1、應用背景
　　某大型國有鋼鐵公司在企業(yè)信息中心設立能源管理調度中心，同時(shí)建設以大型分布式SCADA為核心的指揮調度系統。該總公司目前在擁有15子公司，并計劃在未來(lái)3年將所有子公司的能源數據都采集到能源調度管理中心。到時(shí)中心采集的數據點(diǎn)數將達到30萬(wàn)點(diǎn)。能源調度系統完成功能包括：通過(guò)能源中心建設，依托EMS管理系統，對能源生產(chǎn)、能源管理、能源調度進(jìn)行扁平的一體化管理，統一煤氣調度、優(yōu)化煤氣平衡、減少煤氣放散、提高環(huán)保質(zhì)量、降低噸鋼能耗、提高勞動(dòng)生產(chǎn)率和能源管理水平，使能源管理由事后的、粗放管理模式向事前的、精細化管理模式轉變，實(shí)現能源的穩定、安全、高效生產(chǎn)，形成適用于大型鋼鐵企業(yè)的能 源在線(xiàn)監測、能效分析平臺和企業(yè)級能源優(yōu)化系統，實(shí)現節能降耗的技術(shù)提升和創(chuàng )新，顯著(zhù)降低鋼鐵企業(yè)的能耗。
2、系統說(shuō)明
　　由于各子系統地理位置分散，從子系統接入到調度中心的網(wǎng)絡(luò )通信方式多種多樣。一部分總公司直屬的子系統采用集團專(zhuān)網(wǎng)，總公司專(zhuān)網(wǎng)租用電信專(zhuān)線(xiàn)通過(guò)VPN實(shí)現廣域網(wǎng)傳輸。其它不具備接入總公司專(zhuān)網(wǎng)的子系統則采用ADSL、無(wú)線(xiàn)等接入方式通過(guò)互聯(lián)網(wǎng)將數據傳到中心。最終構成的整個(gè)能源管理調度系統的網(wǎng)絡(luò )結構非常復雜。聯(lián)網(wǎng)后，將導致各子系統的控制網(wǎng)絡(luò )直接暴露給企業(yè)專(zhuān)網(wǎng)或互聯(lián)網(wǎng)。該集團公司專(zhuān)網(wǎng)是面向集團公司內各子系統的辦公網(wǎng)絡(luò )，應用數據多樣而復雜；互聯(lián)網(wǎng)則更是一個(gè)開(kāi)放網(wǎng)絡(luò )。而由各種DCS、PLC、RTU、儀表等控制系統組成的子系統負責完成對電力、煤氣（焦爐煤氣、高爐煤氣、轉爐煤氣、混合煤氣）、壓縮空氣、氧氣、氮氣、氬、蒸汽、生產(chǎn)水、生活水的控制任務(wù)，因此其控制網(wǎng)絡(luò )的安全性非常重要，一旦直接暴露給外網(wǎng)，就有可能因受到外網(wǎng)的惡性攻擊、病毒感染而導致控制網(wǎng)絡(luò )阻塞、癱瘓，甚至產(chǎn)生破壞和影響生產(chǎn)的嚴重后果。
3、解決方案
　3.1常規網(wǎng)絡(luò )安全產(chǎn)品的不足
　　目前工業(yè)自動(dòng)化市場(chǎng)上選用常規網(wǎng)安產(chǎn)品或者由于自身存在的缺陷與不足，不能滿(mǎn)足工業(yè)網(wǎng)絡(luò )較高的防護要求，或者因為不是專(zhuān)門(mén)針對工業(yè)網(wǎng)絡(luò )設計，難以在工業(yè)場(chǎng)合應用。
　　例如，網(wǎng)絡(luò )防火墻是目前網(wǎng)絡(luò )邊界上最常用的一種防護設施。提供的主要功能有：包過(guò)濾、審核和報警機制、遠程管理、NAT、代理、流量控制、統計分析和流量計費等。
