今日頭條
官方微信
官方抖音
資訊頻道王建 北京優化佳控制技術有限公司
1 概述
目前,在工業生產過程中,廣泛采用DCS(分布式控制系統)控制生產過程。而在絕大部分工廠里,這些DCS系統又與廠內的實時數據庫、辦公網絡相連,如圖1所示。在與DCS相連的網絡上有成百上千臺計算機。如果其中的某一臺計算機感染病毒,就有可能通過計算機網絡傳導到DCS中。
如何防止病毒和黑客通過數據采集網絡攻擊工業控制計算機系統,是一個典型的邊界防護問題。在傳統的方法中,一般是采用防病毒軟件、工業網關、網閘來實現。但目前的網絡攻擊技術,已經可以成功越過這些防護措施對控制系統進行攻擊。
圖1 常規數據采集系統
對這種常規的數據采集系統,存在著以下幾方面的網絡安全問題:
(1)這種數采監測系統的一個明顯問題是過程控制計算機與局域網絡存在物理連接;
(2)這種數采監測系統使得過程控制計算機可能會受到來自辦公管理網上的病毒感染或黑客的攻擊;
(3)盡管有軟硬件的防病毒軟件和防火墻,但并不能保證過程控制計算機的絕對安全,也會造成不可預測的后果。
2 照相數據傳輸原理
DCS之所以會感染病毒,實質是DCS與實時數據庫和辦公系統存在物理的網絡連接,用于傳送生產裝置的數據。如果把這個網絡切斷,DCS就不會通過網絡感染病毒。但是這樣一來,實時數據庫便無法獲得生產數據。能不能有一種方法,不用計算機網絡把DCS的生產數據傳送到實時數據庫?如果能夠實現,就徹底斷絕了計算機病毒和黑客的傳播通路,從本質上保證了DCS的安全。
北京優化佳控制技術有限公司(以下簡稱優化佳公司)經過了十余年的研發,投入大量人力物力,最終發明了一種“照相數據傳送技術”,可以在無網絡情況下把DCS數據向實時數據庫傳送,并且實現了技術的商品化。該技術2009年獲得中華人民共和國發明專利(專利號:ZL200610064971.8),并由于該技術的新穎性,正在國際上四十余個國家申請專利,其中有些已獲得專利證書,如表1所示。
2015年該技術還獲得工信部中國電子信息產業發展研究院頒發的“2015年度中國工業控制網絡安全最佳解決方案獎”和“2015年度中國工業控制網絡安全創新企業獎”。
表1 照相數據傳送技術所獲國內外的各種專利
2.1 照相數據傳送的原理
不通過網絡又如何傳送數據?圖2、圖3顯示了照相數據傳送的基本原理。
圖2 本質安全DCS隔離站網絡結構圖
圖3 本質安全DCS隔離站網絡結構圖
從圖2、3中可以看出,DCS要上傳的數據由專門的數據采集計算機采集,并且將這些數據顯示在計算機的屏幕上。另外有一個攝像系統將屏幕上顯示的實時數據定時自動拍攝下來,拍下來的數據畫面經過智能機器閱讀系統的自動解讀后得到要上傳的數據,通過局域網送到實數據庫和辦公網上。這樣,局域網和DCS之間完全沒有網絡的物理連接,病毒和黑客就不可能通過網絡傳到DCS中。無論病毒如何變化,都可以從本質上保證DCS的安全。
目前,優化佳公司應用該原理,將數據采集計算機,顯示、攝像系統和智能機器閱讀系統集成在一起,研發成商品化的本質安全DCS隔離站。該站已經在多個DCS系統中長期穩定運行,如圖4所示。
圖4 本質安全DCS隔離站組實物
3 基于照相數據傳送技術的系列產品
基于照相數據傳送專利技術,優化佳控制開發出一系列的商用產品,產品總覽如圖5所示。圖中顯示了各具體產品和在網絡中使用的位置。
3.1 本質安全DCS隔離站系列產品
(1)PDT單輸入本質安全DCS隔離站
