國(guó)產(chǎn)DCS系統(tǒng)在大型項(xiàng)目中的網(wǎng)絡(luò)安全設(shè)計(jì)
國(guó)產(chǎn)DCS系統(tǒng)在大型項(xiàng)目中的網(wǎng)絡(luò)安全設(shè)計(jì)
DCS一般會(huì)使用很多個(gè)控制器對(duì)某個(gè)生產(chǎn)過(guò)程中的各個(gè)控制點(diǎn)實(shí)施控制,各個(gè)控制設(shè)備之間利用網(wǎng)絡(luò)連接之后,可對(duì)其中的數(shù)據(jù)進(jìn)行交換?,F(xiàn)在,我國(guó)的各項(xiàng)智能化越來(lái)越先進(jìn),國(guó)產(chǎn)DCS系統(tǒng)在大型項(xiàng)目中網(wǎng)絡(luò)安全設(shè)計(jì)起到了重要的作用,提升了網(wǎng)絡(luò)安全性。本文以具體項(xiàng)目為例,針對(duì)國(guó)產(chǎn)DCS系統(tǒng)在大型項(xiàng)目中網(wǎng)絡(luò)安全設(shè)計(jì)做了詳細(xì)的分析。
1、系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)
2.1 整個(gè)項(xiàng)目網(wǎng)絡(luò)分為四層結(jié)構(gòu)
■ 基礎(chǔ)控制層(L1)
該網(wǎng)絡(luò)由兩個(gè)獨(dú)立的互為冗余的I/O總線構(gòu)成,I/O總線包括本地I/O總線(LBUS)和擴(kuò)展I/O總線(E-BUS),如圖1所示。
■ 監(jiān)控層(L2)
該網(wǎng)絡(luò)由兩個(gè)獨(dú)立的互為冗余的過(guò)程控制網(wǎng)構(gòu)成,主要用于DCS控制通信,以及ODS、OPC、AMS等數(shù)據(jù)的采集,如圖2所示。
■ 操作管理層(L3)
該層網(wǎng)絡(luò)主要包括DCS管理層網(wǎng)絡(luò)(冗余SCnet網(wǎng)絡(luò),分為A網(wǎng)、B網(wǎng))。網(wǎng)絡(luò)層管理如圖3所示。
■ 調(diào)度管理層(L4)
該層網(wǎng)絡(luò)是基于WEB客戶端的調(diào)度管理網(wǎng)絡(luò),主要連接各個(gè)分區(qū)的全局調(diào)度站、工藝工程師站、ODS客戶端、WEB服務(wù)器及其訪問(wèn)客戶端(Office LAN)、ODS服務(wù)器的外部WEB訪問(wèn)客戶端。這些WEB客戶端通過(guò)訪問(wèn)L3.5層的服務(wù)器來(lái)獲得畫(huà)面數(shù)據(jù)和報(bào)表。
2 網(wǎng)絡(luò)安全措施與方案
2.1 中控DCS網(wǎng)絡(luò)安全設(shè)計(jì)原則
■ 大型DCS系統(tǒng)數(shù)據(jù)庫(kù)須基于分布式數(shù)據(jù)庫(kù)結(jié)構(gòu)
單數(shù)據(jù)庫(kù)的結(jié)構(gòu)受到規(guī)?;南拗?,不利于系統(tǒng)的可靠和穩(wěn)定。中控WebField ECS-700系統(tǒng)在設(shè)計(jì)之初就充分考慮了超大規(guī)模的DCS應(yīng)用,因此專門在多系統(tǒng)數(shù)據(jù)庫(kù)的基礎(chǔ)上設(shè)計(jì)了“操作域”“控制域”的數(shù)據(jù)分區(qū)概念,更加匹配項(xiàng)目工程設(shè)計(jì)中的CCR操作分區(qū)、FAR的實(shí)際DCS監(jiān)控的物理分區(qū)。這將數(shù)據(jù)庫(kù)復(fù)雜的配置關(guān)系簡(jiǎn)化到用戶易于理解的層級(jí),方便用戶更好地搭建整個(gè)項(xiàng)目的DCS數(shù)據(jù)庫(kù)結(jié)構(gòu)。
■ 實(shí)時(shí)數(shù)據(jù)原則上只在子系統(tǒng)網(wǎng)絡(luò)
實(shí)時(shí)數(shù)據(jù)泛指動(dòng)態(tài)
DCS系統(tǒng) / 網(wǎng)絡(luò)設(shè)計(jì)方案
以上描述的實(shí)際應(yīng)用情況大大降低了構(gòu)建大型實(shí)時(shí)數(shù)據(jù)網(wǎng)絡(luò)實(shí)際負(fù)荷,這意味著大型DCS系統(tǒng)可以事先根據(jù)應(yīng)用需求,拆分成若干個(gè)規(guī)模合理的子工程LAN。子工程數(shù)據(jù)庫(kù)相互獨(dú)立,通過(guò)事先的組態(tài)和配置,實(shí)現(xiàn)各子工程之間的數(shù)據(jù)交互,以及定期向管理層發(fā)送事先訂閱的各類實(shí)時(shí)數(shù)據(jù)。
