应用OPC解决方案实现控制系统数据的安全交换

一、前言

在过去十年中,生产现场、炼油厂、石化厂、天然气厂以及公用事业公司之间共享过程数据的需求一直在增加。这是因为,工厂和生产基地通常位于同一地区,且需要交换原料、石脑油、乙烷以及公用事业流(例如氢气、电力、水、蒸汽和燃气等),因此需要在其计量和控制系统之间实现数据交换。

由于化工、石油&天然气以及公用事业公司的严格网络安全政策,其与第三方系统的集成变得非常具有挑战性。针对此类问题,虹科可以提供一个基于OPC的解决方案实现这种集成,且同时符合ISA 99网络安全标准和不同利益相关者的安全政策。此类系统已有成功部署,实现了炼油厂、公用事业、油气稳定化以及液化天然气工厂的整合。

二、方案简介

  1. 方案架构

拥有严格网络安全政策的公司通过实施隔离区(DMZ)物理隔离和消除企业与控制网络之间的直接通信来保护其过程控制资产,然而面临的挑战是如何继续与第三方系统交换用于会计、安全和控制目的的关键数据,而不会引入安全风险,并且成本最低。

虹科基于OPC的DMZ安全解决方案允许用户与第三方实时交换关键数据,同时:

(1)遵循所有利益相关者的安全政策并确保其数据的保密性;

(2)通过OPC UA接口,企业应用程序可以通过DMZ将数据安全地发送回控制系统;

(3)部署易于维护的体系结构,确保对抗网络中断的鲁棒性,提供快速设置的图形环境;

(4)充分利用现有基于OPC的基础设施,避免大量的资本投资

2. 无缝数据流

安全DMZ托管一个没有任何读取或写入功能的缓冲区,并且仅包含特定数据交换所需的标签。位于防火墙每一侧的服务器到服务器的安全传输将根据需要从DMZ缓冲区收集数据,然后将其传输到位于过程控制网络 (PCN) 中的OPC服务器,反之亦然。

3.无需复杂配置加强安全性

所有传输的数据都经过加密,以确保数据的完整性和机密性,保护数据免受恶意攻击。此外,数据访问需要从缓冲服务器级别到标签级别的用户身份验证:

(1)用户身份验证基于Active Directory,以此确认尝试连接和访问数据的用户身份。同时,此机制可以阻止内部或外部网络发出的未经授权的访问;

(2)使用用户配置文件并指定一组权限来精细化访问权限配置,可实现对分配的用户可以浏览哪些标签,以及标签的读取或写入权限的定义。

防火墙只需要配置授权一个TCP端口,而且公司的网络安全团队可以自行决定随时更改此端口。

所有的安全功能都可以使用直观的图形界面轻松配置,而且也不需要公共证书提供商或互联网接入

图1. 基于OPC的安全DMZ解决方案架构图

三、方案优势

基于OPC的安全DMZ解决方案有以下优势:

(1)没有绕过任何DMZ。与过程控制网络(PCN)的所有通信都是从DMZ发起;

(2)远程通信不是基于OPC Classic/DCOM;

(3)从网络故障中恢复后,同侧或不同侧的不同组件之间的通信会自动重新建立;

(4)通过使用缓冲解决方案确保网络通信中断时不会出现数据丢失;

(5)防火墙只需要开放一个TCP端口,而且此端口是可配置的,不是公共或已知端口。同时,每一方可以使用不同的端口与他们的过程控制网络(PCN)通信,不需要透露此信息给第三方;

(6)数据是加密的,而且对黑客来说是不可见的;

(7)通过OPC UA接口,生产计划或资产优化等企业级应用程序也可以通过DMZ与控制系统安全地交换数据;

(8)可以从不同的域、跨VPN并通过VSAT和WAN建立远程通信。用户还可以微调通信超时和数据压缩参数,以此获得更好的网络数据传输性能。

基于OPC的安全DMZ解决方案允许通过安全方式交换实时过程数据来集成炼油厂、公用事业、油气稳定化和液化天然气工厂。它在不影响安全性的情况下实施了开放式架构,使用了OPC Classic基础架构和Active Directory,并且仍然受益于当前的行业标准,特别是OPC UA和ISA 99。