石化工業是國家的支柱產業之一,在信息技術的驅動下,正由傳統工業向高度集約化、知識化、技術化工業轉變。PIMS(生產信息管理系統)作為MES的核心,是一套用于生產管理的軟件系統。在石化等流程行業,PIMS提供了一個信息集成和管理的平臺,主要用于企業網絡環境下的全廠生產數據的采集、數據存儲、數據查看、數據處理和數據管理。它真正實現了辦公室與生產現場的信息溝通,完成了過程控制系統與信息系統的網絡集成與綜合管理。
北京力控華康科技有限公司的pSafetyLink隔離網關在石化企業的MES/PIMS系統中有著廣泛應用,為DCS控制系統網絡的安全運行提供了有力保障。由于pSafetyLink專門面向自動化應用設計,符合自動控制工程師的使用習慣,不需要工程師了解太多網絡有關的專業內容,就很容易完成對產品的調試和部署,因此大大提高了項目實施的效率,pSafetyLink也因此得到了客戶的高度肯定。
圖1 隔離網關pSafetyLink在控制系統中的部署
應用背景
某石化企業為了應對不斷變化的市場需求,及時調整生產策略,也為了便于全廠生產的統一調度、加強企業內部管理,在其二分廠率先實踐了PIMS生產管理系統。該廠有2套控制系統,采用了浙大中控的大型DCS系統ECS-100。該PIMS需要集成的DCS點數多達一萬點,并完全通過Web方式實現:生產實時數據的管理、實時流程查看、實時趨勢瀏覽、報警的記錄與查看、開關量變位的記錄與查看、歷史趨勢查看、生產過程報表生成、生產統計報表生成等功能。拓撲結構如圖1所示。
系統介紹
該PIMS系統的結構分為三層,自下而上依次為:過程控制層、工廠管理層、企業管理層。其中企業管理層完成管理者和各職能科室生產管理報表生成的任務;工廠管理層完成各職能科室實時監控的任務,它對下連接現場控制層,對上通過網絡連接企業管理層,它不僅負責現場控制設備的實時數據采集,而且在系統中
起到上傳下達的重要作用;過程控制層由DCS、PLC、智能儀表等控制器組成,是整個生產管理系統的基礎。
該廠出于安全因素考慮,將其DCS的運行網絡劃分為單獨的生產控制網絡,相對封閉,與總廠的管理信息網絡完全分開。而PIMS系統需要實現這兩個網絡的互通、互聯,以滿足PIMS對DCS數據的采集。
由于該企業為上市企業,面向世界各地的國際貿易業務往來頻繁,所以其總廠的管理信息網絡是面向互聯網開放的商業網絡,如果直接實現與DCS控制網絡的連通,商業網絡本身存在的各種安全隱患將直接威脅到控制網絡的安全。特別是隨著網絡攻擊復雜性的增加,即使在兩個網絡邊界中間使用傳統的網絡防火墻產品和攻擊檢測技術,也已經難于保護網絡的安全。因為現代網絡安全威脅來自于商業網絡的各個層面,并且更多的是來自于網絡數據流量的應用數據部分,這一特性決定了僅使用防火墻或入侵檢測系統,依靠檢查數據包的頭部,已經越來越難發現諸如病毒、蠕蟲、后門程序等高級復雜的網絡安全風險。在很多成功的攻擊案例中,黑客可以很快了解到網絡在應用數據層面的安全漏洞,從而迅速使用后門、木馬、蠕蟲或者其它攻擊行為,對控制網絡造成不同程度的損害。
解決方案
該廠為了從根本上解決DCS控制網絡的安全可靠運行,在該PIMS系統中選用了力控華康的隔離網關pSafetyLink作為DCS控制網絡的安全防護裝置。
隔離網關pSafetyLink是專為工業網絡應用設計的安全防護裝置,用于解決工業SCADA控制網絡如何安全接入信息網絡(外網)的問題。它與防火墻等網絡安全設備本質不同的地方是它阻斷網絡的直接連接,只完成特定工業應用數據的交換。由于沒有了網絡的連接,攻擊就沒有了載體,如同網絡的“物理隔離”。由于目前的安全技術,無論防火墻、UTM等防護系統都不能保證攻擊的徹底阻斷,入侵檢測等監控系統也不能保證入侵行為完全被捕獲,所以最安全的方式就是物理的分開。pSafetyLink通過內部的雙獨立主機系統,分別接入到控制網絡和信息網絡,雙主機之間通過專用硬件裝置連接,從物理層上斷開了控制網絡和信息網絡的直接網絡連接。同時pSafetyLink通過內嵌的高性能OPC通信軟件,很好地解決了PIMS通過OPC接口采集DCS數據的通信問題。另外,由于隔離網關內部完全實現了通信協議的接口服務,因此可以實現針對測點一級的訪問控制。例如:對于OPC可以控制到Item(項)一級的訪問權限控制,通過設置為只讀屬性方式保證PIMS對DCS數據的訪問是單向的,禁止數據回置操作。
總結
隔離網關pSafetyLink在該企業PIMS系統投運以來,為DCS控制系統網絡的安全運行提供了有力保障。
采訪鏈接:
自動化博覽:力控華康近年來在石化行業市場發展情況如何 ?您感受到石化行業正在發生著哪些變化,呈現出哪些特點?
