1 概述
目前,在工業(yè)生產(chǎn)過(guò)程中,廣泛采用DCS(分布式控制系統(tǒng))控制生產(chǎn)過(guò)程。而在絕大部分工廠里,這些DCS系統(tǒng)又與廠內(nèi)的實(shí)時(shí)數(shù)據(jù)庫(kù)、辦公網(wǎng)絡(luò)相連,如圖1所示。在與DCS相連的網(wǎng)絡(luò)上有成百上千臺(tái)計(jì)算機(jī)。如果其中的某一臺(tái)計(jì)算機(jī)感染病毒,就有可能通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)傳導(dǎo)到DCS中。
如何防止病毒和黑客通過(guò)數(shù)據(jù)采集網(wǎng)絡(luò)攻擊工業(yè)控制計(jì)算機(jī)系統(tǒng),是一個(gè)典型的邊界防護(hù)問(wèn)題。在傳統(tǒng)的方法中,一般是采用防病毒軟件、工業(yè)網(wǎng)關(guān)、網(wǎng)閘來(lái)實(shí)現(xiàn)。但目前的網(wǎng)絡(luò)攻擊技術(shù),已經(jīng)可以成功越過(guò)這些防護(hù)措施對(duì)控制系統(tǒng)進(jìn)行攻擊。
圖1 常規(guī)數(shù)據(jù)采集系統(tǒng)
對(duì)這種常規(guī)的數(shù)據(jù)采集系統(tǒng),存在著以下幾方面的網(wǎng)絡(luò)安全問(wèn)題:
?。?)這種數(shù)采監(jiān)測(cè)系統(tǒng)的一個(gè)明顯問(wèn)題是過(guò)程控制計(jì)算機(jī)與局域網(wǎng)絡(luò)存在物理連接;
(2)這種數(shù)采監(jiān)測(cè)系統(tǒng)使得過(guò)程控制計(jì)算機(jī)可能會(huì)受到來(lái)自辦公管理網(wǎng)上的病毒感染或黑客的攻擊;
?。?)盡管有軟硬件的防病毒軟件和防火墻,但并不能保證過(guò)程控制計(jì)算機(jī)的絕對(duì)安全,也會(huì)造成不可預(yù)測(cè)的后果。
2 照相數(shù)據(jù)傳輸原理
DCS之所以會(huì)感染病毒,實(shí)質(zhì)是DCS與實(shí)時(shí)數(shù)據(jù)庫(kù)和辦公系統(tǒng)存在物理的網(wǎng)絡(luò)連接,用于傳送生產(chǎn)裝置的數(shù)據(jù)。如果把這個(gè)網(wǎng)絡(luò)切斷,DCS就不會(huì)通過(guò)網(wǎng)絡(luò)感染病毒。但是這樣一來(lái),實(shí)時(shí)數(shù)據(jù)庫(kù)便無(wú)法獲得生產(chǎn)數(shù)據(jù)。能不能有一種方法,不用計(jì)算機(jī)網(wǎng)絡(luò)把DCS的生產(chǎn)數(shù)據(jù)傳送到實(shí)時(shí)數(shù)據(jù)庫(kù)?如果能夠?qū)崿F(xiàn),就徹底斷絕了計(jì)算機(jī)病毒和黑客的傳播通路,從本質(zhì)上保證了DCS的安全。
北京優(yōu)化佳控制技術(shù)有限公司(以下簡(jiǎn)稱優(yōu)化佳公司)經(jīng)過(guò)了十余年的研發(fā),投入大量人力物力,最終發(fā)明了一種“照相數(shù)據(jù)傳送技術(shù)”,可以在無(wú)網(wǎng)絡(luò)情況下把DCS數(shù)據(jù)向?qū)崟r(shí)數(shù)據(jù)庫(kù)傳送,并且實(shí)現(xiàn)了技術(shù)的商品化。該技術(shù)2009年獲得中華人民共和國(guó)發(fā)明專利(專利號(hào):ZL200610064971.8),并由于該技術(shù)的新穎性,正在國(guó)際上四十余個(gè)國(guó)家申請(qǐng)專利,其中有些已獲得專利證書,如表1所示。
