石化工业是国家的支柱产业之一,在信息技术的驱动下,正由传统工业向高度集约化、知识化、技术化工业转变。PIMS(生产信息管理系统)作为MES的核心,是一套用于生产管理的软件系统。在石化等流程行业,PIMS提供了一个信息集成和管理的平台,主要用于企业网络环境下的全厂生产数据的采集、数据存储、数据查看、数据处理和数据管理。它真正实现了办公室与生产现场的信息沟通,完成了过程控制系统与信息系统的网络集成与综合管理。
北京力控华康科技有限公司的pSafetyLink隔离网关在石化企业的MES/PIMS系统中有着广泛应用,为DCS控制系统网络的安全运行提供了有力保障。由于pSafetyLink专门面向自动化应用设计,符合自动控制工程师的使用习惯,不需要工程师了解太多网络有关的专业内容,就很容易完成对产品的调试和部署,因此大大提高了项目实施的效率,pSafetyLink也因此得到了客户的高度肯定。
图1 隔离网关pSafetyLink在控制系统中的部署
应用背景
某石化企业为了应对不断变化的市场需求,及时调整生产策略,也为了便于全厂生产的统一调度、加强企业内部管理,在其二分厂率先实践了PIMS生产管理系统。该厂有2套控制系统,采用了浙大中控的大型DCS系统ECS-100。该PIMS需要集成的DCS点数多达一万点,并完全通过Web方式实现:生产实时数据的管理、实时流程查看、实时趋势浏览、报警的记录与查看、开关量变位的记录与查看、历史趋势查看、生产过程报表生成、生产统计报表生成等功能。拓扑结构如图1所示。
系统介绍
该PIMS系统的结构分为三层,自下而上依次为:过程控制层、工厂管理层、企业管理层。其中企业管理层完成管理者和各职能科室生产管理报表生成的任务;工厂管理层完成各职能科室实时监控的任务,它对下连接现场控制层,对上通过网络连接企业管理层,它不仅负责现场控制设备的实时数据采集,而且在系统中
起到上传下达的重要作用;过程控制层由DCS、PLC、智能仪表等控制器组成,是整个生产管理系统的基础。
该厂出于安全因素考虑,将其DCS的运行网络划分为单独的生产控制网络,相对封闭,与总厂的管理信息网络完全分开。而PIMS系统需要实现这两个网络的互通、互联,以满足PIMS对DCS数据的采集。
由于该企业为上市企业,面向世界各地的国际贸易业务往来频繁,所以其总厂的管理信息网络是面向互联网开放的商业网络,如果直接实现与DCS控制网络的连通,商业网络本身存在的各种安全隐患将直接威胁到控制网络的安全。特别是随着网络攻击复杂性的增加,即使在两个网络边界中间使用传统的网络防火墙产品和攻击检测技术,也已经难于保护网络的安全。因为现代网络安全威胁来自于商业网络的各个层面,并且更多的是来自于网络数据流量的应用数据部分,这一特性决定了仅使用防火墙或入侵检测系统,依靠检查数据包的头部,已经越来越难发现诸如病毒、蠕虫、后门程序等高级复杂的网络安全风险。在很多成功的攻击案例中,黑客可以很快了解到网络在应用数据层面的安全漏洞,从而迅速使用后门、木马、蠕虫或者其它攻击行为,对控制网络造成不同程度的损害。
解决方案
该厂为了从根本上解决DCS控制网络的安全可靠运行,在该PIMS系统中选用了力控华康的隔离网关pSafetyLink作为DCS控制网络的安全防护装置。
隔离网关pSafetyLink是专为工业网络应用设计的安全防护装置,用于解决工业SCADA控制网络如何安全接入信息网络(外网)的问题。它与防火墙等网络安全设备本质不同的地方是它阻断网络的直接连接,只完成特定工业应用数据的交换。由于没有了网络的连接,攻击就没有了载体,如同网络的“物理隔离”。由于目前的安全技术,无论防火墙、UTM等防护系统都不能保证攻击的彻底阻断,入侵检测等监控系统也不能保证入侵行为完全被捕获,所以最安全的方式就是物理的分开。pSafetyLink通过内部的双独立主机系统,分别接入到控制网络和信息网络,双主机之间通过专用硬件装置连接,从物理层上断开了控制网络和信息网络的直接网络连接。同时pSafetyLink通过内嵌的高性能OPC通信软件,很好地解决了PIMS通过OPC接口采集DCS数据的通信问题。另外,由于隔离网关内部完全实现了通信协议的接口服务,因此可以实现针对测点一级的访问控制。例如:对于OPC可以控制到Item(项)一级的访问权限控制,通过设置为只读属性方式保证PIMS对DCS数据的访问是单向的,禁止数据回置操作。
总结
隔离网关pSafetyLink在该企业PIMS系统投运以来,为DCS控制系统网络的安全运行提供了有力保障。
采访链接:
自动化博览:力控华康近年来在石化行业市场发展情况如何 ?您感受到石化行业正在发生着哪些变化,呈现出哪些特点?
