前言

　　隨著我國(guó)工業(yè)信息化建設(shè)的不斷深入，信息化已經(jīng)成為企業(yè)發(fā)展的重要推動(dòng)力量，國(guó)外石化企業(yè)信息化建設(shè)和應(yīng)用已經(jīng)走在我們前面。經(jīng)濟(jì)化的發(fā)展以及WTO的加入，更對(duì)石化企業(yè)提出了新的挑戰(zhàn)，就石化企業(yè)而言，信息化是生存和發(fā)展的必由之路。

　　信息化是一項(xiàng)系統(tǒng)工程，信息化安全也是信息化建設(shè)的關(guān)鍵環(huán)節(jié)。特別是隨著互聯(lián)網(wǎng)日新月異的發(fā)展和企業(yè)集團(tuán)信息化整合的加強(qiáng)，企業(yè)網(wǎng)絡(luò)應(yīng)用的范圍在不斷擴(kuò)大，如通過(guò)互聯(lián)網(wǎng)獲取信息、展現(xiàn)企業(yè)形象、開(kāi)展電子商務(wù)等，通過(guò)廣域網(wǎng)實(shí)現(xiàn)集團(tuán)內(nèi)部資源共享、統(tǒng)一集團(tuán)管理等，企業(yè)信息化網(wǎng)絡(luò)不再是單純意義上的Intranet，而更多的則是基于Internet的網(wǎng)絡(luò)和應(yīng)用。但網(wǎng)絡(luò)開(kāi)放的同時(shí)，帶來(lái)的安全問(wèn)題就更加嚴(yán)峻了，各種安全問(wèn)題如病毒、攻擊和入侵等已經(jīng)引起了人們的高度重視。

　　信息化安全是一個(gè)普遍問(wèn)題。石化工業(yè)是國(guó)家的支柱產(chǎn)業(yè)之一，在信息技術(shù)的驅(qū)動(dòng)下，正由傳統(tǒng)工業(yè)向高度集約化、知識(shí)化、技術(shù)化工業(yè)轉(zhuǎn)變。PIMS（生產(chǎn)信息管理系統(tǒng)）作為MES的，是一套用于生產(chǎn)管理的軟件系統(tǒng)。在石化等流程行業(yè)，PIMS提供了一個(gè)信息集成和管理的平臺(tái)，主要用于企業(yè)網(wǎng)絡(luò)環(huán)境下的全廠(chǎng)生產(chǎn)數(shù)據(jù)的采集、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)查看、數(shù)據(jù)處理和數(shù)據(jù)管理。它真正實(shí)現(xiàn)了辦公室和生產(chǎn)現(xiàn)場(chǎng)的信息溝通，完成了過(guò)程控制系統(tǒng)與信息系統(tǒng)的網(wǎng)絡(luò)集成與綜合管理。

　　應(yīng)用背景

　　為了適用不斷變化的市場(chǎng)需求，某石化企業(yè)及時(shí)調(diào)整生產(chǎn)策略，也為了便于全廠(chǎng)生產(chǎn)的統(tǒng)一調(diào)度、加強(qiáng)企業(yè)內(nèi)部管理，在其二分廠(chǎng)率先實(shí)踐了PIMS生產(chǎn)管理系統(tǒng)。該廠(chǎng)有2套控制系統(tǒng)，全部采用浙大中控的大型dcs系統(tǒng)ECS－100。該P(yáng)IMS通過(guò)Web方式實(shí)現(xiàn)：生產(chǎn)實(shí)時(shí)數(shù)據(jù)的管理、實(shí)時(shí)流程查看、實(shí)時(shí)趨勢(shì)瀏覽、報(bào)警的記錄與查看、開(kāi)關(guān)量變位的記錄與查看、歷史趨勢(shì)查看、生產(chǎn)過(guò)程報(bào)表生成、生產(chǎn)統(tǒng)計(jì)報(bào)表生成等功能。

　　系統(tǒng)說(shuō)明

　　該P(yáng)IMS系統(tǒng)的結(jié)構(gòu)分為三層：過(guò)程控制層、工廠(chǎng)管理層、企業(yè)管理層。其中企業(yè)管理層完成管理者和各職能科室生產(chǎn)管理報(bào)表生成的任務(wù)；工廠(chǎng)管理層完成各職能科室實(shí)時(shí)監(jiān)控的任務(wù)，它對(duì)下連接現(xiàn)場(chǎng)控制層，對(duì)上通過(guò)網(wǎng)絡(luò)連接企業(yè)管理層，它不僅負(fù)責(zé)現(xiàn)場(chǎng)控制設(shè)備的實(shí)時(shí)數(shù)據(jù)采集，而且在系統(tǒng)中起到上傳下達(dá)的重要作用；過(guò)程控制層由dcs、PLC、智能儀表等控制器組成，是整個(gè)生產(chǎn)管理系統(tǒng)的基礎(chǔ)。