2015年該技術(shù)還獲得工信部中國(guó)電子信息產(chǎn)業(yè)發(fā)展研究院頒發(fā)的“2015年度中國(guó)工業(yè)控制網(wǎng)絡(luò)安全最佳解決方案獎(jiǎng)”和“2015年度中國(guó)工業(yè)控制網(wǎng)絡(luò)安全創(chuàng)新企業(yè)獎(jiǎng)”。
表1 照相數(shù)據(jù)傳送技術(shù)所獲國(guó)內(nèi)外的各種專利
2.1 照相數(shù)據(jù)傳送的原理
不通過(guò)網(wǎng)絡(luò)又如何傳送數(shù)據(jù)?圖2、圖3顯示了照相數(shù)據(jù)傳送的基本原理。
圖2 本質(zhì)安全DCS隔離站網(wǎng)絡(luò)結(jié)構(gòu)圖
圖3 本質(zhì)安全DCS隔離站網(wǎng)絡(luò)結(jié)構(gòu)圖
從圖2、3中可以看出,DCS要上傳的數(shù)據(jù)由專門的數(shù)據(jù)采集計(jì)算機(jī)采集,并且將這些數(shù)據(jù)顯示在計(jì)算機(jī)的屏幕上。另外有一個(gè)攝像系統(tǒng)將屏幕上顯示的實(shí)時(shí)數(shù)據(jù)定時(shí)自動(dòng)拍攝下來(lái),拍下來(lái)的數(shù)據(jù)畫面經(jīng)過(guò)智能機(jī)器閱讀系統(tǒng)的自動(dòng)解讀后得到要上傳的數(shù)據(jù),通過(guò)局域網(wǎng)送到實(shí)數(shù)據(jù)庫(kù)和辦公網(wǎng)上。這樣,局域網(wǎng)和DCS之間完全沒(méi)有網(wǎng)絡(luò)的物理連接,病毒和黑客就不可能通過(guò)網(wǎng)絡(luò)傳到DCS中。無(wú)論病毒如何變化,都可以從本質(zhì)上保證DCS的安全。
目前,優(yōu)化佳公司應(yīng)用該原理,將數(shù)據(jù)采集計(jì)算機(jī),顯示、攝像系統(tǒng)和智能機(jī)器閱讀系統(tǒng)集成在一起,研發(fā)成商品化的本質(zhì)安全DCS隔離站。該站已經(jīng)在多個(gè)DCS系統(tǒng)中長(zhǎng)期穩(wěn)定運(yùn)行,如圖4所示。
圖4 本質(zhì)安全DCS隔離站組實(shí)物
3 基于照相數(shù)據(jù)傳送技術(shù)的系列產(chǎn)品
基于照相數(shù)據(jù)傳送專利技術(shù),優(yōu)化佳控制開(kāi)發(fā)出一系列的商用產(chǎn)品,產(chǎn)品總覽如圖5所示。圖中顯示了各具體產(chǎn)品和在網(wǎng)絡(luò)中使用的位置。
3.1 本質(zhì)安全DCS隔離站系列產(chǎn)品
?。?)PDT單輸入本質(zhì)安全DCS隔離站
該產(chǎn)品提供一個(gè)輸入接口和一個(gè)輸出接口。其中輸入接口可與DCS端的一個(gè)OPC Server連接,采取上傳數(shù)據(jù)。這些數(shù)據(jù)經(jīng)過(guò)照相數(shù)據(jù)傳送后,進(jìn)入隔離站內(nèi)置的OPC Server,外部的OPC Client通過(guò)隔離站輸出接口連接到內(nèi)置OPC Server取數(shù)。
圖5 基于數(shù)據(jù)照相專利技術(shù)的工業(yè)網(wǎng)絡(luò)安全產(chǎn)品(黃標(biāo))總覽
?。?)PDT多輸入本質(zhì)安全DCS隔離站
該產(chǎn)品提供多個(gè)輸入接口和多個(gè)輸出接口,每個(gè)輸入接口可與相應(yīng)DCS的OPC Server連接。這樣,一套多輸入的隔離站可以連接到多個(gè)DCS OPC Server采取上傳數(shù)據(jù)。經(jīng)過(guò)照相數(shù)據(jù)單向傳送后,進(jìn)入隔離站內(nèi)置的多個(gè)OPC Server,通過(guò)多個(gè)輸入接口以O(shè)PC方式輸出。