力控华康市场经理:力控华康跟石油石化行业渊源已久,力控华康的母公司力控科技的前身三维力控就是诞生在国内最大的石油石化城市——大庆。一直以来,石化行业是力控华康的主要行业客户,从大庆油田到胜利油田、新疆油田在内的各大油田,从勘探开发到石油炼化的各个环节,从三大石油公司到众多的化工类企业,都有力控华康产品的应用。经过多年的快速发展,我国石化行业的增长速度已经显著放缓,尤其是近两年经济下行压力较大,国际油价大幅下跌,都给石化行业的经营发展带来很大的挑战。在这种情况下,石化行业内一直在积极推动信息化和工业化的“深度融合”,加快从传统生产方式向数字化、网络化和智能化的转变,且成效显著。
自动化博览:力控华康能够为石化行业信息化、智能化改造提供哪些产品或者解决方案?
力控华康市场经理:力控华康是一家专注于物联网和工控系统信息安全领域的公司,最早在2009年就开始了工控安全产品的自主研发。目前产品包括边界安全、HMI终端安全和安全管理类产品,有工业隔离网关pSafetyLink、工业通信网关pFieldComm、工业防火墙HC-ISG、工控安全管理平台等系列产品,都是为企业的信息安全服务的。力控华康不是单一产品的制造商,我们还可以为数据采集与监控(SCADA)、分布式控制系统(DCS)、过程控制系统(PCS)、可编程逻辑控制器(PLC)等所有工业控制系统(ICS)的信息安全接入和智能化数据交换,提供安全、可靠的解决方案和工业级产品。在钢铁有色、石油化工、能源电力、天然气、先进制造、轨道交通、市政环保等领域的工控系统内有着广泛应用。
信息安全是信息化、智能化改造的基础,尤其是石油石化行业,没有安全一切无从谈起。在大数据时代,数据像水电一样,成为企业的资源和生产资料,对数据的保护成为大数据时代信息安全策略的核心。力控华康的产品可以在工业数据的采集、转换、传输和访问等各个环节,提供全方位的安全保护和监控。力控华康的优势在于对不同行业企业核心生产系统的实践和理解。2015年力控华康发布了一款面向工业控制系统的安全管理平台,配合我们的工业防火墙、安全隔离网关和安全数采网关使用,可以帮助管理员收集工业控制网络中的流量信息和安全事件,帮助客户提升风险管理的水平。这款产品已经在化工行业得到部署,下一步将会向其他行业推广。
自动化博览:从技术角度来看,您认为石化行业自动化、智能化具有怎样的趋势?需要克服的问题是什么?
力控华康市场经理:自动化和智能化跟石化行业的结合就是智能石化,包括智能油气田、智能工厂、智能销售、智能管网、智能物流等等。在这一建设过程中,信息化的地位越来越重要,包括物联网、大数据、云计算等最新的技术都会得到应用。比如智能管道,整个石化行业有十几万公里的油气管道,有的输送原油,有的输送天然气,有的输送成品油,怎样把复杂的管道系统监控起来,保证它能够安全、稳定地运行,一定要靠信息化、智能化的手段。这个过程中所面临的挑战是,除了物联网、大数据、云计算等信息技术本身和业务的结合、优化之外,需要重点考虑的就是信息安全问题。在国际国内形势越来越复杂的今天,我们看到《中国制造2025》战略规划中特别强调了信息安全保障体系的建设。石化行业需要抓住产业升级的机会,把信息安全、工控安全和物联网安全纳入到信息化的框架中来。
摘自《自动化博览》2016年2月刊