李 津

（新疆天業(yè)（集團）有限公司，新疆 石河子832000）

智能工廠建設(shè)首先是基礎(chǔ)設(shè)施及網(wǎng)絡(luò)的建設(shè)，網(wǎng)絡(luò)安全是重中之重，并且需要在做智能工廠頂層設(shè)計的時候就對網(wǎng)絡(luò)安全方案進行全面的規(guī)劃。項目建設(shè)中后期再進行網(wǎng)絡(luò)安全的補救，往往會傷筋動骨，給企業(yè)帶來更多的經(jīng)濟投入和網(wǎng)絡(luò)安全隱患。

1 工控網(wǎng)的網(wǎng)絡(luò)安全防護

目前，隨著化工生產(chǎn)自動化水平的提升，智能儀表、閥門、分析儀器得到了廣泛應(yīng)用，工控系統(tǒng)成為了化工生產(chǎn)的心臟，工控系統(tǒng)及網(wǎng)絡(luò)的安全和穩(wěn)定非常重要，由于早期工控系統(tǒng)基本是在局域網(wǎng)中運行，安全隱患主要在系統(tǒng)本身，隨著數(shù)字化和智能化的發(fā)展，基于OPC協(xié)議的工控網(wǎng)絡(luò)系統(tǒng)面臨各種各樣的威脅。在“兩網(wǎng)”融合的大背景下，工業(yè)控制系統(tǒng)的隔離性被打破，面臨來自網(wǎng)絡(luò)的威脅空前加劇。

1.1 OPC協(xié)議

DCS系統(tǒng)的種類繁多，但目前大多采用OPC方式進行數(shù)據(jù)交換。OPC（用于過程控制的OLE）被廣泛應(yīng)用在控制系統(tǒng)中，用于提供不同供應(yīng)商的設(shè)備和軟件之間的互操作性。OPC采用Server/Client模式，OPC Server可以設(shè)置數(shù)據(jù)只讀，這在一定程度上保護了DCS系統(tǒng)的安全。

然而OPC Classic協(xié)議（OPC DA，OPC HAD和OPC A&E）基于微軟的DCOM協(xié)議，DCOM協(xié)議是在網(wǎng)絡(luò)安全問題被廣泛認知之前設(shè)計的。OPC與DCS的數(shù)據(jù)交換基于典型的TCP/IP協(xié)議，OPC Classic動態(tài)地分配TCP端口給每一個服務(wù)對象在服務(wù)器上的可執(zhí)行過程，由于OPC可以自由使用1024-65535之間的任何端口，它對傳統(tǒng)的IT防火墻是不友好的，由于不能提前知道服務(wù)器會使用什么端口，不能定義防火墻規(guī)則，只能開放大范圍的端口，這就產(chǎn)生了嚴重的安全漏洞。

1.2 工控網(wǎng)與數(shù)采網(wǎng)之間的安全防護

1.2.1 深度包檢測技術(shù)

可以通過深度包檢測技術(shù)管理OPC通信，第1步，竊聽來自O(shè)PC客戶端的連接請求，并檢查服務(wù)器和客戶端的身份合法性及連接請求的格式是否正確；第2步，竊聽來自O(shè)PC服務(wù)器的連接應(yīng)答，并檢查連接應(yīng)答的格式是否正確，客戶端的身份合法性以及服務(wù)器使用的TCP端口；第3步，暫時打開之前通告的TCP端口并作出限制，只允許該客戶端與服務(wù)器通信，該客戶端只能使用指定端口及規(guī)定時間內(nèi)的會話有效時間。

該技術(shù)阻斷了未被許可的客戶端和服務(wù)器使用通告端口號之外端口號的行為、借用端口號的行為以及非正確格式的RPC連接請求。

1.2.2 安全網(wǎng)絡(luò)架構(gòu)

可以使用不同的網(wǎng)絡(luò)架構(gòu)，使用不同的滿足安全要求的網(wǎng)絡(luò)安全設(shè)備，實現(xiàn)對工控系統(tǒng)的安全防護，可以把1臺工控機房的DCS上位機部署成OPC Server，再把另1臺工控機房的服務(wù)器部署成OPC Client及數(shù)采接口機，即OPC服務(wù)器、客戶端、數(shù)采、實時數(shù)據(jù)庫接口功能都在工控機房進行管理。也可以單獨將1臺工控網(wǎng)的服務(wù)器部署成OPC Server，通過交換機與DCS系統(tǒng)通信，再用1臺數(shù)采網(wǎng)的服務(wù)器部署成OPC Client及數(shù)采接口機，即OPC服務(wù)器在工控機房進行管理，OPC客戶端、數(shù)采、實時數(shù)據(jù)庫接口功能在數(shù)字化機房進行管理。OPCServer和OPC Client的物理鏈路通過光纖進行通信，將安全隔離設(shè)備放在OPC Server和OPCClient之間，即可實現(xiàn)有效的安全隔離。

