今日頭條
官方微信
官方抖音
案例頻道★ 王科,劉永輝,彭乙書 上海寬域工業(yè)網(wǎng)絡(luò)設(shè)備有限公司
1 引言
隨著物聯(lián)網(wǎng)、云計算、大數(shù)據(jù)等新一代信息技術(shù)在水務(wù)行業(yè)應(yīng)用與發(fā)展,智慧水務(wù)應(yīng)運(yùn)而生,各路資金、技術(shù)、人才紛至沓來,似有“得智慧便得天下”之勢,一些大型水務(wù)集團(tuán)陸續(xù)上線了“智慧水務(wù)平臺”,許多小型水企也借著東風(fēng),相繼邁入“智慧”行列。作為一種更為精細(xì)化、動態(tài)化、智能化的水務(wù)管理模式,智慧水務(wù)對加強(qiáng)資源整合與共享、實(shí)現(xiàn)節(jié)能減排、助力智慧城市建設(shè)意義重大,并已成為水務(wù)行業(yè)進(jìn)入高質(zhì)量發(fā)展階段的重要抓手[4]。
水務(wù)行業(yè)作為傳統(tǒng)的國有資源體系,生產(chǎn)、管理與服務(wù)措施較為保守,基礎(chǔ)數(shù)據(jù)網(wǎng)絡(luò)能力相對薄弱[3],主要體現(xiàn)在:
(1)網(wǎng)絡(luò)設(shè)備基礎(chǔ)特性偏弱。長期以來,以太網(wǎng)特性作為生產(chǎn)、管理的輔助措施,在運(yùn)用過程中逐漸顯現(xiàn)出規(guī)劃不合理、設(shè)備不達(dá)標(biāo)、應(yīng)用不如意等一系列問題。總體而言,普通商用設(shè)備不符合工業(yè)生產(chǎn)現(xiàn)場的抗強(qiáng)干擾、寬溫工作、寬壓工作、自然散熱、防塵、防鹽霧等要求。
(2)時間標(biāo)準(zhǔn)不統(tǒng)一。目前,水務(wù)信息化建設(shè)缺乏整體的統(tǒng)籌規(guī)劃,大多數(shù)地區(qū)、單位根據(jù)自身業(yè)務(wù)需求,獨(dú)立開展業(yè)務(wù),未部署統(tǒng)一的時間服務(wù)器,這導(dǎo)致各供排水企業(yè)已建設(shè)的信息化系統(tǒng)之間時間不統(tǒng)一,業(yè)務(wù)流程融合與共享出現(xiàn)紊亂,因此,業(yè)務(wù)協(xié)同能力仍有待提升。
智慧水務(wù)目前的工業(yè)控制系統(tǒng)邊界所采用的防火墻主要是傳統(tǒng)的信息安全領(lǐng)域防火墻,具備一般的基于五元組的網(wǎng)絡(luò)層訪問控制功能,但是無法識別工控專用協(xié)議,無法識別到自動化數(shù)據(jù),也無法針對應(yīng)用層數(shù)據(jù)進(jìn)行安全防護(hù)。經(jīng)調(diào)研網(wǎng)絡(luò)中存在ARP攻擊事件、外網(wǎng)對服務(wù)器的嘗試登錄攻擊、系統(tǒng)中存在使用默認(rèn)口令和弱口令事件、操作系統(tǒng)漏洞沒有及時更新、工控網(wǎng)絡(luò)中存在SSDP/ARP廣播事件、管理制度不健全、工控網(wǎng)絡(luò)沒有冗余備災(zāi)、存儲介質(zhì)風(fēng)險未管控、非法業(yè)務(wù)事件、Modbus異常響應(yīng)和非法操作未監(jiān)管等異常威脅事件。
2 總體概述
