今日頭條
官方微信
官方抖音
案例頻道★ 王科,劉永輝,彭乙書 上海寬域工業(yè)網(wǎng)絡設(shè)備有限公司
1 引言
隨著物聯(lián)網(wǎng)、云計算、大數(shù)據(jù)等新一代信息技術(shù)在水務行業(yè)應用與發(fā)展,智慧水務應運而生,各路資金、技術(shù)、人才紛至沓來,似有“得智慧便得天下”之勢,一些大型水務集團陸續(xù)上線了“智慧水務平臺”,許多小型水企也借著東風,相繼邁入“智慧”行列。作為一種更為精細化、動態(tài)化、智能化的水務管理模式,智慧水務對加強資源整合與共享、實現(xiàn)節(jié)能減排、助力智慧城市建設(shè)意義重大,并已成為水務行業(yè)進入高質(zhì)量發(fā)展階段的重要抓手[4]。
水務行業(yè)作為傳統(tǒng)的國有資源體系,生產(chǎn)、管理與服務措施較為保守,基礎(chǔ)數(shù)據(jù)網(wǎng)絡能力相對薄弱[3],主要體現(xiàn)在:
(1)網(wǎng)絡設(shè)備基礎(chǔ)特性偏弱。長期以來,以太網(wǎng)特性作為生產(chǎn)、管理的輔助措施,在運用過程中逐漸顯現(xiàn)出規(guī)劃不合理、設(shè)備不達標、應用不如意等一系列問題。總體而言,普通商用設(shè)備不符合工業(yè)生產(chǎn)現(xiàn)場的抗強干擾、寬溫工作、寬壓工作、自然散熱、防塵、防鹽霧等要求。
(2)時間標準不統(tǒng)一。目前,水務信息化建設(shè)缺乏整體的統(tǒng)籌規(guī)劃,大多數(shù)地區(qū)、單位根據(jù)自身業(yè)務需求,獨立開展業(yè)務,未部署統(tǒng)一的時間服務器,這導致各供排水企業(yè)已建設(shè)的信息化系統(tǒng)之間時間不統(tǒng)一,業(yè)務流程融合與共享出現(xiàn)紊亂,因此,業(yè)務協(xié)同能力仍有待提升。
智慧水務目前的工業(yè)控制系統(tǒng)邊界所采用的防火墻主要是傳統(tǒng)的信息安全領(lǐng)域防火墻,具備一般的基于五元組的網(wǎng)絡層訪問控制功能,但是無法識別工控專用協(xié)議,無法識別到自動化數(shù)據(jù),也無法針對應用層數(shù)據(jù)進行安全防護。經(jīng)調(diào)研網(wǎng)絡中存在ARP攻擊事件、外網(wǎng)對服務器的嘗試登錄攻擊、系統(tǒng)中存在使用默認口令和弱口令事件、操作系統(tǒng)漏洞沒有及時更新、工控網(wǎng)絡中存在SSDP/ARP廣播事件、管理制度不健全、工控網(wǎng)絡沒有冗余備災、存儲介質(zhì)風險未管控、非法業(yè)務事件、Modbus異常響應和非法操作未監(jiān)管等異常威脅事件。
2 總體概述
經(jīng)過長期的實踐證明,普通商用網(wǎng)絡設(shè)備不能完全滿足水務行業(yè)基礎(chǔ)數(shù)據(jù)網(wǎng)絡建設(shè)需求,由此帶來的網(wǎng)絡震蕩、丟幀、業(yè)務中斷給企業(yè)造成難以承受的影響;其次,商用設(shè)備對于工控協(xié)議如Modbus、OPC、IEC 104、PROFINET、DNP等的支持情況基本處于空白。因此,水務行業(yè)基礎(chǔ)數(shù)據(jù)網(wǎng)絡宜采用工業(yè)級設(shè)備進行部署,以確保整體網(wǎng)絡在強干擾、鹽堿腐蝕、高低溫等環(huán)境中安全、穩(wěn)定地運行,為生活、生產(chǎn)的上層應用提供支撐。深度解析工控系統(tǒng)的Modbus、DNP3、PROFINET、OPC等數(shù)十種應用協(xié)議,更好地識別攻擊行為,高度適配工控系統(tǒng),方案實施無需改造現(xiàn)有工業(yè)網(wǎng)絡和頻繁升級工控系統(tǒng),滿足《信息安全技術(shù)網(wǎng)絡安全等級保護基本要求》等保2.0的要求。
3 整體方案介紹
3.1 方案拓撲介紹(如圖1所示)
圖1 方案拓撲結(jié)構(gòu)圖
(1)總體目標
