1 引言
石化企业生产工艺过程复杂,过程控制计算机系统应用普及,具有高温高压、易燃易爆、有毒有害、自动化程度高的特点。传统的过程控制计算机系统以满足生产现场操作管理为目标,是一个封闭系统。随着网络技术、计算机技术和控制技术的快速发展,集成生产过程信息实现企业管控一体化系统成为必然选择。通过多年的信息集成实践,石化企业基本上形成了管理网/控制网络的2层网络结构。
当封闭的过程控制计算机系统面对开放的网络集成环境时,系统出现了边界模糊、界线消失的新问题,部分石化企业的控制系统出现了病毒、木马、外部侵入等事件,轻则导致控制系统响应变慢,重则导致控制系统不能操控、系统异常错误等问题,甚至有的企业发生装置停工及其它严重后果。特别是最近出现的“超级工厂病毒”( Stuxnet ),专门针对工业控制系统进行破坏,对业界产生了极大的震动。石化企业事关国家能源供应,社会影响大,对国家安全和社会稳定具有重要的意义。面对这些新情况、新问题和新动向,必须加以分析研究。因此急需采用先进技术设计和组成生产专网,消除安全隐患,保证控制系统和生产装置的正常运行。
2 企业生产数据集成的现状分析
2.1数据集成现状与面临的安全问题
过程控制计算机系统一般分为DCS(集散控制系统)、FCS(现场总线控制系统)和PLC(可编程控制器系统)等类型。随着网络技术的不断发展,推动了过程控制计算机系统的发展,形成了复杂的工业控制网络。石化企业的过程控制计算机系统应用起步较早,在不同的装置上,不同类型的控制系统都有大量应用。
石化企业管控一体化的系统集成经历了20余年的发展,逐步形成了管理网/控制网络的2层结构。实时数据库作为管控一体化的基础平台,为控制系统与企业经营管理系统搭建了桥梁,实时数据库通过接口机和过程控制计算机系统相连接。接口机的功能是“上传下访”,向上与实时数据库通信,接受服务器调度、响应请求、转发数据;向下与控制系统通信,发出请求、获得数据、缓存数据。实时数据库与过程控制计算机系统的接口机是整个系统的关键。
随着过程控制计算机系统中DCS, FCS和PLC的分类被淡化,各种类型互相取长补短,技术上融合发展。控制网络的结构由私有、专用网络向层次化、标准化发展,控制网络的协议也由私有协议转向工业以太网协议。控制系统的外部接口从非标接口向标准接口发展,逐步统一于OPC标准,人机接口的操作系统也向微软视窗等通用操作系统转变。
过程控制计算机系统的安全问题主要是由系统结构变化和数据集成产生的川。系统面临来自管理网络上普遍存在的病毒、木马、特定攻击。由于人机接口采用视窗操作系统,存在BUG缺陷,需要根据不定期发布的补丁包来进行更新,以保障系统的安全。制造商和维护单位要求开放互联网访问,对系统进行维护诊断处理的外部访问,也具有安全隐患。另外,人机接口设备的开放性,包括通用的光驱、软驱、USB和富余的网络接口,都易成为破坏性入口点。
2.2数据接口机的安全问题
在2层网络结构中,实时数据库与过程控制计算机系统之间的接口机是整个系统的关键。接口机在实际应用中普遍存在分布式和集中式2种模式,如图1所示。
分布式接口机一侧与管理网连接,另一侧与控制系统直接连接,每个接口对应一套控制系统,又称本地双网卡接口模式。当接口通信故障时需要技术人员到现场处理,系统维护很不方便。系统集成的安全性全部依赖于接口机,主要的安全隐患来自管理网络,系统风险高。集中式接口机根据集中程度又分为区域集中和全集中.接口机两侧都利用管理网络传输信息,接口通信故障时不需要技术人员到现场处理,维护操作方便。但是控制网络与管理网络完全连通,系统集成的安全性差,系统风险高。
上述2种接口机都存在安全风险。每一个接口都连接一套控制系统,这样每一个接口就是一条通道,就是一个安全风险点,只有确保了所有的通道安全才能保障通往关联控制系统的安全。
图1 2种类型的数据接口方案
3 生产专网的设计