2 數(shù)采網(wǎng)的網(wǎng)絡(luò)安全防護

數(shù)采網(wǎng)作為工控網(wǎng)和生產(chǎn)網(wǎng)的橋梁，主要包括OPC客戶端、數(shù)采機、實時數(shù)據(jù)庫接口機及實時數(shù)據(jù)庫服務(wù)器等設(shè)備，其中OPC客戶端、數(shù)采和接口功能可以共用1臺服務(wù)器設(shè)備，該服務(wù)器與實時數(shù)據(jù)庫的通信協(xié)議也基于TCP/IP協(xié)議。

2.1 實時數(shù)據(jù)庫的自身安全防護機制

實時數(shù)據(jù)庫接口在安裝的時候可以安裝OPC Client_Readonly（只讀）接口，不安裝可讀可寫接口，這樣能夠有效防止數(shù)據(jù)通過OPC協(xié)議回傳。

2.2 建立數(shù)采專用虛網(wǎng)

建立實時數(shù)據(jù)采集專用虛網(wǎng)，再在專用虛網(wǎng)的基礎(chǔ)上建立專用子網(wǎng)，是在網(wǎng)絡(luò)底層保護實時數(shù)據(jù)采集免遭非法訪問和病毒襲擊的有力手段。具體的做法是，將實時數(shù)據(jù)庫PI服務(wù)器和數(shù)采接口機從網(wǎng)絡(luò)底層劃入同一子網(wǎng)，在路由器或交換機上建立訪問規(guī)則，即其他子網(wǎng)的主機可以訪問PI服務(wù)器，但不能訪問數(shù)采接口機。

3 生產(chǎn)網(wǎng)的網(wǎng)絡(luò)安全防護

生產(chǎn)網(wǎng)是智能工廠建設(shè)的核心部分，所有應(yīng)用模塊都部署在生產(chǎn)網(wǎng)上，比如MES系統(tǒng)、三維數(shù)字化平臺、應(yīng)急指揮系統(tǒng)、統(tǒng)一身份認證系統(tǒng)、安健環(huán)管理系統(tǒng)、流程仿真培訓(xùn)系統(tǒng)、工業(yè)大數(shù)據(jù)平臺、工業(yè)互聯(lián)網(wǎng)平臺等。

3.1 私有云平臺

建設(shè)私有云平臺，將各應(yīng)用模塊都部署在私有云平臺上，云存儲相比本地存儲更為安全，云服務(wù)器實際上就是一組在集群服務(wù)器上虛擬出來的多個獨立服務(wù)器，然后每個服務(wù)器上都運行修改工作負載的配置，因此在穩(wěn)定性與自動化方面具備優(yōu)勢；并且云服務(wù)器在防火墻、網(wǎng)絡(luò)和存儲加密以及鏡像安全、代碼檢測等方面都具備安全性，還會有技術(shù)團隊添加安全層，并實時更新安全系統(tǒng)。企業(yè)可以時刻監(jiān)控云服務(wù)器，掌握自身數(shù)據(jù)狀態(tài)。另外云服務(wù)商都具備保護機制，包括入侵自動防御、定期滲透測試、多層物理檢測、ddos監(jiān)測等功能。這就極大提高了云服務(wù)器的安全性。

3.2 生產(chǎn)網(wǎng)與辦公網(wǎng)的安全隔離技術(shù)

該技術(shù)在2個獨立系統(tǒng)之間，不存在通信的物理連接和邏輯連接，不存在依據(jù)TCP/IP協(xié)議的信息包轉(zhuǎn)發(fā)，只有格式化數(shù)據(jù)塊的無協(xié)議“擺渡”。 被隔離網(wǎng)絡(luò)之間的數(shù)據(jù)傳遞方式采用完全的私有方式，不具備任何通用性。

兩側(cè)網(wǎng)絡(luò)之間所有的TCP/IP連接在其主機系統(tǒng)上都要進行完全的應(yīng)用協(xié)議還原，還原后的應(yīng)用層信息根據(jù)用戶的策略進行強制檢查后，以格式化數(shù)據(jù)塊的方式通過隔離交換矩陣進行單向交換，在另外一端的主機系統(tǒng)上通過自身建立的安全會話進行最終的數(shù)據(jù)通信，即實現(xiàn)“協(xié)議落地、內(nèi)容檢測”。這樣，既從物理上隔離、阻斷了具有潛在攻擊可能的一切連接，又進行了強制內(nèi)容檢測，從而實現(xiàn)最高級別的安全。

