1　概述

　　目前，在工業(yè)生產(chǎn)過程中，廣泛采用DCS（分布式控制系統(tǒng)）控制生產(chǎn)過程。而在絕大部分工廠里，這些DCS系統(tǒng)又與廠內(nèi)的實時數(shù)據(jù)庫、辦公網(wǎng)絡(luò)相連，如圖1所示。在與DCS相連的網(wǎng)絡(luò)上有成百上千臺計算機。如果其中的某一臺計算機感染病毒，就有可能通過計算機網(wǎng)絡(luò)傳導到DCS中。

　　如何防止病毒和黑客通過數(shù)據(jù)采集網(wǎng)絡(luò)攻擊工業(yè)控制計算機系統(tǒng)，是一個典型的邊界防護問題。在傳統(tǒng)的方法中，一般是采用防病毒軟件、工業(yè)網(wǎng)關(guān)、網(wǎng)閘來實現(xiàn)。但目前的網(wǎng)絡(luò)攻擊技術(shù)，已經(jīng)可以成功越過這些防護措施對控制系統(tǒng)進行攻擊。

　　圖1 常規(guī)數(shù)據(jù)采集系統(tǒng)

　　對這種常規(guī)的數(shù)據(jù)采集系統(tǒng)，存在著以下幾方面的網(wǎng)絡(luò)安全問題：

　　（1）這種數(shù)采監(jiān)測系統(tǒng)的一個明顯問題是過程控制計算機與局域網(wǎng)絡(luò)存在物理連接；

　?。?）這種數(shù)采監(jiān)測系統(tǒng)使得過程控制計算機可能會受到來自辦公管理網(wǎng)上的病毒感染或黑客的攻擊；

　?。?）盡管有軟硬件的防病毒軟件和防火墻，但并不能保證過程控制計算機的絕對安全，也會造成不可預測的后果。

　　2　照相數(shù)據(jù)傳輸原理

　　DCS之所以會感染病毒，實質(zhì)是DCS與實時數(shù)據(jù)庫和辦公系統(tǒng)存在物理的網(wǎng)絡(luò)連接，用于傳送生產(chǎn)裝置的數(shù)據(jù)。如果把這個網(wǎng)絡(luò)切斷，DCS就不會通過網(wǎng)絡(luò)感染病毒。但是這樣一來，實時數(shù)據(jù)庫便無法獲得生產(chǎn)數(shù)據(jù)。能不能有一種方法，不用計算機網(wǎng)絡(luò)把DCS的生產(chǎn)數(shù)據(jù)傳送到實時數(shù)據(jù)庫？如果能夠?qū)崿F(xiàn)，就徹底斷絕了計算機病毒和黑客的傳播通路，從本質(zhì)上保證了DCS的安全。

　　北京優(yōu)化佳控制技術(shù)有限公司（以下簡稱優(yōu)化佳公司）經(jīng)過了十余年的研發(fā)，投入大量人力物力，最終發(fā)明了一種“照相數(shù)據(jù)傳送技術(shù)”，可以在無網(wǎng)絡(luò)情況下把DCS數(shù)據(jù)向?qū)崟r數(shù)據(jù)庫傳送，并且實現(xiàn)了技術(shù)的商品化。該技術(shù)2009年獲得中華人民共和國發(fā)明專利（專利號：ZL200610064971.8），并由于該技術(shù)的新穎性，正在國際上四十余個國家申請專利，其中有些已獲得專利證書，如表1所示。

　　2015年該技術(shù)還獲得工信部中國電子信息產(chǎn)業(yè)發(fā)展研究院頒發(fā)的“2015年度中國工業(yè)控制網(wǎng)絡(luò)安全最佳解決方案獎”和“2015年度中國工業(yè)控制網(wǎng)絡(luò)安全創(chuàng)新企業(yè)獎”。

