石化工業(yè)是國家的支柱產(chǎn)業(yè)之一，在信息技術(shù)的驅(qū)動下，正由傳統(tǒng)工業(yè)向高度集約化、知識化、技術(shù)化工業(yè)轉(zhuǎn)變。PIMS（生產(chǎn)信息管理系統(tǒng)）作為MES的核心，是一套用于生產(chǎn)管理的軟件系統(tǒng)。在石化等流程行業(yè)，PIMS提供了一個信息集成和管理的平臺，主要用于企業(yè)網(wǎng)絡環(huán)境下的全廠生產(chǎn)數(shù)據(jù)的采集、數(shù)據(jù)存儲、數(shù)據(jù)查看、數(shù)據(jù)處理和數(shù)據(jù)管理。它真正實現(xiàn)了辦公室與生產(chǎn)現(xiàn)場的信息溝通，完成了過程控制系統(tǒng)與信息系統(tǒng)的網(wǎng)絡集成與綜合管理。

    北京力控華康科技有限公司的pSafetyLink隔離網(wǎng)關(guān)在石化企業(yè)的MES/PIMS系統(tǒng)中有著廣泛應用，為DCS控制系統(tǒng)網(wǎng)絡的安全運行提供了有力保障。由于pSafetyLink專門面向自動化應用設計，符合自動控制工程師的使用習慣，不需要工程師了解太多網(wǎng)絡有關(guān)的專業(yè)內(nèi)容，就很容易完成對產(chǎn)品的調(diào)試和部署，因此大大提高了項目實施的效率，pSafetyLink也因此得到了客戶的高度肯定。

圖1 隔離網(wǎng)關(guān)pSafetyLink在控制系統(tǒng)中的部署

應用背景

    某石化企業(yè)為了應對不斷變化的市場需求，及時調(diào)整生產(chǎn)策略，也為了便于全廠生產(chǎn)的統(tǒng)一調(diào)度、加強企業(yè)內(nèi)部管理，在其二分廠率先實踐了PIMS生產(chǎn)管理系統(tǒng)。該廠有2套控制系統(tǒng)，采用了浙大中控的大型DCS系統(tǒng)ECS-100。該PIMS需要集成的DCS點數(shù)多達一萬點，并完全通過Web方式實現(xiàn)：生產(chǎn)實時數(shù)據(jù)的管理、實時流程查看、實時趨勢瀏覽、報警的記錄與查看、開關(guān)量變位的記錄與查看、歷史趨勢查看、生產(chǎn)過程報表生成、生產(chǎn)統(tǒng)計報表生成等功能。拓撲結(jié)構(gòu)如圖1所示。

系統(tǒng)介紹

該PIMS系統(tǒng)的結(jié)構(gòu)分為三層，自下而上依次為：過程控制層、工廠管理層、企業(yè)管理層。其中企業(yè)管理層完成管理者和各職能科室生產(chǎn)管理報表生成的任務；工廠管理層完成各職能科室實時監(jiān)控的任務，它對下連接現(xiàn)場控制層，對上通過網(wǎng)絡連接企業(yè)管理層，它不僅負責現(xiàn)場控制設備的實時數(shù)據(jù)采集，而且在系統(tǒng)中  

起到上傳下達的重要作用；過程控制層由DCS、PLC、智能儀表等控制器組成，是整個生產(chǎn)管理系統(tǒng)的基礎。
    該廠出于安全因素考慮，將其DCS的運行網(wǎng)絡劃分為單獨的生產(chǎn)控制網(wǎng)絡，相對封閉，與總廠的管理信息網(wǎng)絡完全分開。而PIMS系統(tǒng)需要實現(xiàn)這兩個網(wǎng)絡的互通、互聯(lián)，以滿足PIMS對DCS數(shù)據(jù)的采集。
    由于該企業(yè)為上市企業(yè)，面向世界各地的國際貿(mào)易業(yè)務往來頻繁，所以其總廠的管理信息網(wǎng)絡是面向互聯(lián)網(wǎng)開放的商業(yè)網(wǎng)絡，如果直接實現(xiàn)與DCS控制網(wǎng)絡的連通，商業(yè)網(wǎng)絡本身存在的各種安全隱患將直接威脅到控制網(wǎng)絡的安全。特別是隨著網(wǎng)絡攻擊復雜性的增加，即使在兩個網(wǎng)絡邊界中間使用傳統(tǒng)的網(wǎng)絡防火墻產(chǎn)品和攻擊檢測技術(shù)，也已經(jīng)難于保護網(wǎng)絡的安全。因為現(xiàn)代網(wǎng)絡安全威脅來自于商業(yè)網(wǎng)絡的各個層面，并且更多的是來自于網(wǎng)絡數(shù)據(jù)流量的應用數(shù)據(jù)部分，這一特性決定了僅使用防火墻或入侵檢測系統(tǒng)，依靠檢查數(shù)據(jù)包的頭部，已經(jīng)越來越難發(fā)現(xiàn)諸如病毒、蠕蟲、后門程序等高級復雜的網(wǎng)絡安全風險。在很多成功的攻擊案例中，黑客可以很快了解到網(wǎng)絡在應用數(shù)據(jù)層面的安全漏洞，從而迅速使用后門、木馬、蠕蟲或者其它攻擊行為，對控制網(wǎng)絡造成不同程度的損害。

