工控系统数字化、网络安全一体化设计与实践

周 敏

（广东宏瑞能源科技股份有限公司 研发部，广东 惠州 516001）

0 引言

基于工控系统的实时信息系统实现的是对各厂生产过程的监视和管理，通过采集DCS 系统、PLC 系统或者现场数字仪表的实时生产数据，对各生产流程进行统一地监视和查询，上传至管理网，消除信息孤岛现象。调度者和管理者可以在总调度中心或自己的办公室、家里等任何有网络的地方综览全厂的实时生产情况。

实时信息系统网络及运行平台需建立在开放、先进的数据库管理基础上，随着人工智能、大数据等数字化信息技术的发展，实时信息系统网络与上层管理系统等多方系统都存在数字信息交互，需要考虑和满足数据在网络上的安全传输。这些年不断出现有遭受网络风暴或网络病毒入侵的网络安全事件发生，网络安全风险成为每个工厂设计工控系统网络时不容忽视的一个重要环节。

图1 网络架构图Fig.1 Network architecture diagram

1 工控系统网络现状

传统工控系统（集散控制系统）基本上分为过程控制层、过程监控层、生产管理层、决策管理层（办公网），早期智能化、信息化还没有现在这么发达，在决策管理层上很少或者没有承载关联的其他系统，网络结构简单，平台系统之间独立组网，信息传输量少，这种信息系统网络结构在早期能满足数据读取和网络安全。

但随着智能化的飞速发展和现代企业信息化管理的需求，原本相对独立的工控系统网络被打破，决策管理层上承载关联有众多复杂的设备和其他系统（如现在的政府网络平台、智慧小脑、视频系统等），如没有整体考虑网络安全设计（软件和硬件），则底层工控系统极易被来自工控系统外的病毒感染，引发会话夹持等网络攻击，最终导致生产停车，严重的甚至造成人员伤亡。

2 工控系统网络安全一体化设计

设计思路：通过多层次纵向防御，建立复杂网络安全系统和安全防护策略，避免单一网络策略受攻击被入侵。

1）在控制系统过程监控层和决策管理层（办公网）间设置多层工业级防火墙。通过物理隔离把过程监控层与外部网络安全隔离，拦截病毒入侵和扩散，有效划分安全区域，提供从边界、区域到终端的完整防护，解决因缺少隔离引起的安全问题。作为主干网络的以太网，网络信息交换数据传输数据达10Mb。客户从办公网外围进入，需通过防火墙，访问远程桌面网关，远程桌面网关会核实是否有装证书，核实已安装证书的客户端才能与远程桌面客户端通讯。用户名密码通过域控验证，验证通过后，远程桌面网关才允许访问。

2）设置OPC 服务器。所有工控系统的数据都采集到OPC 服务器，OPC 服务器采用专用数据接口与上层系统进行数据交互，上层系统的用户访问工控系统必须通过多层防火墙。设置数据通讯方向，读取数据从过程监控层上读，但无法往过程监控层下写数据。

每台操作站和服务器都安装白名单防病毒软件，以白名单技术监控，并设有防病毒服务器，防病毒服务器具有备份（域控备份）和恢复功能，自动实时和全方位监控防止病毒从外部入侵，自动定期更新所有服务器病毒库，有效防止未知病毒的攻击，切断病毒和木马传播途径，保证系统指令下发和过程控制系统正常运行。

3）关闭交换机全部不使用的网络端口，防止外来的网络攻击。配置交换机端口限流功能，以防恶意、设备故障或者病毒引起的超大流量访问。网络端口设置访问优先级，与控制器连接的网络优先级高，保证控制器与操作站之间数据的可靠通讯。交换机端口具备故障隔离功能，可以将发生故障的端口从网络中切除，避免故障扩大对整个网络产生影响。交换机设置完整的事件和日志记录并上报HMI功能，可实时对网络状况进行监视。

4）系统具备对可移动存储设备（光驱、软驱、USB 口等）的密码管理功能，只有授权的用户才能使用这些设备，有效防止病毒的传播。

5）设置工业网闸，在两个不同安全域之间需有协议转换，被系统协议明确定义允许传输的信息才允许通过。抵御基于操作系统漏洞攻击行为，安全隔离网闸的双主机之间是物理阻断的，工业网闸与多种类安全设备协同同时运行，形成综合性网络安全防护平台。

