北京力控華康科技有限公司

編者按：

隨著信息技術的高速發(fā)展，工業(yè)自動化已經深入各個行業(yè)，由于某些行業(yè)的特殊性決定了生產線與中控端的數(shù)據平臺不在同一地點或者同一網絡的問題，數(shù)據平臺只能遠程地通過以太網來獲取生產數(shù)據，這樣在內網和廣域網之間的數(shù)據傳輸就存在安全隱患，相應的就需要有一種解決數(shù)據安全性的解決方案，本文所述方案是基于北京力控華康科技有限公司（以下簡稱力控華康）的安全隔離網關，解決中海油某項目中數(shù)據遠傳的安全問題。

1 方案介紹

中海油某平臺，位于遼東灣海域，油田儲油量約1億噸，合計約7.33億桶，是渤海灣有史以來發(fā)現(xiàn)的最大輕質油氣田。此次中海油的透平數(shù)據遠傳項目是將平臺的透平數(shù)據安全地傳輸?shù)酱箨懙臄?shù)據平臺，實現(xiàn)數(shù)據的遠程管理。

該項目硬件采用DELL服務器，IBM伺服器，核心網關采用力控華康安全隔離網關，軟件采用ABRSLINX、Psafetylink、GE ifix5.0等，工作方式為通過以太網標準協(xié)議OPC的方式。

2 方案詳述

2.1　系統(tǒng)方案實現(xiàn)

中海油某平臺透平數(shù)據遠傳項目主要架構拓撲圖已經給出如圖1所示。在此詳細說明。下位機采用的是DELL的一臺服務器，服務器上安裝有AB的RSLINX CLASSIC GATEWAY，可作為OPC CLIENT、OPC SERVER采集透平PLC各項數(shù)據時的客戶端。力控華康安全隔離網關作為核心的安全隔離設備，分為控制端和信息端，采用以太網連接方式，控制端連接DELL服務器，采用OPC方式采集DELL服務器上的透平PLC數(shù)據，在經過數(shù)據處理和安全隔離，經由信息端轉發(fā)給上位機IBM伺服器，IBM伺服器上安裝有GE ifix5.0軟件，經其遠程傳輸給陸地的數(shù)據平臺，實現(xiàn)了數(shù)據的安全遠傳。

圖1 系統(tǒng)拓撲圖

2.2　網關功能詳解

北京力控華康科技有限公司成立于2009年，專業(yè)從事工業(yè)網絡通訊和網絡安全產品與服務，已獲得“雙軟”認證。公司憑借在工業(yè)通信以及網絡安全領域積累的豐富經驗。同時依托于力控系列軟件平臺，成功研發(fā)出真正適用于工業(yè)控制系統(tǒng)的工業(yè)網絡安全防護網關pSafetyLink以及工業(yè)通訊網關pFieldComm等系列產品。

力控華康pSafetylink產品內部兩端由兩個獨立主機系統(tǒng)組成，每個主機系統(tǒng)分別具有獨立的運算單元和存儲單元，各自運行獨立的操作系統(tǒng)和應用系統(tǒng)。其中一端的主機系統(tǒng)為控制端，負責接入到SCADA控制網絡；另一端為信息端，負責接入到信息網絡（外網）?？刂贫伺c信息端主機分別運行高性能工業(yè)通信軟件?？刂贫颂峁└鞣N標準SCADA通信標準的客戶端/主端（Client/Master）通信功能，如：OPC Client、Modbus Master等，實現(xiàn)對SCADA系統(tǒng)的接入與通信；信息端主機提供服務器端/從端（Server/Slave）通信功能，如：OPCServer、Modbus Slave等，實現(xiàn)與各種遠程后臺系統(tǒng)、數(shù)據中心系統(tǒng)、數(shù)據庫系統(tǒng)的接入和數(shù)據交互。

在中海油某平臺透平遠傳項目中， 核心設備安全隔離網關采用力控華康的安全隔離網關pSafetylink系列的產品，控制端連接下位機采集數(shù)據，信息端連接上位機轉發(fā)數(shù)據，全程采用OPC通信協(xié)議，中間經過數(shù)據處理和安全加密，保證了數(shù)據在內網與外網之間的傳輸?shù)耐暾浴崟r性和安全性。

3　結語

中海油某平臺透平數(shù)據遠傳項目基于力控華康安全隔離網關pSafetylink，設備通過以太網連接，實現(xiàn)了遠傳數(shù)據過程的實時性、完整性、安全性、為正確操作、有效管理、快速準確決策提供了保障。

精對彩話

北京力控華康科技有限公司副總經理 孫晨

自動化博覽：近年來，力控華康在信息安全方面的技術創(chuàng)新與產品創(chuàng)新有哪些？

孫晨：工業(yè)網絡安全防護網關pSafetyLink是國內首款面向工業(yè)控制系統(tǒng)邊界信息安全防護的隔離產品，產品基于第五代隔離技術開發(fā)，全系列產品已通過了CE、FCC、EAL3、公安部、軍用信息安全產品等認證，并得到國家發(fā)改委工控安全產品產業(yè)化推廣專項資金支持。 pSafetyLink是一款自主知識產權、高安全級別的安全隔離系統(tǒng)，用于解決工業(yè)控制系統(tǒng)接入信息網絡（外網）時的安全防護問題，為控制網與管理信息網的連接提供安全保障。 pSafetyLink已在很多大型石油、石化、天然氣、冶金、市政企業(yè)得到批量應用，如：中石油大慶石化MES系統(tǒng)、中石油大慶煉化MES系統(tǒng)、中石油昆侖燃氣生產指揮系統(tǒng)、烏石化 MES改造、中石化勝利油田熱電聯(lián)供中心生產調度聯(lián)網、昆鋼能源管理系統(tǒng)等項目?？稍诨?、鋼鐵、有色、發(fā)電、電網、城市燃氣、機械、環(huán)保監(jiān)測、城市供水、供熱、水利樞紐、隧道、港口、鐵路、城市軌道交通、民航以及其他與國家基礎設施和國計民生緊密相關的工業(yè)控制系統(tǒng)網絡邊界廣泛應用。

