旭阳集团1995年创立于河北邢台,是香港上市公司(股份代号01907.HK),由煤化工起步,依据“纵向一体化”模式不断延伸产业链,经过二十七年的发展,现已成为集焦炭、化工、运营管理服务、贸易、科技、地产等业务板块协同发展的大型企业集团。集团总部设在北京,拥有河北邢台、定州、乐亭、沧州,山东郓城、东明,内蒙古呼和浩特、山西孝义、河南平顶山9个现有生产园区,河北曹妃甸、江西萍乡2个筹备园区,印尼1个在建园区。旭阳集团连续12年位列“中国企业500强”,“中国化工企业50强”。
工业控制系统的信息安全是集团各生产园区网络安全的重中之重,工控系统安全是保障顺利生产的根本要素之一。旭阳集团下属各园区中,除少数园区建设了实时数据库系统之外,仍有一半以上的园区尚未建设实时数据库系统,随着园区信息化程度的不断提高,对信息化、自动化的需求不断提升,各园区对实时数据库系统的建设也都提出了不同的时间要求,建设实时数据库系统,是为打通底层控制系统与上层应用之间的数据链路,如此就涉及到如何有效保护底层控制系统的网络安全问题。鉴于此,并结合旭阳集团郓城园区当前的工控网络安全建设需求,以郓城园区为试点,由集团统一对工控网络安全设备进行采购。
根据国家对工业控制系统信息安全防护相关的指南和要求,结合旭阳各园区自身的网络建设以及信息化建设情况,并满足上层应用对数据采集的信息需求,合理规划设计工业网络安全方案,部署网络安全设备,有效保障工业控制系统的信息安全,防止病毒纵向入侵以及横向传播,同时可以有效快速的为上层数据采集提供链路通道,为各类信息化应用系统对实时数据的需求提供支撑。
本次项目实施范围为旭阳集团郓城园区,包括生产控制系统,园区网络建设分为生产网和控制网两层,生产网为各类信息化系统、实时数据库等部署层,控制网在控制系统与生产网之间,本项目的工业网络安全设备部署在此节点,达到对生产和控制网的安全隔离效果。46套控制系统中均已配备OPC Server为前提,通过OPC Server所在设备提供网络接口。
3.2 详细设计
在数采网络中,数据源主要为DCS的OPC Server,大量使用主从方式通讯的OPC协议进行周期性的数据采集,由于OPC协议在建立连接后使用动态端口进行数据通讯,需要设备通过源端口与目的端口对OPC协议进行访问控制,因此采用安全性能更高的工业网闸实现网络隔离和OPC协议数据摆渡。工业网闸部署在数采机和各系统数据源之间,同时解决数据采集问题和安全问题。
1、在净水厂组态软件所在WINCC服务器与数采机之间部署工业网闸;
2、在己二酸消防WINCC服务器、己二酸中控室DCS的OPC Server服务器、二元酸中控室DCS的OPC Server服务器、三污中控室WINCC服务器与数采机之间部署工业网闸;
3、在热电中控室、热电二期汽轮、热点化产火炬WINCC服务器与数采机之间部署工业网闸,在热电脱硫中控室DCS的OPC Server服务器、热电输煤中控室WINCC服务器、热电除尘站WINCC服务器与数采机之间部署工业网闸。
4、在热电化水装置WINCC服务器、热点一期锅炉、二合一中控室与数采机之间部署工业网闸,在合成氨循环水WINCC服务器、一期硝酸中控室、消防水泵房WINC与数采机之间部署工业网闸,在二期硝酸中控室、化产空压WINCC服务器、冷鼓中控室中控DCS的OPC Server服务器与数采机之间部署工业网闸,在化产中控室、炼焦中控室、十熄焦中控室与数采机之间部署工业网闸,在炼焦脱硫脱硝DCS的OPC Server服务器、焦炉地面除尘站、备煤中控室与数采机之间部署工业网闸,在碱精制中控室DCS的OPC Server服务器、环乙酮中控室DCS的OPC Server服务器与数采机之间部署工业网闸;
在合成氨富氧中控室、合成氨天然气制氢DCS的OPC Server服务器、合成氨中控室DCS的OPC Server服务器与数采机之间部署工业网闸。
以上部署的工业网闸由内、外网处理单元和安全数据交换单元组成。安全数据交换单元在内外网主机间按照指定的周期进行安全数据的摆渡。从而在保证生产控制网隔离的情况下,实现可靠、高效的安全数据交换,而所有这些复杂的操作均由隔离系统自动完成,用户只需依据自身业务特点定制合适的安全策略既可实现内外网络进行安全数据通信,在保障用户信息系统安全性的同时,最大限度保证客户应用的方便性。
本项目选用的产品为力控华康IN-GAPS 2000工业安全隔离与信息交换系统产品,该产品不仅实现了传统网闸用于控制网络与信息网络之间的隔离、数据摆渡和不同区域间的攻击防护,同时也实现了对工业网络协议和工业网络中大量的测点数据进行细粒度的管理。
3.3 产品特点
工业测点级访问控制
支持工业协议深度解析,针对测点深入到ITEM、寄存器地址等进行访问控制,对测点进行可见范围和读写权限控制。
指定哪些测点允许接入,实对设备数据读取范围的控制。当存在多个监控系统时,则实现设备数据的定向传输。读写权限修改为‘只读’时,所有数据被禁止修改,则实现数据单向传输,保护设备数据安全。
专业工业数据采集转发
支持多种工业协议数据采集,通过配置采集点表针对性的采集特定格式数据和频率。将采集数据进行统一协议转换,支持一对一,一对多,多对多采集转发。
视频、数据库同步
使用自主开发的数据传输方式支持视频传输、汇聚功能,关系型数据库同步和异构同步。
应用层攻击防护
支持网络边界安全基础防护和应用识别管理、IPS入侵检测、DDOS等攻击防护、AV防病毒、WEB应用防护、流量管理、负载均衡等。
数据断线缓存
工业控制网络对于数据的连续性要求极高,IN-GAPS2000可以在网络中断时将数据缓存在本地隔离设备中,当网络连接恢复时将缓存的数据补报到监控系统中,保证数据的连续性。
3.4 用户价值
1、 IN-GAPS 2000工业安全隔离与信息交换系统产品支持OPC、Modbus TCP(ASCII/RTU)、IEC104、DNP3、SIEMENS S7、PROFIBUS/DP、PROFINET、PI、PHD等常见工业通信协议的深度检测、指令、功能码的控制。并且系统可通过导入协议分析模块来支持更多的工业通信协议的控制。系统也可对特定的功能码或通信内容做白、黑名单的内容过滤。
2、 IN-GAPS 2000工业安全隔离与信息交换系统产品实现两个安全区之间的非网络方式的安全的数据交换,并且保证内外两个处理系统不同时连通,防止穿透性网络连接,如禁止两个网络之间直接建立TCP/UDP联接,保障应用数据的安全传输
3、IN-GAPS 2000工业安全隔离与信息交换系统产品具备配套的管理软件,能够提供对设备的调试、运维管理功能,并负责进行软件配置、测试等内容。
本项目力控华康完成了郓城园区网络安全设备的安装、调试工作,包括与生产控制系统的通讯采集调试以及与上层实时库系统的数据通讯调试等工作。同时,对用户进行技术培训,以达到用户可完成基础运维的效果,得到了客户的高度赞扬。