湖南中烟工业有限责任公司郴州卷烟厂 湖南郴州 423000
摘要:随着当前信息化技术的不断发展,工业控制网络体系架构从传统的DCS体系、FCS体系逐步发展为基于Ethernet的嵌入式互联体系,实现了企业的管控一体、高度集成、资源有效共享。伴随着智能化、数字化技术的发展,本文主要对工业控制网络的安全问题进行分分析拜拜佛提出解决对策。
关键词:工业控制网络 ;生产网;网络安全
1. 工业控制网络体系的基本结构
1.1 DCS架构体系?
DCS架构体系又成为分布式架构体系,其主要特点是利用管理站、控制站以及信号变换设备等组成一个集散的控制体系,该系统从传统的某台计算器控制单个设备转变为多台计算机、智能设备等互联组成了一个局域网。DCS架构体系的基本理念是通过多工业控制多个过程及设备的分区和细化,以控制站直接控制所有现场设备,并以信号变换器为媒介,实现多个控制站之间进行通信和交流,并利用管理站实现各个区域之间的分步与协同。?
DCS架构体系的主要特点有以下几个方面:一是,整个体系架构是典型的局域网结构,内部数据通信是整个链接的纽带,它更为注重整个体系的安全、可靠、普适和实用;二是,各个通信协议尽管参考当时的标准进行建立,但仍缺少一定的开放性和通用性,难以实现完全兼容和互通;三是,以各种现场关键设备为核心相对形成了各自的区域,其分散的程度较高。随着协议标准及网络技术的不断发展,该架构体系的开放程度越来越高,少许企业仍然采用该架构体系进行生产和管理,但其缺少全面控制能力的特质,决定了该架构体系的持续应用受到了阻碍。?
1.2 FCS架构体系?
FCS架构体系又称为现场总线体系,该体系的主要特点是利用特定的通信协议、端口将现场的智能化设备与工业的自动化控制系统相连。这种数字化的通信方式替代了DCS体系的普通信号,实现了彻底且一定程度集中的控制结构。FCS架构体系分成三个层次,底层为低速现场总线互联组成的基本控制网络,中间层为高速总线将各个功能连接,实现相关过程控制及管理功能,上层为管理支撑层,通过该层提供对外接口及相关生产信息上报,实现用户对整个生产过程的交互。?
FCS架构体系的重要优势之一就是实现了现场控制,其架构思想类似于普通计算机的总线结构,由一个管理站对所有现场设备进行统一控制,减少了中间过程节点和故障点,提高了工业网络整体结构的互联互通能力、可操作能力以及可靠度和灵活度。然而,由于各个厂商所应用的总线技术标准不同,相关的通信协议很难做到互相兼容,因此,FCS架构难以实现整个生产自动化过程的开放和互联。
2.工业控制网络的安全问题
根据美国工业控制系统网络应急响应小组(ICS-CERT)发布 的2015年关键基础设施安全报告显示,2015年美国关键基础设施 安全事件比2014年增长了20% 之多。在过去的财年中共收到295个涉及关键基础设施的上报事件,与之相比,去年的事件数为245件。 其安全事件集中于能源、水利、化工、政府机构以及核设施等领域, 其中能源行业的安全事件在2015年占全部数量的16%,发生了46起, 其他上报安全事件的领域还有水利(23起)、交通运输系统(23起)、 政府设施(18起)、医疗保健(14起)、通信(13起)。
期刊文章分类查询,尽在期刊图书馆可见,在网络物理隔离的条件下,工业自动化控制系统在考虑效率和实时性的同时,其网络安全性并未成为其重要的考量指标,随着其信息化程度的提高,安全事件也呈逐年上升的态势,尽管数量上无法与互联网安全事件相比,但一旦发生,其影响范围之广、经济损失之大、持续时间之长,都是互联网安全事件无法比拟的,每一次事件,都代表着国民生活、生产遭受巨大影响,经济遭受重 大损失和倒退,甚至可能危及到相关人员的健康与生命。
3. 生产网网络安全问题的解决思路
3.1 建立面向工业控制网络的管理理念