解決方案

該廠為了從根本上解決DCS控制網(wǎng)絡的安全可靠運行，在該PIMS系統(tǒng)中選用了力控華康的隔離網(wǎng)關(guān)pSafetyLink作為DCS控制網(wǎng)絡的安全防護裝置。
    隔離網(wǎng)關(guān)pSafetyLink是專為工業(yè)網(wǎng)絡應用設計的安全防護裝置，用于解決工業(yè)SCADA控制網(wǎng)絡如何安全接入信息網(wǎng)絡（外網(wǎng)）的問題。它與防火墻等網(wǎng)絡安全設備本質(zhì)不同的地方是它阻斷網(wǎng)絡的直接連接，只完成特定工業(yè)應用數(shù)據(jù)的交換。由于沒有了網(wǎng)絡的連接，攻擊就沒有了載體，如同網(wǎng)絡的“物理隔離”。由于目前的安全技術(shù)，無論防火墻、UTM等防護系統(tǒng)都不能保證攻擊的徹底阻斷，入侵檢測等監(jiān)控系統(tǒng)也不能保證入侵行為完全被捕獲，所以最安全的方式就是物理的分開。pSafetyLink通過內(nèi)部的雙獨立主機系統(tǒng)，分別接入到控制網(wǎng)絡和信息網(wǎng)絡，雙主機之間通過專用硬件裝置連接，從物理層上斷開了控制網(wǎng)絡和信息網(wǎng)絡的直接網(wǎng)絡連接。同時pSafetyLink通過內(nèi)嵌的高性能OPC通信軟件，很好地解決了PIMS通過OPC接口采集DCS數(shù)據(jù)的通信問題。另外，由于隔離網(wǎng)關(guān)內(nèi)部完全實現(xiàn)了通信協(xié)議的接口服務，因此可以實現(xiàn)針對測點一級的訪問控制。例如：對于OPC可以控制到Item（項）一級的訪問權(quán)限控制，通過設置為只讀屬性方式保證PIMS對DCS數(shù)據(jù)的訪問是單向的，禁止數(shù)據(jù)回置操作。 

總結(jié)

隔離網(wǎng)關(guān)pSafetyLink在該企業(yè)PIMS系統(tǒng)投運以來，為DCS控制系統(tǒng)網(wǎng)絡的安全運行提供了有力保障。

采訪鏈接：

    自動化博覽:力控華康近年來在石化行業(yè)市場發(fā)展情況如何 ？您感受到石化行業(yè)正在發(fā)生著哪些變化，呈現(xiàn)出哪些特點？

力控華康市場經(jīng)理:力控華康跟石油石化行業(yè)淵源已久，力控華康的母公司力控科技的前身三維力控就是誕生在國內(nèi)最大的石油石化城市——大慶。一直以來，石化行業(yè)是力控華康的主要行業(yè)客戶，從大慶油田到勝利油田、新疆油田在內(nèi)的各大油田，從勘探開發(fā)到石油煉化的各個環(huán)節(jié)，從三大石油公司到眾多的化工類企業(yè)，都有力控華康產(chǎn)品的應用。經(jīng)過多年的快速發(fā)展，我國石化行業(yè)的增長速度已經(jīng)顯著放緩，尤其是近兩年經(jīng)濟下行壓力較大，國際油價大幅下跌，都給石化行業(yè)的經(jīng)營發(fā)展帶來很大的挑戰(zhàn)。在這種情況下，石化行業(yè)內(nèi)一直在積極推動信息化和工業(yè)化的“深度融合”，加快從傳統(tǒng)生產(chǎn)方式向數(shù)字化、網(wǎng)絡化和智能化的轉(zhuǎn)變，且成效顯著。 

