伴随国家工业化、信息化的两化融合,石化企业提出管控一体化规划,基于实时数据库应用的MES系统在各大企业得到大力推广。实时数据库的建立是以采集过程控制系统的数据为前提,这就需要MES的信息网络必须要实现与控制网络之间的数据交换,控制网络不再以一个独立的网络运行,而要与信息网络互通、互联,基于TCP/IP以太网通讯的OPC技术在该领域得到广泛应用。
网络拓扑图
系统说明及隐患分析
石化行业系统结构通常分为三层,自上而下分别是办公网、数采网和控制网。办公网和数采网是物理上隔离的;数采网采用OPC标准从控制网采集数据,数采机或OPC Server采用双网卡结构与控制网进行了隔离;工程师站通常需要接入第三方设备(U盘、笔记本电脑等),系统存在以下信息安全隐患:
1、数采网与控制网之间的病毒相互感染隐患。虽然通过Buffer数采机或OPC Server的双网卡结构对数采网与控制网进行了隔离,部分恶意程序不能直接攻击到控制网络,但对于能够利用 Windows 系统漏洞的网络蠕虫及病毒等,这种配置并不起作用,病毒仍会在数采网和控制网之间互相传播。另外OPC通讯使用动态端口,无法使用常规防火墙进行防护。
2、来自工程师站的病毒扩散隐患。工程师站通常接入设备U盘、笔记本电脑等第三方,受到病毒攻击和入侵的概率很大,存在较高的安全隐患。
3、网络攻击事件无法追踪。网络中缺乏对网络进行实时监控的工具,一旦出现问题后,无法进行原因查找、分析和故障点查询。
解决方案
1、 网络分区
针对石化行业网络当前的安全隐患,根据系统网络结构和安全要求,可以将整个网络分为办公网、数采网、控制网和工程师站四大区域。
2、 通讯管控
在控制网和数采网之间部署Tofino工业防火墙,通过OPC Enforcer软插件自动跟踪OPC通讯的动态端口,并对其通讯内容进行深度检查,保障数采通讯安全;此外,在工程师站前端部署Tofino工业防火墙,对工程师站进行隔离防护,防止病毒扩散。
3、 集中管理
在网络中部署CMP配置管理平台,用于配置、管理、监测网络中所有的Tofino工业防火墙,并接收来自防火墙的网络报警信息。无需停车,Tofino工业防火墙特有的“测试”模式允许在线配置防火墙策略。
4、 预警分析
在企业办公网部署SMP安全管理平台,捕获并分析现场所有安装Tofino防火墙的通讯“管道”中的攻击,一方面可以实现对整个生产网络的实时监控,另一方面也可以及时发现病毒、非法入侵以及各类威胁并迅速解决,以总揽大局的方式为工厂网络故障的及时排查、分析提供可靠的依据。