炼化企业MES系统实时数据采集安全方案探究.docVIP

炼化企业MES系统实时数据采集安全方案探究 　　摘要：该文以Honeywell公司MES系统在石化企业的实施应用为背景，针对两网融合给控制网带来的安全威胁，论文从当前的MES业务应用和信息技术发展现状出发，分析了MES系统实时数据采集中的安全需求以及当前典型的安全防护产品，提出了石化企业MES系统实时数据采集的安全方案。 关键词：MES；两网融合；安全防护 中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2013）16-3704-03 1 研究背景 随着生产执行系统（简称MES）在我国炼油与化工企业的实施应用，大部分石化企业逐步实现了数据采集自动化、操作日志电子化、生产管理精细化、绩效考核标准化等目标，MES系统逐渐成为炼化企业生产运行不可或缺的信息平台，深受广大生产管理人员的欢迎。另一方，MES系统的实施推进了管理网与生产网的两网融合，企业网络应用的范围不断扩大，网络越来越开放，安全问题也日加突出和严峻，各种安全问题诸如病毒攻击、网络入侵和数据泄露等已广泛引起各国政府和企业管理层的高度重视，尤其对对生产控制系统的安全构成了重大威胁。 2011年9月，工信部下发了045号文件《关于加强工业控制系统信息安全管理的通知》，明确要求工业控制系统与公共网络连接时，必须设置防火墙、单向隔离等措施，确保系统自身安全，避免对工业生产带来重大损失。 2 现状分析 2.1 安全隐患突出 2.2 主流的安全防护技术 目前，网络安全技术、入侵检测技术（IDS）、虚拟专用网络（VPN）、防病毒、防火墙等，均不能实现网络在OSI 7层上的完全隔离，不能有效保证MES对DCS控制系统不造成安全性风险。当前，业内主要是采用网络隔离技术解决两个不同安全域网络的互联问题，各国政府和跨国型企业都在大力研发和应用该技术。网络隔离技术经过长期的发展和应用，目前已经发展到了第五代。第一代隔离技术采取的是绝对的物理隔离，将不同网络从物理上隔开，从而产生了信息孤岛；第二代网络隔离技术采用的是硬件卡；第三代隔离技术采用将数据包进行转发；第四代网络隔离技术中引进了空气开关进行隔离；最新的第五代隔离技术采用的是安全通道隔离技术[1]。第五代网络隔离技术使用专用通信硬件，采用私有安全协议来实现内部网络与外部网络的隔离和数据传递，这种方式解决了前几代隔离技术的不足，不但安全地将内部外部网络分离，同时还保证了两网之间数据传递的高效安全，已成为当前隔离技术的主流发展方向。这种数据传输技术的核心是采用信息摆渡[2]，物理传输信道只是在传输进行时建立，信息传输时先由信息源所在区域一端传输到中间缓存区域，同时物理上断开中间缓存区域与信息目的地所在区域的网络连接，然后连通中间缓存区域与信息目的地所在区域的数据传输信道，将信息安全传输至目的区域，此时在信道上物理断开信息源所在区域与中间缓存区域的连接。这保证了在任意时刻，中间缓存区域只与一个区域安全相连。与防火墙技术相比，防火墙技术是在保证信息传输的情况下，尽力保证系统的安全性；而网络隔离技术正好与之相反，是在保证系统安全的情况下，实现与外部的数据交换，一旦出现不安全的情形则断开连接，网络隔离的任务是解决和防范当前信息系统存在中的各种安全隐患：操作系统漏洞、TCP/IP漏洞、应用协议漏洞、链路连接漏洞、安全策略漏洞等。因此，网络隔离技术是目前解决上述安全问题的唯一有效技术手段。 目前，工业领域用于保护控制网络安全的网络隔离产品有网闸、工业网络安全防护网关等。这些隔离设备几乎都是采用了本文所提到的第五代隔离技术，在此基础上进行了开发和应用。这些隔离设备的核心是在OSI模型的七层上断开网络连接，利用“2+1”式的三模块架构，也就是产品内包括两种系统和一个私有的安全通道隔离单元用于交换数据。这种架构的好处是连接内部与外网的两个主机的网络是完全断开的，剥离了TCP/IP协议，剥离了应用协议，在完成数据的安全交换后再进行通信协议的恢复和重建。通过TCP/IP协议的剥离和重建技术消除了TCP/IP协议存在的漏洞。通过在应用层对应用协议进行剥离和重建，防范了应用协议漏洞，与此同时还可以达到针对应用协议实现一些更为有效的访问控制，从而阻挡当前TCP/IP存在的所有攻击。 2.3典型安全隔离产品介绍 一类是网闸。网闸产品的出现比较早，主要用于解决涉密网络与外部网络间的数据传递问题。网闸产品主要用于政府和企业中涉密业务比较多的办公系统，它提供的功能也以通用的互联网为主。 二是工业网络安全防护网关。工业网络安全防护网关是近几年新发展的的专门应用于工业领域的网络安全防护产品，主要采用“2+1”的三模块架构，内置双套操作系统，通信隔离单元通过总线技术建立安全通道来保障数据交