本公司生产网实质是工业控制网络的一种,不应该使用传统办 公网 TCP/IP 管理思维来管理生产网。生产网的管理思维可从这三 个方面进行改进。 (1)封闭的网络一定安全?生产网是个非常封闭的网络,管理 者普遍认为这样的网络不容易受到外界攻击,网络安全问题相对不 够重视。然而,“Stuxnet”震网病毒攻击伊朗核工厂事件可以看出, 再封闭的网络系统也会被人恶意攻破,封闭的网络也需要重视安全 防护。 (2)黑名单还是白名单。办公网主要采用黑名单机制,只将危 险事件加入黑名单禁用,其他未知的内容均看作是安全的 ;而生产 网应该使用白名单机制,只有管理者认为安全的数据才加入白名单 放行,而其他未知的数据均认为是危险的。 (3)广域网还是局域网?办公网是一种广域网,在成都就可通 过办公网连接到遂宁、重庆甚至到北京,这种网络结构是为了方便 各系统之间数据传输和办公人员互相交流 ;而生产网应该建设成局 域网结构,从场站到中心站,再到作业区、气矿都应该被分成若干 个小局域网,彼此之间通过安全网关相连,避免某个地区被病毒入 侵后波及其他地区。
3.2 配置专用工控防火墙
工控防火墙具有传统防火墙的主要功能,最大的区别是内置工 业自动化控制通讯协议的过滤模块,支持各种工业网络协议识别及 过滤,弥补传统防火墙不支持工业网络协议过滤的不足。例如支持 ModBus 协议、OPC 协议等。针对工业网络协议采用深度包检测技 术及应用层通讯跟踪技术,能够对工控网络的数据包进行深度包解 析,目前技术一般解析到工控协议的指令层,可以实现对非法指令 的阻断、非工控网络协议的拦截,起到保护关键控制器的作用。
3.3 配置工控安全防护系统
生产网上的工控机和服务器面对网络安全攻击时极其脆弱,给 安全生产带来极大隐患。因此需要在生产网上部署一套专用的工控 安全防护系统,该系统分为部署在总部的一套工控安全防护管理平 台和部署在油气生产二级单位各种工控机和服务器上的工控安全防 护客户端。工控安全防护系统需要具备以下几个主要功能 :客户端 要有良好的操作系统适应性 ;客户端要兼容主流的组态软件 ;病毒 库和安全补丁推送功能 ;网络监控管理功能 ;白名单功能 ;USB 接 口管理功能 ;事中监控、事后审计功能。
4.工业控制网络体系的发展趋势?
随着近年来互联网技术的不断普及和提高,TCP/IP协议已经成为当前广泛应用的通信标准,这也对工业控制网络体系的发展产生了影响。当前,将FCS系统与互联网或者局域网通过TCP/IP协议进行互联,已经成为工业控制网络体系发展的一个重要过程。同时,随着嵌入式技术的出现和发展,基于Ethernet的工业控制网络体系已经成为发展的新趋势。?
基于Ethernet的工业控制网络体系具备以下几个特点:一是,Ethernet是整个网络架构体系的枢纽,是智能化设备、生产控制、管理决策等多个方面互联的传输神经,是扁平化结构得以实现的重要手段;二是,通信协议及标准的一致性有效的避免了DCS和FCS架构体系难以兼容或者开放程度低等各种问题;三是,通过嵌入式技术将各个控制和生产设备进行连接,实现了相关访问权限的控制与各种状态信息的收集、监控和预警。同时,充分支持远程访问和操作也是该体系结构得以快速普及的重要方面。
结语?
工业控制网络体系发展的总体方向是面向开放、高度集成、扁平高效、性能卓越、统一管理,同时,随着信息化的不断发展,工业控制网络在支撑信息化与自动化的深度融合方面也在不断完善和提升。因此,结合自身的实际情况,在保证整体安全、可靠的情况下,以两化的深度融合为切入点,全面提升工业控制网络架构体系的支撑能力,适时进行工业控制网络的改造和完善,是数字化、智能化企业建设的必经之路。
参考文献:
[1] 余勇,林为民 . 工业控制 SCADA 系统的信息安全防护体系研究 [J]. 信息网 络安全,2012,(05):74-77.
[2] 郭斌,於志文,张大庆,等 . 机会物联及其安全性探讨 [J]. 信息网络安全, 2012,(05):68-69.
论文作者:贺曦
论文发表刊物:《防护工程》2019年第6期
论文发表时间:2019/6/28
标签:体系论文; 网络论文; 架构论文; 工业控制论文; 工控论文; 事件论文; 互联论文; 《防护工程》2019年第6期论文;