工控系統數字化、網絡安全一體化設計與實踐

周 敏

（廣東宏瑞能源科技股份有限公司 研發部，廣東 惠州 516001）

0 引言

基于工控系統的實時信息系統實現的是對各廠生產過程的監視和管理，通過采集DCS 系統、PLC 系統或者現場數字儀表的實時生產數據，對各生產流程進行統一地監視和查詢，上傳至管理網，消除信息孤島現象。調度者和管理者可以在總調度中心或自己的辦公室、家里等任何有網絡的地方綜覽全廠的實時生產情況。

實時信息系統網絡及運行平臺需建立在開放、先進的數據庫管理基礎上，隨著人工智能、大數據等數字化信息技術的發展，實時信息系統網絡與上層管理系統等多方系統都存在數字信息交互，需要考慮和滿足數據在網絡上的安全傳輸。這些年不斷出現有遭受網絡風暴或網絡病毒入侵的網絡安全事件發生，網絡安全風險成為每個工廠設計工控系統網絡時不容忽視的一個重要環節。

圖1 網絡架構圖Fig.1 Network architecture diagram

1 工控系統網絡現狀

傳統工控系統（集散控制系統）基本上分為過程控制層、過程監控層、生產管理層、決策管理層（辦公網），早期智能化、信息化還沒有現在這么發達，在決策管理層上很少或者沒有承載關聯的其他系統，網絡結構簡單，平臺系統之間獨立組網，信息傳輸量少，這種信息系統網絡結構在早期能滿足數據讀取和網絡安全。

但隨著智能化的飛速發展和現代企業信息化管理的需求，原本相對獨立的工控系統網絡被打破，決策管理層上承載關聯有眾多復雜的設備和其他系統（如現在的政府網絡平臺、智慧小腦、視頻系統等），如沒有整體考慮網絡安全設計（軟件和硬件），則底層工控系統極易被來自工控系統外的病毒感染，引發會話夾持等網絡攻擊，最終導致生產停車，嚴重的甚至造成人員傷亡。

2 工控系統網絡安全一體化設計

設計思路：通過多層次縱向防御，建立復雜網絡安全系統和安全防護策略，避免單一網絡策略受攻擊被入侵。

1）在控制系統過程監控層和決策管理層（辦公網）間設置多層工業級防火墻。通過物理隔離把過程監控層與外部網絡安全隔離，攔截病毒入侵和擴散，有效劃分安全區域，提供從邊界、區域到終端的完整防護，解決因缺少隔離引起的安全問題。作為主干網絡的以太網，網絡信息交換數據傳輸數據達10Mb。客戶從辦公網外圍進入，需通過防火墻，訪問遠程桌面網關，遠程桌面網關會核實是否有裝證書，核實已安裝證書的客戶端才能與遠程桌面客戶端通訊。用戶名密碼通過域控驗證，驗證通過后，遠程桌面網關才允許訪問。

2）設置OPC 服務器。所有工控系統的數據都采集到OPC 服務器，OPC 服務器采用專用數據接口與上層系統進行數據交互，上層系統的用戶訪問工控系統必須通過多層防火墻。設置數據通訊方向，讀取數據從過程監控層上讀，但無法往過程監控層下寫數據。

每臺操作站和服務器都安裝白名單防病毒軟件，以白名單技術監控，并設有防病毒服務器，防病毒服務器具有備份（域控備份）和恢復功能，自動實時和全方位監控防止病毒從外部入侵，自動定期更新所有服務器病毒庫，有效防止未知病毒的攻擊，切斷病毒和木馬傳播途徑，保證系統指令下發和過程控制系統正常運行。

3）關閉交換機全部不使用的網絡端口，防止外來的網絡攻擊。配置交換機端口限流功能，以防惡意、設備故障或者病毒引起的超大流量訪問。網絡端口設置訪問優先級，與控制器連接的網絡優先級高，保證控制器與操作站之間數據的可靠通訊。交換機端口具備故障隔離功能，可以將發生故障的端口從網絡中切除，避免故障擴大對整個網絡產生影響。交換機設置完整的事件和日志記錄并上報HMI功能，可實時對網絡狀況進行監視。

4）系統具備對可移動存儲設備（光驅、軟驅、USB 口等）的密碼管理功能，只有授權的用戶才能使用這些設備，有效防止病毒的傳播。

5）設置工業網閘，在兩個不同安全域之間需有協議轉換，被系統協議明確定義允許傳輸的信息才允許通過。抵御基于操作系統漏洞攻擊行為，安全隔離網閘的雙主機之間是物理阻斷的，工業網閘與多種類安全設備協同同時運行，形成綜合性網絡安全防護平臺。

