涤纶长丝车间工控系统数据安全采集探究

 涤纶长丝车间工控系统数据安全采集探究

陈明根，许燕辉，李晓飞

桐昆集团股份有限公司，浙江桐乡314500

摘要：工业控制系统数据采集是工厂实施数字化战略的重要环节。搭建一套简单可行，满足大批量远程数采需求又具备故障恢复能力的工业数采网络显得非常重要。本文基于工控数采工作风险防范机制，争对存在的安全问题展开分析，并提出相应的解决策略。

关键词: 涤纶长丝;工业数据采集;工控系统安全

当前，在涤纶长丝生产过程中，为了能够获取生产实时信息用于决策分析，需通过专用设备采集生产系统数据，但安全隐患问题突出。桐昆集团作为化纤行业的巨头，提出聚焦“一业一网”打造“数字桐昆”目标，斥资5千多万元搭建一套纺织行业的工业互联网平台，通过对机台设备和产线、业务系统数据、视频数据抽取后构建数字运营中心，实时直观展现企业重要运营指标。

1 工控系统安全策略应用背景与简介

1.1架构组成

本系统主要围绕工控SCADA产品、工业数采网络、信息安全技术进行实施，涉及上位机系统、白名单（USB锁）、工控防火墙、端口隔离技术、IOT边缘数采技术五大部分。

1.1.1  SCADA系统现状

通常，主要涤纶长丝生产系统主要依赖Win XP、Win7和10操作系统，工程师为保证过程控制系统的相对独立性，在系统正常运行后不会安装任何补丁，特别是winCC、IFix老版本组态软件存在大量的安全漏洞。另外，还存在一部分定制化产品，在基于.NET Framework 的WPF 应用程序开发阶段缺少安全设计，一旦出现问题后只能依赖备份进行GHOST恢复。

1.1.2 白名单（USB锁）

实施本项目之前，部分车间上位机已通过U盘安装了杀毒软件，但限于工业网络不能随意联接外网的特殊情况，一旦攻击后易导致工控系统运行变慢或卡死。我们用白名单建立稳定的生产运行环境后，通过封堵或拦截USB等移动存储介质的滥用，能有效防止工控病毒（如震网、Havex、勒索等）及变种的运行。从建设经验来看，白名单在所有的上位机上一次性部署为佳，也可对windows数采网关（或支持linux版本）部署，缺点是需要逐台安装以及易被系统还原。

1.1.4 工控防火墙

考虑到涤纶长丝车间上位机系统和其他控制系统繁多，呈现点状分布式，互相之间距离较远，不适合近距离共用防火墙。为采集OPC数据，因其采用不固定的端口号、协议缺乏加密认证及实时性等要求高的原因，导致不能采用基于端口技术、黑名单技术等传统IT 防火墙来确保数据的安全采集。所以，当应用软件面向工业网络应用时，需要使用专用的工控防火墙对工业控制网络协议及端口进行保护，同时根据需要可安装工控类安全管理平台，将所有下设进行安全管控。

1.1.5 端口隔离VLAN

因本次项目网络安全域按照集控室来隔离，要求相同的网络安全域共享一样的安全策略。基于这样的理念，内网的安全防护及区域划分应通过VLAN端口隔离技术来实现，本项目常用接入层工业级交换机有TP-LINK TL-SG2216（硬拨码隔离）或TP-LINK TL-SG5412（硬拨码隔离）两种。

1.1.6  IOT边缘技术

考虑到边缘数采工作实际需要和成本因素，在边缘侧，对普通OPC服务器（比如纺丝注射系统）、PLC、HMI等进行交换机端口隔离，在重要OPC服务器区域（比如中电系统）进行防火墙加固；在核心侧，需再部署一套防火墙以过滤车间内多种工业控制协议，如Modbus TCP、Profibus、CAN、Siemens S7、IEC 60870-5-104、IEC 61850-MMS等通信报文，但实际上，真正到达核心侧的数据都统一已经在边缘数采网关处转换成MQTT协议进行传输，从而保证了数据的统一性，安全性，同时也降低了大数据处理的负荷。

1.2 安全策略建立操作流程

首先，确保计算机主机安全，加强身份认证和软硬件防护，确保数据采不影响主机运行，对于应用服务，尽可能只开放需要的服务。

其次，根据通过对网络结构和安全风险分析，实行访问控制，进行逻辑子网（VLAN）划分，最好将两个区域进行物理隔离，在业务有效运行的情况下实现区域边界安全。

再次，在现有网络架构上在重要服务器之间部署工业防火墙，限制内部访问的IP、端口及协议等，实现访问控制达到逻辑隔离，对非法行为进行阻断或告警，以此避免工业控制网络受到未知漏洞威胁，有效保证核心区域安全。

最后，针对OPC类增加Windows或linux系统网关，运行agent实现数据的采集和上报。而PLC类加装安全网关模块对各类PLC接口协议进行转换，以平台可识别的通用标准协议如ModbusTCP、OPC等进行数据采集，从而保障生产网络之间及其与生产管理层之间数据的安全和统一。

2 策略模式运行效果分析

该安全策略自正常运行 16个月以来，工业数采网运行情况良好，已基本达到稳定状态。

按照IEC62443标准要求，遵循只有可信任的设备，才能接入工控网络，只有可信任的消息，才能在工控网络上传输，只有可信任的软件，才允许被执行的原则，对涤纶长丝车间进行了安全分区（分层分域），并采用纵深防御策略，再加上适当的物理安全措施，符合等保2.0规范要求，具体如图1所示。

2.1 边界防护

数采汇聚与核心交换机之间部署工业防火墙（机架式），对各系统通讯进行逻辑隔离。一是要实现设备数据的正常采集，二是要完成各工控子系统独立运行，既数据只读控制和边界安全隔离，阻止攻击者基于数采网向控制网发起攻击。

2.2 核心防护

比如聚酯 DCS 区域作为厂区最核心的部分，需要重点保护，在聚酯 DCS 系统到数采网关之间部署工业防火墙（导轨式），在主机部署USB锁或系统部署白名单，对核心区域通讯进行物理隔离、逻辑隔离、访问控制，阻止网络攻击在同一区域间扩散渗透。

图1 按照等保2.0指导模型设计的结构

3. 结语

本系统数据安全采集策略，实现了聚酯、纺丝、包装、加弹、公用工程全程智能化、安全化的信息采集。与传统IT系统的安全等级不同，本策略首先要确保可用性，确保故障或入侵时不影响运行、不停车，其次保证完整性，确保接收到错误的设备或错误的数据不跳变、不影响工艺，再次保证机密性，确保数据不被窃听，因此需要设计针对性的安全策略、方法和技术，让本项目真正做到了架构“简约低成本、高效又安全”的设计要求，各车间通讯反馈良好，经济效益提升显著。

参考文献:

［1］《工业控制系统信息安全防护指南》工信软函〔 2016〕 338号

［2］GB/T32919-2016《信息安全技术工业控制系统安全应用指南》

［3］GBT/22240-2008《信息安全技术信息系统安全等级保护定级指南》