經(jīng)過長期的實(shí)踐證明,普通商用網(wǎng)絡(luò)設(shè)備不能完全滿足水務(wù)行業(yè)基礎(chǔ)數(shù)據(jù)網(wǎng)絡(luò)建設(shè)需求,由此帶來的網(wǎng)絡(luò)震蕩、丟幀、業(yè)務(wù)中斷給企業(yè)造成難以承受的影響;其次,商用設(shè)備對于工控協(xié)議如Modbus、OPC、IEC 104、PROFINET、DNP等的支持情況基本處于空白。因此,水務(wù)行業(yè)基礎(chǔ)數(shù)據(jù)網(wǎng)絡(luò)宜采用工業(yè)級設(shè)備進(jìn)行部署,以確保整體網(wǎng)絡(luò)在強(qiáng)干擾、鹽堿腐蝕、高低溫等環(huán)境中安全、穩(wěn)定地運(yùn)行,為生活、生產(chǎn)的上層應(yīng)用提供支撐。深度解析工控系統(tǒng)的Modbus、DNP3、PROFINET、OPC等數(shù)十種應(yīng)用協(xié)議,更好地識別攻擊行為,高度適配工控系統(tǒng),方案實(shí)施無需改造現(xiàn)有工業(yè)網(wǎng)絡(luò)和頻繁升級工控系統(tǒng),滿足《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求》等保2.0的要求。
3 整體方案介紹
3.1 方案拓?fù)浣榻B(如圖1所示)
圖1 方案拓?fù)浣Y(jié)構(gòu)圖
(1)總體目標(biāo)
依據(jù)網(wǎng)絡(luò)安全法和等級保護(hù)國家標(biāo)準(zhǔn)《GB/T 22239-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求》安全防護(hù)指南,結(jié)合對物理環(huán)境、區(qū)域網(wǎng)絡(luò)邊界、網(wǎng)絡(luò)環(huán)境、主機(jī)計算環(huán)境、安全管理層面等存在著的安全風(fēng)險,為水廠自控系統(tǒng)安全及網(wǎng)絡(luò)安全提供有力的保障。
(2)整體防護(hù)
針對已發(fā)現(xiàn)的安全風(fēng)險和未來的潛在安全威脅,結(jié)合現(xiàn)有成熟技術(shù)進(jìn)行工控網(wǎng)絡(luò)安全整改與建設(shè),重點(diǎn)從網(wǎng)絡(luò)安全域劃分及訪問控制、網(wǎng)絡(luò)安全監(jiān)測及審計、主機(jī)安全防護(hù)、集中安全管理等方面提升工控網(wǎng)絡(luò)的安全防范能力。
(3)持續(xù)防護(hù)
以工控網(wǎng)絡(luò)安全態(tài)勢感知平臺作為工業(yè)安全集中管理中心,通過外部情報、行業(yè)情報、內(nèi)部情報及各類日志進(jìn)行綜合建模分析,對網(wǎng)絡(luò)中存在的異常情況以及未來可能的攻擊行為等進(jìn)行捕捉研判。以更強(qiáng)風(fēng)險感知和識別能力為基礎(chǔ),綜合地管理風(fēng)險、應(yīng)對風(fēng)險,為工業(yè)控制系統(tǒng)安全持續(xù)運(yùn)營做好安全防護(hù)。
(4)綜合性全面考慮
整個網(wǎng)絡(luò)采用工業(yè)級交換機(jī)實(shí)現(xiàn)網(wǎng)絡(luò)互聯(lián),生產(chǎn)執(zhí)行層采用工業(yè)級交換機(jī)組成工業(yè)環(huán)網(wǎng)。具體的執(zhí)行設(shè)備因?yàn)閹缀醵际乔度胧皆O(shè)備,不具有抵抗網(wǎng)絡(luò)攻擊的能力,采用工業(yè)防火墻以白名單的方式來保護(hù)具體的執(zhí)行設(shè)備。采用網(wǎng)管系統(tǒng)、堡壘機(jī)、態(tài)勢感知系統(tǒng)作為運(yùn)維平臺,實(shí)現(xiàn)智慧運(yùn)維。以工控網(wǎng)絡(luò)安全態(tài)勢感知平臺作為工業(yè)安全集中管理中心,實(shí)現(xiàn)系統(tǒng)的整體安全分析。采用北斗對時裝置為全網(wǎng)設(shè)備進(jìn)行NTP和IRIG-B格式對時,從而保證智慧水務(wù)系統(tǒng)提供的數(shù)據(jù)的時間戳都是精準(zhǔn)的。隔離裝置從物理層實(shí)現(xiàn)對辦公網(wǎng)與工控網(wǎng)的隔離,但又不影響集團(tuán)智慧水務(wù)系統(tǒng)的數(shù)據(jù)展示。
