伴隨國(guó)家工業(yè)化、信息化的兩化融合，石化企業(yè)提出管控一體化規(guī)劃，基于實(shí)時(shí)數(shù)據(jù)庫(kù)應(yīng)用的MES系統(tǒng)在各大企業(yè)得到大力推廣。實(shí)時(shí)數(shù)據(jù)庫(kù)的建立是以采集過(guò)程控制系統(tǒng)的數(shù)據(jù)為前提，這就需要MES的信息網(wǎng)絡(luò)必須要實(shí)現(xiàn)與控制網(wǎng)絡(luò)之間的數(shù)據(jù)交換，控制網(wǎng)絡(luò)不再以一個(gè)獨(dú)立的網(wǎng)絡(luò)運(yùn)行，而要與信息網(wǎng)絡(luò)互通、互聯(lián)，基于TCP/IP以太網(wǎng)通訊的OPC技術(shù)在該領(lǐng)域得到廣泛應(yīng)用。

網(wǎng)絡(luò)拓?fù)鋱D

系統(tǒng)說(shuō)明及隱患分析
       石化行業(yè)系統(tǒng)結(jié)構(gòu)通常分為三層，自上而下分別是辦公網(wǎng)、數(shù)采網(wǎng)和控制網(wǎng)。辦公網(wǎng)和數(shù)采網(wǎng)是物理上隔離的；數(shù)采網(wǎng)采用OPC標(biāo)準(zhǔn)從控制網(wǎng)采集數(shù)據(jù)，數(shù)采機(jī)或OPC Server采用雙網(wǎng)卡結(jié)構(gòu)與控制網(wǎng)進(jìn)行了隔離；工程師站通常需要接入第三方設(shè)備（U盤、筆記本電腦等），系統(tǒng)存在以下信息安全隱患：

1、數(shù)采網(wǎng)與控制網(wǎng)之間的病毒相互感染隱患。雖然通過(guò)Buffer數(shù)采機(jī)或OPC Server的雙網(wǎng)卡結(jié)構(gòu)對(duì)數(shù)采網(wǎng)與控制網(wǎng)進(jìn)行了隔離，部分惡意程序不能直接攻擊到控制網(wǎng)絡(luò)，但對(duì)于能夠利用 Windows 系統(tǒng)漏洞的網(wǎng)絡(luò)蠕蟲(chóng)及病毒等，這種配置并不起作用，病毒仍會(huì)在數(shù)采網(wǎng)和控制網(wǎng)之間互相傳播。另外OPC通訊使用動(dòng)態(tài)端口，無(wú)法使用常規(guī)防火墻進(jìn)行防護(hù)。
2、來(lái)自工程師站的病毒擴(kuò)散隱患。工程師站通常接入設(shè)備U盤、筆記本電腦等第三方，受到病毒攻擊和入侵的概率很大，存在較高的安全隱患。
3、網(wǎng)絡(luò)攻擊事件無(wú)法追蹤。網(wǎng)絡(luò)中缺乏對(duì)網(wǎng)絡(luò)進(jìn)行實(shí)時(shí)監(jiān)控的工具，一旦出現(xiàn)問(wèn)題后，無(wú)法進(jìn)行原因查找、分析和故障點(diǎn)查詢。

解決方案

１、 網(wǎng)絡(luò)分區(qū)
       針對(duì)石化行業(yè)網(wǎng)絡(luò)當(dāng)前的安全隱患，根據(jù)系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)和安全要求，可以將整個(gè)網(wǎng)絡(luò)分為辦公網(wǎng)、數(shù)采網(wǎng)、控制網(wǎng)和工程師站四大區(qū)域。

２、 通訊管控
      在控制網(wǎng)和數(shù)采網(wǎng)之間部署Tofino工業(yè)防火墻，通過(guò)OPC Enforcer軟插件自動(dòng)跟蹤OPC通訊的動(dòng)態(tài)端口，并對(duì)其通訊內(nèi)容進(jìn)行深度檢查，保障數(shù)采通訊安全；此外，在工程師站前端部署Tofino工業(yè)防火墻，對(duì)工程師站進(jìn)行隔離防護(hù)，防止病毒擴(kuò)散。

３、 集中管理
       在網(wǎng)絡(luò)中部署CMP配置管理平臺(tái)，用于配置、管理、監(jiān)測(cè)網(wǎng)絡(luò)中所有的Tofino工業(yè)防火墻，并接收來(lái)自防火墻的網(wǎng)絡(luò)報(bào)警信息。無(wú)需停車，Tofino工業(yè)防火墻特有的“測(cè)試”模式允許在線配置防火墻策略。

４、 預(yù)警分析
       在企業(yè)辦公網(wǎng)部署SMP安全管理平臺(tái)，捕獲并分析現(xiàn)場(chǎng)所有安裝Tofino防火墻的通訊“管道”中的攻擊，一方面可以實(shí)現(xiàn)對(duì)整個(gè)生產(chǎn)網(wǎng)絡(luò)的實(shí)時(shí)監(jiān)控，另一方面也可以及時(shí)發(fā)現(xiàn)病毒、非法入侵以及各類威脅并迅速解決，以總攬大局的方式為工廠網(wǎng)絡(luò)故障的及時(shí)排查、分析提供可靠的依據(jù)。