系統(tǒng)架構(gòu)主要由內(nèi)網(wǎng)主機系統(tǒng)、外網(wǎng)主機系統(tǒng)和隔離交換矩陣3部分構(gòu)成。內(nèi)網(wǎng)主機系統(tǒng)與內(nèi)網(wǎng)相連，外網(wǎng)主機系統(tǒng)與外網(wǎng)相連，內(nèi)/外網(wǎng)主機系統(tǒng)分別負責(zé)內(nèi)外網(wǎng)信息的獲取和協(xié)議分析，隔離交換矩陣根據(jù)安全策略完成信息的安全檢測，內(nèi)外網(wǎng)絡(luò)之間的安全交換。整個系統(tǒng)具備多網(wǎng)絡(luò)隔離的體系結(jié)構(gòu)，通過專用硬件完成兩側(cè)信息的“擺渡”；被隔離網(wǎng)絡(luò)之間任何時刻不產(chǎn)生物理連接；內(nèi)/外網(wǎng)主機系統(tǒng)之間沒有網(wǎng)絡(luò)協(xié)議邏輯連接，通過隔離交換矩陣的全部是應(yīng)用層數(shù)據(jù)，也就是OSI模型的七層協(xié)議全部斷開；數(shù)據(jù)交換方式完全私有，不具備可編程性。

4 4G-LTE無線專網(wǎng)的網(wǎng)絡(luò)安全防護

4.1 4G-LTE無線專網(wǎng)

4G-LTE無線專網(wǎng)作為有線網(wǎng)絡(luò)的重要補充，能夠滿足隨時隨地的移動業(yè)務(wù)接入；能夠承載多種業(yè)務(wù)，包括語音、生產(chǎn)數(shù)據(jù)、靜態(tài)圖像、視頻圖像等。與公網(wǎng)比較，專網(wǎng)的優(yōu)勢在于即使在公共網(wǎng)絡(luò)連接受限的環(huán)境中，也能保證持續(xù)、可靠的網(wǎng)絡(luò)連接覆蓋，并且不易遭受來自外界的數(shù)據(jù)剽竊和攻擊。因此無線專網(wǎng)本身具有一定的安全優(yōu)勢。

4.2 4G-LTE無線專網(wǎng)與生產(chǎn)網(wǎng)的安全解決方案

4G專網(wǎng)與生產(chǎn)網(wǎng)不是兩個孤島，而是存在一定的數(shù)據(jù)交互，因此需要在4G專網(wǎng)與生產(chǎn)網(wǎng)之間配置網(wǎng)絡(luò)安全設(shè)備，采用雙擺渡傳輸技術(shù)，隔離交換模塊上的交換芯片通過獨特的開關(guān)控制系統(tǒng)實現(xiàn)雙擺渡傳輸機制，隔離交換模塊自動進行協(xié)商，從而實現(xiàn)同一時刻內(nèi)外網(wǎng)交換卡之間或交換卡與主機系統(tǒng)之間的雙向數(shù)據(jù)高效交換。

5 整體解決方案

5.1 各異構(gòu)網(wǎng)絡(luò)的拓撲結(jié)構(gòu)

既要實現(xiàn)上述各異構(gòu)網(wǎng)絡(luò)之間的通信，又要保證各網(wǎng)絡(luò)的安全性，首先需要明確各異構(gòu)網(wǎng)絡(luò)需要實現(xiàn)的業(yè)務(wù)功能，其次需要明確各異構(gòu)網(wǎng)絡(luò)之間的數(shù)據(jù)交互需求及通信關(guān)系，最后運用網(wǎng)絡(luò)安全設(shè)備實現(xiàn)各異構(gòu)網(wǎng)絡(luò)之間的最高安全防護要求。

5.2 系統(tǒng)安全設(shè)計

另外在系統(tǒng)方面也需要考慮安全因素，信息系統(tǒng)設(shè)計歸結(jié)起來要解決資源、用戶、權(quán)限3類問題，在這3大要素中，用戶是安全的主體，應(yīng)用系統(tǒng)的安全也就是圍繞用戶展開的。用戶身份的驗證便成了應(yīng)用系統(tǒng)必須解決的第一個問題；第二個要解決的問題便是授權(quán)，就是確保每個用戶都能授以合適的權(quán)限；為解決資源的安全性與安全審計問題，還需要解決密碼服務(wù)與可信時間戳問題。

安全措施包括外部訪問安全防范如防火墻、數(shù)據(jù)傳輸加密、VPN；基于SSL的HTTP訪問；WEB服務(wù)的負載均衡；基于IIS的授權(quán)控制；基于角色的用戶授權(quán)控制；組件服務(wù)角色控制；基于IPSec的數(shù)據(jù)連接的安全性；ORACLE許可的數(shù)據(jù)庫角色控制；數(shù)據(jù)庫安全的組織策略；基于ORACLE數(shù)據(jù)庫的RAC（Real Application Cluster）服務(wù)器集群服務(wù)等。系統(tǒng)安全架構(gòu)見圖1。

圖1 系統(tǒng)安全構(gòu)架

6 結(jié)語

本方案的實施，建立了全面的信息安全保障體系，保證各異構(gòu)網(wǎng)絡(luò)之間正常通信的同時，又能保障各網(wǎng)絡(luò)的安全運行，分層級隔絕了來自相對不安全網(wǎng)絡(luò)的威脅，結(jié)合安全管理措施，實現(xiàn)了智能工廠建設(shè)的同時，保障了工業(yè)控制系統(tǒng)安全穩(wěn)定運行的目標。