北京力控華康科技有限公司

編者按：

隨著(zhù)信息技術(shù)的高速發(fā)展，工業(yè)自動(dòng)化已經(jīng)深入各個(gè)行業(yè)，由于某些行業(yè)的特殊性決定了生產(chǎn)線(xiàn)與中控端的數據平臺不在同一地點(diǎn)或者同一網(wǎng)絡(luò )的問(wèn)題，數據平臺只能遠程地通過(guò)以太網(wǎng)來(lái)獲取生產(chǎn)數據，這樣在內網(wǎng)和廣域網(wǎng)之間的數據傳輸就存在安全隱患，相應的就需要有一種解決數據安全性的解決方案，本文所述方案是基于北京力控華康科技有限公司（以下簡(jiǎn)稱(chēng)力控華康）的安全隔離網(wǎng)關(guān)，解決中海油某項目中數據遠傳的安全問(wèn)題。

1 方案介紹

中海油某平臺，位于遼東灣海域，油田儲油量約1億噸，合計約7.33億桶，是渤海灣有史以來(lái)發(fā)現的最大輕質(zhì)油氣田。此次中海油的透平數據遠傳項目是將平臺的透平數據安全地傳輸到大陸的數據平臺，實(shí)現數據的遠程管理。

該項目硬件采用DELL服務(wù)器，IBM伺服器，核心網(wǎng)關(guān)采用力控華康安全隔離網(wǎng)關(guān)，軟件采用ABRSLINX、Psafetylink、GE ifix5.0等，工作方式為通過(guò)以太網(wǎng)標準協(xié)議OPC的方式。

2 方案詳述

2.1　系統方案實(shí)現

中海油某平臺透平數據遠傳項目主要架構拓撲圖已經(jīng)給出如圖1所示。在此詳細說(shuō)明。下位機采用的是DELL的一臺服務(wù)器，服務(wù)器上安裝有AB的RSLINX CLASSIC GATEWAY，可作為OPC CLIENT、OPC SERVER采集透平PLC各項數據時(shí)的客戶(hù)端。力控華康安全隔離網(wǎng)關(guān)作為核心的安全隔離設備，分為控制端和信息端，采用以太網(wǎng)連接方式，控制端連接DELL服務(wù)器，采用OPC方式采集DELL服務(wù)器上的透平PLC數據，在經(jīng)過(guò)數據處理和安全隔離，經(jīng)由信息端轉發(fā)給上位機IBM伺服器，IBM伺服器上安裝有GE ifix5.0軟件，經(jīng)其遠程傳輸給陸地的數據平臺，實(shí)現了數據的安全遠傳。

圖1 系統拓撲圖

2.2　網(wǎng)關(guān)功能詳解

北京力控華康科技有限公司成立于2009年，專(zhuān)業(yè)從事工業(yè)網(wǎng)絡(luò )通訊和網(wǎng)絡(luò )安全產(chǎn)品與服務(wù)，已獲得“雙軟”認證。公司憑借在工業(yè)通信以及網(wǎng)絡(luò )安全領(lǐng)域積累的豐富經(jīng)驗。同時(shí)依托于力控系列軟件平臺，成功研發(fā)出真正適用于工業(yè)控制系統的工業(yè)網(wǎng)絡(luò )安全防護網(wǎng)關(guān)pSafetyLink以及工業(yè)通訊網(wǎng)關(guān)pFieldComm等系列產(chǎn)品。

力控華康pSafetylink產(chǎn)品內部?jì)啥擞蓛蓚€(gè)獨立主機系統組成，每個(gè)主機系統分別具有獨立的運算單元和存儲單元，各自運行獨立的操作系統和應用系統。其中一端的主機系統為控制端，負責接入到SCADA控制網(wǎng)絡(luò )；另一端為信息端，負責接入到信息網(wǎng)絡(luò )（外網(wǎng)）?？刂贫伺c信息端主機分別運行高性能工業(yè)通信軟件?？刂贫颂峁└鞣N標準SCADA通信標準的客戶(hù)端/主端（Client/Master）通信功能，如：OPC Client、Modbus Master等，實(shí)現對SCADA系統的接入與通信；信息端主機提供服務(wù)器端/從端（Server/Slave）通信功能，如：OPCServer、Modbus Slave等，實(shí)現與各種遠程后臺系統、數據中心系統、數據庫系統的接入和數據交互。

