杨卫强，常 科，张春山，祁志荣，杨 华，李 弢

（1.杭州和利时自动化有限公司，杭州 310016；2.中安联合煤化有限责任公司，安徽 淮南 232090）

DCS是分布式控制系统的英文缩写（Distributed Control System），其基本设计理念是分散控制、集中操作、分级管理、配置灵活以及组态方便。网络是DCS系统的基础和核心，对于DCS整个系统的实时性、可靠性和扩充性，起着决定性的作用。因此，各厂家都在这方面进行了精心的设计，目前已日趋成熟。随着经济与技术发展，DCS系统在提高应对传统功能的同时，也面临着各种安全威胁，受到病毒、木马、黑客等入侵安全问题越来越多。

在国家“十三五”规划中，网络安全已上升至国家安全战略，工控网络安全作为网络安全的中的薄弱而又至关重要环节，已成为亟待解决的重要问题之一。

1 DCS网络安全现状及典型工控安全事件分析

1.1 网络安全现状

1.1.1 网络安全管理意识不强

目前国内许多企业对网络安全的概念比较模糊，安全意识不强。特别是一些老旧企业管理人员，随意要求DCS系统厂家增加通讯接口，更改网络拓扑结构，对机房、控制室等重要场所管理混乱，随意使用U盘从DCS系统拷贝数据等，给DCS系统安全运行带来了很大隐患。

1.1.2 网络安全设计缺失严重

DCS系统网络安全问题受到关注，是因近来几次影响较大的黑客攻击事件引发。最近新建DCS项目设计上已有所防范，但对于大量的存量DCS系统，由于前期的设计缺失后期又没有及时补充防护，目前仍然暴露在黑客攻击的危险之中。

1.2 典型工控安全事件分析

1）2010年美国通过“震网”病毒奇袭伊朗布什尔核电站，迟缓了伊朗的核能计划。

2）黑客通过入侵数据采集与监控系统，使得美国伊利诺伊州城市供水系统的供水泵遭到破坏，导致城市大面积停水。

3）2015年12月23日，乌克兰电力部门遭受到恶意代码攻击，该事故造成7个110KV变电站和23个35KV变电站故障，导致80000用户断电，此次事件不仅造成严重经济损失，同时也导致严重的社会影响。

4）2018年8月3日，台积电遭勒索病毒入侵，致3个生产基地停摆。

8月3日晚间，台积电位于台湾新竹科学园区的12英寸晶圆厂和营运总部的部分生产设备受到魔窟勒索病毒WannaCry勒索病毒的一个变种感染，具体现象是电脑蓝屏，锁各类文档、数据库，设备宕机或重复开机。仅经历数小时，另外两处工厂也陆续被感染，3个生产基地几乎同时受到病毒入侵而导致生产线停摆，对正常生产造成严重影响。

通过上述案例分析，工业控制系统在考虑效率和实时性的同时，其安全性并未引起人们应有的重视，随着其信息化程度的加速，其安全事件也呈逐年上升的态势。尽管从数量上还无法与互联网安全事件相比，但一旦发生其广泛的社会影响、巨大的经济损失、长久的持续时间，都是互联网安全事件无法比拟的。对于一个企业甚至一个国家，不但社会经济会遭受重大损失和倒退，还有可能危及到相关人员的健康与生命。

2 和利时MACSV6系统在大型煤化工企业网络安全设计方案

中安联合煤制170万吨年甲醇及转化烯烃项目，由SEI总包，和利时作为MAV供应商，负责提供包括分散控制系统（DCS）、智能设备管理系统（AMS）、操作数据管理系统（ODS）、报警管理系统（AAS）、操作员仿真培训系统（OTS）、大屏幕显示系统（DLP）、可燃有毒气体检测系统（GDS）、汽轮机数字电液控制系统（DEH）。其中DCS系统是连接各子系统的纽带，其网络结构最为复杂，是网络安全设计的核心。

全厂DCS系统全部采用和利时公司HOLLiAS MACS-K系统，控制器分布在全厂的现场机柜间（FAR），全厂设中央操作室（CCR）3个。各机柜间与CCR采用光缆连接，控制站节点由控制网络（CNET）实现互连，操作节点通过系统网络（SNET）实现互连。DCS与数采网通过CCR中的OPC服务器实现数采，数据采集进入信息的IP21实时数据库。

