虹科案例 | 應用OPC解決方案實現控制系統數據的安全交換

一、前言

　　在過去十年中，生產現場、煉油廠、石化廠、天然氣廠以及公用事業公司之間共享過程數據的需求一直在增加。這是因為，工廠和生產基地通常位于同一地區，且需要交換原料、石腦油、乙烷以及公用事業流(例如氫氣、電力、水、蒸汽和燃氣等)，因此需要在其計量和控制系統之間實現數據交換。

　　由于化工、石油&天然氣以及公用事業公司的嚴格網絡安全政策，其與第三方系統的集成變得非常具有挑戰性。針對此類問題，虹科可以提供一個基于OPC的解決方案實現這種集成，且同時符合ISA 99網絡安全標準和不同利益相關者的安全政策。此類系統已有成功部署，實現了煉油廠、公用事業、油氣穩定化以及液化天然氣工廠的整合。

二、方案簡介

方案架構

　　擁有嚴格網絡安全政策的公司通過實施隔離區(DMZ)物理隔離和消除企業與控制網絡之間的直接通信來保護其過程控制資產，然而面臨的挑戰是如何繼續與第三方系統交換用于會計、安全和控制目的的關鍵數據，而不會引入安全風險，并且成本最低。

　　虹科基于OPC的DMZ安全解決方案允許用戶與第三方實時交換關鍵數據，同時：

　　(1)遵循所有利益相關者的安全政策并確保其數據的保密性;

　　(2)通過OPC UA接口，企業應用程序可以通過DMZ將數據安全地發送回控制系統;

　　(3)部署易于維護的體系結構，確保對抗網絡中斷的魯棒性，提供快速設置的圖形環境;

　　(4)充分利用現有基于OPC的基礎設施，避免大量的資本投資。

圖1. 基于OPC的安全DMZ解決方案架構圖

無縫數據流

　　安全DMZ托管一個沒有任何讀取或寫入功能的緩沖區，并且僅包含特定數據交換所需的標簽。位于防火墻每一側的服務器到服務器的安全傳輸將根據需要從DMZ緩沖區收集數據，然后將其傳輸到位于過程控制網絡 (PCN) 中的OPC服務器，反之亦然。

無需復雜配置加強安全性

　　所有傳輸的數據都經過加密，以確保數據的完整性和機密性，保護數據免受惡意攻擊。此外，數據訪問需要從緩沖服務器級別到標簽級別的用戶身份驗證：

　　(1)用戶身份驗證基于Active Directory，以此確認嘗試連接和訪問數據的用戶身份。同時，此機制可以阻止內部或外部網絡發出的未經授權的訪問;

　　(2)使用用戶配置文件并指定一組權限來精細化訪問權限配置，可實現對分配的用戶可以瀏覽哪些標簽，以及標簽的讀取或寫入權限的定義。

　　防火墻只需要配置授權一個TCP端口，而且公司的網絡安全團隊可以自行決定隨時更改此端口。

　　所有的安全功能都可以使用直觀的圖形界面輕松配置，而且也不需要公共證書提供商或互聯網接入。

三、方案優勢

　　基于OPC的安全DMZ解決方案有以下優勢：

　　(1)沒有繞過任何DMZ。與過程控制網絡(PCN)的所有通信都是從DMZ發起;

　　(2)遠程通信不是基于OPC Classic/DCOM;

　　(3)從網絡故障中恢復后，同側或不同側的不同組件之間的通信會自動重新建立;

　　(4)通過使用緩沖解決方案確保網絡通信中斷時不會出現數據丟失;

　　(5)防火墻只需要開放一個TCP端口，而且此端口是可配置的，不是公共或已知端口。同時，每一方可以使用不同的端口與他們的過程控制網絡(PCN)通信，不需要透露此信息給第三方;

　　(6)數據是加密的，而且對黑客來說是不可見的;

　　(7)通過OPC UA接口，生產計劃或資產優化等企業級應用程序也可以通過DMZ與控制系統安全地交換數據;

　　(8)可以從不同的域、跨VPN并通過VSAT和WAN建立遠程通信。用戶還可以微調通信超時和數據壓縮參數，以此獲得更好的網絡數據傳輸性能。

　　基于OPC的安全DMZ解決方案允許通過安全方式交換實時過程數據來集成煉油廠、公用事業、油氣穩定化和液化天然氣工廠。它在不影響安全性的情況下實施了開放式架構，使用了OPC Classic基礎架構和Active Directory，并且仍然受益于當前的行業標準，特別是OPC UA和ISA 99。

（文章來源：MatrikonOPC）