以化工行業為代表的流程行業是國內較早開展兩化融合應用,以信息化促進自動化的行業,積累了較為豐富的兩化融合建設經驗。
化工行業具有DCS普及率高,生產連續性強,各工段無縫銜接,裝置要保持安、穩、長、滿、優運行等特征。
化工企業的MES建設包括調度指揮、生產監視、先進控制、裝置優化、計量管理、報警管理、應急指揮、能源管理、LIMS等子系統幾乎都需要與DCS、PLC、實時數據庫等控制系統進行數據通信,這種辦公網與控制網之間的數據通信從一開始就受到化工企業的高度重視,工信部在2010年頒布的《關于加強工業控制系統信息安全管理的通知》更加強化了化工企業在這方面的重視程度。
自動控制系統信息安全薄弱環節分析:
● DCS系統:主要是霍尼韋爾(Honeywell)、福克斯波羅(Foxboro)、橫河(Yokogawa)、浙大中控(Supcon)和和利時(HollySys)等公司的產品,這些廠商的產品與信息層通訊多采用OPC協議,通訊缺少安全認證,數據易被竊取、篡改或破壞
● PLC:主要是西門子(Siemens)、羅克韋爾(AB)、GE、施耐德、和利時(HollySys)的產品,設備現場使用分散、不集中,且使用工業協議通訊,通用IT防火墻無法對其進行防護
● 現場儀器、儀表的接口類型及通訊協議復雜多樣,數據集中管理、維護存在很大的難度
● 控制網絡與管理網絡互聯,控制網絡面臨來自上層信息網的潛在威脅
● 控制系統缺少分級、分區的安全防護,易受到信息網絡及相鄰系統的潛在威脅
解決方案:
● 須選用工業網絡隔離設備阻止控制設備/系統被非法訪問,阻斷非法下發控制指令;防止病毒、惡意代碼
等肆意傳播
● 數據采集應選用安全型通信網關,配備工業通訊協議的過濾模塊,支持各種工業協議識別及過濾,彌補商
業防火墻不支持工業協議過濾的不足
● 安全型數據通信網關須采集多個不同子系統、設備、智能儀表等的數據,進行數據集中匯總、分類和預處
理,并向多個不同應用系統進行數據轉發
● 安全型數據通信網關須支持組態軟件或實時數據庫軟件的斷線緩存,以解決由網絡斷開或信息阻塞造成的
數據丟失和歷史數據不完整問題,保證MES系統數據的完整性
● 不同層級間的控制系統應進行縱向防護、橫向隔離,阻止來自上層網絡的潛在威脅和避免區域間病毒擴散