李楨

(中國(guó)石油化工股份有限公司 茂名分公司,廣東 茂名 525000)

某大型煉化公司乙烯廠為了解決控制室過多而分散的問題,2021年建設(shè)全廠中心控制室,涉及操作員站的搬遷和部分分散控制系統(tǒng)(DCS)的升級(jí)改造。由于中心控制室空間有限,操作員站、工程師站的數(shù)量與之前相比大幅減少,中心控制室設(shè)置了1臺(tái)可以訪問多套裝置的總工程師站,網(wǎng)絡(luò)的互聯(lián)對(duì)工業(yè)控制系統(tǒng)的安全提出了更高的要求。該公司煉油廠2018年曾發(fā)生MTBE裝置的1臺(tái)OPC服務(wù)器感染了“挖礦”病毒后通過網(wǎng)絡(luò)傳播至其他部分裝置操作員站,致使多臺(tái)操作員站電腦發(fā)生頻繁重啟的事件。因此,網(wǎng)絡(luò)安全防護(hù)和應(yīng)急處置是該次DCS改造的一個(gè)重點(diǎn)內(nèi)容。尤其是包括操作員站、工程師站、組態(tài)服務(wù)器等操作節(jié)點(diǎn)的完全備份和快速、準(zhǔn)確恢復(fù)是應(yīng)急處置工作的關(guān)鍵,本文結(jié)合DCS升級(jí)改造項(xiàng)目,提出了一種安全、高效的操作節(jié)點(diǎn)備份還原的方案。

1 DCS的架構(gòu)

該次DCS的升級(jí)改造,主要采用ECS-700控制系統(tǒng),單套裝置的DCS架構(gòu)如圖1所示。

DCS由控制節(jié)點(diǎn)、操作節(jié)點(diǎn)和系統(tǒng)網(wǎng)絡(luò)構(gòu)成。其中,控制節(jié)點(diǎn)包括過程控制站及過程控制網(wǎng)(SOnet)上與異構(gòu)系統(tǒng)連接的通信接口等;操作節(jié)點(diǎn)包括工程師站、操作員站、組態(tài)服務(wù)器(主工程師站)、數(shù)據(jù)服務(wù)器等連接在過程信息網(wǎng)(SCnet)和過程控制網(wǎng)上的人機(jī)會(huì)話接口站點(diǎn);系統(tǒng)網(wǎng)絡(luò)包括I/O總線、過程控制網(wǎng)、過程信息網(wǎng)、企業(yè)管理網(wǎng)等。SCnet網(wǎng)連接控制系統(tǒng)中所有工程師站、操作員站、組態(tài)服務(wù)器、數(shù)據(jù)服務(wù)器等操作節(jié)點(diǎn),在操作節(jié)點(diǎn)間傳輸歷史數(shù)據(jù)、報(bào)警信息和操作記錄等。SOnet網(wǎng)連接工程師站、操作員站、數(shù)據(jù)服務(wù)器等操作節(jié)點(diǎn)和過程控制站,在操作節(jié)點(diǎn)和過程控制站間傳輸實(shí)時(shí)數(shù)據(jù)和各種操作指令。在中心控制室設(shè)置了1套冗余的OPC服務(wù)器,各裝置的生產(chǎn)管理系統(tǒng)實(shí)時(shí)數(shù)據(jù)庫的數(shù)據(jù)通過OPC服務(wù)器、安全數(shù)據(jù)采集網(wǎng)關(guān)送到生產(chǎn)信息管理系統(tǒng)。中心控制室設(shè)置的總工程師站可通過軟件訪問、切換實(shí)現(xiàn)與各裝置組態(tài)服務(wù)器的連接,從而實(shí)現(xiàn)對(duì)具體裝置的組態(tài)、監(jiān)控。同時(shí),為了達(dá)到工業(yè)控制網(wǎng)絡(luò)安全“橫向隔離”的要求,各裝置之間通過工業(yè)防火墻加以隔離。

操作節(jié)點(diǎn)存在的風(fēng)險(xiǎn)因素主要有: 硬盤故障、操作節(jié)點(diǎn)內(nèi)存等硬件故障,舊主機(jī)硬件生命周期結(jié)束后無法將系統(tǒng)整體遷移至新的硬件,網(wǎng)絡(luò)病毒導(dǎo)致多臺(tái)主機(jī)同時(shí)宕機(jī)、備份不及時(shí)導(dǎo)致主機(jī)整盤備份數(shù)據(jù)不完整等。因此,需要在DCS中配置1套備份還原系統(tǒng),能夠?qū)崿F(xiàn)不停機(jī)在線自動(dòng)定期備份(包括磁盤克隆、增量/差異備份)、異機(jī)還原、災(zāi)難發(fā)生后系統(tǒng)快速恢復(fù)等功能。

