大型煤化工企業DCS系統網絡安全設計

楊衛強，常 科，張春山，祁志榮，楊 華，李 弢

（1.杭州和利時自動化有限公司，杭州 310016；2.中安聯合煤化有限責任公司，安徽 淮南 232090）

DCS是分布式控制系統的英文縮寫（Distributed Control System），其基本設計理念是分散控制、集中操作、分級管理、配置靈活以及組態方便。網絡是DCS系統的基礎和核心，對于DCS整個系統的實時性、可靠性和擴充性，起著決定性的作用。因此，各廠家都在這方面進行了精心的設計，目前已日趨成熟。隨著經濟與技術發展，DCS系統在提高應對傳統功能的同時，也面臨著各種安全威脅，受到病毒、木馬、黑客等入侵安全問題越來越多。

在國家“十三五”規劃中，網絡安全已上升至國家安全戰略，工控網絡安全作為網絡安全的中的薄弱而又至關重要環節，已成為亟待解決的重要問題之一。

1 DCS網絡安全現狀及典型工控安全事件分析

1.1 網絡安全現狀

1.1.1 網絡安全管理意識不強

目前國內許多企業對網絡安全的概念比較模糊，安全意識不強。特別是一些老舊企業管理人員，隨意要求DCS系統廠家增加通訊接口，更改網絡拓撲結構，對機房、控制室等重要場所管理混亂，隨意使用U盤從DCS系統拷貝數據等，給DCS系統安全運行帶來了很大隱患。

1.1.2 網絡安全設計缺失嚴重

DCS系統網絡安全問題受到關注，是因近來幾次影響較大的黑客攻擊事件引發。最近新建DCS項目設計上已有所防范，但對于大量的存量DCS系統，由于前期的設計缺失后期又沒有及時補充防護，目前仍然暴露在黑客攻擊的危險之中。

1.2 典型工控安全事件分析

1）2010年美國通過“震網”病毒奇襲伊朗布什爾核電站，遲緩了伊朗的核能計劃。

2）黑客通過入侵數據采集與監控系統，使得美國伊利諾伊州城市供水系統的供水泵遭到破壞，導致城市大面積停水。

3）2015年12月23日，烏克蘭電力部門遭受到惡意代碼攻擊，該事故造成7個110KV變電站和23個35KV變電站故障，導致80000用戶斷電，此次事件不僅造成嚴重經濟損失，同時也導致嚴重的社會影響。

4）2018年8月3日，臺積電遭勒索病毒入侵，致3個生產基地停擺。

8月3日晚間，臺積電位于臺灣新竹科學園區的12英寸晶圓廠和營運總部的部分生產設備受到魔窟勒索病毒WannaCry勒索病毒的一個變種感染，具體現象是電腦藍屏，鎖各類文檔、數據庫，設備宕機或重復開機。僅經歷數小時，另外兩處工廠也陸續被感染，3個生產基地幾乎同時受到病毒入侵而導致生產線停擺，對正常生產造成嚴重影響。

通過上述案例分析，工業控制系統在考慮效率和實時性的同時，其安全性并未引起人們應有的重視，隨著其信息化程度的加速，其安全事件也呈逐年上升的態勢。盡管從數量上還無法與互聯網安全事件相比，但一旦發生其廣泛的社會影響、巨大的經濟損失、長久的持續時間，都是互聯網安全事件無法比擬的。對于一個企業甚至一個國家，不但社會經濟會遭受重大損失和倒退，還有可能危及到相關人員的健康與生命。

2 和利時MACSV6系統在大型煤化工企業網絡安全設計方案

中安聯合煤制170萬噸年甲醇及轉化烯烴項目，由SEI總包，和利時作為MAV供應商，負責提供包括分散控制系統（DCS）、智能設備管理系統（AMS）、操作數據管理系統（ODS）、報警管理系統（AAS）、操作員仿真培訓系統（OTS）、大屏幕顯示系統（DLP）、可燃有毒氣體檢測系統（GDS）、汽輪機數字電液控制系統（DEH）。其中DCS系統是連接各子系統的紐帶，其網絡結構最為復雜，是網絡安全設計的核心。

全廠DCS系統全部采用和利時公司HOLLiAS MACS-K系統，控制器分布在全廠的現場機柜間（FAR），全廠設中央操作室（CCR）3個。各機柜間與CCR采用光纜連接，控制站節點由控制網絡（CNET）實現互連，操作節點通過系統網絡（SNET）實現互連。DCS與數采網通過CCR中的OPC服務器實現數采，數據采集進入信息的IP21實時數據庫。

