1.   項(xiàng)目背景

旭陽集團(tuán)1995年創(chuàng)立于河北邢臺(tái)，是香港上市公司（股份代號(hào)01907.HK），由煤化工起步，依據(jù)“縱向一體化”模式不斷延伸產(chǎn)業(yè)鏈，經(jīng)過二十七年的發(fā)展，現(xiàn)已成為集焦炭、化工、運(yùn)營管理服務(wù)、貿(mào)易、科技、地產(chǎn)等業(yè)務(wù)板塊協(xié)同發(fā)展的大型企業(yè)集團(tuán)。集團(tuán)總部設(shè)在北京，擁有河北邢臺(tái)、定州、樂亭、滄州，山東鄆城、東明，內(nèi)蒙古呼和浩特、山西孝義、河南平頂山9個(gè)現(xiàn)有生產(chǎn)園區(qū)，河北曹妃甸、江西萍鄉(xiāng)2個(gè)籌備園區(qū)，印尼1個(gè)在建園區(qū)。旭陽集團(tuán)連續(xù)12年位列“中國企業(yè)500強(qiáng)”，“中國化工企業(yè)50強(qiáng)”。

工業(yè)控制系統(tǒng)的信息安全是集團(tuán)各生產(chǎn)園區(qū)網(wǎng)絡(luò)安全的重中之重，工控系統(tǒng)安全是保障順利生產(chǎn)的根本要素之一。旭陽集團(tuán)下屬各園區(qū)中，除少數(shù)園區(qū)建設(shè)了實(shí)時(shí)數(shù)據(jù)庫系統(tǒng)之外，仍有一半以上的園區(qū)尚未建設(shè)實(shí)時(shí)數(shù)據(jù)庫系統(tǒng)，隨著園區(qū)信息化程度的不斷提高，對信息化、自動(dòng)化的需求不斷提升，各園區(qū)對實(shí)時(shí)數(shù)據(jù)庫系統(tǒng)的建設(shè)也都提出了不同的時(shí)間要求，建設(shè)實(shí)時(shí)數(shù)據(jù)庫系統(tǒng)，是為打通底層控制系統(tǒng)與上層應(yīng)用之間的數(shù)據(jù)鏈路，如此就涉及到如何有效保護(hù)底層控制系統(tǒng)的網(wǎng)絡(luò)安全問題。鑒于此，并結(jié)合旭陽集團(tuán)鄆城園區(qū)當(dāng)前的工控網(wǎng)絡(luò)安全建設(shè)需求，以鄆城園區(qū)為試點(diǎn)，由集團(tuán)統(tǒng)一對工控網(wǎng)絡(luò)安全設(shè)備進(jìn)行采購。

2.   項(xiàng)目目標(biāo)

根據(jù)國家對工業(yè)控制系統(tǒng)信息安全防護(hù)相關(guān)的指南和要求，結(jié)合旭陽各園區(qū)自身的網(wǎng)絡(luò)建設(shè)以及信息化建設(shè)情況，并滿足上層應(yīng)用對數(shù)據(jù)采集的信息需求，合理規(guī)劃設(shè)計(jì)工業(yè)網(wǎng)絡(luò)安全方案，部署網(wǎng)絡(luò)安全設(shè)備，有效保障工業(yè)控制系統(tǒng)的信息安全，防止病毒縱向入侵以及橫向傳播，同時(shí)可以有效快速的為上層數(shù)據(jù)采集提供鏈路通道，為各類信息化應(yīng)用系統(tǒng)對實(shí)時(shí)數(shù)據(jù)的需求提供支撐。

3.   技術(shù)方案

3.1   項(xiàng)目范圍

本次項(xiàng)目實(shí)施范圍為旭陽集團(tuán)鄆城園區(qū)，包括生產(chǎn)控制系統(tǒng)，園區(qū)網(wǎng)絡(luò)建設(shè)分為生產(chǎn)網(wǎng)和控制網(wǎng)兩層，生產(chǎn)網(wǎng)為各類信息化系統(tǒng)、實(shí)時(shí)數(shù)據(jù)庫等部署層，控制網(wǎng)在控制系統(tǒng)與生產(chǎn)網(wǎng)之間，本項(xiàng)目的工業(yè)網(wǎng)絡(luò)安全設(shè)備部署在此節(jié)點(diǎn)，達(dá)到對生產(chǎn)和控制網(wǎng)的安全隔離效果。46套控制系統(tǒng)中均已配備OPC Server為前提，通過OPC Server所在設(shè)備提供網(wǎng)絡(luò)接口。

3.2   詳細(xì)設(shè)計(jì)