依據(jù)網(wǎng)絡安全法和等級保護國家標準《GB/T 22239-2019信息安全技術(shù)網(wǎng)絡安全等級保護基本要求》安全防護指南,結(jié)合對物理環(huán)境、區(qū)域網(wǎng)絡邊界、網(wǎng)絡環(huán)境、主機計算環(huán)境、安全管理層面等存在著的安全風險,為水廠自控系統(tǒng)安全及網(wǎng)絡安全提供有力的保障。
(2)整體防護
針對已發(fā)現(xiàn)的安全風險和未來的潛在安全威脅,結(jié)合現(xiàn)有成熟技術(shù)進行工控網(wǎng)絡安全整改與建設(shè),重點從網(wǎng)絡安全域劃分及訪問控制、網(wǎng)絡安全監(jiān)測及審計、主機安全防護、集中安全管理等方面提升工控網(wǎng)絡的安全防范能力。
(3)持續(xù)防護
以工控網(wǎng)絡安全態(tài)勢感知平臺作為工業(yè)安全集中管理中心,通過外部情報、行業(yè)情報、內(nèi)部情報及各類日志進行綜合建模分析,對網(wǎng)絡中存在的異常情況以及未來可能的攻擊行為等進行捕捉研判。以更強風險感知和識別能力為基礎(chǔ),綜合地管理風險、應對風險,為工業(yè)控制系統(tǒng)安全持續(xù)運營做好安全防護。
(4)綜合性全面考慮
整個網(wǎng)絡采用工業(yè)級交換機實現(xiàn)網(wǎng)絡互聯(lián),生產(chǎn)執(zhí)行層采用工業(yè)級交換機組成工業(yè)環(huán)網(wǎng)。具體的執(zhí)行設(shè)備因為幾乎都是嵌入式設(shè)備,不具有抵抗網(wǎng)絡攻擊的能力,采用工業(yè)防火墻以白名單的方式來保護具體的執(zhí)行設(shè)備。采用網(wǎng)管系統(tǒng)、堡壘機、態(tài)勢感知系統(tǒng)作為運維平臺,實現(xiàn)智慧運維。以工控網(wǎng)絡安全態(tài)勢感知平臺作為工業(yè)安全集中管理中心,實現(xiàn)系統(tǒng)的整體安全分析。采用北斗對時裝置為全網(wǎng)設(shè)備進行NTP和IRIG-B格式對時,從而保證智慧水務系統(tǒng)提供的數(shù)據(jù)的時間戳都是精準的。隔離裝置從物理層實現(xiàn)對辦公網(wǎng)與工控網(wǎng)的隔離,但又不影響集團智慧水務系統(tǒng)的數(shù)據(jù)展示。
3.2 穩(wěn)定性設(shè)計方向
工業(yè)網(wǎng)絡設(shè)備作為信息化應用建設(shè)的基礎(chǔ)設(shè)施,穩(wěn)定性不僅僅從硬件設(shè)備本身設(shè)計,更是從軟件協(xié)議、組網(wǎng)拓撲等方面進行體現(xiàn)。硬件設(shè)備采用工業(yè)級元器件、無風扇自然散熱等;協(xié)議方面,集成了環(huán)網(wǎng)冗余協(xié)議(Ethernet Ring Protection Switching,ERPS)和虛擬路由器冗余協(xié)議(Virtual Router Redundancy Protocol,VRRP);組網(wǎng)拓撲采用設(shè)備熱備、線路冗余的方式進行部署。如此,形成軟件、硬件、使用方式上的整體化穩(wěn)定保障[1]。
硬件全部采用無風扇高效散熱技術(shù),主板與外殼之間采用導熱硅膠片進行導熱散熱。選用導熱硅膠片主要為了減少熱源表面與散熱器件接觸面之間產(chǎn)生的接觸熱阻,導熱硅膠片可以很好地填充接觸面的間隙;導熱硅膠片的補充,可以使發(fā)熱源和散熱器之間的接觸面更好地充分接觸,真正做到面對面的接觸,在溫度上的反應可以達到盡量小的溫差;導熱硅膠片不僅具有絕緣性能,還有減震吸音的效果。
其次,采用凹凸表面散熱技術(shù),加大發(fā)熱體表面的粗糙度,增加熱輻射體表面面積,使機箱內(nèi)的熱能量更容易散發(fā)出去。
3.3 節(jié)能建設(shè)
為滿足不通行業(yè)基礎(chǔ)數(shù)據(jù)網(wǎng)絡通信對節(jié)能的要求,特別是對于工業(yè)網(wǎng)絡設(shè)備有本質(zhì)安全和低功耗要求的,這就要求工業(yè)以太網(wǎng)交換機在寬壓條件下還滿足低功耗特點。經(jīng)查業(yè)界主流工業(yè)網(wǎng)絡和安全設(shè)備廠商參數(shù)中滿配滿負荷條件下功耗最低可小于5W,最高可不大于30W,此類產(chǎn)品在水務行業(yè)的投運必將進一步降低生產(chǎn)、管理所需的能耗投入,為節(jié)能建設(shè)提供重要的支撐,助力國家2030碳峰值目標。