2.1 中安項目網絡安全策略

2.1.1 DCS系統網絡總體設計原則

由于項目規模較大，相應網絡結構也極為復雜。為保證系統網絡安全，項目組討論確定了“橫向分層，縱向分區”的設計原則。即橫向采用4層網絡結構，從上到下依次為企業網絡、管理網（MNET）、系統網（SNET）、控制網（CNET），縱向將全廠劃分為若干個獨立裝置域及1個管理域。通過域的合理劃分，使得各裝置間即相互隔離，確保每個生產裝置獨立開停車，又可通過管理域實現對全廠區數據集中管理的要求。

在技術實現方面，和利時提出了符合工業信息安全要求的實施方案。和利時傳統的控制系統解決方案在一定程度上考慮了信息安全要求，例如嚴格的網絡分段（根據工藝、功能系統等）、專有通信協議、專有控制器操作系統等。除此以外，在不改變工控系統基礎架構的前提下，現通過增加與工控系統高度集成的信息安全組件以及對現有控制系統升級達到工控系統的信息安全目標。

2.1.2 DCS系統對外接口防護設計

DCS系統對外接口主要包括MES、ODS、AAS系統。其中，MES系統數據量較大且使用對象較為復雜，為保證數據安全，項目組采用了和利時HH800系列網閘，實現MES系統從OPC服務器取數的隔離。因ODS、AAS使用對象較為簡單，項目使用防火墻對ODS，AAS系統進行安全隔離。

2.2 中安項目網絡結構設計

2.2.1 中安項目DCS網絡結構設計

根據“橫向分層，縱向分區”的安全理念，對項目網絡進行如下設計：

◇ 4層企業網絡（MES/ERP）

為工廠信息平臺，連接工廠管理有關的設備，由最終用戶工廠工程師負責。企業網絡與控制網絡分開。企業網絡的安全和管理不能影響過程控制網絡。

◇ 3.5層非軍事區（DMZ）

過程控制網絡和企業網絡之間的緩沖地帶，它是直接與防火墻連接的單獨子網段。

◇ 3層管理網（MNET）

用于各域之間的互訪。也用于連接智能設備管理系統（HAMS）、操作數據管理系統（ODS）[中安項目AMS、ODS在各域內采集數據]。

圖1 中安DCS系統網絡結構圖Fig.1 Network structure diagram of an DCS system

圖2 中安項目防毒網絡Fig.2 Anti-virus network of Zhong'an project

◇ 2.5層系統網（SNET）

通訊量較大的區（LAN2&3）使用獨立的3層交換機連接，以減輕系統核心3層網絡負荷。

◇ 2層系統網（SNET）

用于工程師站、操作員站、控制站連接到2層交換機，構建高速冗余安全網絡。

◇ 1層控制網（CNET）

采用冗余總線與各個I/O 模塊及智能設備連接。實時、快速、高效地完成與現場通訊任務。

2.2.2 中安項目防毒網絡結構設計

項目在C C R設置一臺防毒服務器，用于管理DCS、ODS、AMS、AAS系統防毒，采用專用PC機離線更新病毒庫，再通過防火墻更新防毒服務器病毒庫。

病毒防護網絡結構如圖2所示。

圖3 中安項目ODS系統網絡示意圖Fig.3 Network diagram of ODS system of Zhong'an project

2.2.3 中安項目ODS系統網絡結構設計

此項目每個LAN均獨立設置ODS局域網服務器進行數據采集，在CCR設置一臺ODS中心和一臺WEB服務器，用于數據處理及發布。ODS局域網服務器和ODS客戶端間配置前段和后端兩個防火墻。WEB服務器通過賬號管理分配控制、訪問權限。

3 結束語

通過“震網”病毒等一系列網絡安全事件，充分反映了工業控制系統信息安全面臨著嚴峻的形勢。為了保證裝置生產安全，必須從源頭開始對網絡安全做詳盡的設計和規劃，并切實在項目實施中得到落實。

通過中安項目網絡規劃的實施，充分驗證了項目前期網絡安全設計方案的科學性和實用性，也為后續類似大型煤化工項目網絡安全設計、實施，提供了重要參考。