在數(shù)采網(wǎng)絡(luò)中，數(shù)據(jù)源主要為DCS的OPC Server，大量使用主從方式通訊的OPC協(xié)議進(jìn)行周期性的數(shù)據(jù)采集，由于OPC協(xié)議在建立連接后使用動(dòng)態(tài)端口進(jìn)行數(shù)據(jù)通訊，需要設(shè)備通過源端口與目的端口對OPC協(xié)議進(jìn)行訪問控制，因此采用安全性能更高的工業(yè)網(wǎng)閘實(shí)現(xiàn)網(wǎng)絡(luò)隔離和OPC協(xié)議數(shù)據(jù)擺渡。工業(yè)網(wǎng)閘部署在數(shù)采機(jī)和各系統(tǒng)數(shù)據(jù)源之間，同時(shí)解決數(shù)據(jù)采集問題和安全問題。

1、在凈水廠組態(tài)軟件所在WINCC服務(wù)器與數(shù)采機(jī)之間部署工業(yè)網(wǎng)閘；

2、在己二酸消防WINCC服務(wù)器、己二酸中控室DCS的OPC Server服務(wù)器、二元酸中控室DCS的OPC Server服務(wù)器、三污中控室WINCC服務(wù)器與數(shù)采機(jī)之間部署工業(yè)網(wǎng)閘；

3、在熱電中控室、熱電二期汽輪、熱點(diǎn)化產(chǎn)火炬WINCC服務(wù)器與數(shù)采機(jī)之間部署工業(yè)網(wǎng)閘，在熱電脫硫中控室DCS的OPC Server服務(wù)器、熱電輸煤中控室WINCC服務(wù)器、熱電除塵站W(wǎng)INCC服務(wù)器與數(shù)采機(jī)之間部署工業(yè)網(wǎng)閘。

4、在熱電化水裝置WINCC服務(wù)器、熱點(diǎn)一期鍋爐、二合一中控室與數(shù)采機(jī)之間部署工業(yè)網(wǎng)閘，在合成氨循環(huán)水WINCC服務(wù)器、一期硝酸中控室、消防水泵房WINC與數(shù)采機(jī)之間部署工業(yè)網(wǎng)閘，在二期硝酸中控室、化產(chǎn)空壓WINCC服務(wù)器、冷鼓中控室中控DCS的OPC Server服務(wù)器與數(shù)采機(jī)之間部署工業(yè)網(wǎng)閘，在化產(chǎn)中控室、煉焦中控室、十熄焦中控室與數(shù)采機(jī)之間部署工業(yè)網(wǎng)閘，在煉焦脫硫脫硝DCS的OPC Server服務(wù)器、焦?fàn)t地面除塵站、備煤中控室與數(shù)采機(jī)之間部署工業(yè)網(wǎng)閘，在堿精制中控室DCS的OPC Server服務(wù)器、環(huán)乙酮中控室DCS的OPC Server服務(wù)器與數(shù)采機(jī)之間部署工業(yè)網(wǎng)閘；
在合成氨富氧中控室、合成氨天然氣制氫DCS的OPC Server服務(wù)器、合成氨中控室DCS的OPC Server服務(wù)器與數(shù)采機(jī)之間部署工業(yè)網(wǎng)閘。

以上部署的工業(yè)網(wǎng)閘由內(nèi)、外網(wǎng)處理單元和安全數(shù)據(jù)交換單元組成。安全數(shù)據(jù)交換單元在內(nèi)外網(wǎng)主機(jī)間按照指定的周期進(jìn)行安全數(shù)據(jù)的擺渡。從而在保證生產(chǎn)控制網(wǎng)隔離的情況下，實(shí)現(xiàn)可靠、高效的安全數(shù)據(jù)交換，而所有這些復(fù)雜的操作均由隔離系統(tǒng)自動(dòng)完成，用戶只需依據(jù)自身業(yè)務(wù)特點(diǎn)定制合適的安全策略既可實(shí)現(xiàn)內(nèi)外網(wǎng)絡(luò)進(jìn)行安全數(shù)據(jù)通信，在保障用戶信息系統(tǒng)安全性的同時(shí)，最大限度保證客戶應(yīng)用的方便性。

本項(xiàng)目選用的產(chǎn)品為力控華康IN-GAPS 2000工業(yè)安全隔離與信息交換系統(tǒng)產(chǎn)品，該產(chǎn)品不僅實(shí)現(xiàn)了傳統(tǒng)網(wǎng)閘用于控制網(wǎng)絡(luò)與信息網(wǎng)絡(luò)之間的隔離、數(shù)據(jù)擺渡和不同區(qū)域間的攻擊防護(hù)，同時(shí)也實(shí)現(xiàn)了對工業(yè)網(wǎng)絡(luò)協(xié)議和工業(yè)網(wǎng)絡(luò)中大量的測點(diǎn)數(shù)據(jù)進(jìn)行細(xì)粒度的管理。