?。?)PDT單輸入文件傳輸型本質(zhì)安全DCS隔離站
該產(chǎn)品具有一個(gè)輸入端和一個(gè)輸出端。其中輸入端可以送入要傳送的文件,通過(guò)照相方式將文件單向傳送后,通過(guò)輸出端推出文件。該隔離站不僅可以用于DCS端向外單向傳送文件,也可以用于任何需要進(jìn)行文件單向推送的場(chǎng)合。
?。?)PDT多輸入文件傳送型本質(zhì)安全DCS隔離站
該產(chǎn)品具有多個(gè)輸入端和一個(gè)/多個(gè)輸出端。每個(gè)輸入端可以送入各自的要傳送的文件,采用照相單向傳送后,通過(guò)一個(gè)或多個(gè)輸出端口送出。該隔離站不僅可以用于DCS端向外單向傳送文件,也可以用于任何需要進(jìn)行文件單向推送的場(chǎng)合。
?。?)隔離站組故障偵測(cè)報(bào)警和自動(dòng)冗余切換系統(tǒng)
該系統(tǒng)可以自動(dòng)偵測(cè)各DCS隔離站的工作狀態(tài),健康狀況,如發(fā)現(xiàn)問(wèn)題,自動(dòng)進(jìn)行聲光報(bào)警,并向指定手機(jī)發(fā)送短消息,自動(dòng)冗余切換系統(tǒng)會(huì)向手/自動(dòng)冗余控制器發(fā)出指令,將發(fā)生故障的DCS隔離站切除并將隔離系統(tǒng)切換到預(yù)設(shè)的備用方案上。
?。?)手/自動(dòng)冗余控制器
該手/自控制器接受隔離站組故障偵測(cè)報(bào)警和自動(dòng)冗余切換系統(tǒng)的指令,將常在線的主站切換到備用站,或者從備用站切換到主站上,也可以人工強(qiáng)制手動(dòng)進(jìn)行主/備切換。除此之外,還可以實(shí)現(xiàn)隔離方案的手/自動(dòng)切換。
?。?)單輸入雙機(jī)手/自動(dòng)冗余系統(tǒng)
該系統(tǒng)由一臺(tái)常在線主隔離站和一臺(tái)備用隔離站以及冗余控制器構(gòu)成。當(dāng)主機(jī)發(fā)生故障時(shí),冗余控制器可以自動(dòng)切換到備用機(jī)上,如果主機(jī)恢復(fù)正常工作狀態(tài),則會(huì)自動(dòng)從備站切回主站。主備站也可通過(guò)手動(dòng)強(qiáng)制切換。
?。?)多備一手/自動(dòng)冗余系統(tǒng)
該系統(tǒng)由多臺(tái)主隔離站和一臺(tái)備用隔離站構(gòu)成。多臺(tái)主站合用一臺(tái)隔離備站。當(dāng)其中某一主站發(fā)生故障時(shí),會(huì)自動(dòng)切換到備用站上。由于多臺(tái)主站合用一臺(tái)備站,既大大提高了隔離系統(tǒng)的可靠性,也大大降低了冗余成本。
?。?)隔離站日志服務(wù)器
可以對(duì)隔離站組上的每個(gè)隔離站的行為進(jìn)行日志記錄及安全審計(jì)。
?。?0)隔離站運(yùn)行狀態(tài)遠(yuǎn)程監(jiān)測(cè)系統(tǒng)
該系統(tǒng)利用無(wú)線數(shù)據(jù)傳送組件進(jìn)行遠(yuǎn)程信息傳送,將分散在全國(guó)各地各分部的隔離站運(yùn)行狀態(tài)進(jìn)行集中顯示監(jiān)測(cè),特別適用于大型、分散各地的工業(yè)網(wǎng)絡(luò)隔離管理。
?。?1)PDT無(wú)線傳送型本質(zhì)安全DCS隔離站