在明确相关系统的分界面后,从内因外因两方面入手,以接口机为关键点,对生产专网进行设计和部署,以保障控制系统的安全。生产专网的设计需要考虑安全性、经济性、专业化、先进性等原则。
3.1企业网络的功能划分与生产专网的形成
管理网络是企业公共基础平台,承载了企业资源计划系统、综合办公事务处理系统、企业门户、邮件和互联网访问等综合管理信息系统,为各类经营管理人员办公提供网络系统。
工业控制系统自成体系,构成控制网络,依据内部功能划分从底向上依次为I/O层、控制通信层和操作信息层。为保障控制网络的体系完整性和功能独立性,利用操作信息层接口,在不改变控制网络的体系结构前提下进行信息集成。
实时数据库系统与控制网络进行通信,面对各种控制系统的接口设备,为调度、设备、安全和生产人员提供实时信息,掌握生产动态,进行调度指挥。实时数据库系统和企业综合信息管理系统也有差别,服务对象不同、应用目标不同。为此,将实时数据库系统的网络环境从管理网络中分离出来,企业网络按功能进行分区设计,分为管理网络、生产专网和控制网络3层结构,每2层之间通过防火墙进行隔离,如图2所示。
图2 企业网络层次结构图
3.2生产专网的设计
生产专网结构如图3所示,建立了物理上独立的生产专用网络,采用核心和接入2层网络架构,采用双路由的方式,网络地址与管理网地址相互独立、自成体系,并采用双核心交换机、专用网管系统,网络设备具有端口管理功能。
图3 二期建设中通信专网建设拓扑图
增加生产专网这一个层次,将管理网和控制网路分离,进行物理和逻辑隔离,两者不再直接连接,从管理网到控制网路要穿透生产专网,增加了访问难度,从而提高了安全性。
生产专网实现了与管理网只有一个接口通过防火墙进行隔离。在DMZ区为管理网提供信息服务和数据访问代理;每套控制系统只有一个外部接口,连接点在控制系统的操作信息网络上对应设备的网络端口,通过防火墙隔离。
通过生产专网的设计,控制网络中的各个控制系统只与生产专网相联接,与管理网络没有直接通道。每套控制系统与生产专网只有一个点对点的物理接口,从而阻断了来自管理网络上普遍存在的病毒、木马、特定攻击等的直接威胁。
3.3控制网络的信息安全管理
虽然徽软视窗操作系统针对各种BUG缺陷会不定期发布补丁包,但需要用户进行更新才能解决缺陷问题。而控制系统人机接口采用的视窗操作系统是由制造商进行了专用化改造的定制系统,系统投用后运行相对稳定的情况下,不用更新也能满足系统正常使用,没有及时更新的必要性,即使要更新,也需要在制造商测试后发布更新公告时才能进行系统更新。因此,系统补丁更新应通过手动更新方式进行。
对于通过互联网访问企业控制系统来进行故障诊断和系统维护处理的要求,则不应该满足此项要求。对控制系统的诊断维护必须先进行测试,远程维护处理在制度上是不允许的。人机接口设备具有开放性和通用性,易成为破坏性入侵点,则必须关闭有关接口设备。
4 基于虚拟化的技术方案
随着云技术的飞速发展,网络、计算和存储的性能不断提高,作为云技术基础之一的虚拟化技术获得越来越广泛的应用阅。在生产专网的应用中引入了虚拟化技术,建立私有云平台。
首先采用虚拟交换机构成虚拟网络平台间。虚拟交换机的网络功能较为简单,内置大量的虚拟端口。生产专网按照2层网络设计,则在虚拟平台网络环境中也对应建成2层网络架构。因此,虚拟交换机也分为2种类型,一种是提供虚拟服务器和虚拟接口机的网络连接,即核心交换机;一种是用来连接外部控制系统的,即接入交换机。
由于实体交换机配置了防火墙模块,因此为虚拟交换机也配置虚拟防火墙,还设置DMZ区,并利用防火墙的规则进行隔离和控制。
其次在虚拟计算中,所有接口的“上传”功能是一致的、标准的,接口的“下访”功能则有差别,访问的控制系统不同、通信协议不一致。随着通信协议的归一化(OPC)提高,接口间的差别缩小,接口标准化程度高,适合采用虚拟机实现。