在中海油某平臺透平遠傳項目中， 核心設備安全隔離網(wǎng)關(guān)采用力控華康的安全隔離網(wǎng)關(guān)pSafetylink系列的產(chǎn)品，控制端連接下位機采集數據，信息端連接上位機轉發(fā)數據，全程采用OPC通信協(xié)議，中間經(jīng)過(guò)數據處理和安全加密，保證了數據在內網(wǎng)與外網(wǎng)之間的傳輸的完整性、實(shí)時(shí)性和安全性。

3　結語(yǔ)

中海油某平臺透平數據遠傳項目基于力控華康安全隔離網(wǎng)關(guān)pSafetylink，設備通過(guò)以太網(wǎng)連接，實(shí)現了遠傳數據過(guò)程的實(shí)時(shí)性、完整性、安全性、為正確操作、有效管理、快速準確決策提供了保障。

精對彩話(huà)

北京力控華康科技有限公司副總經(jīng)理 孫晨

自動(dòng)化博覽：近年來(lái)，力控華康在信息安全方面的技術(shù)創(chuàng )新與產(chǎn)品創(chuàng )新有哪些？

孫晨：工業(yè)網(wǎng)絡(luò )安全防護網(wǎng)關(guān)pSafetyLink是國內首款面向工業(yè)控制系統邊界信息安全防護的隔離產(chǎn)品，產(chǎn)品基于第五代隔離技術(shù)開(kāi)發(fā)，全系列產(chǎn)品已通過(guò)了CE、FCC、EAL3、公安部、軍用信息安全產(chǎn)品等認證，并得到國家發(fā)改委工控安全產(chǎn)品產(chǎn)業(yè)化推廣專(zhuān)項資金支持。 pSafetyLink是一款自主知識產(chǎn)權、高安全級別的安全隔離系統，用于解決工業(yè)控制系統接入信息網(wǎng)絡(luò )（外網(wǎng)）時(shí)的安全防護問(wèn)題，為控制網(wǎng)與管理信息網(wǎng)的連接提供安全保障。 pSafetyLink已在很多大型石油、石化、天然氣、冶金、市政企業(yè)得到批量應用，如：中石油大慶石化MES系統、中石油大慶煉化MES系統、中石油昆侖燃氣生產(chǎn)指揮系統、烏石化 MES改造、中石化勝利油田熱電聯(lián)供中心生產(chǎn)調度聯(lián)網(wǎng)、昆鋼能源管理系統等項目?？稍诨?、鋼鐵、有色、發(fā)電、電網(wǎng)、城市燃氣、機械、環(huán)保監測、城市供水、供熱、水利樞紐、隧道、港口、鐵路、城市軌道交通、民航以及其他與國家基礎設施和國計民生緊密相關(guān)的工業(yè)控制系統網(wǎng)絡(luò )邊界廣泛應用。

工業(yè)防火墻HC-ISG是國內首款專(zhuān)用于工業(yè)控制安全領(lǐng)域的防火墻產(chǎn)品，能夠有效對SCADA、DCS、PCS、PLC、RTU 等工業(yè)控制系統進(jìn)行信息安全防護。 HC-ISG主要解決工業(yè)基礎設施在網(wǎng)絡(luò )環(huán)境中受到病毒、 黑客、敵對勢力的惡意攻擊以及工作人員誤操作時(shí)的安全防護問(wèn)題。 HC-ISG通過(guò)了公安部檢測、國家信息安全測評中心檢測，取得了CE、FCC等認證和銷(xiāo)售許可證，廣泛應用于各工業(yè)現場(chǎng)，包括核設施、鋼鐵、有色、石油天然氣、化工、發(fā)電、 電網(wǎng)、城市燃氣、機械、環(huán)保監測、城市供水、供熱、水利樞紐、隧道、港口、鐵路、城市軌道交通、民航以及其他與國家基礎設施和國計民生緊密相關(guān)的工業(yè)控制系統和網(wǎng)絡(luò )。

自動(dòng)化博覽：力控華康在信息安全方面的主要特點(diǎn)和優(yōu)勢是什么？

孫晨：力控華康在2009年于北京成立，是國內最早從事工控安全的企業(yè)之一。力控華康擁有國家高新技術(shù)企業(yè)證書(shū)、中關(guān)村高新技術(shù)、ISO9001質(zhì)量管理體系認證證書(shū)、軟件企業(yè)認定證書(shū)，是中國網(wǎng)絡(luò )安全產(chǎn)業(yè)聯(lián)盟理事單位，工業(yè)信息安全智庫成員，工業(yè)控制系統信息安全產(chǎn)業(yè)聯(lián)盟成員，北京網(wǎng)絡(luò )信息安全技術(shù)創(chuàng )新產(chǎn)業(yè)聯(lián)盟副理事長(cháng)單位。