　　表1 照相數(shù)據(jù)傳送技術(shù)所獲國內(nèi)外的各種專利

　　2.1　照相數(shù)據(jù)傳送的原理

　　不通過網(wǎng)絡(luò)又如何傳送數(shù)據(jù)？圖2、圖3顯示了照相數(shù)據(jù)傳送的基本原理。

　　圖2 本質(zhì)安全DCS隔離站網(wǎng)絡(luò)結(jié)構(gòu)圖

　　圖3 本質(zhì)安全DCS隔離站網(wǎng)絡(luò)結(jié)構(gòu)圖

　　從圖2、3中可以看出，DCS要上傳的數(shù)據(jù)由專門的數(shù)據(jù)采集計算機采集，并且將這些數(shù)據(jù)顯示在計算機的屏幕上。另外有一個攝像系統(tǒng)將屏幕上顯示的實時數(shù)據(jù)定時自動拍攝下來，拍下來的數(shù)據(jù)畫面經(jīng)過智能機器閱讀系統(tǒng)的自動解讀后得到要上傳的數(shù)據(jù)，通過局域網(wǎng)送到實數(shù)據(jù)庫和辦公網(wǎng)上。這樣，局域網(wǎng)和DCS之間完全沒有網(wǎng)絡(luò)的物理連接，病毒和黑客就不可能通過網(wǎng)絡(luò)傳到DCS中。無論病毒如何變化，都可以從本質(zhì)上保證DCS的安全。

　　目前，優(yōu)化佳公司應用該原理，將數(shù)據(jù)采集計算機，顯示、攝像系統(tǒng)和智能機器閱讀系統(tǒng)集成在一起，研發(fā)成商品化的本質(zhì)安全DCS隔離站。該站已經(jīng)在多個DCS系統(tǒng)中長期穩(wěn)定運行，如圖4所示。

　　圖4 本質(zhì)安全DCS隔離站組實物

　　3　基于照相數(shù)據(jù)傳送技術(shù)的系列產(chǎn)品

　　基于照相數(shù)據(jù)傳送專利技術(shù)，優(yōu)化佳控制開發(fā)出一系列的商用產(chǎn)品，產(chǎn)品總覽如圖5所示。圖中顯示了各具體產(chǎn)品和在網(wǎng)絡(luò)中使用的位置。

　　3.1　本質(zhì)安全DCS隔離站系列產(chǎn)品

　?。?）PDT單輸入本質(zhì)安全DCS隔離站

　　該產(chǎn)品提供一個輸入接口和一個輸出接口。其中輸入接口可與DCS端的一個OPC Server連接，采取上傳數(shù)據(jù)。這些數(shù)據(jù)經(jīng)過照相數(shù)據(jù)傳送后，進入隔離站內(nèi)置的OPC Server，外部的OPC Client通過隔離站輸出接口連接到內(nèi)置OPC Server取數(shù)。

　　圖5 基于數(shù)據(jù)照相專利技術(shù)的工業(yè)網(wǎng)絡(luò)安全產(chǎn)品（黃標）總覽

　?。?）PDT多輸入本質(zhì)安全DCS隔離站

　　該產(chǎn)品提供多個輸入接口和多個輸出接口，每個輸入接口可與相應DCS的OPC Server連接。這樣，一套多輸入的隔離站可以連接到多個DCS OPC Server采取上傳數(shù)據(jù)。經(jīng)過照相數(shù)據(jù)單向傳送后，進入隔離站內(nèi)置的多個OPC Server，通過多個輸入接口以O(shè)PC方式輸出。

　　（3）PDT單輸入文件傳輸型本質(zhì)安全DCS隔離站

　　該產(chǎn)品具有一個輸入端和一個輸出端。其中輸入端可以送入要傳送的文件，通過照相方式將文件單向傳送后，通過輸出端推出文件。該隔離站不僅可以用于DCS端向外單向傳送文件，也可以用于任何需要進行文件單向推送的場合。

　?。?）PDT多輸入文件傳送型本質(zhì)安全DCS隔離站

　　該產(chǎn)品具有多個輸入端和一個/多個輸出端。每個輸入端可以送入各自的要傳送的文件，采用照相單向傳送后，通過一個或多個輸出端口送出。該隔離站不僅可以用于DCS端向外單向傳送文件，也可以用于任何需要進行文件單向推送的場合。

　?。?）隔離站組故障偵測報警和自動冗余切換系統(tǒng)

