荐读 | 煤化工企业工控网络安全设计

作者 | 王挺，吕毅，赵辉，徐云

随着化工行业信息化与自动化的不断融合，企业管理信息系统不断利用数据采集与过程控制系统进行互联，完成经营管理层与生产执行层的信息交互。然而，伴随着信息化与自动化的深度融合，原本相对独立的工业控制系统越来越多地与企业管理网互联互通，使得信息安全威胁逐渐向工业控制系统扩散，工业控制系统信息安全问题日益突出。

2010年发生的“震网”病毒及2013年的“棱镜门”事件，充分反映出工业控制系统安全面临着严峻的形势。工信部已注意到上述问题的严重性，2011年9月特发文要求切实加强工业过程控制系统的安全管理（工信部协[2011]451号《关于加强工业控制系统信息安全管理的通知》）；2013年8月国家发展改革委办公厅下发《关于组织实施2013年国家信息安全专项有关事项的通知》，通知针对关系国计民生领域的工业控制系统，要求建立安全检测机制、查找漏洞和隐患、提升工业系统安全防护水平、保障业务、捍卫国家安全。

因此本文遵循国家和行业有关标准，结合煤化工企业生产的具体情况和需求，从企业工控网络的角度进行了系统安全建设方案的积极探索，通过建立完善工控安全体系，为煤化工企业生产运行管理保驾护航。

通过对煤化工企业工控系统、数据采集、生产网、管理网以及对日常生产管理等现场调研，目前安全问题主要包括以下几个方面：

（1）缺乏边界防护技术手段

在控制网与信息网互联的情况下，两个网络之间的边界防护就成为控制系统信息安全防御的重点。由于控制系统与信息系统的差异，控制系统的信息安全要求远高于信息系统的信息安全要求，当缺乏有效的边界防护技术手段时，必然会出现信息安全问题从信息网络向控制网络蔓延的情况。

（2）缺少信息安全威胁感知手段

信息安全威胁是看不见、摸不着的，通过管理手段只能预防控制系统的部分信息安全问题的发生，无法让控制系统管理人员真正了解到当前系统信息安全状况，无法得知系统面临哪些信息安全威胁以及这些威胁来自何方。只有信息安全威胁已经产生后果才能进行处理的尴尬状态，而信息安全威胁（如：病毒、入侵）在未产生后果前处理，要比后果产生后处理简单的多，损失也要小得多。

（3）无法对控制系统信息安全进行统一管理

由于工控信息安全的发展现状，缺少针对工控信息安全的系统解决方案，从当前现状来看，企业均缺少对控制系统信息安全的统一监视、管理以及运维的综合平台，无法对控制系统信息安全进行系统化的管理，即从设备资产管理、设备运行状况监控、信息安全报警到信息安全事件感知、记录和分析及后续处理的统一管理。

工控网信息安全设计要考虑多个方面的安全性。如：物理安全、网络安全、主机安全、应用安全、数据安全等，任意一个方面的安全隐患都会造成整个工业控制系统的不安全。本文在工业控制系统的安全防护建设中，采用自主研发的安全数采网关代替传统的Buffer机进行数据采集，同时安全数采网关对工业控制网和企业管理网进行边界防护，实现物理隔离。安全隔离网关划分出DMZ，实现数据的安全交互，管控平台友好人机界面图形化的展示企业工控安全现状，实现可视化的安全管控，系统架构如图1所示。

图1 系统架构图

通过安全数采网关在全厂范围内划分工控网络安全区域，保证每个工控系统的安全独立性，通过工控防火墙建设安全数据交换区，划分工控DMZ区，隔离工业控制系统网络与管理系统网络，在实现工控系统生产实时数据安全采集的同时，消除由于数据采集可能带来的信息安全隐患，保证生产装置的安全稳定运行。工控网安全网络拓扑图设计如图2所示，下面将分别对中控室、热电、输煤辅助车间的安全数采网络设计、数采专网，工控DMZ进行详细介绍。

图2 煤化工企业工控网安全网络拓扑图

3.1　中控室安全数采网络设计

中心控制室数采网络拓扑如图3所示，中控室有甲醇、烯烃、公用工程3套DCS控制系统，每套DCS控制系统各提供1台OPC Server服务器，OPCServer服务物理位置在中控室DCS机柜间，要求每台OPCServer服务器提供一块富余空闲的网口。根据每台OPC预估采集点数、采集频率甲醇装置配备4台数采网关、烯烃装置配置4台数采网关、公用工程配置1台数采网关，共配置9台安全数采网关；甲醇装置通过网线将OPCServer服务器富余空闲网口与交换机相连，安全数采网关数采网口接甲醇汇聚交换机，发送网口接中控制汇聚交换机；烯烃装置通过网线将OPCServer服务器富余空闲网口与交换机相连，安全数采网关数采网口接烯烃汇聚交换机，发送网口接中控制汇聚交换机；公用工程装置通过网线将OPCServer服务器富余空闲网口与安全数采网关的采集网口相连，数采网关的发送网口接入中控室汇聚交换机；9台安全数采网关发送网口通过交换机进行汇聚，在汇聚交换机配置IP地址、MAC地址、端口绑定策略，要求每套装置之间的安全数采网关不能相互通讯，汇聚后交换机通过单模光纤接入至数据中心机房。