工業(yè)防火墻HC-ISG是國內首款專用于工業(yè)控制安全領域的防火墻產品，能夠有效對SCADA、DCS、PCS、PLC、RTU 等工業(yè)控制系統(tǒng)進行信息安全防護。 HC-ISG主要解決工業(yè)基礎設施在網絡環(huán)境中受到病毒、 黑客、敵對勢力的惡意攻擊以及工作人員誤操作時的安全防護問題。 HC-ISG通過了公安部檢測、國家信息安全測評中心檢測，取得了CE、FCC等認證和銷售許可證，廣泛應用于各工業(yè)現(xiàn)場，包括核設施、鋼鐵、有色、石油天然氣、化工、發(fā)電、 電網、城市燃氣、機械、環(huán)保監(jiān)測、城市供水、供熱、水利樞紐、隧道、港口、鐵路、城市軌道交通、民航以及其他與國家基礎設施和國計民生緊密相關的工業(yè)控制系統(tǒng)和網絡。

自動化博覽：力控華康在信息安全方面的主要特點和優(yōu)勢是什么？

孫晨：力控華康在2009年于北京成立，是國內最早從事工控安全的企業(yè)之一。力控華康擁有國家高新技術企業(yè)證書、中關村高新技術、ISO9001質量管理體系認證證書、軟件企業(yè)認定證書，是中國網絡安全產業(yè)聯(lián)盟理事單位，工業(yè)信息安全智庫成員，工業(yè)控制系統(tǒng)信息安全產業(yè)聯(lián)盟成員，北京網絡信息安全技術創(chuàng)新產業(yè)聯(lián)盟副理事長單位。

力控華康憑借多年積淀的工業(yè)領域信息安全行業(yè)經驗，自主研發(fā)出適用于工業(yè)控制系統(tǒng)的工業(yè)安全防護網關、工業(yè)網絡安全隔離網關、工業(yè)防火墻、工控信息安全管理平臺、工業(yè)通信網關等多個系列產品。廣泛應用于各個行業(yè)，其中包括核設施、鋼鐵、有色、化工、石油石化、電力、天然氣、先進制造、水利樞紐、環(huán)境保護、鐵路、城市軌道交通、民航、城市供水供氣供熱以及其他與國計民生緊密相關領域的工業(yè)控制系統(tǒng)。

自動化博覽：力控華康在信息安全方面的愿景目標是什么？如何實現(xiàn)？

孫晨：力控華康的愿景：護航智能工廠信息安全，構建工業(yè)互聯(lián)網安全空間。

工業(yè)互聯(lián)網是互聯(lián)網和新一代信息技術與工業(yè)系統(tǒng)全方位深度融合所形成的產業(yè)和應用生態(tài)，是工業(yè)智能化發(fā)展的關鍵綜合信息基礎設施。工業(yè)互聯(lián)網可以重點從“網絡”、“數(shù)據”和“安全”三個方面來理解。其中，網絡是基礎，即通過物聯(lián)網、互聯(lián)網等技術實現(xiàn)工業(yè)全系統(tǒng)的互聯(lián)互通，促進工業(yè)數(shù)據的充分流動和無縫集成；數(shù)據是核心，即通過工業(yè)數(shù)據全周期的感知、采集和集成應用，形成基于數(shù)據的系統(tǒng)性智能，實現(xiàn)機器彈性生產、運營管理優(yōu)化、生產協(xié)同組織與商業(yè)模式創(chuàng)新，推動工業(yè)智能化發(fā)展；安全是保障，即通過構建涵蓋工業(yè)全系統(tǒng)的安全防護體系，保障工業(yè)智能化的實現(xiàn)。

工業(yè)互聯(lián)網的安全需求主要包括五大重點，資產安全、網絡安全、控制安全、安全管理和數(shù)據安全。資產安全是指工業(yè)智能裝備的安全，包括嵌入式操作系統(tǒng)安全、相關應用軟件安全以及訪問權限安全等；網絡安全是指工廠內有線網絡、無線網絡的安全，以及工廠外與用戶、協(xié)作企業(yè)等實現(xiàn)互聯(lián)的公共網絡安全；控制安全是指生產控制安全，包括控制協(xié)議安全、控制平臺安全、控制軟件安全等；數(shù)據安全是指工廠內部重要的生產管理數(shù)據、生產操作數(shù)據以及工廠外部數(shù)據（如用戶數(shù)據）等各類數(shù)據的安全；安全管理是指信息安全管理制度、信息安全檢測辦法、新系統(tǒng)上線和老系統(tǒng)檢修的信息安全運維措施等。

力控華康依據工業(yè)互聯(lián)網體系架構，從“防其所必攻”的角度出發(fā)，提出工業(yè)互聯(lián)網安全空間構建模型。工業(yè)互聯(lián)網安全空間構建模型通過咨詢設計、建設實施、運維管控、監(jiān)測評估四個階段的循環(huán)持續(xù)提升工業(yè)互聯(lián)網的信息安全能力，在控制安全、網絡安全、數(shù)據安全、資產安全、安全管理五個方面保護工業(yè)互聯(lián)網體系中易受威脅的要素，依靠滲透測試、工業(yè)測點訪問控制、工業(yè)安全事件審計、工控系統(tǒng)告警監(jiān)控等技術手段和相應管理手段構建工業(yè)互聯(lián)網安全空間。

摘自《自動化博覽》2017年2月刊