　　該系統(tǒng)可以自動偵測各DCS隔離站的工作狀態(tài)，健康狀況，如發(fā)現(xiàn)問題，自動進行聲光報警，并向指定手機發(fā)送短消息，自動冗余切換系統(tǒng)會向手/自動冗余控制器發(fā)出指令，將發(fā)生故障的DCS隔離站切除并將隔離系統(tǒng)切換到預設(shè)的備用方案上。

　　（6）手/自動冗余控制器

　　該手/自控制器接受隔離站組故障偵測報警和自動冗余切換系統(tǒng)的指令，將常在線的主站切換到備用站，或者從備用站切換到主站上，也可以人工強制手動進行主/備切換。除此之外，還可以實現(xiàn)隔離方案的手/自動切換。

　?。?）單輸入雙機手/自動冗余系統(tǒng)

　　該系統(tǒng)由一臺常在線主隔離站和一臺備用隔離站以及冗余控制器構(gòu)成。當主機發(fā)生故障時，冗余控制器可以自動切換到備用機上，如果主機恢復正常工作狀態(tài)，則會自動從備站切回主站。主備站也可通過手動強制切換。

　?。?）多備一手/自動冗余系統(tǒng)

　　該系統(tǒng)由多臺主隔離站和一臺備用隔離站構(gòu)成。多臺主站合用一臺隔離備站。當其中某一主站發(fā)生故障時，會自動切換到備用站上。由于多臺主站合用一臺備站，既大大提高了隔離系統(tǒng)的可靠性，也大大降低了冗余成本。

　　（9）隔離站日志服務器

　　可以對隔離站組上的每個隔離站的行為進行日志記錄及安全審計。

　?。?0）隔離站運行狀態(tài)遠程監(jiān)測系統(tǒng)

　　該系統(tǒng)利用無線數(shù)據(jù)傳送組件進行遠程信息傳送，將分散在全國各地各分部的隔離站運行狀態(tài)進行集中顯示監(jiān)測，特別適用于大型、分散各地的工業(yè)網(wǎng)絡(luò)隔離管理。

　?。?1）PDT無線傳送型本質(zhì)安全DCS隔離站

　　該站在采集到上傳數(shù)據(jù)之后，通過照相方法將數(shù)據(jù)進行單向隔離傳送，然后這些數(shù)據(jù)通過手機移動網(wǎng)絡(luò)傳送到遠方的無線實時監(jiān)測系統(tǒng)。該站配有本地智能診斷和修復系統(tǒng)，具有很高的可靠性，實現(xiàn)無人值守。

　?。?2）無線遠程實時監(jiān)測系統(tǒng)

　　該系統(tǒng)有內(nèi)置的實時數(shù)據(jù)庫，接受無線傳送系統(tǒng)本質(zhì)安全DCS隔離站的DCS實時數(shù)據(jù)，并對分散于各地的多個遠程站進行健康狀態(tài)監(jiān)測，數(shù)據(jù)管理和分析。

　　4　應用情況

　　本質(zhì)安全DCS隔離站自2007年以來，已經(jīng)在許多大型企業(yè)中應用，現(xiàn)在有一百多套正在現(xiàn)場運行，時間最長的已經(jīng)運行了10年之久，歷經(jīng)了長期運行的考驗。下面以中石化兩個大型工業(yè)企業(yè)為例，介紹在企業(yè)應用的情況。

　　4.1　中石化某公司全廠DCS安全隔離系統(tǒng)

　　中石化某公司為年加工能力1000萬噸的大型煉油企業(yè)，有19套老裝置和新建大煉油1套聯(lián)合裝置等，經(jīng)過方案設(shè)計的優(yōu)化，只需采用十套本質(zhì)安全DCS隔離站就可以對全廠生產(chǎn)過程控制網(wǎng)絡(luò)進行徹底的網(wǎng)絡(luò)安全防護，如圖6所示。

　　圖6 中石化某公司全廠本質(zhì)安全DCS隔離站配置結(jié)構(gòu)圖（部分）

　　（1）新建大煉油相關(guān)裝置約20,000個TAG，本質(zhì)安全DCS隔離站的單站最大處理能力是6,000個TAG，考慮未來新增位號的可能性，為其提供5套隔離站便可滿足需求。