力控華康市場經理:力控華康跟石油石化行業淵源已久,力控華康的母公司力控科技的前身三維力控就是誕生在國內最大的石油石化城市——大慶。一直以來,石化行業是力控華康的主要行業客戶,從大慶油田到勝利油田、新疆油田在內的各大油田,從勘探開發到石油煉化的各個環節,從三大石油公司到眾多的化工類企業,都有力控華康產品的應用。經過多年的快速發展,我國石化行業的增長速度已經顯著放緩,尤其是近兩年經濟下行壓力較大,國際油價大幅下跌,都給石化行業的經營發展帶來很大的挑戰。在這種情況下,石化行業內一直在積極推動信息化和工業化的“深度融合”,加快從傳統生產方式向數字化、網絡化和智能化的轉變,且成效顯著。
自動化博覽:力控華康能夠為石化行業信息化、智能化改造提供哪些產品或者解決方案?
力控華康市場經理:力控華康是一家專注于物聯網和工控系統信息安全領域的公司,最早在2009年就開始了工控安全產品的自主研發。目前產品包括邊界安全、HMI終端安全和安全管理類產品,有工業隔離網關pSafetyLink、工業通信網關pFieldComm、工業防火墻HC-ISG、工控安全管理平臺等系列產品,都是為企業的信息安全服務的。力控華康不是單一產品的制造商,我們還可以為數據采集與監控(SCADA)、分布式控制系統(DCS)、過程控制系統(PCS)、可編程邏輯控制器(PLC)等所有工業控制系統(ICS)的信息安全接入和智能化數據交換,提供安全、可靠的解決方案和工業級產品。在鋼鐵有色、石油化工、能源電力、天然氣、先進制造、軌道交通、市政環保等領域的工控系統內有著廣泛應用。
信息安全是信息化、智能化改造的基礎,尤其是石油石化行業,沒有安全一切無從談起。在大數據時代,數據像水電一樣,成為企業的資源和生產資料,對數據的保護成為大數據時代信息安全策略的核心。力控華康的產品可以在工業數據的采集、轉換、傳輸和訪問等各個環節,提供全方位的安全保護和監控。力控華康的優勢在于對不同行業企業核心生產系統的實踐和理解。2015年力控華康發布了一款面向工業控制系統的安全管理平臺,配合我們的工業防火墻、安全隔離網關和安全數采網關使用,可以幫助管理員收集工業控制網絡中的流量信息和安全事件,幫助客戶提升風險管理的水平。這款產品已經在化工行業得到部署,下一步將會向其他行業推廣。
自動化博覽:從技術角度來看,您認為石化行業自動化、智能化具有怎樣的趨勢?需要克服的問題是什么?
力控華康市場經理:自動化和智能化跟石化行業的結合就是智能石化,包括智能油氣田、智能工廠、智能銷售、智能管網、智能物流等等。在這一建設過程中,信息化的地位越來越重要,包括物聯網、大數據、云計算等最新的技術都會得到應用。比如智能管道,整個石化行業有十幾萬公里的油氣管道,有的輸送原油,有的輸送天然氣,有的輸送成品油,怎樣把復雜的管道系統監控起來,保證它能夠安全、穩定地運行,一定要靠信息化、智能化的手段。這個過程中所面臨的挑戰是,除了物聯網、大數據、云計算等信息技術本身和業務的結合、優化之外,需要重點考慮的就是信息安全問題。在國際國內形勢越來越復雜的今天,我們看到《中國制造2025》戰略規劃中特別強調了信息安全保障體系的建設。石化行業需要抓住產業升級的機會,把信息安全、工控安全和物聯網安全納入到信息化的框架中來。
摘自《自動化博覽》2016年2月刊