該站在采集到上傳數(shù)據(jù)之后,通過(guò)照相方法將數(shù)據(jù)進(jìn)行單向隔離傳送,然后這些數(shù)據(jù)通過(guò)手機(jī)移動(dòng)網(wǎng)絡(luò)傳送到遠(yuǎn)方的無(wú)線實(shí)時(shí)監(jiān)測(cè)系統(tǒng)。該站配有本地智能診斷和修復(fù)系統(tǒng),具有很高的可靠性,實(shí)現(xiàn)無(wú)人值守。
?。?2)無(wú)線遠(yuǎn)程實(shí)時(shí)監(jiān)測(cè)系統(tǒng)
該系統(tǒng)有內(nèi)置的實(shí)時(shí)數(shù)據(jù)庫(kù),接受無(wú)線傳送系統(tǒng)本質(zhì)安全DCS隔離站的DCS實(shí)時(shí)數(shù)據(jù),并對(duì)分散于各地的多個(gè)遠(yuǎn)程站進(jìn)行健康狀態(tài)監(jiān)測(cè),數(shù)據(jù)管理和分析。
4 應(yīng)用情況
本質(zhì)安全DCS隔離站自2007年以來(lái),已經(jīng)在許多大型企業(yè)中應(yīng)用,現(xiàn)在有一百多套正在現(xiàn)場(chǎng)運(yùn)行,時(shí)間最長(zhǎng)的已經(jīng)運(yùn)行了10年之久,歷經(jīng)了長(zhǎng)期運(yùn)行的考驗(yàn)。下面以中石化兩個(gè)大型工業(yè)企業(yè)為例,介紹在企業(yè)應(yīng)用的情況。
4.1 中石化某公司全廠DCS安全隔離系統(tǒng)
中石化某公司為年加工能力1000萬(wàn)噸的大型煉油企業(yè),有19套老裝置和新建大煉油1套聯(lián)合裝置等,經(jīng)過(guò)方案設(shè)計(jì)的優(yōu)化,只需采用十套本質(zhì)安全DCS隔離站就可以對(duì)全廠生產(chǎn)過(guò)程控制網(wǎng)絡(luò)進(jìn)行徹底的網(wǎng)絡(luò)安全防護(hù),如圖6所示。
圖6 中石化某公司全廠本質(zhì)安全DCS隔離站配置結(jié)構(gòu)圖(部分)
?。?)新建大煉油相關(guān)裝置約20,000個(gè)TAG,本質(zhì)安全DCS隔離站的單站最大處理能力是6,000個(gè)TAG,考慮未來(lái)新增位號(hào)的可能性,為其提供5套隔離站便可滿足需求。
?。?)19套老裝置共計(jì)約24,000個(gè)Tag ,考慮一些裝置位號(hào)個(gè)數(shù)僅為幾十個(gè)或幾百個(gè),從可行性,安全性、經(jīng)濟(jì)性多個(gè)角度進(jìn)行綜合分析,為其提供4套多輸入,2套單輸入本質(zhì)安全DCS隔離站便可滿足實(shí)際需求。
?。?)全廠新老裝置共約44,000個(gè)Tag 。共需10套本質(zhì)安全DCS隔離站完成隔離。工程分兩期進(jìn)行,一期工程7個(gè)隔離站,二期工程3個(gè)隔離站。
(4)配有DCS隔離站監(jiān)測(cè)系統(tǒng),可以實(shí)時(shí)監(jiān)測(cè)隔離站的各種工作情況及健康狀況。
DCS安全隔離系統(tǒng)自2012年8月投運(yùn)以來(lái),運(yùn)行情況良好,穩(wěn)定運(yùn)行至今,各應(yīng)用部門對(duì)該系統(tǒng)都給予了充分肯定。
?。?)各實(shí)時(shí)數(shù)據(jù)庫(kù)安全隔離系統(tǒng)運(yùn)行正常;
?。?)采集隔離的數(shù)據(jù)完整、準(zhǔn)確;
(3)配有專門設(shè)計(jì)的DCS隔離站監(jiān)測(cè)系統(tǒng)。用戶可查看各個(gè)隔離站所屬系統(tǒng)運(yùn)行的健康情況,記錄隔離站發(fā)生的各種事件,還可以通過(guò)短信發(fā)布所發(fā)生的重要事件;