自動化博覽:力控華康能夠為石化行業(yè)信息化、智能化改造提供哪些產(chǎn)品或者解決方案？

力控華康市場經(jīng)理:力控華康是一家專注于物聯(lián)網(wǎng)和工控系統(tǒng)信息安全領域的公司，最早在2009年就開始了工控安全產(chǎn)品的自主研發(fā)。目前產(chǎn)品包括邊界安全、HMI終端安全和安全管理類產(chǎn)品，有工業(yè)隔離網(wǎng)關(guān)pSafetyLink、工業(yè)通信網(wǎng)關(guān)pFieldComm、工業(yè)防火墻HC-ISG、工控安全管理平臺等系列產(chǎn)品，都是為企業(yè)的信息安全服務的。力控華康不是單一產(chǎn)品的制造商，我們還可以為數(shù)據(jù)采集與監(jiān)控（SCADA）、分布式控制系統(tǒng)（DCS）、過程控制系統(tǒng)（PCS）、可編程邏輯控制器（PLC）等所有工業(yè)控制系統(tǒng)（ICS）的信息安全接入和智能化數(shù)據(jù)交換，提供安全、可靠的解決方案和工業(yè)級產(chǎn)品。在鋼鐵有色、石油化工、能源電力、天然氣、先進制造、軌道交通、市政環(huán)保等領域的工控系統(tǒng)內(nèi)有著廣泛應用。
信息安全是信息化、智能化改造的基礎，尤其是石油石化行業(yè)，沒有安全一切無從談起。在大數(shù)據(jù)時代，數(shù)據(jù)像水電一樣，成為企業(yè)的資源和生產(chǎn)資料，對數(shù)據(jù)的保護成為大數(shù)據(jù)時代信息安全策略的核心。力控華康的產(chǎn)品可以在工業(yè)數(shù)據(jù)的采集、轉(zhuǎn)換、傳輸和訪問等各個環(huán)節(jié)，提供全方位的安全保護和監(jiān)控。力控華康的優(yōu)勢在于對不同行業(yè)企業(yè)核心生產(chǎn)系統(tǒng)的實踐和理解。2015年力控華康發(fā)布了一款面向工業(yè)控制系統(tǒng)的安全管理平臺，配合我們的工業(yè)防火墻、安全隔離網(wǎng)關(guān)和安全數(shù)采網(wǎng)關(guān)使用，可以幫助管理員收集工業(yè)控制網(wǎng)絡中的流量信息和安全事件，幫助客戶提升風險管理的水平。這款產(chǎn)品已經(jīng)在化工行業(yè)得到部署，下一步將會向其他行業(yè)推廣。

自動化博覽:從技術(shù)角度來看，您認為石化行業(yè)自動化、智能化具有怎樣的趨勢？需要克服的問題是什么？

力控華康市場經(jīng)理:自動化和智能化跟石化行業(yè)的結(jié)合就是智能石化，包括智能油氣田、智能工廠、智能銷售、智能管網(wǎng)、智能物流等等。在這一建設過程中，信息化的地位越來越重要，包括物聯(lián)網(wǎng)、大數(shù)據(jù)、云計算等最新的技術(shù)都會得到應用。比如智能管道，整個石化行業(yè)有十幾萬公里的油氣管道，有的輸送原油，有的輸送天然氣，有的輸送成品油，怎樣把復雜的管道系統(tǒng)監(jiān)控起來，保證它能夠安全、穩(wěn)定地運行，一定要靠信息化、智能化的手段。這個過程中所面臨的挑戰(zhàn)是，除了物聯(lián)網(wǎng)、大數(shù)據(jù)、云計算等信息技術(shù)本身和業(yè)務的結(jié)合、優(yōu)化之外，需要重點考慮的就是信息安全問題。在國際國內(nèi)形勢越來越復雜的今天，我們看到《中國制造2025》戰(zhàn)略規(guī)劃中特別強調(diào)了信息安全保障體系的建設。石化行業(yè)需要抓住產(chǎn)業(yè)升級的機會，把信息安全、工控安全和物聯(lián)網(wǎng)安全納入到信息化的框架中來。

摘自《自動化博覽》2016年2月刊