該產品提供一個輸入接口和一個輸出接口。其中輸入接口可與DCS端的一個OPC Server連接,采取上傳數據。這些數據經過照相數據傳送后,進入隔離站內置的OPC Server,外部的OPC Client通過隔離站輸出接口連接到內置OPC Server取數。
圖5 基于數據照相專利技術的工業網絡安全產品(黃標)總覽
(2)PDT多輸入本質安全DCS隔離站
該產品提供多個輸入接口和多個輸出接口,每個輸入接口可與相應DCS的OPC Server連接。這樣,一套多輸入的隔離站可以連接到多個DCS OPC Server采取上傳數據。經過照相數據單向傳送后,進入隔離站內置的多個OPC Server,通過多個輸入接口以OPC方式輸出。
(3)PDT單輸入文件傳輸型本質安全DCS隔離站
該產品具有一個輸入端和一個輸出端。其中輸入端可以送入要傳送的文件,通過照相方式將文件單向傳送后,通過輸出端推出文件。該隔離站不僅可以用于DCS端向外單向傳送文件,也可以用于任何需要進行文件單向推送的場合。
(4)PDT多輸入文件傳送型本質安全DCS隔離站
該產品具有多個輸入端和一個/多個輸出端。每個輸入端可以送入各自的要傳送的文件,采用照相單向傳送后,通過一個或多個輸出端口送出。該隔離站不僅可以用于DCS端向外單向傳送文件,也可以用于任何需要進行文件單向推送的場合。
(5)隔離站組故障偵測報警和自動冗余切換系統
該系統可以自動偵測各DCS隔離站的工作狀態,健康狀況,如發現問題,自動進行聲光報警,并向指定手機發送短消息,自動冗余切換系統會向手/自動冗余控制器發出指令,將發生故障的DCS隔離站切除并將隔離系統切換到預設的備用方案上。
(6)手/自動冗余控制器
該手/自控制器接受隔離站組故障偵測報警和自動冗余切換系統的指令,將常在線的主站切換到備用站,或者從備用站切換到主站上,也可以人工強制手動進行主/備切換。除此之外,還可以實現隔離方案的手/自動切換。
(7)單輸入雙機手/自動冗余系統
該系統由一臺常在線主隔離站和一臺備用隔離站以及冗余控制器構成。當主機發生故障時,冗余控制器可以自動切換到備用機上,如果主機恢復正常工作狀態,則會自動從備站切回主站。主備站也可通過手動強制切換。
(8)多備一手/自動冗余系統
該系統由多臺主隔離站和一臺備用隔離站構成。多臺主站合用一臺隔離備站。當其中某一主站發生故障時,會自動切換到備用站上。由于多臺主站合用一臺備站,既大大提高了隔離系統的可靠性,也大大降低了冗余成本。
(9)隔離站日志服務器
可以對隔離站組上的每個隔離站的行為進行日志記錄及安全審計。
(10)隔離站運行狀態遠程監測系統
該系統利用無線數據傳送組件進行遠程信息傳送,將分散在全國各地各分部的隔離站運行狀態進行集中顯示監測,特別適用于大型、分散各地的工業網絡隔離管理。
(11)PDT無線傳送型本質安全DCS隔離站
該站在采集到上傳數據之后,通過照相方法將數據進行單向隔離傳送,然后這些數據通過手機移動網絡傳送到遠方的無線實時監測系統。該站配有本地智能診斷和修復系統,具有很高的可靠性,實現無人值守。
(12)無線遠程實時監測系統
該系統有內置的實時數據庫,接受無線傳送系統本質安全DCS隔離站的DCS實時數據,并對分散于各地的多個遠程站進行健康狀態監測,數據管理和分析。
4 應用情況
本質安全DCS隔離站自2007年以來,已經在許多大型企業中應用,現在有一百多套正在現場運行,時間最長的已經運行了10年之久,歷經了長期運行的考驗。下面以中石化兩個大型工業企業為例,介紹在企業應用的情況。
4.1 中石化某公司全廠DCS安全隔離系統
