摘 要 文章提出了一种在各车间DCS控制系统上的基础上,实现工厂级能源数据自动采集的方法,使车间生产控制系统(DCS)与Internet之间完全独立,使工业控制系统规避了网络安全的问题,并针对DCS工业控制终端提出了安全管理措施。
关键词 DCS控制系统;EPA;信号分配器;信息安全
中图分类号:TP273 文献标识码:A 文章编号:1671-7597(2013)14-0067-02
为了实现能源的合理利用,达到“节能减排”的目标,一家化工企业决定实施“各车间能源数据采集管理系统”,这家企业各生产车间原先都各自装有“分布式控制系统(DCS)”,用于车间生产过程控制,车间能源消耗数据也存在于DCS控制系统中,如何能实现各车间能源数据的自动采集,形成工厂级的能源管理系统,又能保障分布式控制系统(DCS)的信息安全,经过慎重考虑,提出了2个实施方案。
1 基于DCS系统上的能源数据自动采集方案比较
方案一:把各车间DCS系统作为能源数据管理系统的数据采集站,每个数据采集站通过OPC协议单向向PIMS服务器传送能源数据,PIMS服务器对传送上来的数据进行二次处理,制作成用户需要的能源界面、形成报表、以及实现设备管理等功能,经硬件防火墙隔离将能源管理界面、数据以WEB形式向局域网络发布。系统结构如图1所示。
方案二:为了彻底杜绝DCS操作站被网络病毒侵扰的隐患,将能源数据采集系统完全独立于DCS系统。能源数据采集系统由“浙江中控”领衔制定的EPA现场总线标准产品实现。
1)在原有车间的DCS系统中将能源测点经信号分配器一分为二,一路进入车间DCS,实现车间生产管理的需要,另外一路进入EPA总线系统进行数据集中管理。
2)EPA系统各控制柜安装24 V开关电源,光纤环网交换机,以及EPA系列模块。
3)整个EPA系统采用光纤环网冗余的方式,任何一处断开,均不影响整个系统的正常运行。
4)为保证数据的安全,除了各服务器安装杀毒软件之外,在PIMS服务器和Internet之间设立一道硬件防火墙。即便防火墙失效,各服务器被病毒感染,由于DCS与能源管理系统完全独立,病毒丝毫不会影响到车间DCS的运作,各能源点在DCS操作站正常显示及控制。系统结构如图2所示。
综合比较,方案二能使车间分布式控制系统(DCS)与Internet之间完全独立,可靠性更高,所以选择方案二。
2 工业控制系统终端信息安全管理的方法
上述方案二最大的优点在于使车间分布式控制系统(DCS)与Internet之间完全独立,使工业控制系统规避了网络安全的问题,只要针对做好工业控制终端(DCS)的安全管理,系统安全性就能得到保障,主要的安全措施有以下几点。
1)不轻易对操作系统安装补丁。由于考虑到工控软件与操作系统补丁兼容性的问题,系统开车后一般不针对Windows平台打补丁。
2)不安装杀毒软件。用于生产控制系统的Windows操作系统基于工控软件与杀毒软件的兼容性的考虑,通常不安装杀毒软件,给病毒与恶意代码传染与扩散留下了空间。
3)加强对使用U盘、光盘的专项管理。由于在工控系统中不轻易对操作系统安装补丁和安装杀毒软件,工控系统对病毒的防护能力很薄弱,必须对U盘和光盘使用进行有效的管理。光盘,规定除本系统的安装光盘外,不允许使用其他类光盘;U盘,一般在程序更新和维护过程中要使用到,首先保证U盘的专项使用,规定U盘每次使用前要经过严格的病毒查杀,并且要有书面记录和登记。
4)杜绝其他笔记本电脑的接入。工业控制系统的管理维护,没有到达一定安全基线的笔记本电脑接入工业控制系统,会对工业控制系统的安全造成很大的威胁,所以要杜绝
接入。
5)定期检查工业控制系统控制终端、服务器、网络设备的运行情况。对工业控制系统中IT基础设施的运行状态进行监控,是工业工控系统稳定运行的基础。
6)加强身份认证管理,控制系统进行安全登录和操作的用户分级进行管理,分为观察员、操作员、系统工程师这3个不同级别,观察员只允许观看系统画面,不能输入任何的操作指令;操作员,具有日常生产的操作权限;系统工程师的权限最高,能进入或退出工控运行软件,能进行程序编写和变更。
7)对工业控制系统的外设进行管理,比如USB接口、光驱、网卡、串口等,对时贴上封条,每次系统工程师进行维护操作时,拆下封条要进行审批和登记。
3 结束语
国内外发生了多起由于工控系统安全问题而造成的生产安全事故。最鲜活的例子就是2010年10月发生在伊朗布什尔核电站的“震网”(Stuxnet)病毒,为整个工业生产控制系统安全敲响了警钟。
本文根据工业控制系统安全防护的特点,针对工业控制系统(DCS)与能源管理系统(EPA),通过信号分配器连接的独特模式,建立了相对独立、又能信号传输的安全体系架构,并通过工业控制系统终端安全管理措施,有效地保证了这种基于DCS系统上的能源数据自动采集系统的可靠、安全运行。
参考文献
[1]GB/T 20171-2006.用于工业测量与控制系统的EPA系统结构与通信规范.2006.
[2]关于加强工业控制系统信息安全管理的通知.工信部 协[2011]451号.