3 工控系統數字化整體架構

3.1 數據采集

1）系統數據站裝載全局數據庫，負責對域內系統數據的集中管理和監視，包括各類事件的捕捉和記錄，并為域內其它各站的數據請求向操作站提供歷史趨勢數據；非SOE 點的時間標簽生成功能；歷史數據自動存盤功能；向工程師站提供離線查詢功能的歷史數據文件；向操作站、控制站發送系統校時信號，對上級調度數據結合實時數據專家系統的分析運算產生指導工藝過程的運算指標等。數據站還提供二次數據處理和歷史數據管理和存檔功能。

2）實時數據庫系統通過OPC 方式把DCS、PLC、SIS等系統數據采集到實時數據庫中，PIMS 實時數據庫的生產管理數據、設備管理數據等為管理層的數據庫提供生產數據，管理者可依此平臺對生產進行全面掌控，實時分析，優化決策。根據管理和生產運營需求配置多個PIMS Client，用于遠程客戶進行流程圖訪問、數據獲取等。

3）隨著現場總線和智能儀表技術的發展，雙向全數字化的通訊以及智能診斷已經越來越標準化。PRM 主要是面向工廠的儀表維護人員和工藝運行人員來對現場智能設備進行有效管理，PRM 軟件工具是為現場智能設備提供的一個有效管理的軟件，有效地減少工廠的整體成本。

工廠資源管理系統由PRM SERVER，PRM CLIENT 和FIELD COMMUNICATION SERVER 三大部分組成。PRM 的Server 的數據庫（Database Server）采用MS SQL Server 數據庫，主要功能有：

① 采集和儲存設備診斷數據，如設備參數、設備報警以及檢查備忘錄。

② 實現設備信息的集中管理，如設備清單、鑒定周期計劃和記錄、各種電子文檔和備件清單。

③ 產生所需要的維護報警信息（現象、原因、作用），并分配維護報警信息到所需的維護人員。

④ 自動地采集和存儲設備事件（每天24h），用戶可以連續監視現場設備的操作狀態。

PRM 客戶端（client）是在標準的WINDOWS 環境下運行，給用戶提供方便友好的操作瀏覽環境，可以在控制室對現場智能設備狀態進行在線監視和操作。

◇ 通過全數字雙向通訊實現現場智能設備與系統的自動識別和連接。

◇ 通過維護的報警功能監視設備的運行狀態，通訊好壞。

◇ 在線設定和校驗現場智能設備。

◇ 容許第三方應用管理軟件嵌入到PRM，作為設備管理軟件的一部分。

3.2 生產畫面監控

1）可視化工具組態。根據生產和管理需求，加工過程數據，組態圖形顯示，體現現場實際運行情況。生產和管理層通過加工的組態圖形實時監測和查看生產現場各項指標，獲得全面的生產一線信息，對各類設備儀表運行狀態實時監控和調度。

2）生產裝置的工藝流程圖、設備簡圖等在CRT 上顯示，通過工藝流程圖上的狀態顯示、各設備主要指標的實時計算、主輔機的啟停統計、機組負荷曲線分析，多參數的曲線對比等方式，全方位地對系統設備進行監視。

提供系統設備的運行狀態以及全部生產過程參數變量的狀態、測量值、設定值、控制方式（手動/自動狀態）、高低報警等信息，為快速定位修復測點提供條件。

3.3 歷史趨勢分析

系統上可任意查看監控數據表上任何數據點趨勢，同一座標軸同時顯示4 個變量的趨勢曲線，供用戶自由選擇參數變量，可對數據軸操作任意放大和顯示。

3.4 報警數據查看

顯示當前所有正在進行的過程參數報警和系統硬件故障報警，一般有如下功能：

1）報警優先級別和報警分類。

2）記錄報警狀態和數值。

3）歷史報警表，可查看過程報警和系統報警的歷史報警。

3.5 生產統計報表

數據庫的所有記錄都可生成報表打印，用報表生成軟件建立組態報表，對全廠生產數據進行綜合處理，統計分析。報表功能設置為可由程序控制、報警控制和操作員控制啟動，靈活方便形成全廠生產報表和曲線，并能監視、查詢。報表包括運行抄表、班報表、日報表、月報表等。

3.6 系統時鐘同步

1）GPS 時間同步系統，授時精度高、覆蓋范圍廣，可為控制系統內的計算機和設備提供全自動、高精度的時間同步基準，較好地解決了落后的人工校時和網絡授時精度問題。時鐘同步系統采用單點接入、多系統設備共用一個基準時鐘源，為SIS 系統、操作員站、工程師站提供統一的時間基準，統一網絡上所有計算機時鐘，確保處于一個系統組態數據庫下的所有節點（工程師站、操作員站、控制站等）時鐘的一致性。

