造纸厂DCS系统的网络安全分析
- 格式:pdf
- 大小:274.24 KB
- 文档页数:2
造纸厂DCS系统的网络安全分析
发布时间:2022-07-26T13:37:09.379Z 来源:《新型城镇化》2022年15期 作者: 孟令强
[导读] 随着人民生活水平的提高,纸的产量和消费量也随之增长,造纸行业的发展势头迅猛。
山东丰源中科造纸有限公司 山东枣庄 277300
摘要:随着人民生活水平的提高,纸的产量和消费量也随之增长,造纸行业的发展势头迅猛。集散控制系统在造纸行业的应用十分广泛。这不仅是因为它具有集中显示、分散控制的传统优点,而且随着计算机技术的发展,现在的 DCS 系统已经是一个可供数据融合的系统
平台。它具有的开放性、兼容性、扩展性、各种信息化、人性化的功能不仅可以提供高品质的过程控制,而且为工厂管理、企业信息自动
化建设提供了坚实可靠的基础。
关键词:网络安全; DCS 系统; 防火墙
现代造纸工业,则主要指近40年来,通过以节能、降耗、减污、增效,实现可持续发展为目标,不断开发应用高新技术,推进以资源投入
的减量化、生产过程废弃物的资源化再利用,产品使用后的再生利用的循环经济,进行了重大革新改造,并已面貌一新的造纸工业。现代
造纸工业使用多种纤维与化工原料,大批量生产,生产过程的热、电、水资源流量大,基本上都实行全天24小时不间断地连续流水作业。
造纸的生产过程,从控制上来说,是一个多设备协调的联动系统,尤其是企业向着大规模化的方向发展,原有落后的控制方式越来越不能
满足生产的要求。这样DCS等先进自动控制系统越来越多地被采用。
1. 造纸厂典型DCS 网络系统结构
1.1系统结构
在某造纸厂的PCS7系统中,采用的是典型网络架构。造纸车间子网和制浆车间子网是两个相对独立的控制网络,每个网络中有独立的冗余服务器,各自的系统总线( 服务器和控制器之间的总线) 也是完全隔离的。两个车间都分别配置了一个工程师站,负责各自的程序管理
和故障诊断。在终端总线( 服务器和客户端操作站之间的总线) 上,各个车间的操作站都是对应其所在车间的服务器,从服务器上获得画面
和数据。但这两个车间的终端总线是连接在一起的。由于存在远程操作的需求,项目中配置了一个Web 服务器,同时从两个车间的服务器
上获取数据并发布到网络上。通过Internet的网络用户使用IE 浏览器和相应的插件即可和本地操作站一样打开控制画面,如果权限分配合
适,还可以进行相应的操作。为了使用的方便性,在工厂的办公室网络中还存在几台临时性的操作站。如有需要可以接入到系统总线上查
看CPU 的实时运行数据,也可以直接接在终端总线上和服务器、客户端操作站进行通信。在这个典型的网络配置中,外部Internet、内部办
公室网络都可以和控制系统网络进行数据交换。同样地,各种病毒、木马软件等也完全可以威胁到控制网络。所以,有针对性地分析不同
网络的安全特点,就可以更好地采取相应的处理措施。
1.2控制网络的安全分析
在典型的PCS7 网络体系中,控制网络主要由系统总线和终端总线两部分组成。系统总线中的通信设备包括工程师站、OS 服务器和控制器,它们之间的通信内容主要包括如下几个方面:
(1) OS 服务器和控制器之间
这部分的通信主要是周期性数据请求和应答,画面上WinCC 变量的更新和归档变量的读取属于这种通信方式,此外还存在少量的控制器上传报警信息、资产管理系统读取仪表的诊断信息等非周期性内容。
(2)控制器和控制器之间
一般控制器之间是不会有数据交换的,如果组态了通信,那都是基于链接的,数据量不大,而且都是周期性的。
(3)工程师站和控制器之间