中石化某公司為年加工能力1000萬噸的大型煉油企業,有19套老裝置和新建大煉油1套聯合裝置等,經過方案設計的優化,只需采用十套本質安全DCS隔離站就可以對全廠生產過程控制網絡進行徹底的網絡安全防護,如圖6所示。
圖6 中石化某公司全廠本質安全DCS隔離站配置結構圖(部分)
(1)新建大煉油相關裝置約20,000個TAG,本質安全DCS隔離站的單站最大處理能力是6,000個TAG,考慮未來新增位號的可能性,為其提供5套隔離站便可滿足需求。
(2)19套老裝置共計約24,000個Tag ,考慮一些裝置位號個數僅為幾十個或幾百個,從可行性,安全性、經濟性多個角度進行綜合分析,為其提供4套多輸入,2套單輸入本質安全DCS隔離站便可滿足實際需求。
(3)全廠新老裝置共約44,000個Tag 。共需10套本質安全DCS隔離站完成隔離。工程分兩期進行,一期工程7個隔離站,二期工程3個隔離站。
(4)配有DCS隔離站監測系統,可以實時監測隔離站的各種工作情況及健康狀況。
DCS安全隔離系統自2012年8月投運以來,運行情況良好,穩定運行至今,各應用部門對該系統都給予了充分肯定。
(1)各實時數據庫安全隔離系統運行正常;
(2)采集隔離的數據完整、準確;
(3)配有專門設計的DCS隔離站監測系統。用戶可查看各個隔離站所屬系統運行的健康情況,記錄隔離站發生的各種事件,還可以通過短信發布所發生的重要事件;
(4)系統響應快速,系統恢復用時短,系統應用影響小。
該系統于2013年10月通過中石化測試驗收。
4.2 某化工廠本質安全隔離站應用情況
某化工廠本質安全DCS隔離項目于2015年1月簽訂合同,2015年9月投入運行。
在該項目中,采用優化佳公司的照相數據傳送專利技術,使用8套PDT4000本質安全DCS隔離站,對合成氨裝置、制氧乙炔、動力、VAE新老裝置、東西循、PVA、發電124#和軟水8套關鍵裝置進行隔離,使用隔離站后,這些裝置的DCS數據只能單向傳送到全廠實時數據庫,而外網的病毒和黑客等無法通過數據采集網絡系統對DCS發動攻擊,從而確保生產的安全。
該廠本質安全DCS隔離系統項目創新點如下:
(1)項目中使用了最新的PDT4000系列產品。PDT4000系列產品是本質安全DCS隔離站第四代產品,與第三代產品相比,有著以下的技術進步:
可以進行位號的在線追加、編緝。以前的產品在對上傳的位號進行添加或刪除時,需要將隔離站離線一段時間,這會造成數據傳輸的中斷。現在可以在不中斷數據傳送的情況下進行上傳數據位號的修改;
體積減小了1/3;
能耗減少了2/3;
硬件重新設計研發,具有更高的可靠性。
(2)采用多備一全自動冗余的新技術,大大提高系統可靠性。在本項目中,使用了創新的8備1自動冗余方案,只要系統偵測到其中的一套隔離站有問題,會自動將隔離任務切換到備站。不僅如此,如果此后還有其他主站出現問題,只要有故障的主隔離站的傳輸點數不超過備站的最大能力,均會將隔離傳輸的任務自動切換到備站。也就是說,即便是多個主站同時出現問題,也可以同時切換到備用站。
由此可見,多備一系統技術的應用,可以在增加少量備用冗余投資的情況下,實現多套系統的全自動冗余,大大提高了系統的可靠性,使生產數據的傳輸得到了保證。
5 本質安全DCS隔離站成功阻斷WannaCry病毒事例
2017年5月爆發的WannaCry病毒感染了某工業企業油庫生產監控平臺,病毒沿著數據庫的數據采集網絡向DCS和生產設備傳播。由于事先在數據庫的數據采集通道上安裝了本質安全DCS隔離站,及時發揮了保護作用,阻斷了病毒向DCS系統的擴散,保護了工控系統,確保生產的正常進行。