3.2 穩(wěn)定性設(shè)計方向
工業(yè)網(wǎng)絡(luò)設(shè)備作為信息化應(yīng)用建設(shè)的基礎(chǔ)設(shè)施,穩(wěn)定性不僅僅從硬件設(shè)備本身設(shè)計,更是從軟件協(xié)議、組網(wǎng)拓?fù)涞确矫孢M(jìn)行體現(xiàn)。硬件設(shè)備采用工業(yè)級元器件、無風(fēng)扇自然散熱等;協(xié)議方面,集成了環(huán)網(wǎng)冗余協(xié)議(Ethernet Ring Protection Switching,ERPS)和虛擬路由器冗余協(xié)議(Virtual Router Redundancy Protocol,VRRP);組網(wǎng)拓?fù)洳捎迷O(shè)備熱備、線路冗余的方式進(jìn)行部署。如此,形成軟件、硬件、使用方式上的整體化穩(wěn)定保障[1]。
硬件全部采用無風(fēng)扇高效散熱技術(shù),主板與外殼之間采用導(dǎo)熱硅膠片進(jìn)行導(dǎo)熱散熱。選用導(dǎo)熱硅膠片主要為了減少熱源表面與散熱器件接觸面之間產(chǎn)生的接觸熱阻,導(dǎo)熱硅膠片可以很好地填充接觸面的間隙;導(dǎo)熱硅膠片的補(bǔ)充,可以使發(fā)熱源和散熱器之間的接觸面更好地充分接觸,真正做到面對面的接觸,在溫度上的反應(yīng)可以達(dá)到盡量小的溫差;導(dǎo)熱硅膠片不僅具有絕緣性能,還有減震吸音的效果。
其次,采用凹凸表面散熱技術(shù),加大發(fā)熱體表面的粗糙度,增加熱輻射體表面面積,使機(jī)箱內(nèi)的熱能量更容易散發(fā)出去。
3.3 節(jié)能建設(shè)
為滿足不通行業(yè)基礎(chǔ)數(shù)據(jù)網(wǎng)絡(luò)通信對節(jié)能的要求,特別是對于工業(yè)網(wǎng)絡(luò)設(shè)備有本質(zhì)安全和低功耗要求的,這就要求工業(yè)以太網(wǎng)交換機(jī)在寬壓條件下還滿足低功耗特點(diǎn)。經(jīng)查業(yè)界主流工業(yè)網(wǎng)絡(luò)和安全設(shè)備廠商參數(shù)中滿配滿負(fù)荷條件下功耗最低可小于5W,最高可不大于30W,此類產(chǎn)品在水務(wù)行業(yè)的投運(yùn)必將進(jìn)一步降低生產(chǎn)、管理所需的能耗投入,為節(jié)能建設(shè)提供重要的支撐,助力國家2030碳峰值目標(biāo)。
3.4 智慧支撐
大部分網(wǎng)絡(luò)設(shè)備都有自己的本地時鐘,這些時鐘每天會產(chǎn)生數(shù)秒、數(shù)分鐘的自走時誤差。經(jīng)過長期運(yùn)行,時間偏差會越來越大,導(dǎo)致設(shè)備之間的時間各不相同,這種偏差在單機(jī)中影響不大,但在網(wǎng)絡(luò)環(huán)境下的應(yīng)用中便會引發(fā)嚴(yán)重的問題。從業(yè)務(wù)影響角度講,因?yàn)闀r間的不統(tǒng)一,就無法推斷出業(yè)務(wù)具體發(fā)時間,導(dǎo)致數(shù)據(jù)錯亂。從安全影響角度講,所有設(shè)備的日志必須反映準(zhǔn)確的時間,因?yàn)闀r間的不統(tǒng)一,安全相關(guān)工具就會毫無用處[2]。