2）系統的主時鐘服務器上專門設置一個網絡端口給第三方系統，對整個工控系統進行時鐘同步，而第三方系統可以靈活地根據其特點接入時鐘同步器進行時鐘同步。

4 關鍵技術

4.1 三層網絡交換

配置三層交換機和二層交換機，對信息管理網進行分工和權限管理，系統通過三層交換機和二層交換機互聯，運用三層交換機技術分離工控系統和信息管理系統客戶端，同時把病毒服務器（備份服務器）和WEB 服務器連接到客戶端，對服務器進行全局管理。三層網絡架構將大規模、較復雜的網絡進行分層次分模塊處理，各司其職，提高了數據傳輸數率。

三層網絡架構與二層網絡的差異在匯聚層，匯聚層處于中間位置。匯聚層交換機是多臺接入層交換機的匯聚點。

二層網絡基本上是一個安全域，三層網絡則可以劃分出相對獨立的多個安全域。

二層網絡僅通過MAC 尋址即可實現通訊，三層網絡需要通過IP 路由實現跨網段的通訊，可以跨多個沖突域。

二層網絡的組網能力有限，一般是小局域網，三層網絡則可以組建大型的網絡。

4.2 OPC技術

配置OPC 服務器，提供開放OPC 接口。OPC 包括一整套接口、屬性和方法的標準集，用于過程控制和制造業自動化系統。

OPC 協議是一種基于微軟技術的數據訪問協議，旨在解決在工業自動化領域中設備和軟件互聯的問題。它以微軟公司的OLE 技術為基礎，通過提供一套標準的OLE/COM 接口完成，允許多臺微機之間交換文檔、圖形等對象，是一個進行協議轉換的軟件工具，將不同的協議轉換成人們需要的通訊協議。

OPC 規范定義了工業標準接口，這個標準使COM 技術適用于過程控制和制造自動化等應用領域，實現了數據的高效傳輸和共享，使工業自動化系統可以實現更高效、更可靠的數據采集和控制，提高了生產效率和安全性。

OPC 支持不同平臺之間的通信，支持數據訂閱、安全性驗證、方法調用、文件傳輸等。

OPC 非常便捷地實現了遠程調用，使應用程序的分布與系統硬件的分布無關，系統的應用范圍更廣。

OPC 具有以下優點：語言無關性，減少了重復開發，易于集成性，降低了數據設備間的不兼容，易于實現與其它系統的接口匹配，縮短軟件開發周期，便于系統的升級與維護等。

4.3 PIMS Server組態

PIMS Server 組態主要是數據采集及按客戶需求進行，如畫面制作等。組態前提：各OPC 接口完成打通控制系統數據采集通道，完成采集數據功能和類型，建立各種多樣化Block 功能塊。采集完的數據按照要求進行歸檔，為了后續數據的綜合管理。

建立趨勢組和報表，記錄重要生產數據歷史。工控系統事件報警匯總到信息管理系統，生產和管理層可遠程實施監控現場異常狀況，還可結合歷史趨勢進行事故分析和決策。

4.4 信息系統發布

TSI Client 是信息系統發布的主要對象，前期組態好的系統畫面發布在TSI 服務器上，用戶可利用TSI 服務器查看和獲得實時信息。

4.5 防火墻

服務器之間的通訊經過防火墻嚴格控制和篩選，防火墻設置端口和權限，保證各個服務器之間信息傳輸安全。

4.6 網閘

單向網閘是專用的隔離芯片在電路上切斷內外網連接的一種設備，并能夠在網絡間進行安全適度的應用數據交換。

用單向網閘隔離企業內部局域網和政府辦公網，政府辦公網只能從企業內部局域網讀取數據，但不允許往下寫數據。

5 運營管理

1）完善賬戶權限管理

對不同級別人員分配對應級別賬戶權限；定期核對賬戶；嚴格執行權限審批制度。

2）制定和實施管理制度

結合國家要求，制度相關管理規定，定期組織人員培訓。

6 結束語

工控系統數字化、網絡安全一體化建立了一個能夠使企業在安全的網絡環境下進行數據采集，對全廠進行生產信息的管理和查詢，管理層可以更安全地進行管理生產，合理調配生產過程中的供給和需求，下達企業生產計劃。

工控系統數字化、網絡安全一體化系統對生產過程中的情況、生產指標進行實時分析和處理，為企業管理層提供簡潔安全途徑，使辦公網絡和生產網絡之間安全傳遞信息，提高生產效率，增加經濟效益。