2.1 中安项目网络安全策略

2.1.1 DCS系统网络总体设计原则

由于项目规模较大，相应网络结构也极为复杂。为保证系统网络安全，项目组讨论确定了“横向分层，纵向分区”的设计原则。即横向采用4层网络结构，从上到下依次为企业网络、管理网（MNET）、系统网（SNET）、控制网（CNET），纵向将全厂划分为若干个独立装置域及1个管理域。通过域的合理划分，使得各装置间即相互隔离，确保每个生产装置独立开停车，又可通过管理域实现对全厂区数据集中管理的要求。

在技术实现方面，和利时提出了符合工业信息安全要求的实施方案。和利时传统的控制系统解决方案在一定程度上考虑了信息安全要求，例如严格的网络分段（根据工艺、功能系统等）、专有通信协议、专有控制器操作系统等。除此以外，在不改变工控系统基础架构的前提下，现通过增加与工控系统高度集成的信息安全组件以及对现有控制系统升级达到工控系统的信息安全目标。

2.1.2 DCS系统对外接口防护设计

DCS系统对外接口主要包括MES、ODS、AAS系统。其中，MES系统数据量较大且使用对象较为复杂，为保证数据安全，项目组采用了和利时HH800系列网闸，实现MES系统从OPC服务器取数的隔离。因ODS、AAS使用对象较为简单，项目使用防火墙对ODS，AAS系统进行安全隔离。

2.2 中安项目网络结构设计

2.2.1 中安项目DCS网络结构设计

根据“横向分层，纵向分区”的安全理念，对项目网络进行如下设计：

◇ 4层企业网络（MES/ERP）

为工厂信息平台，连接工厂管理有关的设备，由最终用户工厂工程师负责。企业网络与控制网络分开。企业网络的安全和管理不能影响过程控制网络。

◇ 3.5层非军事区（DMZ）

过程控制网络和企业网络之间的缓冲地带，它是直接与防火墙连接的单独子网段。

◇ 3层管理网（MNET）

用于各域之间的互访。也用于连接智能设备管理系统（HAMS）、操作数据管理系统（ODS）[中安项目AMS、ODS在各域内采集数据]。

图1 中安DCS系统网络结构图Fig.1 Network structure diagram of an DCS system

图2 中安项目防毒网络Fig.2 Anti-virus network of Zhong'an project

◇ 2.5层系统网（SNET）

通讯量较大的区（LAN2&3）使用独立的3层交换机连接，以减轻系统核心3层网络负荷。

◇ 2层系统网（SNET）

用于工程师站、操作员站、控制站连接到2层交换机，构建高速冗余安全网络。

◇ 1层控制网（CNET）

采用冗余总线与各个I/O 模块及智能设备连接。实时、快速、高效地完成与现场通讯任务。

2.2.2 中安项目防毒网络结构设计

项目在C C R设置一台防毒服务器，用于管理DCS、ODS、AMS、AAS系统防毒，采用专用PC机离线更新病毒库，再通过防火墙更新防毒服务器病毒库。

病毒防护网络结构如图2所示。

图3 中安项目ODS系统网络示意图Fig.3 Network diagram of ODS system of Zhong'an project

2.2.3 中安项目ODS系统网络结构设计

此项目每个LAN均独立设置ODS局域网服务器进行数据采集，在CCR设置一台ODS中心和一台WEB服务器，用于数据处理及发布。ODS局域网服务器和ODS客户端间配置前段和后端两个防火墙。WEB服务器通过账号管理分配控制、访问权限。

3 结束语

通过“震网”病毒等一系列网络安全事件，充分反映了工业控制系统信息安全面临着严峻的形势。为了保证装置生产安全，必须从源头开始对网络安全做详尽的设计和规划，并切实在项目实施中得到落实。

通过中安项目网络规划的实施，充分验证了项目前期网络安全设计方案的科学性和实用性，也为后续类似大型煤化工项目网络安全设计、实施，提供了重要参考。