虹科案例 | 應(yīng)用OPC解決方案實(shí)現(xiàn)控制系統(tǒng)數(shù)據(jù)的安全交換

IIoT

應(yīng)用OPC解決方案實(shí)現(xiàn)控制

系統(tǒng)數(shù)據(jù)的安全交換

HongKe Technology

虹

/

科

/

方

/

案

01

前 言

在過去十年中，生產(chǎn)現(xiàn)場、煉油廠、石化廠、天然氣廠以及公用事業(yè)公司之間共享過程數(shù)據(jù)的需求一直在增加。這是因?yàn)椋S和生產(chǎn)基地通常位于同一地區(qū)，且需要交換原料、石腦油、乙烷以及公用事業(yè)流（例如氫氣、電力、水、蒸汽和燃?xì)獾龋?，因此需要在其?jì)量和控制系統(tǒng)之間實(shí)現(xiàn)數(shù)據(jù)交換。

由于化工、石油&天然氣以及公用事業(yè)公司的嚴(yán)格網(wǎng)絡(luò)安全政策，其與第三方系統(tǒng)的集成變得非常具有挑戰(zhàn)性。針對此類問題，虹科可以提供一個(gè)基于OPC的解決方案實(shí)現(xiàn)這種集成，且同時(shí)符合ISA 99網(wǎng)絡(luò)安全標(biāo)準(zhǔn)和不同利益相關(guān)者的安全政策。此類系統(tǒng)已有成功部署，實(shí)現(xiàn)了煉油廠、公用事業(yè)、油氣穩(wěn)定化以及液化天然氣工廠的整合。

02

方案簡 介

方案架構(gòu)

擁有嚴(yán)格網(wǎng)絡(luò)安全政策的公司通過實(shí)施隔離區(qū)（DMZ）物理隔離和消除企業(yè)與控制網(wǎng)絡(luò)之間的直接通信來保護(hù)其過程控制資產(chǎn)，然而面臨的挑戰(zhàn)是如何繼續(xù)與第三方系統(tǒng)交換用于會(huì)計(jì)、安全和控制目的的關(guān)鍵數(shù)據(jù)，而不會(huì)引入安全風(fēng)險(xiǎn)，并且成本最低。

虹科基于OPC的DMZ安全解決方案允許用戶與第三方實(shí)時(shí)交換關(guān)鍵數(shù)據(jù)，同時(shí)：

（1）遵循所有利益相關(guān)者的安全政策并確保其數(shù)據(jù)的保密性；

（2）通過OPC UA接口，企業(yè)應(yīng)用程序可以通過DMZ將數(shù)據(jù)安全地發(fā)送回控制系統(tǒng)；

（3）部署易于維護(hù)的體系結(jié)構(gòu)，確保對抗網(wǎng)絡(luò)中斷的魯棒性，提供快速設(shè)置的圖形環(huán)境；

（4）充分利用現(xiàn)有基于OPC的基礎(chǔ)設(shè)施，避免大量的資本投資。

圖1. 基于OPC的安全DMZ解決方案架構(gòu)圖

無縫數(shù)據(jù)流

安全DMZ托管一個(gè)沒有任何讀取或?qū)懭牍δ艿木彌_區(qū)，并且僅包含特定數(shù)據(jù)交換所需的標(biāo)簽。位于防火墻每一側(cè)的服務(wù)器到服務(wù)器的安全傳輸將根據(jù)需要從DMZ緩沖區(qū)收集數(shù)據(jù)，然后將其傳輸?shù)轿挥谶^程控制網(wǎng)絡(luò) (PCN) 中的OPC服務(wù)器，反之亦然。

無需復(fù)雜配置加強(qiáng)安全性

所有傳輸?shù)臄?shù)據(jù)都經(jīng)過加密，以確保數(shù)據(jù)的完整性和機(jī)密性，保護(hù)數(shù)據(jù)免受惡意攻擊。此外，數(shù)據(jù)訪問需要從緩沖服務(wù)器級別到標(biāo)簽級別的用戶身份驗(yàn)證：

（1）用戶身份驗(yàn)證基于Active Directory，以此確認(rèn)嘗試連接和訪問數(shù)據(jù)的用戶身份。同時(shí)，此機(jī)制可以阻止內(nèi)部或外部網(wǎng)絡(luò)發(fā)出的未經(jīng)授權(quán)的訪問；