3.3   產(chǎn)品特點(diǎn)

工業(yè)測點(diǎn)級訪問控制

支持工業(yè)協(xié)議深度解析，針對測點(diǎn)深入到ITEM、寄存器地址等進(jìn)行訪問控制，對測點(diǎn)進(jìn)行可見范圍和讀寫權(quán)限控制。

指定哪些測點(diǎn)允許接入，實(shí)對設(shè)備數(shù)據(jù)讀取范圍的控制。當(dāng)存在多個(gè)監(jiān)控系統(tǒng)時(shí)，則實(shí)現(xiàn)設(shè)備數(shù)據(jù)的定向傳輸。讀寫權(quán)限修改為‘只讀’時(shí)，所有數(shù)據(jù)被禁止修改，則實(shí)現(xiàn)數(shù)據(jù)單向傳輸，保護(hù)設(shè)備數(shù)據(jù)安全。

專業(yè)工業(yè)數(shù)據(jù)采集轉(zhuǎn)發(fā)

支持多種工業(yè)協(xié)議數(shù)據(jù)采集，通過配置采集點(diǎn)表針對性的采集特定格式數(shù)據(jù)和頻率。將采集數(shù)據(jù)進(jìn)行統(tǒng)一協(xié)議轉(zhuǎn)換，支持一對一，一對多，多對多采集轉(zhuǎn)發(fā)。

視頻、數(shù)據(jù)庫同步

使用自主開發(fā)的數(shù)據(jù)傳輸方式支持視頻傳輸、匯聚功能，關(guān)系型數(shù)據(jù)庫同步和異構(gòu)同步。

應(yīng)用層攻擊防護(hù)

支持網(wǎng)絡(luò)邊界安全基礎(chǔ)防護(hù)和應(yīng)用識(shí)別管理、IPS入侵檢測、DDOS等攻擊防護(hù)、AV防病毒、WEB應(yīng)用防護(hù)、流量管理、負(fù)載均衡等。

數(shù)據(jù)斷線緩存

工業(yè)控制網(wǎng)絡(luò)對于數(shù)據(jù)的連續(xù)性要求極高，IN-GAPS2000可以在網(wǎng)絡(luò)中斷時(shí)將數(shù)據(jù)緩存在本地隔離設(shè)備中，當(dāng)網(wǎng)絡(luò)連接恢復(fù)時(shí)將緩存的數(shù)據(jù)補(bǔ)報(bào)到監(jiān)控系統(tǒng)中，保證數(shù)據(jù)的連續(xù)性。

3.4   用戶價(jià)值

1、 IN-GAPS 2000工業(yè)安全隔離與信息交換系統(tǒng)產(chǎn)品支持OPC、Modbus TCP（ASCII/RTU）、IEC104、DNP3、SIEMENS S7、PROFIBUS/DP、PROFINET、PI、PHD等常見工業(yè)通信協(xié)議的深度檢測、指令、功能碼的控制。并且系統(tǒng)可通過導(dǎo)入?yún)f(xié)議分析模塊來支持更多的工業(yè)通信協(xié)議的控制。系統(tǒng)也可對特定的功能碼或通信內(nèi)容做白、黑名單的內(nèi)容過濾。

2、 IN-GAPS 2000工業(yè)安全隔離與信息交換系統(tǒng)產(chǎn)品實(shí)現(xiàn)兩個(gè)安全區(qū)之間的非網(wǎng)絡(luò)方式的安全的數(shù)據(jù)交換，并且保證內(nèi)外兩個(gè)處理系統(tǒng)不同時(shí)連通，防止穿透性網(wǎng)絡(luò)連接，如禁止兩個(gè)網(wǎng)絡(luò)之間直接建立TCP/UDP聯(lián)接，保障應(yīng)用數(shù)據(jù)的安全傳輸

3、IN-GAPS 2000工業(yè)安全隔離與信息交換系統(tǒng)產(chǎn)品具備配套的管理軟件，能夠提供對設(shè)備的調(diào)試、運(yùn)維管理功能，并負(fù)責(zé)進(jìn)行軟件配置、測試等內(nèi)容。

4.   項(xiàng)目成果

本項(xiàng)目力控華康完成了鄆城園區(qū)網(wǎng)絡(luò)安全設(shè)備的安裝、調(diào)試工作，包括與生產(chǎn)控制系統(tǒng)的通訊采集調(diào)試以及與上層實(shí)時(shí)庫系統(tǒng)的數(shù)據(jù)通訊調(diào)試等工作。同時(shí)，對用戶進(jìn)行技術(shù)培訓(xùn)，以達(dá)到用戶可完成基礎(chǔ)運(yùn)維的效果，得到了客戶的高度贊揚(yáng)。