图3 中心控制室数采网络拓扑图

3.2　热电安全数采网络设计

热电中控室有1套DCS控制系统，提供1台OPCServer服务器，OPCServer服务器物理位置在DCS机柜间，要求该台OPCServer服务器提供一块富余空闲的网口。根据热电OPC Server的预估采集点数及采集频率，配置2台安全数采网关；热电装置通过网线将OPCServer服务器富余空闲网口与交换机相连，安全数采网关数采网口接汇聚交换机，发送网口接热电中控室汇聚交换机；在汇聚交换机配置IP地址、MAC地址、端口绑定策略。要求热电装置的安全数采网关不能与其它装置安全数采网关相互通讯，汇聚后交换机通过单模光纤接入至数据中心机房，网络拓扑如图4所示。

图4 热电控制室数采网络拓扑图

3.3　输煤辅助间安全数采网络设计

输煤辅助间有1套PLC控制系统，提供1台OPCServer服务器，OPCServer服务器的物理位置在输煤辅助间，要求该OPC服务器提供一块富余空闲的网口。根据输煤控制系统OPCServer预估的采集点数及采集频率，配置1台安全数采网关；输煤装置通过网线将OPCServer服务器富余空闲网口与安全数采网关的采集网口相连，数采网关的发送网口接入输煤汇聚交换机，交换机通过单模光纤接入至中心机房。

输煤辅助间数采网络拓扑图如图5所示。

图5 输煤辅助间数采网络拓扑图

3.4　工控DMZ区网络安全设计

中控室来的OPC服务器2对光纤，热电来的OPC服务器2对光纤，输煤辅助间来的OPC服务器2对光纤，接入汇聚交换机，该交换机放在A1-19机柜。工控防火墙划分工控DMZ区，数采网关采集来的数据首先放在安全通信服务器。

安全通信服务器通过软硬件设置将两块网卡绑定在同一个IP地址上，基于Windows Server 2012 R2接口组合技术，将2块千兆网卡配置成Teaming，并通过组接口技术将组合网卡配置为1块虚拟网卡，对于外部网络而言，这台服务器只有一个可见的网卡。对于任何应用程序，以及本服务器所在的网络，这台服务器只有一个可以访问的IP地址。虽然使用时相当于一块网卡，但物理上两个网卡分别接入主/备工控防火墙，当主工控防火墙故障，网络自动切换到备用工控防火墙工作时，服务器也能保证正常工作安全管控平台服务器采用同样的技术进行连接、设置。两台工控防火采用主备方式、心跳线，IP地址、安全策略配置也完全一样。

工控DMZ区网络拓扑图如图6所示。

图6 工控DMZ区网络拓扑图

3.5　数采专网安全设计

数据中心机房到中心控制室（甲醇、烯烃、公用工程）分配给安全数据采集2对光纤（每根光纤2芯，冗余），建立数据中心-中心控制室数采专网。数据中心机房到热电装置分配给安全数据采集2对光纤（每根光纤2芯，冗余），建立数据中心-热电数采专网。数据中心机房到输煤辅助间分配给安全数据采集2对光纤（每根光纤2芯，冗余），建立数据中心-输煤辅助间数采专网。中心机房内此6对光纤接入至A1-19机柜。

数采专网汇聚层网络拓扑图如图7所示。

图7 数采专网汇聚层网络拓扑图

通过对网络结构、网络安全风险分析，针对不同区域间数据通信安全和整体信息化建设要求，实施工业控制网络安全建设，针对DCS网络管理的关键区域实施可靠的边界安全设备及策略，实现分层级的纵深安全防御策略，抵御各种已知的攻击威胁，以达到保护工业控制网络系统的可用性、防范网络资源对工业控制网络的非法访问、防范入侵者对工业控制网络的恶意攻击与破坏、保护工业控制网络和企业管理网络之间数据传输安全的目的。

★本论文由“智能制造综合标准化与新模式应用项目”资助。项目名称：煤化工企业智能工厂运行管理标准及试验验证。

摘自《自动化博览》2019年1月刊