?。?)系統(tǒng)響應(yīng)快速,系統(tǒng)恢復(fù)用時(shí)短,系統(tǒng)應(yīng)用影響小。
該系統(tǒng)于2013年10月通過(guò)中石化測(cè)試驗(yàn)收。
4.2 某化工廠本質(zhì)安全隔離站應(yīng)用情況
某化工廠本質(zhì)安全DCS隔離項(xiàng)目于2015年1月簽訂合同,2015年9月投入運(yùn)行。
在該項(xiàng)目中,采用優(yōu)化佳公司的照相數(shù)據(jù)傳送專利技術(shù),使用8套PDT4000本質(zhì)安全DCS隔離站,對(duì)合成氨裝置、制氧乙炔、動(dòng)力、VAE新老裝置、東西循、PVA、發(fā)電124#和軟水8套關(guān)鍵裝置進(jìn)行隔離,使用隔離站后,這些裝置的DCS數(shù)據(jù)只能單向傳送到全廠實(shí)時(shí)數(shù)據(jù)庫(kù),而外網(wǎng)的病毒和黑客等無(wú)法通過(guò)數(shù)據(jù)采集網(wǎng)絡(luò)系統(tǒng)對(duì)DCS發(fā)動(dòng)攻擊,從而確保生產(chǎn)的安全。
該廠本質(zhì)安全DCS隔離系統(tǒng)項(xiàng)目創(chuàng)新點(diǎn)如下:
(1)項(xiàng)目中使用了最新的PDT4000系列產(chǎn)品。PDT4000系列產(chǎn)品是本質(zhì)安全DCS隔離站第四代產(chǎn)品,與第三代產(chǎn)品相比,有著以下的技術(shù)進(jìn)步:
可以進(jìn)行位號(hào)的在線追加、編緝。以前的產(chǎn)品在對(duì)上傳的位號(hào)進(jìn)行添加或刪除時(shí),需要將隔離站離線一段時(shí)間,這會(huì)造成數(shù)據(jù)傳輸?shù)闹袛唷,F(xiàn)在可以在不中斷數(shù)據(jù)傳送的情況下進(jìn)行上傳數(shù)據(jù)位號(hào)的修改;
體積減小了1/3;
能耗減少了2/3;
硬件重新設(shè)計(jì)研發(fā),具有更高的可靠性。
?。?)采用多備一全自動(dòng)冗余的新技術(shù),大大提高系統(tǒng)可靠性。在本項(xiàng)目中,使用了創(chuàng)新的8備1自動(dòng)冗余方案,只要系統(tǒng)偵測(cè)到其中的一套隔離站有問(wèn)題,會(huì)自動(dòng)將隔離任務(wù)切換到備站。不僅如此,如果此后還有其他主站出現(xiàn)問(wèn)題,只要有故障的主隔離站的傳輸點(diǎn)數(shù)不超過(guò)備站的最大能力,均會(huì)將隔離傳輸?shù)娜蝿?wù)自動(dòng)切換到備站。也就是說(shuō),即便是多個(gè)主站同時(shí)出現(xiàn)問(wèn)題,也可以同時(shí)切換到備用站。
由此可見(jiàn),多備一系統(tǒng)技術(shù)的應(yīng)用,可以在增加少量備用冗余投資的情況下,實(shí)現(xiàn)多套系統(tǒng)的全自動(dòng)冗余,大大提高了系統(tǒng)的可靠性,使生產(chǎn)數(shù)據(jù)的傳輸?shù)玫搅吮WC。
5 本質(zhì)安全DCS隔離站成功阻斷WannaCry病毒事例
2017年5月爆發(fā)的WannaCry病毒感染了某工業(yè)企業(yè)油庫(kù)生產(chǎn)監(jiān)控平臺(tái),病毒沿著數(shù)據(jù)庫(kù)的數(shù)據(jù)采集網(wǎng)絡(luò)向DCS和生產(chǎn)設(shè)備傳播。由于事先在數(shù)據(jù)庫(kù)的數(shù)據(jù)采集通道上安裝了本質(zhì)安全DCS隔離站,及時(shí)發(fā)揮了保護(hù)作用,阻斷了病毒向DCS系統(tǒng)的擴(kuò)散,保護(hù)了工控系統(tǒng),確保生產(chǎn)的正常進(jìn)行。