（2）使用用戶配置文件并指定一組權(quán)限來精細(xì)化訪問權(quán)限配置，可實(shí)現(xiàn)對分配的用戶可以瀏覽哪些標(biāo)簽，以及標(biāo)簽的讀取或?qū)懭霗?quán)限的定義。

防火墻只需要配置授權(quán)一個(gè)TCP端口，而且公司的網(wǎng)絡(luò)安全團(tuán)隊(duì)可以自行決定隨時(shí)更改此端口。

所有的安全功能都可以使用直觀的圖形界面輕松配置，而且也不需要公共證書提供商或互聯(lián)網(wǎng)接入。

03

方 案 優(yōu) 勢

基于OPC的安全DMZ解決方案有以下優(yōu)勢：

（1）沒有繞過任何DMZ。與過程控制網(wǎng)絡(luò)（PCN）的所有通信都是從DMZ發(fā)起；

（2）遠(yuǎn)程通信不是基于OPC Classic/DCOM；

（3）從網(wǎng)絡(luò)故障中恢復(fù)后，同側(cè)或不同側(cè)的不同組件之間的通信會(huì)自動(dòng)重新建立；

（4）通過使用緩沖解決方案確保網(wǎng)絡(luò)通信中斷時(shí)不會(huì)出現(xiàn)數(shù)據(jù)丟失；

（5）防火墻只需要開放一個(gè)TCP端口，而且此端口是可配置的，不是公共或已知端口。同時(shí)，每一方可以使用不同的端口與他們的過程控制網(wǎng)絡(luò)（PCN）通信，不需要透露此信息給第三方；

（6）數(shù)據(jù)是加密的，而且對黑客來說是不可見的；

（7）通過OPC UA接口，生產(chǎn)計(jì)劃或資產(chǎn)優(yōu)化等企業(yè)級應(yīng)用程序也可以通過DMZ與控制系統(tǒng)安全地交換數(shù)據(jù)；

（8）可以從不同的域、跨VPN并通過VSAT和WAN建立遠(yuǎn)程通信。用戶還可以微調(diào)通信超時(shí)和數(shù)據(jù)壓縮參數(shù)，以此獲得更好的網(wǎng)絡(luò)數(shù)據(jù)傳輸性能。

基于OPC的安全DMZ解決方案允許通過安全方式交換實(shí)時(shí)過程數(shù)據(jù)來集成煉油廠、公用事業(yè)、油氣穩(wěn)定化和液化天然氣工廠。它在不影響安全性的情況下實(shí)施了開放式架構(gòu)，使用了OPC Classic基礎(chǔ)架構(gòu)和Active Directory，并且仍然受益于當(dāng)前的行業(yè)標(biāo)準(zhǔn)，特別是OPC UA和ISA 99。

虹科--工業(yè)物聯(lián)網(wǎng)

虹科是一家在工業(yè)物聯(lián)網(wǎng)IIoT行業(yè)經(jīng)驗(yàn)超過3年的高科技公司，虹科與世界領(lǐng)域頂級公司包括EXOR、KUNBUS、Unitronics、Matrikon、mySCADA等合作，提供先進(jìn)的高端工業(yè)4.0 工業(yè)觸摸屏、高端邊緣計(jì)算網(wǎng)關(guān)、IoT開發(fā)框架、PLC與HMI一體機(jī)、OPC UA、工業(yè)級樹莓派、SCADA等解決方案。物聯(lián)網(wǎng)事業(yè)部所有成員都受過專業(yè)培訓(xùn)，并獲得專業(yè)資格認(rèn)證，平均3年+的技術(shù)經(jīng)驗(yàn)和水平一致贏得客戶極好口碑。我們積極參與行業(yè)協(xié)會(huì)的工作，為推廣先進(jìn)技術(shù)的普及做出了重要貢獻(xiàn)。至今，虹科已經(jīng)為行業(yè)內(nèi)諸多用戶提供從硬件到軟件的不同方案，并參與和協(xié)助了眾多OEM的設(shè)備研發(fā)和移植項(xiàng)目，以及終端用戶的智能工廠和工業(yè)4.0升級改造項(xiàng)目。