　　（2）19套老裝置共計約24,000個Tag ，考慮一些裝置位號個數(shù)僅為幾十個或幾百個，從可行性，安全性、經(jīng)濟性多個角度進行綜合分析，為其提供4套多輸入，2套單輸入本質(zhì)安全DCS隔離站便可滿足實際需求。

　?。?）全廠新老裝置共約44,000個Tag 。共需10套本質(zhì)安全DCS隔離站完成隔離。工程分兩期進行，一期工程7個隔離站，二期工程3個隔離站。

　?。?）配有DCS隔離站監(jiān)測系統(tǒng)，可以實時監(jiān)測隔離站的各種工作情況及健康狀況。

　　DCS安全隔離系統(tǒng)自2012年8月投運以來，運行情況良好，穩(wěn)定運行至今，各應用部門對該系統(tǒng)都給予了充分肯定。

　?。?）各實時數(shù)據(jù)庫安全隔離系統(tǒng)運行正常；

　?。?）采集隔離的數(shù)據(jù)完整、準確；

　?。?）配有專門設(shè)計的DCS隔離站監(jiān)測系統(tǒng)。用戶可查看各個隔離站所屬系統(tǒng)運行的健康情況，記錄隔離站發(fā)生的各種事件，還可以通過短信發(fā)布所發(fā)生的重要事件；

　?。?）系統(tǒng)響應快速，系統(tǒng)恢復用時短，系統(tǒng)應用影響小。

　　該系統(tǒng)于2013年10月通過中石化測試驗收。

　　4.2　某化工廠本質(zhì)安全隔離站應用情況

　　某化工廠本質(zhì)安全DCS隔離項目于2015年1月簽訂合同，2015年9月投入運行。

　　在該項目中，采用優(yōu)化佳公司的照相數(shù)據(jù)傳送專利技術(shù)，使用8套PDT4000本質(zhì)安全DCS隔離站，對合成氨裝置、制氧乙炔、動力、VAE新老裝置、東西循、PVA、發(fā)電124#和軟水8套關(guān)鍵裝置進行隔離，使用隔離站后，這些裝置的DCS數(shù)據(jù)只能單向傳送到全廠實時數(shù)據(jù)庫，而外網(wǎng)的病毒和黑客等無法通過數(shù)據(jù)采集網(wǎng)絡(luò)系統(tǒng)對DCS發(fā)動攻擊，從而確保生產(chǎn)的安全。

　　該廠本質(zhì)安全DCS隔離系統(tǒng)項目創(chuàng)新點如下：

　?。?）項目中使用了最新的PDT4000系列產(chǎn)品。PDT4000系列產(chǎn)品是本質(zhì)安全DCS隔離站第四代產(chǎn)品，與第三代產(chǎn)品相比，有著以下的技術(shù)進步：

　　可以進行位號的在線追加、編緝。以前的產(chǎn)品在對上傳的位號進行添加或刪除時，需要將隔離站離線一段時間，這會造成數(shù)據(jù)傳輸?shù)闹袛唷，F(xiàn)在可以在不中斷數(shù)據(jù)傳送的情況下進行上傳數(shù)據(jù)位號的修改；

　　體積減小了1/3；

　　能耗減少了2/3；

　　硬件重新設(shè)計研發(fā)，具有更高的可靠性。

　　（2）采用多備一全自動冗余的新技術(shù)，大大提高系統(tǒng)可靠性。在本項目中，使用了創(chuàng)新的8備1自動冗余方案，只要系統(tǒng)偵測到其中的一套隔離站有問題，會自動將隔離任務切換到備站。不僅如此，如果此后還有其他主站出現(xiàn)問題，只要有故障的主隔離站的傳輸點數(shù)不超過備站的最大能力，均會將隔離傳輸?shù)娜蝿兆詣忧袚Q到備站。也就是說，即便是多個主站同時出現(xiàn)問題，也可以同時切換到備用站。

　　由此可見，多備一系統(tǒng)技術(shù)的應用，可以在增加少量備用冗余投資的情況下，實現(xiàn)多套系統(tǒng)的全自動冗余，大大提高了系統(tǒng)的可靠性，使生產(chǎn)數(shù)據(jù)的傳輸?shù)玫搅吮ＷC。