　　防火墻本身雖然具有較強的抗攻擊能力，但它是提供信息安全服務(wù)、實(shí)現網(wǎng)絡(luò )和信息安全的一種基礎設施，用于滿(mǎn)足各種通用的網(wǎng)絡(luò )應用?；蛘哒f(shuō)，防火墻并不是專(zhuān)為工業(yè)網(wǎng)絡(luò )應用設計的產(chǎn)品。因此防火墻在防護工業(yè)網(wǎng)絡(luò )時(shí)存在較多缺陷。
　　通過(guò)防火墻將控制網(wǎng)絡(luò )與信息網(wǎng)絡(luò )串聯(lián)在一起時(shí)，要求被控制網(wǎng)絡(luò )與信息網(wǎng)絡(luò )間的通信數據必須經(jīng)過(guò)防火墻，同是要求防火墻具有安全性、完整性和異步性。安全性要求防火墻本身不受威脅，也不存在漏洞；完整性要求防火墻能對通過(guò)防火墻的所有對象及其內容進(jìn)行全面審查，不能遺漏；異步性要求防火墻必須對進(jìn)入防火墻的數據進(jìn)行嚴格審查，審查通過(guò)后才能放出，否則拋棄，禁止放出任何未經(jīng)審查完的數據。而目前技術(shù)上很難保證防火墻具有安全性，完整性和異步性，更難保證所有進(jìn)出網(wǎng)絡(luò )的數據都經(jīng)過(guò)防火墻。
　3.1網(wǎng)絡(luò )安全的保護神-pSafetyLink
　　該鋼鐵公司出于對各子系統生產(chǎn)安全的考慮，選用了pSafetyLink作為子公司系統的網(wǎng)絡(luò )安全防護裝置。
　　pSafetyLink是種專(zhuān)為工業(yè)網(wǎng)絡(luò )應用設計的防護設施，用于解決工業(yè)SCADA控制網(wǎng)絡(luò )如何安全接入信息網(wǎng)絡(luò )（外網(wǎng)）的問(wèn)題。它與防火墻等網(wǎng)絡(luò )安全設備本質(zhì)不同的地方是它阻斷網(wǎng)絡(luò )的直接連接，只完成特定工業(yè)應用數據的交換。
　　pSafetyLink通過(guò)內部的雙獨立主機系統，一端接入到站控系統的網(wǎng)絡(luò )，通過(guò)采集接口完成各子系統數據的采集；另一端接入到集團專(zhuān)網(wǎng)或通過(guò)ADSL、無(wú)線(xiàn)等方式接入到公網(wǎng)，完成數據到調度中心的傳輸。雙主機之間通過(guò)專(zhuān)有的PSL網(wǎng)絡(luò )隔離傳輸技術(shù)，截斷 TCP 連接，徹底割斷穿透性的 TCP 連接。PSL的物理層采用專(zhuān)用隔離硬件，鏈路層和應用層采用私有通信協(xié)議，數據流采用128 位以上加密方式傳輸，更加充分保障數據安全。PSL技術(shù)實(shí)現了數據完全自我定義、自我解析、自我審查，傳輸機制具有徹底不可攻擊性，從根本上杜絕了非法數據的通過(guò)，確保子系統控制系統不會(huì )受到攻擊、侵入及病毒感染。


四、應用總結
　　pSafetyLink在鋼廠(chǎng)能源調度管理系統中，一方面實(shí)現了對各子系統的分布式數據采集與傳輸，同時(shí)徹底阻斷了站控系統的控制網(wǎng)絡(luò )與互聯(lián)網(wǎng)絡(luò )的直接網(wǎng)絡(luò )連接，從根本上保證了子系統的網(wǎng)絡(luò )不會(huì )受到來(lái)自外網(wǎng)數據的攻擊，為各子系統的生產(chǎn)安全運行提供了保障。