威脅是看不見、摸不着的,通過管理手段只能預防控制系統的部分信息安全問題的發生,無法讓控制系統管理人員真正了解到當前系統信息安全狀況,無法得知系統面臨哪些信息安全威脅以及這些威脅來自何方。只有信息安全威脅已經產生後果才能進行處理的尷尬狀態,而信息安全威脅(如:病毒、入侵)在未產生後果前處理,要比後果產生後處理簡單的多,損失也要小得多。
(3)無法對控制系統信息安全進行統一管理
由於工控信息安全的發展現狀,缺少針對工控信息安全的系統解決方案,從當前現狀來看,企業均缺少對控制系統信息安全的統一監視、管理以及運維的綜合平台,無法對控制系統信息安全進行系統化的管理,即從設備資產管理、設備運行狀況監控、信息安全報警到信息安全事件感知、記錄和分析及後續處理的統一管理。
2 煤化工企業工控網絡安全架構方案
工控網信息安全設計要考慮多個方面的安全性。如:物理安全、網絡安全、主機安全、應用安全、數據安全等,任意一個方面的安全隱患都會造成整個工業控制系統的不安全。本文在工業控制系統的安全防護建設中,採用自主研發的安全數采網關代替傳統的Buffer機進行數據採集,同時安全數采網關對工業控制網和企業管理網進行邊界防護,實現物理隔離。安全隔離網關劃分出DMZ,實現數據的安全交互,管控平台友好人機界面圖形化的展示企業工控安全現狀,實現可視化的安全管控,系統架構如圖1所示。
3 煤化工企業工控網絡安全設計案例
通過安全數采網關在全廠範圍內劃分工控網絡安全區域,保證每個工控系統的安全獨立性,通過工控防火牆建設安全數據交換區,劃分工控DMZ區,隔離工業控制系統網絡與管理系統網絡,在實現工控系統生產實時數據安全採集的同時,消除由於數據採集可能帶來的信息安全隱患,保證生產裝置的安全穩定運行。工控網安全網絡拓撲圖設計如圖2所示,下面將分別對中控室、熱電、輸煤輔助車間的安全數采網絡設計、數采專網,工控DMZ進行詳細介紹。
3.1 中控室安全數采網絡設計
中心控制室數采網絡拓撲如圖3所示,中控室有甲醇、烯烴、公用工程3套DCS控制系統,每套DCS控制系統各提供1台OPCServer服務器,OPCServer服務器物理位置在中控室DCS機櫃間,要求每台OPCServer服務器提供一塊富餘空閒的網口。根據每台OPC預估採集點數、採集頻率甲醇裝置配備4台數采網關、烯烴裝置配置4台數采網關、公用工程配置1台數采網關,共配置9台安全數采網關;甲醇裝置通過網線將OPCServer服務器富餘空閒網口與交換機相連,安全數采網關數采網口接甲醇匯聚交換機,發送網口接中控制匯聚交換機;烯烴裝置通過網線將OPCServer服務器富餘空閒網口與交換機相連,安全數采網關數采網口接烯烴匯聚交換機,發送網口接中控制匯聚交換機;公用工程裝置通過網線將OPCServer服務器富餘空閒網口與安全數采網關的採集網口相連,數采網關的發送網口接入中控室匯聚交換機;9台安全數采網關發送網口通過交換機進行匯聚,在匯聚交換機配置IP地址、MAC地址、端口綁定策略,要求每套裝置之間的安全數采網關不能相互通訊,匯聚後交換機通過單模光纖接入至數據中心機房。
3.2 熱電安全數采網絡設計
熱電中控室有1套DCS控制系統,提供1台OPCServer服務器,OPCServer服務器物理位置在DCS機櫃間,要求該台OPCServer服務器提供一塊富餘空閒的網口。根據熱電OPCServer的預估採集點數及採集頻率,配置2台安全數采網關;熱電裝置通過網線將OPCServer服務器富餘空閒網口與交換機相連,安全數采網關數采網口接匯聚交換機,發送網口接熱電中控室匯聚交換機;在匯聚交換機配置IP地址、MAC地址、端口綁定策略。要求熱電裝置的安全數采網關不能與其它裝置安全數采網關相互通訊,匯聚後交換機通過單模光纖接入至數據中心機房,網絡拓撲如圖4所示。
3.3 輸煤輔助間安全數采網絡設計
輸煤輔助間有1套PLC控制系統,提供1台OPCServer服務器,OPCServer服務器的物理位置在輸煤輔助間,要求該OPC服務器提供一塊富餘空閒的網口。根據輸煤控制系統OPCServer預估的採集點數及採集頻率,配置1台安全數采網關;輸煤裝置通過網線將OPCServer服務器富餘空閒網口與安全數采網關的採集網口相連,數采網關的發送網口接入輸煤匯聚交換機,交換機通過單模光纖接入至中心機房。
參考文獻
- ↑ 什麼是企業管理 ?企業管理定義有三層含義 ,搜狐,2022-04-19
- ↑ 數據的來源以及數據是什麼?,搜狐,2021-07-26