圖7是該油庫(kù)生產(chǎn)監(jiān)控平臺(tái)的拓?fù)鋱D。圖7中,連接數(shù)采緩存機(jī)(3號(hào)機(jī))和工控網(wǎng)交換機(jī)的設(shè)備是本質(zhì)安全型DCS隔離站,它包含兩臺(tái)設(shè)備:數(shù)據(jù)采集與映射子系統(tǒng)(1號(hào)機(jī))和自動(dòng)攝像與智能閱讀子系統(tǒng)(2號(hào)機(jī)),其中2號(hào)機(jī)與3號(hào)機(jī)相連,1號(hào)機(jī)和工控網(wǎng)交換機(jī)相連。隔離設(shè)備的任務(wù)是:保護(hù)下面的DCS系統(tǒng)不受上面網(wǎng)絡(luò)中病毒和黑客的攻擊,同時(shí)完成DCS系統(tǒng)生產(chǎn)數(shù)據(jù)向上面數(shù)據(jù)庫(kù)的實(shí)時(shí)傳遞。
圖7 某企業(yè)油庫(kù)生產(chǎn)監(jiān)控平臺(tái)的拓?fù)鋱D
在WannaCry蠕蟲病毒爆發(fā)后,該監(jiān)控平臺(tái)受到病毒的攻擊,其過(guò)程如下:
?。?)病毒使管理總部的實(shí)時(shí)數(shù)據(jù)庫(kù)服務(wù)器中毒。
(2)病毒通過(guò)專網(wǎng)擴(kuò)散到各地油庫(kù),通過(guò)交換機(jī)下傳到數(shù)據(jù)采集計(jì)算機(jī),造成B、C、D三地油庫(kù)數(shù)采緩存機(jī)(3號(hào)機(jī))中毒。
?。?)上述三地的病毒通過(guò)網(wǎng)絡(luò)繼續(xù)向下入侵,到達(dá)本質(zhì)安全型DCS隔離站,并造成C、D兩地的隔離站2號(hào)機(jī)中毒。
?。?)由于本質(zhì)安全型DCS隔離站具有的照相數(shù)據(jù)單向傳輸特性,使得2號(hào)機(jī)上的病毒無(wú)法繼續(xù)擴(kuò)散到1號(hào)機(jī),阻斷了病毒的向下傳播,從而實(shí)現(xiàn)了對(duì)下面DCS系統(tǒng)的保護(hù)。
由此可見(jiàn),在此次病毒攻擊事件中,攻擊被本質(zhì)安全DCS隔離站阻斷,確保了保護(hù)區(qū)內(nèi)的工業(yè)生產(chǎn)設(shè)備的安全。
6 結(jié)語(yǔ)
基于照相數(shù)據(jù)傳送技術(shù)的本質(zhì)安全DCS隔離站具有如下特點(diǎn):
?。?)完全單向的數(shù)據(jù)傳送,零比特返回,切斷外擊通道,可以防范現(xiàn)有的和未來(lái)的基于網(wǎng)絡(luò)的病毒和黑客的攻擊;
(2)數(shù)據(jù)正向傳輸采用非網(wǎng)絡(luò)方式,無(wú)網(wǎng)絡(luò)傳輸通道,可以防止DCS內(nèi)網(wǎng)的網(wǎng)絡(luò)間諜軟件和病毒黑客利用網(wǎng)絡(luò)通道向外傳輸情報(bào),向數(shù)據(jù)庫(kù)端發(fā)起攻擊;
?。?)具有多套DCS合用功能,降低用戶隔離成本;
?。?)具有隔離站組故障檢測(cè)報(bào)警系統(tǒng),可以提升大型企業(yè)的管理效率;
?。?)可以實(shí)現(xiàn)多臺(tái)主隔離站合用1套備用隔離站,并實(shí)現(xiàn)全自動(dòng)切換,大大提高了隔離系統(tǒng)的可靠性,降低冗余成本;
?。?)經(jīng)過(guò)大型石化企業(yè)長(zhǎng)期應(yīng)用的考驗(yàn),系統(tǒng)運(yùn)行穩(wěn)定可靠;
(7)具有中國(guó)自主知識(shí)產(chǎn)權(quán),在網(wǎng)絡(luò)防護(hù)問(wèn)題上可以不受制于人。