力控華康憑借多年積淀的工業(yè)領(lǐng)域信息安全行業(yè)經(jīng)驗，自主研發(fā)出適用于工業(yè)控制系統的工業(yè)安全防護網(wǎng)關(guān)、工業(yè)網(wǎng)絡(luò )安全隔離網(wǎng)關(guān)、工業(yè)防火墻、工控信息安全管理平臺、工業(yè)通信網(wǎng)關(guān)等多個(gè)系列產(chǎn)品。廣泛應用于各個(gè)行業(yè)，其中包括核設施、鋼鐵、有色、化工、石油石化、電力、天然氣、先進(jìn)制造、水利樞紐、環(huán)境保護、鐵路、城市軌道交通、民航、城市供水供氣供熱以及其他與國計民生緊密相關(guān)領(lǐng)域的工業(yè)控制系統。

自動(dòng)化博覽：力控華康在信息安全方面的愿景目標是什么？如何實(shí)現？

孫晨：力控華康的愿景：護航智能工廠(chǎng)信息安全，構建工業(yè)互聯(lián)網(wǎng)安全空間。

工業(yè)互聯(lián)網(wǎng)是互聯(lián)網(wǎng)和新一代信息技術(shù)與工業(yè)系統全方位深度融合所形成的產(chǎn)業(yè)和應用生態(tài)，是工業(yè)智能化發(fā)展的關(guān)鍵綜合信息基礎設施。工業(yè)互聯(lián)網(wǎng)可以重點(diǎn)從“網(wǎng)絡(luò )”、“數據”和“安全”三個(gè)方面來(lái)理解。其中，網(wǎng)絡(luò )是基礎，即通過(guò)物聯(lián)網(wǎng)、互聯(lián)網(wǎng)等技術(shù)實(shí)現工業(yè)全系統的互聯(lián)互通，促進(jìn)工業(yè)數據的充分流動(dòng)和無(wú)縫集成；數據是核心，即通過(guò)工業(yè)數據全周期的感知、采集和集成應用，形成基于數據的系統性智能，實(shí)現機器彈性生產(chǎn)、運營(yíng)管理優(yōu)化、生產(chǎn)協(xié)同組織與商業(yè)模式創(chuàng )新，推動(dòng)工業(yè)智能化發(fā)展；安全是保障，即通過(guò)構建涵蓋工業(yè)全系統的安全防護體系，保障工業(yè)智能化的實(shí)現。

工業(yè)互聯(lián)網(wǎng)的安全需求主要包括五大重點(diǎn)，資產(chǎn)安全、網(wǎng)絡(luò )安全、控制安全、安全管理和數據安全。資產(chǎn)安全是指工業(yè)智能裝備的安全，包括嵌入式操作系統安全、相關(guān)應用軟件安全以及訪(fǎng)問(wèn)權限安全等；網(wǎng)絡(luò )安全是指工廠(chǎng)內有線(xiàn)網(wǎng)絡(luò )、無(wú)線(xiàn)網(wǎng)絡(luò )的安全，以及工廠(chǎng)外與用戶(hù)、協(xié)作企業(yè)等實(shí)現互聯(lián)的公共網(wǎng)絡(luò )安全；控制安全是指生產(chǎn)控制安全，包括控制協(xié)議安全、控制平臺安全、控制軟件安全等；數據安全是指工廠(chǎng)內部重要的生產(chǎn)管理數據、生產(chǎn)操作數據以及工廠(chǎng)外部數據（如用戶(hù)數據）等各類(lèi)數據的安全；安全管理是指信息安全管理制度、信息安全檢測辦法、新系統上線(xiàn)和老系統檢修的信息安全運維措施等。

力控華康依據工業(yè)互聯(lián)網(wǎng)體系架構，從“防其所必攻”的角度出發(fā)，提出工業(yè)互聯(lián)網(wǎng)安全空間構建模型。工業(yè)互聯(lián)網(wǎng)安全空間構建模型通過(guò)咨詢(xún)設計、建設實(shí)施、運維管控、監測評估四個(gè)階段的循環(huán)持續提升工業(yè)互聯(lián)網(wǎng)的信息安全能力，在控制安全、網(wǎng)絡(luò )安全、數據安全、資產(chǎn)安全、安全管理五個(gè)方面保護工業(yè)互聯(lián)網(wǎng)體系中易受威脅的要素，依靠滲透測試、工業(yè)測點(diǎn)訪(fǎng)問(wèn)控制、工業(yè)安全事件審計、工控系統告警監控等技術(shù)手段和相應管理手段構建工業(yè)互聯(lián)網(wǎng)安全空間。

摘自《自動(dòng)化博覽》2017年2月刊