基于虚拟化技术的石化企业过程信息集成的安全策略.pdfVIP

收稿日期：2013-08-13; 修回日期：2013-09-20 作者简介：曹卫民(1967—)，男，安徽安庆，硕士，高级工程师，从事企业信息化、系统集成、生产数据管理等方面的研究 联系人：曹卫民，E-mail: caowm.aqsh@ 第 30 卷 第 11 期 2013 年 11 月 28 日 计算机与应用化学 Computers and Applied Chemistry Vol.30, No.11 November 28, 2013 基于虚拟化技术的石化企业过程信息集成的安全策略 曹卫民 (中石化安庆分公司，安徽，安庆，246001) 摘要：本文研究探讨了一种基于虚拟化技术的石化企业过程信息集成的安全策略。在石化企业的办公网/生产专网/控制网络 3 层结构中，将安全内嵌到基础架构中并进行虚拟化，建立安全服务管理中心对生产专网的安全进行管控和预警，同时将安全作 为服务进行交付，从而改变了传统的安全模式。还通过采用虚拟防火墙，结合 OPC 服务器分配的动态端口进行限定的方法， 进行安全数采从而提升与控制系统接口的安全。结合企业现有情况，进行了过程信息集成的安全策略的部署和应用，提高了网 络的安全。 关键词：虚拟化技术；虚拟防火墙；OPC；信息安全 中图分类号：TP393.09 文献标识码：B 文章编号：1001-4160(2013)11-1363-1366 DOI: 10.11719/com.app.che 1 引言 石化企业高度重视安全生产工作，将安全生产作为 企业头等大事来抓，如何实现本质安全，涉及到企业管 理的方方面面。过程控制系统在石化企业得到广泛使用， 生产过程信息集成目前已成为石化企业的基础应用。过 程控制系统的信息安全事关工业生产运行、国家经济安 全和人民生命财产安全，因此研究和部署生产过程控制 系统的信息安全策略也显得尤其重要 [1-3] 。 只要有信息集成就会带来信息安全风险，系统集成 的信息安全也得到了应有的重视，也历经了几代应用发 展 [1] 。随着新技术的应用，信息安全出现了从物理世界向 虚拟世界转变和发展的趋势，对石化企业过程信息集成 安全的建设成为当务之急。 2 过程信息集成的安全问题 2.1 石化企业 3 层网络结构与安全威胁 随着技术进步，目前国内石化企业的过程控制系统 的应用类型出现了多种形式[1,3]。传统的石化企业将传统 的本地仪表控制逐步改造成集散控制系统(DCS)系统，导 致一个企业有很多套DCS系统，而且DCS系统的厂家和 产品五花八门。近年来，随着国产DCS产品在关键石化 装置上的成熟应用，在新建的石化企业项目中整个企业 采用一套DCS系统对十几套至几十套生产装置进行集中 控制。在老企业的油品质量升级和扩容改造项目中，对 新建的装置采用一套控制系统，一套DCS系统对十几套 生产装置进行集中控制，因此在这些企业里就出现了“混 合型”的过程控制系统，如图 1 所示。 针对上述不同类型的企业过程控制网络，需要采用 合适的石化企业过程信息集成方案。在以前的工作中， 我们提出了将企业网络由管理网/控制网络 2 层结构改造 成办公网/生产专网/控制网络 3 层结构[4-5]。在 3 层网络 结构中的每层网络的边界就比较清晰，生产专网作为一 个网络层次，上连企业办公网络，下接分散的各种控制 系统。 Fig.1 The diagram of “hybrid” structure of process control system. 图 1 企业过程控制系统“混合型”结构示意图 另外，过程控制系统与工厂管理信息系统的信息集 成标准逐步归一化为OLE for Process Control(OPC)协议。 应用 OPC 技术简化了接口开发难度和维护成本，但是开 放的接口、标准的工业以太网协议、WINDOWS/INTEL 的人机交互系统、大众化的计算机知识普及，同样降低 了攻击难度，为过程控制系统带来了安全威胁。 在企业 3 层网络结构下，对过程控制系统的安全威 胁来源有 3 个方面：对控制系统的直接攻击、来自生产 专网的攻击、来自办公网经由生产专网对控制系统的攻 击，如图 2 所示。 Fig.2 Threat sources of process control system. 图 2 企业过程控制系统受到的威胁源 计算机与应用化学 2013, 30(11) 13