在偶尔硬件诊断、程序更新时工程师站会和控制器进行数据交换,在正常运行时,这部分通信很少,而且和DCS 系统正常运行无关。上述的3 种通信中,共同的特点就是数据量相对较少,而且内容基本都是监控、诊断相关的数据。也就是说,控制网络的主要功用是承担监
控层面—例如服务器等—和控制器本身的通信桥梁。所以,可靠性是这个网络最主要的安全配置目标。确保控制网络可靠,就可以让DCS
系统控制层面一直处于安全可控的状态,避免设备损毁、人员伤亡等恶性事件发生。
3 网络安全措施分析
3. 1 安全管理体系 全厂DCS 系统的网络安全,各种配置和相应的安全设备是必需的,但其核心内容是一套行之有效的安全管理体系。
据国外统计,导致DCS 系统崩溃的原因之中,硬件故障排在首位,而由于安全原因导致的崩溃也占了近三成。这些因为安全原因导致
DCS 系统不可用的实例在我国也很常见,如使用感染有病毒的U 盘、安装来历不明的软件、未经许可地将个人电脑接入控制系统网络等是最为常见的威胁来源。
为了控制和避免这方面的安全隐患,采取相应的技术手段是必要的。例如禁用计算机的USB 接口,网络交换机柜上锁,计算机用户权限限制等。但这是远远不够的,所有的技术方案如果没有相应管理上的流程来保障,在面对威胁时同样形同虚设。国内有一石化公司,投
入巨资建立了全厂的安全系统,但没有具体的管理体系。在一次技术升级过程中,第三方光纤供应商直接使用自己的笔记本电脑接入到了
控制网络来测试光纤是否工作正常,结果导致服务器感染病毒死机,造成了巨大的损失。如果该工厂有相应的管理流程,让光纤供应商的
笔记本电脑在接入网络之前要进行相关的检测,或者在升级过程中采用将可能的危险区域从这个控制网络中隔离出来等措施,就会避免网
络病毒的感染。
所以,在DCS 网络安全系统建立过程中,首先需要建立的就是自上而下的安全管理规章流程和相应的应急处理预案。只有这样,后续的安全解决方案才能有制度上的保障。
3. 2 病毒防护和软件管理
对于PCS 7 系统而言,兼容的反病毒软件有3 种:Trend Micro OfficeScan、McAfee 和Symantec。只有兼容的杀毒软件才能在DCS 系统中使用,其他的杀毒软件,例如瑞星等可能会将正常的软件程序删除。防病毒软件需要及时更新病毒库。更新病毒库有单机方式和病毒服务
器方式这两种方式。
(1) 单机方式
从反病毒软件网站上获取相应的离线病毒库升级包,然后临时开放各个计算机的USB 接口,将升级包拷贝到计算机上安装,或者通过网络分发到各个计算机上,然后执行升级。这个方式操作起来较为繁琐,而且安全上的风险较大。但相对成本和技术难度而言都比较有优
势。
(2) 病毒服务器
在DCS 系统中配置1 台病毒服务器,该服务器连接到Internet,并从指定的病毒库升级网站上下载更新包。根据配置,对网络中各个反病毒软件客户端进行自动升级。这种方式需要配合防火墙使用,技术难度稍大,但病毒库升级都是自动执行,无需人为干预。
结论:该网络安全系统已经在多个造纸厂DCS 系统中集成使用,由于新增硬件较少,作用显著,所以多数厂商都愿意采用。在具体实施过程中,尽管每个工厂的具体要求不尽相同,但病毒升级服务器、WSUS 服务器和防火墙等基本架构都是一样的,并不会给配置和调试
带来太大的工作量。从测试和当前运行情况来看,已经投用的几个安全系统均未再发生网络安全事故,而且其工厂的安全管理体系也在运
行过程中不断完善。
参考文献
[1] 张延顺,景加荣,宁远涛,黄涛,陈琦.基于微信、SAE与组态王的移动端监控系统设计与实现[J].工业仪表与自动化装置. 2020(03):89-91.
[2] 周丽琴,叶远坚.S7-400PLC与WinCC在造纸污水处理自动控制系统中的应用[J].装备制造技术. 2019(08):126-127.