3 工控系统数字化整体架构

3.1 数据采集

1）系统数据站装载全局数据库，负责对域内系统数据的集中管理和监视，包括各类事件的捕捉和记录，并为域内其它各站的数据请求向操作站提供历史趋势数据；非SOE 点的时间标签生成功能；历史数据自动存盘功能；向工程师站提供离线查询功能的历史数据文件；向操作站、控制站发送系统校时信号，对上级调度数据结合实时数据专家系统的分析运算产生指导工艺过程的运算指标等。数据站还提供二次数据处理和历史数据管理和存档功能。

2）实时数据库系统通过OPC 方式把DCS、PLC、SIS等系统数据采集到实时数据库中，PIMS 实时数据库的生产管理数据、设备管理数据等为管理层的数据库提供生产数据，管理者可依此平台对生产进行全面掌控，实时分析，优化决策。根据管理和生产运营需求配置多个PIMS Client，用于远程客户进行流程图访问、数据获取等。

3）随着现场总线和智能仪表技术的发展，双向全数字化的通讯以及智能诊断已经越来越标准化。PRM 主要是面向工厂的仪表维护人员和工艺运行人员来对现场智能设备进行有效管理，PRM 软件工具是为现场智能设备提供的一个有效管理的软件，有效地减少工厂的整体成本。

工厂资源管理系统由PRM SERVER，PRM CLIENT 和FIELD COMMUNICATION SERVER 三大部分组成。PRM 的Server 的数据库（Database Server）采用MS SQL Server 数据库，主要功能有：

① 采集和储存设备诊断数据，如设备参数、设备报警以及检查备忘录。

② 实现设备信息的集中管理，如设备清单、鉴定周期计划和记录、各种电子文档和备件清单。

③ 产生所需要的维护报警信息（现象、原因、作用），并分配维护报警信息到所需的维护人员。

④ 自动地采集和存储设备事件（每天24h），用户可以连续监视现场设备的操作状态。

PRM 客户端（client）是在标准的WINDOWS 环境下运行，给用户提供方便友好的操作浏览环境，可以在控制室对现场智能设备状态进行在线监视和操作。

◇ 通过全数字双向通讯实现现场智能设备与系统的自动识别和连接。

◇ 通过维护的报警功能监视设备的运行状态，通讯好坏。

◇ 在线设定和校验现场智能设备。

◇ 容许第三方应用管理软件嵌入到PRM，作为设备管理软件的一部分。

3.2 生产画面监控

1）可视化工具组态。根据生产和管理需求，加工过程数据，组态图形显示，体现现场实际运行情况。生产和管理层通过加工的组态图形实时监测和查看生产现场各项指标，获得全面的生产一线信息，对各类设备仪表运行状态实时监控和调度。

2）生产装置的工艺流程图、设备简图等在CRT 上显示，通过工艺流程图上的状态显示、各设备主要指标的实时计算、主辅机的启停统计、机组负荷曲线分析，多参数的曲线对比等方式，全方位地对系统设备进行监视。

提供系统设备的运行状态以及全部生产过程参数变量的状态、测量值、设定值、控制方式（手动/自动状态）、高低报警等信息，为快速定位修复测点提供条件。

3.3 历史趋势分析

系统上可任意查看监控数据表上任何数据点趋势，同一座标轴同时显示4 个变量的趋势曲线，供用户自由选择参数变量，可对数据轴操作任意放大和显示。

3.4 报警数据查看

显示当前所有正在进行的过程参数报警和系统硬件故障报警，一般有如下功能：

1）报警优先级别和报警分类。

2）记录报警状态和数值。

3）历史报警表，可查看过程报警和系统报警的历史报警。

3.5 生产统计报表

数据库的所有记录都可生成报表打印，用报表生成软件建立组态报表，对全厂生产数据进行综合处理，统计分析。报表功能设置为可由程序控制、报警控制和操作员控制启动，灵活方便形成全厂生产报表和曲线，并能监视、查询。报表包括运行抄表、班报表、日报表、月报表等。

3.6 系统时钟同步

1）GPS 时间同步系统，授时精度高、覆盖范围广，可为控制系统内的计算机和设备提供全自动、高精度的时间同步基准，较好地解决了落后的人工校时和网络授时精度问题。时钟同步系统采用单点接入、多系统设备共用一个基准时钟源，为SIS 系统、操作员站、工程师站提供统一的时间基准，统一网络上所有计算机时钟，确保处于一个系统组态数据库下的所有节点（工程师站、操作员站、控制站等）时钟的一致性。

