今日頭條
官方微信
官方抖音
案例頻道
1、應(yīng)用背景
某大型國(guó)有鋼鐵公司在企業(yè)信息中心設(shè)立能源管理調(diào)度中心,同時(shí)建設(shè)以大型分布式SCADA為核心的指揮調(diào)度系統(tǒng)。該總公司目前在擁有15子公司,并計(jì)劃在未來(lái)3年將所有子公司的能源數(shù)據(jù)都采集到能源調(diào)度管理中心。到時(shí)中心采集的數(shù)據(jù)點(diǎn)數(shù)將達(dá)到30萬(wàn)點(diǎn)。能源調(diào)度系統(tǒng)完成功能包括:通過(guò)能源中心建設(shè),依托EMS管理系統(tǒng),對(duì)能源生產(chǎn)、能源管理、能源調(diào)度進(jìn)行扁平的一體化管理,統(tǒng)一煤氣調(diào)度、優(yōu)化煤氣平衡、減少煤氣放散、提高環(huán)保質(zhì)量、降低噸鋼能耗、提高勞動(dòng)生產(chǎn)率和能源管理水平,使能源管理由事后的、粗放管理模式向事前的、精細(xì)化管理模式轉(zhuǎn)變,實(shí)現(xiàn)能源的穩(wěn)定、安全、高效生產(chǎn),形成適用于大型鋼鐵企業(yè)的能 源在線(xiàn)監(jiān)測(cè)、能效分析平臺(tái)和企業(yè)級(jí)能源優(yōu)化系統(tǒng),實(shí)現(xiàn)節(jié)能降耗的技術(shù)提升和創(chuàng)新,顯著降低鋼鐵企業(yè)的能耗。
2、系統(tǒng)說(shuō)明
由于各子系統(tǒng)地理位置分散,從子系統(tǒng)接入到調(diào)度中心的網(wǎng)絡(luò)通信方式多種多樣。一部分總公司直屬的子系統(tǒng)采用集團(tuán)專(zhuān)網(wǎng),總公司專(zhuān)網(wǎng)租用電信專(zhuān)線(xiàn)通過(guò)VPN實(shí)現(xiàn)廣域網(wǎng)傳輸。其它不具備接入總公司專(zhuān)網(wǎng)的子系統(tǒng)則采用ADSL、無(wú)線(xiàn)等接入方式通過(guò)互聯(lián)網(wǎng)將數(shù)據(jù)傳到中心。最終構(gòu)成的整個(gè)能源管理調(diào)度系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)非常復(fù)雜。聯(lián)網(wǎng)后,將導(dǎo)致各子系統(tǒng)的控制網(wǎng)絡(luò)直接暴露給企業(yè)專(zhuān)網(wǎng)或互聯(lián)網(wǎng)。該集團(tuán)公司專(zhuān)網(wǎng)是面向集團(tuán)公司內(nèi)各子系統(tǒng)的辦公網(wǎng)絡(luò),應(yīng)用數(shù)據(jù)多樣而復(fù)雜;互聯(lián)網(wǎng)則更是一個(gè)開(kāi)放網(wǎng)絡(luò)。而由各種DCS、PLC、RTU、儀表等控制系統(tǒng)組成的子系統(tǒng)負(fù)責(zé)完成對(duì)電力、煤氣(焦?fàn)t煤氣、高爐煤氣、轉(zhuǎn)爐煤氣、混合煤氣)、壓縮空氣、氧氣、氮?dú)?、氬、蒸汽、生產(chǎn)水、生活水的控制任務(wù),因此其控制網(wǎng)絡(luò)的安全性非常重要,一旦直接暴露給外網(wǎng),就有可能因受到外網(wǎng)的惡性攻擊、病毒感染而導(dǎo)致控制網(wǎng)絡(luò)阻塞、癱瘓,甚至產(chǎn)生破壞和影響生產(chǎn)的嚴(yán)重后果。
3、解決方案
3.1常規(guī)網(wǎng)絡(luò)安全產(chǎn)品的不足
目前工業(yè)自動(dòng)化市場(chǎng)上選用常規(guī)網(wǎng)安產(chǎn)品或者由于自身存在的缺陷與不足,不能滿(mǎn)足工業(yè)網(wǎng)絡(luò)較高的防護(hù)要求,或者因?yàn)椴皇菍?zhuān)門(mén)針對(duì)工業(yè)網(wǎng)絡(luò)設(shè)計(jì),難以在工業(yè)場(chǎng)合應(yīng)用。
例如,網(wǎng)絡(luò)防火墻是目前網(wǎng)絡(luò)邊界上最常用的一種防護(hù)設(shè)施。提供的主要功能有:包過(guò)濾、審核和報(bào)警機(jī)制、遠(yuǎn)程管理、NAT、代理、流量控制、統(tǒng)計(jì)分析和流量計(jì)費(fèi)等。