圖7是該油庫生產監控平臺的拓撲圖。圖7中,連接數采緩存機(3號機)和工控網交換機的設備是本質安全型DCS隔離站,它包含兩臺設備:數據采集與映射子系統(1號機)和自動攝像與智能閱讀子系統(2號機),其中2號機與3號機相連,1號機和工控網交換機相連。隔離設備的任務是:保護下面的DCS系統不受上面網絡中病毒和黑客的攻擊,同時完成DCS系統生產數據向上面數據庫的實時傳遞。
圖7 某企業油庫生產監控平臺的拓撲圖
在WannaCry蠕蟲病毒爆發后,該監控平臺受到病毒的攻擊,其過程如下:
(1)病毒使管理總部的實時數據庫服務器中毒。
(2)病毒通過專網擴散到各地油庫,通過交換機下傳到數據采集計算機,造成B、C、D三地油庫數采緩存機(3號機)中毒。
(3)上述三地的病毒通過網絡繼續向下入侵,到達本質安全型DCS隔離站,并造成C、D兩地的隔離站2號機中毒。
(4)由于本質安全型DCS隔離站具有的照相數據單向傳輸特性,使得2號機上的病毒無法繼續擴散到1號機,阻斷了病毒的向下傳播,從而實現了對下面DCS系統的保護。
由此可見,在此次病毒攻擊事件中,攻擊被本質安全DCS隔離站阻斷,確保了保護區內的工業生產設備的安全。
6 結語
基于照相數據傳送技術的本質安全DCS隔離站具有如下特點:
(1)完全單向的數據傳送,零比特返回,切斷外擊通道,可以防范現有的和未來的基于網絡的病毒和黑客的攻擊;
(2)數據正向傳輸采用非網絡方式,無網絡傳輸通道,可以防止DCS內網的網絡間諜軟件和病毒黑客利用網絡通道向外傳輸情報,向數據庫端發起攻擊;
(3)具有多套DCS合用功能,降低用戶隔離成本;
(4)具有隔離站組故障檢測報警系統,可以提升大型企業的管理效率;
(5)可以實現多臺主隔離站合用1套備用隔離站,并實現全自動切換,大大提高了隔離系統的可靠性,降低冗余成本;
(6)經過大型石化企業長期應用的考驗,系統運行穩定可靠;
(7)具有中國自主知識產權,在網絡防護問題上可以不受制于人。
作者簡介
王建(1957-),男,江蘇蘇州人。1982年畢業于華東化工學院(現華東理工大學)化工自動化與儀表專業,工學博士,留英博士后。現任北京優化佳控制技術有限公司董事長,長期從事工業自動化、工業過程在線優化、工業系統網絡安全的技術和產品開發工作。
參考文獻:
[1] ISACA.The State of Industrial Cybersecurity 2017[R].
[2] 呂建民. 工業系統信息安全現狀與發展趨勢分析[J]. 自動化博覽 ( 工業控制系統信息安全專刊第三輯 ) ,2016, 11.
[3] 王建. 一種本質安全遠程數據監測系統及其監測方法[P].中國發明專利: ZL200610064971.8,2010 - 01 - 20.
[4] 谷俊濤. 工業控制系統安全研究現狀[J]. 信息技術, 2017(7).
[5] 李俊仁, 高興彥, 張浩. 中國石油煉油與化工系統數采安全隔離設計[C]. 中國石油石化企業網絡安全技術交流大會論文集, 2017, 06.
[6] 方詠梅, 劉志宏. 中小型實驗裝置聯網工控安全解決方案[C]. 中國石油石化企業網絡安全技術交流大會論文集, 2017, 06.
[7] 周業永, 王寅生. 本質安全型DCS數據隔離系統及其在工業上的應用[J]. 安全.健康和環境, 2011, 07.
[8] 何楊歡, 周博才. 本質安全DCS隔離站技術在工控數據采集中的應用[J]. 當代石油石化, 2013,21(9): 30 - 33.
摘自《工業控制系統信息安全》專刊第四輯
北京市公安局海淀分局備案號:11010802023656號