　　該廠(chǎng)出于安全因素考慮，將其dcs的運(yùn)行網(wǎng)絡(luò)劃分為單獨(dú)的生產(chǎn)控制網(wǎng)絡(luò)，相對(duì)封閉，與總廠(chǎng)的管理信息網(wǎng)絡(luò)完全分開(kāi)。而PIMS系統(tǒng)需要實(shí)現(xiàn)這兩個(gè)網(wǎng)絡(luò)的互通、互聯(lián)，以滿(mǎn)足PIMS對(duì)dcs數(shù)據(jù)的采集。

　　由DCS、PLC和SCADA等控制系統(tǒng)構(gòu)成的控制網(wǎng)絡(luò)，在過(guò)去幾十年的發(fā)展中呈現(xiàn)出整體開(kāi)放的趨勢(shì)。

　　以石化主流控制系統(tǒng)DCS為例，在信息技術(shù)發(fā)展的影響下，DCS已經(jīng)進(jìn)入了第四代，新一代DCS呈現(xiàn)的一個(gè)突出特點(diǎn)就是開(kāi)放性的提高。過(guò)去的DCS廠(chǎng)商基本上是以自主開(kāi)發(fā)為主，提供的系統(tǒng)也是自己的系統(tǒng)。當(dāng)今的DCS廠(chǎng)商更強(qiáng)調(diào)開(kāi)放系統(tǒng)集成性。各DCS廠(chǎng)商不再把開(kāi)發(fā)組態(tài)軟件或制造各種硬件單元視為技術(shù)，而是紛紛把DCS的各個(gè)組成部分采用第三方集成方式或OEM方式。例如，多數(shù)DCS廠(chǎng)商自己不再開(kāi)發(fā)組態(tài)軟件平臺(tái)，而轉(zhuǎn)入采用其它公司的通用組態(tài)軟件平臺(tái)，或其它公司提供的軟件平臺(tái)。這一思路的轉(zhuǎn)變使得現(xiàn)代DCS的操作站完全呈現(xiàn)PC化與Windows化的趨勢(shì)。在新一代DCS的操作站中，幾乎清一色采用PC+Windows的技術(shù)架構(gòu)，使用戶(hù)的投資及維護(hù)成本大幅降低。

　　由于該企業(yè)為上市企業(yè)，面向東南亞的國(guó)際貿(mào)易業(yè)務(wù)往來(lái)頻繁，所以其總廠(chǎng)的管理信息網(wǎng)絡(luò)都是面向互聯(lián)網(wǎng)開(kāi)放的商業(yè)網(wǎng)絡(luò)，如果直接實(shí)現(xiàn)與dcs控制網(wǎng)絡(luò)的連通，商業(yè)網(wǎng)絡(luò)本身存在的各種安全隱患將直接威脅到控制網(wǎng)絡(luò)的安全。特別是隨著網(wǎng)絡(luò)攻擊復(fù)雜性的增加，即使在兩個(gè)網(wǎng)絡(luò)邊界中間使用傳統(tǒng)的網(wǎng)絡(luò)防火墻產(chǎn)品和攻擊檢測(cè)技術(shù)，也已經(jīng)難于保護(hù)網(wǎng)絡(luò)的安全。因?yàn)楝F(xiàn)代網(wǎng)絡(luò)安全威脅來(lái)自于商業(yè)網(wǎng)絡(luò)的各個(gè)層面，并且更多的是來(lái)自于網(wǎng)絡(luò)數(shù)據(jù)流量的應(yīng)用數(shù)據(jù)部分，這一特性決定了僅使用防火墻或入侵檢測(cè)系統(tǒng)，依靠檢查數(shù)據(jù)包的頭部，已經(jīng)越來(lái)越難發(fā)現(xiàn)諸如病毒、蠕蟲(chóng)、后門(mén)程序等復(fù)雜的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。在很多成功的攻擊中，黑客可以很快了解到網(wǎng)絡(luò)在應(yīng)用數(shù)據(jù)層面的安全漏洞，從而迅速使用后門(mén)、木馬、蠕蟲(chóng)或者其它攻擊行為，對(duì)控制網(wǎng)絡(luò)造成不同程度的損害。

