虹科案例 | 應(yīng)用OPC解決方案實(shí)現(xiàn)控制系統(tǒng)數(shù)據(jù)的安全交換

一、前言

　　在過(guò)去十年中，生產(chǎn)現(xiàn)場(chǎng)、煉油廠、石化廠、天然氣廠以及公用事業(yè)公司之間共享過(guò)程數(shù)據(jù)的需求一直在增加。這是因?yàn)?，工廠和生產(chǎn)基地通常位于同一地區(qū)，且需要交換原料、石腦油、乙烷以及公用事業(yè)流(例如氫氣、電力、水、蒸汽和燃?xì)獾?，因此需要在其計(jì)量和控制系統(tǒng)之間實(shí)現(xiàn)數(shù)據(jù)交換。

　　由于化工、石油&天然氣以及公用事業(yè)公司的嚴(yán)格網(wǎng)絡(luò)安全政策，其與第三方系統(tǒng)的集成變得非常具有挑戰(zhàn)性。針對(duì)此類問(wèn)題，虹科可以提供一個(gè)基于OPC的解決方案實(shí)現(xiàn)這種集成，且同時(shí)符合ISA 99網(wǎng)絡(luò)安全標(biāo)準(zhǔn)和不同利益相關(guān)者的安全政策。此類系統(tǒng)已有成功部署，實(shí)現(xiàn)了煉油廠、公用事業(yè)、油氣穩(wěn)定化以及液化天然氣工廠的整合。

二、方案簡(jiǎn)介

方案架構(gòu)

　　擁有嚴(yán)格網(wǎng)絡(luò)安全政策的公司通過(guò)實(shí)施隔離區(qū)(DMZ)物理隔離和消除企業(yè)與控制網(wǎng)絡(luò)之間的直接通信來(lái)保護(hù)其過(guò)程控制資產(chǎn)，然而面臨的挑戰(zhàn)是如何繼續(xù)與第三方系統(tǒng)交換用于會(huì)計(jì)、安全和控制目的的關(guān)鍵數(shù)據(jù)，而不會(huì)引入安全風(fēng)險(xiǎn)，并且成本最低。

　　虹科基于OPC的DMZ安全解決方案允許用戶與第三方實(shí)時(shí)交換關(guān)鍵數(shù)據(jù)，同時(shí)：

　　(1)遵循所有利益相關(guān)者的安全政策并確保其數(shù)據(jù)的保密性;

　　(2)通過(guò)OPC UA接口，企業(yè)應(yīng)用程序可以通過(guò)DMZ將數(shù)據(jù)安全地發(fā)送回控制系統(tǒng);

　　(3)部署易于維護(hù)的體系結(jié)構(gòu)，確保對(duì)抗網(wǎng)絡(luò)中斷的魯棒性，提供快速設(shè)置的圖形環(huán)境;

　　(4)充分利用現(xiàn)有基于OPC的基礎(chǔ)設(shè)施，避免大量的資本投資。

圖1. 基于OPC的安全DMZ解決方案架構(gòu)圖

無(wú)縫數(shù)據(jù)流

　　安全DMZ托管一個(gè)沒(méi)有任何讀取或?qū)懭牍δ艿木彌_區(qū)，并且僅包含特定數(shù)據(jù)交換所需的標(biāo)簽。位于防火墻每一側(cè)的服務(wù)器到服務(wù)器的安全傳輸將根據(jù)需要從DMZ緩沖區(qū)收集數(shù)據(jù)，然后將其傳輸?shù)轿挥谶^(guò)程控制網(wǎng)絡(luò) (PCN) 中的OPC服務(wù)器，反之亦然。

無(wú)需復(fù)雜配置加強(qiáng)安全性

　　所有傳輸?shù)臄?shù)據(jù)都經(jīng)過(guò)加密，以確保數(shù)據(jù)的完整性和機(jī)密性，保護(hù)數(shù)據(jù)免受惡意攻擊。此外，數(shù)據(jù)訪問(wèn)需要從緩沖服務(wù)器級(jí)別到標(biāo)簽級(jí)別的用戶身份驗(yàn)證：

　　(1)用戶身份驗(yàn)證基于Active Directory，以此確認(rèn)嘗試連接和訪問(wèn)數(shù)據(jù)的用戶身份。同時(shí)，此機(jī)制可以阻止內(nèi)部或外部網(wǎng)絡(luò)發(fā)出的未經(jīng)授權(quán)的訪問(wèn);

　　(2)使用用戶配置文件并指定一組權(quán)限來(lái)精細(xì)化訪問(wèn)權(quán)限配置，可實(shí)現(xiàn)對(duì)分配的用戶可以瀏覽哪些標(biāo)簽，以及標(biāo)簽的讀取或?qū)懭霗?quán)限的定義。

　　防火墻只需要配置授權(quán)一個(gè)TCP端口，而且公司的網(wǎng)絡(luò)安全團(tuán)隊(duì)可以自行決定隨時(shí)更改此端口。

　　所有的安全功能都可以使用直觀的圖形界面輕松配置，而且也不需要公共證書(shū)提供商或互聯(lián)網(wǎng)接入。

三、方案優(yōu)勢(shì)

　　基于OPC的安全DMZ解決方案有以下優(yōu)勢(shì)：

　　(1)沒(méi)有繞過(guò)任何DMZ。與過(guò)程控制網(wǎng)絡(luò)(PCN)的所有通信都是從DMZ發(fā)起;

　　(2)遠(yuǎn)程通信不是基于OPC Classic/DCOM;

　　(3)從網(wǎng)絡(luò)故障中恢復(fù)后，同側(cè)或不同側(cè)的不同組件之間的通信會(huì)自動(dòng)重新建立;

　　(4)通過(guò)使用緩沖解決方案確保網(wǎng)絡(luò)通信中斷時(shí)不會(huì)出現(xiàn)數(shù)據(jù)丟失;

　　(5)防火墻只需要開(kāi)放一個(gè)TCP端口，而且此端口是可配置的，不是公共或已知端口。同時(shí)，每一方可以使用不同的端口與他們的過(guò)程控制網(wǎng)絡(luò)(PCN)通信，不需要透露此信息給第三方;

　　(6)數(shù)據(jù)是加密的，而且對(duì)黑客來(lái)說(shuō)是不可見(jiàn)的;

　　(7)通過(guò)OPC UA接口，生產(chǎn)計(jì)劃或資產(chǎn)優(yōu)化等企業(yè)級(jí)應(yīng)用程序也可以通過(guò)DMZ與控制系統(tǒng)安全地交換數(shù)據(jù);

　　(8)可以從不同的域、跨VPN并通過(guò)VSAT和WAN建立遠(yuǎn)程通信。用戶還可以微調(diào)通信超時(shí)和數(shù)據(jù)壓縮參數(shù)，以此獲得更好的網(wǎng)絡(luò)數(shù)據(jù)傳輸性能。

　　基于OPC的安全DMZ解決方案允許通過(guò)安全方式交換實(shí)時(shí)過(guò)程數(shù)據(jù)來(lái)集成煉油廠、公用事業(yè)、油氣穩(wěn)定化和液化天然氣工廠。它在不影響安全性的情況下實(shí)施了開(kāi)放式架構(gòu)，使用了OPC Classic基礎(chǔ)架構(gòu)和Active Directory，并且仍然受益于當(dāng)前的行業(yè)標(biāo)準(zhǔn)，特別是OPC UA和ISA 99。

（轉(zhuǎn)載）