化工企业两化融合建设中的自控系统信息安全防护系统安全应用案例
北京力控华康科技有限公司

以化工行业为代表的流程行业是国内较早开展两化融合应用,以信息化促进自动化的行业,积累了较为丰富的两化融合建设经验。

化工行业具有DCS普及率高,生产连续性强,各工段无缝衔接,装置要保持安、稳、长、满、优运行等特征。

化工企业的MES建设包括调度指挥、生产监视、先进控制、装置优化、计量管理、报警管理、应急指挥、能源管理、LIMS等子系统几乎都需要与DCS、PLC、实时数据库等控制系统进行数据通信,这种办公网与控制网之间的数据通信从一开始就受到化工企业的高度重视,工信部在2010年颁布的《关于加强工业控制系统信息安全管理的通知》更加强化了化工企业在这方面的重视程度。

自动控制系统信息安全薄弱环节分析:

● DCS系统:主要是霍尼韦尔(Honeywell)、福克斯波罗(Foxboro)、横河(Yokogawa)、浙大中控(Supcon)和和利时(HollySys)等公司的产品,这些厂商的产品与信息层通讯多采用OPC协议,通讯缺少安全认证,数据易被窃取、篡改或破坏

● PLC:主要是西门子(Siemens)、罗克韦尔(AB)、GE、施耐德、和利时(HollySys)的产品,设备现场使用分散、不集中,且使用工业协议通讯,通用IT防火墙无法对其进行防护

● 现场仪器、仪表的接口类型及通讯协议复杂多样,数据集中管理、维护存在很大的难度

● 控制网络与管理网络互联,控制网络面临来自上层信息网的潜在威胁

● 控制系统缺少分级、分区的安全防护,易受到信息网络及相邻系统的潜在威胁

解决方案:

● 须选用工业网络隔离设备阻止控制设备/系统被非法访问,阻断非法下发控制指令;防止病毒、恶意代码

   等肆意传播

● 数据采集应选用安全型通信网关,配备工业通讯协议的过滤模块,支持各种工业协议识别及过滤,弥补商

   业防火墙不支持工业协议过滤的不足

● 安全型数据通信网关须采集多个不同子系统、设备、智能仪表等的数据,进行数据集中汇总、分类和预处

   理,并向多个不同应用系统进行数据转发

● 安全型数据通信网关须支持组态软件或实时数据库软件的断线缓存,以解决由网络断开或信息阻塞造成的

   数据丢失和历史数据不完整问题,保证MES系统数据的完整性

● 不同层级间的控制系统应进行纵向防护、横向隔离,阻止来自上层网络的潜在威胁和避免区域间病毒扩散