中控WebField ECS-700系統(tǒng)基于以太網(wǎng)的IEEE802.3Z實(shí)現(xiàn)對(duì)數(shù)據(jù)流的分區(qū)管理,應(yīng)用組播管理和VLAN等成熟網(wǎng)絡(luò)技術(shù),使得邏輯子工程內(nèi)的網(wǎng)絡(luò)節(jié)點(diǎn)共享數(shù)據(jù),同時(shí)隔斷子工程間無(wú)用的實(shí)時(shí)數(shù)據(jù),防止網(wǎng)絡(luò)上出現(xiàn)數(shù)據(jù)泛濫,導(dǎo)致傳輸效率下降甚至網(wǎng)絡(luò)阻塞。
2.2 完善的網(wǎng)絡(luò)監(jiān)控和在線防病毒方案
大型DCS系統(tǒng)的網(wǎng)絡(luò)故障案例大多數(shù)定性為工程階段的問(wèn)題,有工程設(shè)計(jì)的不合理、網(wǎng)絡(luò)部件的版本不兼容、工程實(shí)施時(shí)網(wǎng)線錯(cuò)誤連接等。最常見(jiàn)的是網(wǎng)絡(luò)中毒,幾乎在所有的項(xiàng)目中都會(huì)發(fā)現(xiàn)各種級(jí)別的中毒情況,用傳統(tǒng)的病毒查殺技術(shù)費(fèi)時(shí)費(fèi)力,同時(shí)也會(huì)在一定程度上影響生產(chǎn)運(yùn)行,更嚴(yán)重的甚至被迫停車檢修。因此,DCS制造商在設(shè)計(jì)大型工業(yè)控制網(wǎng)絡(luò)時(shí),必須考慮完整全面的網(wǎng)絡(luò)監(jiān)控和防毒方案。
中控在該項(xiàng)目中提供了全網(wǎng)診斷軟件VxNetSight,該軟件可實(shí)時(shí)觀測(cè)到每個(gè)網(wǎng)段,甚至每個(gè)網(wǎng)口上的數(shù)據(jù)負(fù)荷,以及各個(gè)節(jié)點(diǎn)的上線、故障、恢復(fù)情況,可以方便地設(shè)置各種負(fù)荷報(bào)警和流控限制,協(xié)助用戶正確高效地了解網(wǎng)絡(luò)運(yùn)行情況,并及時(shí)采取相應(yīng)的管理措施。同時(shí),ECS-700系統(tǒng)還基于IEC62443-1-1的工業(yè)網(wǎng)絡(luò)模型,針對(duì)LEVEL~4不同層次設(shè)計(jì)了不同的防病毒方案,聯(lián)合國(guó)際知名的防毒軟件公司,結(jié)合私有協(xié)議、白名單、黑名單等綜合防毒技術(shù),為各種項(xiàng)目應(yīng)用量身定制防毒方案,方便用戶高效地實(shí)現(xiàn)全網(wǎng)絡(luò)的安全保護(hù)和監(jiān)控。
DCS系統(tǒng) / 防病毒層級(jí)
(1)LEVEL 1層次
中控提供的控制器內(nèi)置網(wǎng)絡(luò)防火墻和協(xié)議解析、接入設(shè)備論證,控制器具有一定的防病毒能力,提高了該層次網(wǎng)絡(luò)的安全性。
(2)LEVEL 2層次
控制層是DCS最核心的網(wǎng)絡(luò)層,該層次計(jì)算機(jī)數(shù)量多,必須安裝DCS廠家的工控軟件,安裝軟件相對(duì)比較固定。該層次,中控采用了白名單技術(shù)(White List)的防毒方案,利用白名單技術(shù)鎖定合法的軟件進(jìn)程,禁止名單之外的任何進(jìn)程加載系統(tǒng)內(nèi)存,阻止病毒攻擊L2層的主機(jī),保證控制層的絕對(duì)安全。
(3)LEVEL 3層次及以上
該層次計(jì)算機(jī)數(shù)量相對(duì)比較少,軟件選擇自由度較大,也可能會(huì)頻繁更換。而且L3層的各類主機(jī)不直接參與生產(chǎn)運(yùn)行和控制,CPU負(fù)荷安全要求不高。因此,在L3層中控采用了殺毒性能強(qiáng)勁的知名殺毒軟件———卡巴斯基。
(4)調(diào)度層與控制層
通過(guò)防火墻隔離,保證控制層安全。
(5)外部網(wǎng)絡(luò)與調(diào)度層
通過(guò)防火墻隔離,保證調(diào)度層安全。
提交
磁翻板液位計(jì)基礎(chǔ)知識(shí)及常見(jiàn)故障分析
安全儀表系統(tǒng):確保流量測(cè)量的安全性
如何應(yīng)對(duì)PID回路表現(xiàn)不佳?
比例閥如何維修?
電磁流量計(jì)基礎(chǔ)知識(shí)及常見(jiàn)故障分析