防火墻本身雖然具有較強(qiáng)的抗攻擊能力,但它是提供信息安全服務(wù)、實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的一種基礎(chǔ)設(shè)施,用于滿(mǎn)足各種通用的網(wǎng)絡(luò)應(yīng)用。或者說(shuō),防火墻并不是專(zhuān)為工業(yè)網(wǎng)絡(luò)應(yīng)用設(shè)計(jì)的產(chǎn)品。因此防火墻在防護(hù)工業(yè)網(wǎng)絡(luò)時(shí)存在較多缺陷。
通過(guò)防火墻將控制網(wǎng)絡(luò)與信息網(wǎng)絡(luò)串聯(lián)在一起時(shí),要求被控制網(wǎng)絡(luò)與信息網(wǎng)絡(luò)間的通信數(shù)據(jù)必須經(jīng)過(guò)防火墻,同是要求防火墻具有安全性、完整性和異步性。安全性要求防火墻本身不受威脅,也不存在漏洞;完整性要求防火墻能對(duì)通過(guò)防火墻的所有對(duì)象及其內(nèi)容進(jìn)行全面審查,不能遺漏;異步性要求防火墻必須對(duì)進(jìn)入防火墻的數(shù)據(jù)進(jìn)行嚴(yán)格審查,審查通過(guò)后才能放出,否則拋棄,禁止放出任何未經(jīng)審查完的數(shù)據(jù)。而目前技術(shù)上很難保證防火墻具有安全性,完整性和異步性,更難保證所有進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)都經(jīng)過(guò)防火墻。
3.1網(wǎng)絡(luò)安全的保護(hù)神-pSafetyLink
該鋼鐵公司出于對(duì)各子系統(tǒng)生產(chǎn)安全的考慮,選用了pSafetyLink作為子公司系統(tǒng)的網(wǎng)絡(luò)安全防護(hù)裝置。
pSafetyLink是種專(zhuān)為工業(yè)網(wǎng)絡(luò)應(yīng)用設(shè)計(jì)的防護(hù)設(shè)施,用于解決工業(yè)SCADA控制網(wǎng)絡(luò)如何安全接入信息網(wǎng)絡(luò)(外網(wǎng))的問(wèn)題。它與防火墻等網(wǎng)絡(luò)安全設(shè)備本質(zhì)不同的地方是它阻斷網(wǎng)絡(luò)的直接連接,只完成特定工業(yè)應(yīng)用數(shù)據(jù)的交換。
pSafetyLink通過(guò)內(nèi)部的雙獨(dú)立主機(jī)系統(tǒng),一端接入到站控系統(tǒng)的網(wǎng)絡(luò),通過(guò)采集接口完成各子系統(tǒng)數(shù)據(jù)的采集;另一端接入到集團(tuán)專(zhuān)網(wǎng)或通過(guò)ADSL、無(wú)線(xiàn)等方式接入到公網(wǎng),完成數(shù)據(jù)到調(diào)度中心的傳輸。雙主機(jī)之間通過(guò)專(zhuān)有的PSL網(wǎng)絡(luò)隔離傳輸技術(shù),截?cái)?TCP 連接,徹底割斷穿透性的 TCP 連接。PSL的物理層采用專(zhuān)用隔離硬件,鏈路層和應(yīng)用層采用私有通信協(xié)議,數(shù)據(jù)流采用128 位以上加密方式傳輸,更加充分保障數(shù)據(jù)安全。PSL技術(shù)實(shí)現(xiàn)了數(shù)據(jù)完全自我定義、自我解析、自我審查,傳輸機(jī)制具有徹底不可攻擊性,從根本上杜絕了非法數(shù)據(jù)的通過(guò),確保子系統(tǒng)控制系統(tǒng)不會(huì)受到攻擊、侵入及病毒感染。
四、應(yīng)用總結(jié)
pSafetyLink在鋼廠(chǎng)能源調(diào)度管理系統(tǒng)中,一方面實(shí)現(xiàn)了對(duì)各子系統(tǒng)的分布式數(shù)據(jù)采集與傳輸,同時(shí)徹底阻斷了站控系統(tǒng)的控制網(wǎng)絡(luò)與互聯(lián)網(wǎng)絡(luò)的直接網(wǎng)絡(luò)連接,從根本上保證了子系統(tǒng)的網(wǎng)絡(luò)不會(huì)受到來(lái)自外網(wǎng)數(shù)據(jù)的攻擊,為各子系統(tǒng)的生產(chǎn)安全運(yùn)行提供了保障。
北京市公安局海淀分局備案號(hào):11010802023656號(hào)