2）系统的主时钟服务器上专门设置一个网络端口给第三方系统，对整个工控系统进行时钟同步，而第三方系统可以灵活地根据其特点接入时钟同步器进行时钟同步。

4 关键技术

4.1 三层网络交换

配置三层交换机和二层交换机，对信息管理网进行分工和权限管理，系统通过三层交换机和二层交换机互联，运用三层交换机技术分离工控系统和信息管理系统客户端，同时把病毒服务器（备份服务器）和WEB 服务器连接到客户端，对服务器进行全局管理。三层网络架构将大规模、较复杂的网络进行分层次分模块处理，各司其职，提高了数据传输数率。

三层网络架构与二层网络的差异在汇聚层，汇聚层处于中间位置。汇聚层交换机是多台接入层交换机的汇聚点。

二层网络基本上是一个安全域，三层网络则可以划分出相对独立的多个安全域。

二层网络仅通过MAC 寻址即可实现通讯，三层网络需要通过IP 路由实现跨网段的通讯，可以跨多个冲突域。

二层网络的组网能力有限，一般是小局域网，三层网络则可以组建大型的网络。

4.2 OPC技术

配置OPC 服务器，提供开放OPC 接口。OPC 包括一整套接口、属性和方法的标准集，用于过程控制和制造业自动化系统。

OPC 协议是一种基于微软技术的数据访问协议，旨在解决在工业自动化领域中设备和软件互联的问题。它以微软公司的OLE 技术为基础，通过提供一套标准的OLE/COM 接口完成，允许多台微机之间交换文档、图形等对象，是一个进行协议转换的软件工具，将不同的协议转换成人们需要的通讯协议。

OPC 规范定义了工业标准接口，这个标准使COM 技术适用于过程控制和制造自动化等应用领域，实现了数据的高效传输和共享，使工业自动化系统可以实现更高效、更可靠的数据采集和控制，提高了生产效率和安全性。

OPC 支持不同平台之间的通信，支持数据订阅、安全性验证、方法调用、文件传输等。

OPC 非常便捷地实现了远程调用，使应用程序的分布与系统硬件的分布无关，系统的应用范围更广。

OPC 具有以下优点：语言无关性，减少了重复开发，易于集成性，降低了数据设备间的不兼容，易于实现与其它系统的接口匹配，缩短软件开发周期，便于系统的升级与维护等。

4.3 PIMS Server组态

PIMS Server 组态主要是数据采集及按客户需求进行，如画面制作等。组态前提：各OPC 接口完成打通控制系统数据采集通道，完成采集数据功能和类型，建立各种多样化Block 功能块。采集完的数据按照要求进行归档，为了后续数据的综合管理。

建立趋势组和报表，记录重要生产数据历史。工控系统事件报警汇总到信息管理系统，生产和管理层可远程实施监控现场异常状况，还可结合历史趋势进行事故分析和决策。

4.4 信息系统发布

TSI Client 是信息系统发布的主要对象，前期组态好的系统画面发布在TSI 服务器上，用户可利用TSI 服务器查看和获得实时信息。

4.5 防火墙

服务器之间的通讯经过防火墙严格控制和筛选，防火墙设置端口和权限，保证各个服务器之间信息传输安全。

4.6 网闸

单向网闸是专用的隔离芯片在电路上切断内外网连接的一种设备，并能够在网络间进行安全适度的应用数据交换。

用单向网闸隔离企业内部局域网和政府办公网，政府办公网只能从企业内部局域网读取数据，但不允许往下写数据。

5 运营管理

1）完善账户权限管理

对不同级别人员分配对应级别账户权限；定期核对账户；严格执行权限审批制度。

2）制定和实施管理制度

结合国家要求，制度相关管理规定，定期组织人员培训。

6 结束语

工控系统数字化、网络安全一体化建立了一个能够使企业在安全的网络环境下进行数据采集，对全厂进行生产信息的管理和查询，管理层可以更安全地进行管理生产，合理调配生产过程中的供给和需求，下达企业生产计划。

工控系统数字化、网络安全一体化系统对生产过程中的情况、生产指标进行实时分析和处理，为企业管理层提供简洁安全途径，使办公网络和生产网络之间安全传递信息，提高生产效率，增加经济效益。