網(wǎng)絡(luò)中設(shè)備對時間的需求:多個系統(tǒng)協(xié)同處理同一個比較復(fù)雜的事件;保證正確的執(zhí)行順序,多個系統(tǒng)必須參考同一時鐘;備份服務(wù)器和客戶端之間進(jìn)行增量備份時,要求備份服務(wù)器和所有客戶端之間的時鐘同步等。
目前水處理自動化的發(fā)展趨勢是集中化、復(fù)雜化、功能獨(dú)立化,各種系統(tǒng)間相互獨(dú)立又互相聯(lián)系。為了方便事故查詢和故障分析,各系統(tǒng)之間應(yīng)保持時鐘一致。
智慧化分析供排水系統(tǒng)中各個環(huán)節(jié)可能出現(xiàn)的問題、影響大小及可能幾率,從而采取措施、做出判斷與決策,使風(fēng)險降到最低;由此,時鐘同步至關(guān)重要。時鐘同步,就是通過對本地時鐘的某些操作,達(dá)到為分布式系統(tǒng)提供一個統(tǒng)一時間標(biāo)度的過程,對智慧化提供有力的支撐。
4 結(jié)語
總而言之,現(xiàn)階段國內(nèi)城市水務(wù)行業(yè)的信息化發(fā)展現(xiàn)狀不容樂觀,雖然取得了一定的成效,但是也存在著各種各樣的問題。對此,政府部門從戰(zhàn)略層面上,出臺了一系列的優(yōu)惠政策,水務(wù)企業(yè)應(yīng)該借此良機(jī),結(jié)合當(dāng)下工業(yè)互聯(lián)網(wǎng)先進(jìn)的技術(shù)及管理方式,對自身進(jìn)行改革與創(chuàng)新,立足市場經(jīng)濟(jì)的大背景,讓水務(wù)行業(yè)更安全、穩(wěn)定、節(jié)能,推動水務(wù)行業(yè)的可持續(xù)發(fā)展。AP
作者簡介
王 科(1987-),男,山東濰坊人,學(xué)士,現(xiàn)任上海寬域工業(yè)網(wǎng)絡(luò)設(shè)備有限公司市場部總監(jiān)、網(wǎng)絡(luò)安全產(chǎn)品總監(jiān),主要研究方向?yàn)楣I(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全解決方案、網(wǎng)絡(luò)安全相關(guān)的技術(shù)和標(biāo)準(zhǔn)。
劉永輝(1990-),男,四川資陽人,高級工程師,學(xué)士,現(xiàn)就職于上海寬域工業(yè)網(wǎng)絡(luò)設(shè)備有限公司技術(shù)中心,主要研究方向?yàn)楣I(yè)互聯(lián)網(wǎng)。
彭乙書(1994-),男,四川南充人,高級工程師,學(xué)士,現(xiàn)就職于上海寬域工業(yè)網(wǎng)絡(luò)設(shè)備有限公司技術(shù)中心,主要研究方向?yàn)楣I(yè)互聯(lián)網(wǎng)。
參考文獻(xiàn):
[1] 王占華. 水利信息化資源整合共享頂層設(shè)計助推智慧水利發(fā)展[J]. 治淮, 2017, (2) : 32 - 33.
[2] 成建國, 錢峰, 艾萍. 國家水利數(shù)據(jù)中心建設(shè)方案研究[J]. 中國水利, 2008, (19) : 32 - 34.
[3] 謝希仁. 計算機(jī)網(wǎng)絡(luò)(第8版)[M]. 北京:電子工業(yè)出版社. 2021.
[4] 張振山, 范德昌. 智慧水務(wù)安全挑戰(zhàn)與應(yīng)對措施[J]. 中國信息化, 2020, (12) : 63 - 64.
摘自《自動化博覽》2022年1月刊暨《工業(yè)控制系統(tǒng)信息安全專刊(第八輯)》
北京市公安局海淀分局備案號:11010802023656號