　　5　本質(zhì)安全DCS隔離站成功阻斷WannaCry病毒事例

　　2017年5月爆發(fā)的WannaCry病毒感染了某工業(yè)企業(yè)油庫生產(chǎn)監(jiān)控平臺，病毒沿著數(shù)據(jù)庫的數(shù)據(jù)采集網(wǎng)絡(luò)向DCS和生產(chǎn)設(shè)備傳播。由于事先在數(shù)據(jù)庫的數(shù)據(jù)采集通道上安裝了本質(zhì)安全DCS隔離站，及時發(fā)揮了保護作用，阻斷了病毒向DCS系統(tǒng)的擴散，保護了工控系統(tǒng)，確保生產(chǎn)的正常進行。

　　圖7是該油庫生產(chǎn)監(jiān)控平臺的拓撲圖。圖7中，連接數(shù)采緩存機（3號機）和工控網(wǎng)交換機的設(shè)備是本質(zhì)安全型DCS隔離站，它包含兩臺設(shè)備：數(shù)據(jù)采集與映射子系統(tǒng)（1號機）和自動攝像與智能閱讀子系統(tǒng)（2號機），其中2號機與3號機相連，1號機和工控網(wǎng)交換機相連。隔離設(shè)備的任務是：保護下面的DCS系統(tǒng)不受上面網(wǎng)絡(luò)中病毒和黑客的攻擊，同時完成DCS系統(tǒng)生產(chǎn)數(shù)據(jù)向上面數(shù)據(jù)庫的實時傳遞。

　　圖7 某企業(yè)油庫生產(chǎn)監(jiān)控平臺的拓撲圖

　　在WannaCry蠕蟲病毒爆發(fā)后，該監(jiān)控平臺受到病毒的攻擊，其過程如下：

　?。?）病毒使管理總部的實時數(shù)據(jù)庫服務器中毒。

　?。?）病毒通過專網(wǎng)擴散到各地油庫，通過交換機下傳到數(shù)據(jù)采集計算機，造成B、C、D三地油庫數(shù)采緩存機（3號機）中毒。

　　（3）上述三地的病毒通過網(wǎng)絡(luò)繼續(xù)向下入侵，到達本質(zhì)安全型DCS隔離站，并造成C、D兩地的隔離站2號機中毒。

　　（4）由于本質(zhì)安全型DCS隔離站具有的照相數(shù)據(jù)單向傳輸特性，使得2號機上的病毒無法繼續(xù)擴散到1號機，阻斷了病毒的向下傳播，從而實現(xiàn)了對下面DCS系統(tǒng)的保護。

　　由此可見，在此次病毒攻擊事件中，攻擊被本質(zhì)安全DCS隔離站阻斷，確保了保護區(qū)內(nèi)的工業(yè)生產(chǎn)設(shè)備的安全。

　　6　結(jié)語

　　基于照相數(shù)據(jù)傳送技術(shù)的本質(zhì)安全DCS隔離站具有如下特點:

　　（1）完全單向的數(shù)據(jù)傳送，零比特返回，切斷外擊通道，可以防范現(xiàn)有的和未來的基于網(wǎng)絡(luò)的病毒和黑客的攻擊；

　　（2）數(shù)據(jù)正向傳輸采用非網(wǎng)絡(luò)方式，無網(wǎng)絡(luò)傳輸通道，可以防止DCS內(nèi)網(wǎng)的網(wǎng)絡(luò)間諜軟件和病毒黑客利用網(wǎng)絡(luò)通道向外傳輸情報，向數(shù)據(jù)庫端發(fā)起攻擊；

　?。?）具有多套DCS合用功能，降低用戶隔離成本；

　?。?）具有隔離站組故障檢測報警系統(tǒng)，可以提升大型企業(yè)的管理效率；

　?。?）可以實現(xiàn)多臺主隔離站合用1套備用隔離站，并實現(xiàn)全自動切換，大大提高了隔離系統(tǒng)的可靠性，降低冗余成本；

　　（6）經(jīng)過大型石化企業(yè)長期應用的考驗，系統(tǒng)運行穩(wěn)定可靠；

　?。?）具有中國自主知識產(chǎn)權(quán)，在網(wǎng)絡(luò)防護問題上可以不受制于人。