2 操作節(jié)點(diǎn)備份還原的實(shí)現(xiàn)

2.1 方案選擇

當(dāng)前,工業(yè)控制系統(tǒng)的備份還原軟件主要有美國(guó)Veritas公司的Backup Exec(或/和System Recovery)和安克諾斯公司的Acronis Backup。Backup Exec(或/和System Recovery)軟件的整機(jī)備份功能僅支持VMware和Hyper-V虛擬機(jī)的永久增量備份,備份方案針對(duì)不同類型數(shù)據(jù)制定,且在異構(gòu)硬件平臺(tái)恢復(fù)鏡像步驟復(fù)雜、存在局限性。而Acronis Backup軟件支持物理機(jī)和虛擬機(jī)磁盤的永久增量備份,1個(gè)備份方案可備份所有數(shù)據(jù),通過異機(jī)還原功能將現(xiàn)有系統(tǒng)備份中必要的系統(tǒng)數(shù)據(jù),包括文件、配置、應(yīng)用程序、操作系統(tǒng)等遷移至新的硬件平臺(tái)。因此,該項(xiàng)目選用了Acronis Backup 12.5系統(tǒng)備份、恢復(fù)軟件。

2.2 系統(tǒng)配置

2.2.1網(wǎng)絡(luò)連接

在中心控制室配置1臺(tái)備份服務(wù)器,并安裝管理服務(wù)器軟件,作為備份數(shù)據(jù)的存儲(chǔ)節(jié)點(diǎn)。在需要進(jìn)行數(shù)據(jù)備份的操作節(jié)點(diǎn)(操作員站、組態(tài)服務(wù)器等)上安裝執(zhí)行數(shù)據(jù)備份、恢復(fù)的代理程序。備份服務(wù)器經(jīng)工業(yè)防火墻與各裝置中裝有代理程序的操作節(jié)點(diǎn)相連,備份還原系統(tǒng)網(wǎng)絡(luò)連接如圖2所示。

2.2.2備份策略

備份采取在線備份的方式。操作員站、OPC服務(wù)器的數(shù)據(jù)平時(shí)很少改變,對(duì)備份恢復(fù)的速度要求高,可采取整機(jī)永久增量備份的方式,在操作節(jié)點(diǎn)有配置變化時(shí)更新整機(jī)備份。數(shù)據(jù)服務(wù)器是冗余配置,可每月進(jìn)行1次增量/差異備份,節(jié)點(diǎn)配置變化時(shí)進(jìn)行整機(jī)備份即可。組態(tài)服務(wù)器的數(shù)據(jù)(組態(tài))平時(shí)修改較多,除了每年自動(dòng)進(jìn)行1次整機(jī)備份外,每月還進(jìn)行1次增量/差異備份。操作節(jié)點(diǎn)的備份頻次見表1所列。

表1 操作節(jié)點(diǎn)的備份頻次

2.2.3 威脅防護(hù)

Acronis Backup 12.5軟件自帶的Acronis Active Protection功能,使用行為啟發(fā)式方法來分析由進(jìn)程執(zhí)行的文件系統(tǒng)事件,并將其與惡意行為模式數(shù)據(jù)庫進(jìn)行比較,對(duì)“勒索病毒”“挖礦病毒”等網(wǎng)絡(luò)病毒,則在行為開始前采取早期預(yù)防措施。同時(shí)對(duì)備份文件和備份代理實(shí)施自我保護(hù),除該軟件外,系統(tǒng)中沒有任何進(jìn)程可以修改備份文件。

為了防止網(wǎng)絡(luò)病毒的傳播,備份服務(wù)器與各裝置操作節(jié)點(diǎn)主機(jī)之間都采用工業(yè)防火墻隔離,除了備份服務(wù)器必要的TCP端口在工業(yè)防火墻上打開外,其他所有端口都關(guān)閉。

2.3 系統(tǒng)還原

當(dāng)操作節(jié)點(diǎn)出現(xiàn)故障時(shí),應(yīng)用備份還原系統(tǒng)措施如下:

1)緊急恢復(fù)。當(dāng)受到快速傳播病毒的攻擊,出現(xiàn)大量操作員站無法正常工作時(shí),而這些操作員站又需要同時(shí)恢復(fù)。網(wǎng)絡(luò)恢復(fù)可用于單臺(tái)操作員站的緊急恢復(fù),但不建議通過網(wǎng)絡(luò)進(jìn)行大規(guī)模恢復(fù)。因?yàn)樵谕粫r(shí)間恢復(fù)許多計(jì)算機(jī)時(shí)會(huì)遇到瓶頸,所以通常建議在受到惡意軟件攻擊時(shí)首先關(guān)閉網(wǎng)絡(luò),以防止網(wǎng)絡(luò)病毒進(jìn)一步傳播。

在本地操作員站存儲(chǔ)本機(jī)的備份。當(dāng)災(zāi)難事件發(fā)生時(shí),將操作員站置于離線,采用可引導(dǎo)媒體裝載機(jī)器,每臺(tái)機(jī)器在本機(jī)并行同時(shí)恢復(fù),對(duì)其他機(jī)器不會(huì)造成影響。

2)異機(jī)恢復(fù)。在操作節(jié)點(diǎn)的軟、硬件生命周期結(jié)束后,控制系統(tǒng)不具備整體升級(jí)改造條件時(shí),或操作節(jié)點(diǎn)損壞沒有相同版本硬件備件時(shí),需將包括文件、配置、應(yīng)用程序、操作系統(tǒng)等的系統(tǒng)數(shù)據(jù)與依賴的硬件脫離關(guān)聯(lián),遷移至新的硬件平臺(tái)。利用通用還原(acronis universal restore)功能,可將備份的系統(tǒng)還原到不同的硬件環(huán)境。實(shí)現(xiàn)這一功能的前提條件是: 有新硬件平臺(tái)硬盤驅(qū)動(dòng)器(HDD)控制器、網(wǎng)絡(luò)接口卡(NIC)、芯片組(chipset)的驅(qū)動(dòng)程序,并且要用包含通用還原的可啟動(dòng)媒體啟動(dòng)計(jì)算機(jī)。

3)在線恢復(fù)。在線恢復(fù)功能可以通過網(wǎng)絡(luò)對(duì)出現(xiàn)問題的操作節(jié)點(diǎn)進(jìn)行系統(tǒng)恢復(fù),將保存在備份服務(wù)器(存儲(chǔ)節(jié)點(diǎn))上的備份恢復(fù)到該操作節(jié)點(diǎn)。在線恢復(fù)的速度取決于網(wǎng)絡(luò)的運(yùn)行狀況,必須確保網(wǎng)絡(luò)中每臺(tái)機(jī)器的網(wǎng)絡(luò)端口速率和工作模式配置一致。該項(xiàng)目實(shí)施過程中,曾經(jīng)出現(xiàn)因?yàn)榫W(wǎng)絡(luò)中不同機(jī)器網(wǎng)絡(luò)端口速率和工作模式配置的不一致導(dǎo)致網(wǎng)絡(luò)恢復(fù)速度變慢。因此,在系統(tǒng)投用前,一定要做好網(wǎng)速的測(cè)試、檢查。

3 結(jié)束語

數(shù)據(jù)備份的目的是為了在發(fā)生意外的情況下能及時(shí)準(zhǔn)確地恢復(fù)數(shù)據(jù),備份還原系統(tǒng)在乙烯廠投用后,提高了系統(tǒng)備份的準(zhǔn)確性,減少了操作節(jié)點(diǎn)故障恢復(fù)的時(shí)間,提高了勞動(dòng)生產(chǎn)率。

需要注意的是數(shù)據(jù)備份、恢復(fù)系統(tǒng)中,數(shù)據(jù)源端硬盤、數(shù)據(jù)源端網(wǎng)卡、網(wǎng)線、交換機(jī)、數(shù)據(jù)目的端網(wǎng)卡、數(shù)據(jù)目的端硬盤各環(huán)節(jié)中,每一環(huán)節(jié)都可能影響網(wǎng)絡(luò)備份、恢復(fù)的速度,因此,在系統(tǒng)投用前期要配置、檢查好。高效的備份還原系統(tǒng)不僅提升了工業(yè)控制系統(tǒng)維護(hù)業(yè)務(wù)的運(yùn)作效率,同時(shí)也為操作節(jié)點(diǎn)的數(shù)據(jù)災(zāi)難恢復(fù)提供了保障,將成為大型煉化企業(yè)工業(yè)控制系統(tǒng)安全防護(hù)中一個(gè)不可或缺的重要組成部分。