3.4 智慧支撐
大部分網(wǎng)絡設(shè)備都有自己的本地時鐘,這些時鐘每天會產(chǎn)生數(shù)秒、數(shù)分鐘的自走時誤差。經(jīng)過長期運行,時間偏差會越來越大,導致設(shè)備之間的時間各不相同,這種偏差在單機中影響不大,但在網(wǎng)絡環(huán)境下的應用中便會引發(fā)嚴重的問題。從業(yè)務影響角度講,因為時間的不統(tǒng)一,就無法推斷出業(yè)務具體發(fā)時間,導致數(shù)據(jù)錯亂。從安全影響角度講,所有設(shè)備的日志必須反映準確的時間,因為時間的不統(tǒng)一,安全相關(guān)工具就會毫無用處[2]。
網(wǎng)絡中設(shè)備對時間的需求:多個系統(tǒng)協(xié)同處理同一個比較復雜的事件;保證正確的執(zhí)行順序,多個系統(tǒng)必須參考同一時鐘;備份服務器和客戶端之間進行增量備份時,要求備份服務器和所有客戶端之間的時鐘同步等。
目前水處理自動化的發(fā)展趨勢是集中化、復雜化、功能獨立化,各種系統(tǒng)間相互獨立又互相聯(lián)系。為了方便事故查詢和故障分析,各系統(tǒng)之間應保持時鐘一致。
智慧化分析供排水系統(tǒng)中各個環(huán)節(jié)可能出現(xiàn)的問題、影響大小及可能幾率,從而采取措施、做出判斷與決策,使風險降到最低;由此,時鐘同步至關(guān)重要。時鐘同步,就是通過對本地時鐘的某些操作,達到為分布式系統(tǒng)提供一個統(tǒng)一時間標度的過程,對智慧化提供有力的支撐。
4 結(jié)語
總而言之,現(xiàn)階段國內(nèi)城市水務行業(yè)的信息化發(fā)展現(xiàn)狀不容樂觀,雖然取得了一定的成效,但是也存在著各種各樣的問題。對此,政府部門從戰(zhàn)略層面上,出臺了一系列的優(yōu)惠政策,水務企業(yè)應該借此良機,結(jié)合當下工業(yè)互聯(lián)網(wǎng)先進的技術(shù)及管理方式,對自身進行改革與創(chuàng)新,立足市場經(jīng)濟的大背景,讓水務行業(yè)更安全、穩(wěn)定、節(jié)能,推動水務行業(yè)的可持續(xù)發(fā)展。AP
作者簡介
王 科(1987-),男,山東濰坊人,學士,現(xiàn)任上海寬域工業(yè)網(wǎng)絡設(shè)備有限公司市場部總監(jiān)、網(wǎng)絡安全產(chǎn)品總監(jiān),主要研究方向為工業(yè)互聯(lián)網(wǎng)網(wǎng)絡安全解決方案、網(wǎng)絡安全相關(guān)的技術(shù)和標準。
劉永輝(1990-),男,四川資陽人,高級工程師,學士,現(xiàn)就職于上海寬域工業(yè)網(wǎng)絡設(shè)備有限公司技術(shù)中心,主要研究方向為工業(yè)互聯(lián)網(wǎng)。
彭乙書(1994-),男,四川南充人,高級工程師,學士,現(xiàn)就職于上海寬域工業(yè)網(wǎng)絡設(shè)備有限公司技術(shù)中心,主要研究方向為工業(yè)互聯(lián)網(wǎng)。
參考文獻:
[1] 王占華. 水利信息化資源整合共享頂層設(shè)計助推智慧水利發(fā)展[J]. 治淮, 2017, (2) : 32 - 33.
[2] 成建國, 錢峰, 艾萍. 國家水利數(shù)據(jù)中心建設(shè)方案研究[J]. 中國水利, 2008, (19) : 32 - 34.
[3] 謝希仁. 計算機網(wǎng)絡(第8版)[M]. 北京:電子工業(yè)出版社. 2021.
[4] 張振山, 范德昌. 智慧水務安全挑戰(zhàn)與應對措施[J]. 中國信息化, 2020, (12) : 63 - 64.
摘自《自動化博覽》2022年1月刊暨《工業(yè)控制系統(tǒng)信息安全專刊(第八輯)》
北京市公安局海淀分局備案號:11010802023656號