　　解決方案

　　該廠(chǎng)為了從根本上解決dcs控制網(wǎng)絡(luò)的安全可靠運(yùn)行，在該P(yáng)IMS系統(tǒng)中選用了pSafetyLink作為dcs控制網(wǎng)絡(luò)的安全防護(hù)裝置。

　　pSafetyLink是專(zhuān)為工業(yè)網(wǎng)絡(luò)應(yīng)用設(shè)計(jì)的安全防護(hù)裝置，用于解決工業(yè)SCADA控制網(wǎng)絡(luò)如何安全接入信息網(wǎng)絡(luò)（外網(wǎng)）的問(wèn)題。它與防火墻等網(wǎng)絡(luò)安全設(shè)備本質(zhì)不同的地方是它阻斷網(wǎng)絡(luò)的直接連接，只完成特定工業(yè)應(yīng)用數(shù)據(jù)的交換。由于沒(méi)有了網(wǎng)絡(luò)的連接，攻擊就沒(méi)有了載體。由于目前的安全技術(shù)，無(wú)論防火墻、UTM等防護(hù)系統(tǒng)都不能保證攻擊的徹底阻斷，入侵檢測(cè)等監(jiān)控系統(tǒng)也不能保證入侵行為完全被捕獲，所以安全的方式就是物理的分開(kāi)。

　　pSafetyLink通過(guò)內(nèi)部的雙獨(dú)立主機(jī)系統(tǒng)，分別接入到控制網(wǎng)絡(luò)和信息網(wǎng)絡(luò)，雙主機(jī)之間通過(guò)專(zhuān)用硬件裝置連接，從物理層上斷開(kāi)了控制網(wǎng)絡(luò)和信息網(wǎng)絡(luò)的直接網(wǎng)絡(luò)連接。同時(shí)pSafetyLink通過(guò)內(nèi)嵌的高性能OPC通信軟件，很好地解決了PIMS通過(guò)OPC接口采集dcs數(shù)據(jù)的通信問(wèn)題。另外，由于pSafetyLink內(nèi)部完全實(shí)現(xiàn)了通信協(xié)議的接口服務(wù)，因此可以實(shí)現(xiàn)針對(duì)測(cè)點(diǎn)的訪(fǎng)問(wèn)控制。例如：對(duì)于OPC可以控制到Item（項(xiàng)）的訪(fǎng)問(wèn)權(quán)限控制，通過(guò)設(shè)置為只讀屬性方式保證PIMS對(duì)dcs數(shù)據(jù)的訪(fǎng)問(wèn)是單向的，禁止數(shù)據(jù)回置操作。

　　總結(jié)

　　化工業(yè)是國(guó)家的基礎(chǔ)性能源支柱產(chǎn)業(yè)，信息安全在任何時(shí)期、任何國(guó)家地區(qū)都備受關(guān)注。能源系統(tǒng)的信息安全問(wèn)題直接威脅到其它行業(yè)系統(tǒng)的安全、穩(wěn)定、經(jīng)濟(jì)、優(yōu)質(zhì)的運(yùn)行，影響著系統(tǒng)信息化的實(shí)現(xiàn)進(jìn)程。維護(hù)網(wǎng)絡(luò)安全，確保生產(chǎn)系統(tǒng)的穩(wěn)定可靠、防止來(lái)自?xún)?nèi)部或外部攻擊，采取高安全性的防護(hù)措施都是石化信息系統(tǒng)安全不可忽視的組成部分。

　　pSafetyLink在該企業(yè)PIMS系統(tǒng)投運(yùn)以來(lái)，為dcs控制系統(tǒng)網(wǎng)絡(luò)的安全運(yùn)行提供了有力保障。由于pSafetyLink專(zhuān)門(mén)面向自動(dòng)化應(yīng)用設(shè)計(jì)，符合自控工程師使用習(xí)慣，不需要工程師了解太多網(wǎng)絡(luò)有關(guān)的內(nèi)容，就很容易完成對(duì)產(chǎn)品的調(diào)試和部署，因此大大提高了項(xiàng)目實(shí)施的效率，pSafetyLink也因此得到了系統(tǒng)集成商的高度肯定。