在高性能服务器集群平台上,采用虚拟技术,应用虚拟软件,在物理平台上建立虚拟接口群,为每套控制系统分配一台虚拟接口机。建立虚拟服务器群,为各类服务器按需分配一台虚拟机,建立域控、授权、实时数据库、WEB、开发测试、备份和网管等服务器。实体接口机和服务器的安全管理同样适用于虚拟计算环境.对虚拟接口机与控制网络的逻辑接口通过虚拟防火墙进行隔离和访问控制,对虚拟服务器进行主机加固。对虚拟接口机群和服务器群统一部署安全策略,实现防病毒、补丁分发和端口控制;制定系统备份恢复策略,提高系统的应急处置能力。
对于虚拟存储,则通过建立IP SAN物理存储平台来实现.利用端口聚合功能,扩大吞吐量,依据应用的存储需求进行容量分配和管理策略。在网络和计算虚拟化以后,为虚拟服务器、虚拟接口机分配存储。
5 案例应用
某石化企业有生产装置so余套,其中过程控制计算机系统有50多套,但是控制系统应用品牌繁杂、版本各异。目前在用的控制系统有32套,包括Honeywell的PKS/TDC3000, YOKOGAWA的X1/CS 1000/CS3000、和利时的MACS、浙江中控的ECS 100等类型。上述过程控制系统相互独立,分散在企业的炼油、化肥、化纤、热电等生产区域。企业数据集成系统进行了多次扩容和完善,从“分布”到“集中”,其中对控制系统的安全保障主要是基于接口机的双网卡、私有地址,保障安全的技术本质没有改变。
由于企业管理网络环境的日益复杂,控制系统不安全事件则时有发生。为了确保控制系统的安全、提升系统整体的安全性,采用本文提出的3层网络结构,建设了生产专网,进行了虚拟化应用改造。改造后的整个系统拓扑如图4所示。
图4 改造后的系统拓扑图
企业建成了独立的生产专网,采用2台H3C 7506E通过VRRP协议实现核心设备冗余备份;插配H3CSecBlade FW万兆防火墙模块实现与管理网隔离、各个VLAN之间的隔离、与控制系统的隔离,采用iMC网络管理平台对生产专网进行管理和监控;通过VMware Esx系列软件进行虚拟化,采用2台DELL 8900做虚拟服务器群替代9台服务器,采用3台DELL 8710做虚拟接口机群替代32台接口机,接口机分配虚拟资源为1个CPU2G内存,15 G存储空间,2个网络接口分成2个VLAN。每个虚拟接口机与一套控制系统相对应,采用远程连接实现,对虚拟接口机进行统一防病毒,打补丁更新,以及访问地址、端口和协议的控制等安全策略的部署。
通过实际应用,在技术上提升了控制网络的安全,收到了很好的效果,保障了控制系统的安全;减少了物理服务器和接口机的使用数量,降低了设备采购费用、备件消耗、人工维护成本、能源消耗,取得了直接经济效益和节能减排成效。
6 结论
石化企业目前普遍采用管理网控制网络的2层结构,本文在分析2层网络结构存在的问题、结合部分企业出现的一些安全事故案例的基础上,提出了管理网/生产专网腔制网络的3层网络结构,并对生产专网进行了较详细的设计,利用虚拟化技术开展了生产专网的建设和应用,取得了一定成效。本文取得的经验可以为有关企业提供借鉴。
核心关注:拓步ERP系统平台是覆盖了众多的业务领域、行业应用,蕴涵了丰富的ERP管理思想,集成了ERP软件业务管理理念,功能涉及供应链、成本、制造、CRM、HR等众多业务领域的管理,全面涵盖了企业关注ERP管理系统的核心领域,是众多中小企业信息化建设首选的ERP管理软件信赖品牌。
转载请注明出处:拓步ERP资讯网http://www.toberp.com/
本文转自:e-works制造业信息化门户网
本文来源于互联网,拓步ERP资讯网本着传播知识、有益学习和研究的目的进行的转载,为网友免费提供,并尽力标明作者与出处,如有著作权人或出版方提出异议,本站将立即删除。如果您对文章转载有任何疑问请告之我们,以便我们及时纠正。联系方式:QQ:10877846 Tel:0755-26405298。
相关文章
