1.   項目背景

旭陽集團1995年創立于河北邢臺，是香港上市公司（股份代號01907.HK），由煤化工起步，依據“縱向一體化”模式不斷延伸產業鏈，經過二十七年的發展，現已成為集焦炭、化工、運營管理服務、貿易、科技、地產等業務板塊協同發展的大型企業集團。集團總部設在北京，擁有河北邢臺、定州、樂亭、滄州，山東鄆城、東明，內蒙古呼和浩特、山西孝義、河南平頂山9個現有生產園區，河北曹妃甸、江西萍鄉2個籌備園區，印尼1個在建園區。旭陽集團連續12年位列“中國企業500強”，“中國化工企業50強”。

工業控制系統的信息安全是集團各生產園區網絡安全的重中之重，工控系統安全是保障順利生產的根本要素之一。旭陽集團下屬各園區中，除少數園區建設了實時數據庫系統之外，仍有一半以上的園區尚未建設實時數據庫系統，隨著園區信息化程度的不斷提高，對信息化、自動化的需求不斷提升，各園區對實時數據庫系統的建設也都提出了不同的時間要求，建設實時數據庫系統，是為打通底層控制系統與上層應用之間的數據鏈路，如此就涉及到如何有效保護底層控制系統的網絡安全問題。鑒于此，并結合旭陽集團鄆城園區當前的工控網絡安全建設需求，以鄆城園區為試點，由集團統一對工控網絡安全設備進行采購。

2.   項目目標

根據國家對工業控制系統信息安全防護相關的指南和要求，結合旭陽各園區自身的網絡建設以及信息化建設情況，并滿足上層應用對數據采集的信息需求，合理規劃設計工業網絡安全方案，部署網絡安全設備，有效保障工業控制系統的信息安全，防止病毒縱向入侵以及橫向傳播，同時可以有效快速的為上層數據采集提供鏈路通道，為各類信息化應用系統對實時數據的需求提供支撐。

3.   技術方案

3.1   項目范圍

本次項目實施范圍為旭陽集團鄆城園區，包括生產控制系統，園區網絡建設分為生產網和控制網兩層，生產網為各類信息化系統、實時數據庫等部署層，控制網在控制系統與生產網之間，本項目的工業網絡安全設備部署在此節點，達到對生產和控制網的安全隔離效果。46套控制系統中均已配備OPC Server為前提，通過OPC Server所在設備提供網絡接口。

3.2   詳細設計

在數采網絡中，數據源主要為DCS的OPC Server，大量使用主從方式通訊的OPC協議進行周期性的數據采集，由于OPC協議在建立連接后使用動態端口進行數據通訊，需要設備通過源端口與目的端口對OPC協議進行訪問控制，因此采用安全性能更高的工業網閘實現網絡隔離和OPC協議數據擺渡。工業網閘部署在數采機和各系統數據源之間，同時解決數據采集問題和安全問題。

1、在凈水廠組態軟件所在WINCC服務器與數采機之間部署工業網閘；

2、在己二酸消防WINCC服務器、己二酸中控室DCS的OPC Server服務器、二元酸中控室DCS的OPC Server服務器、三污中控室WINCC服務器與數采機之間部署工業網閘；

3、在熱電中控室、熱電二期汽輪、熱點化產火炬WINCC服務器與數采機之間部署工業網閘，在熱電脫硫中控室DCS的OPC Server服務器、熱電輸煤中控室WINCC服務器、熱電除塵站WINCC服務器與數采機之間部署工業網閘。

4、在熱電化水裝置WINCC服務器、熱點一期鍋爐、二合一中控室與數采機之間部署工業網閘，在合成氨循環水WINCC服務器、一期硝酸中控室、消防水泵房WINC與數采機之間部署工業網閘，在二期硝酸中控室、化產空壓WINCC服務器、冷鼓中控室中控DCS的OPC Server服務器與數采機之間部署工業網閘，在化產中控室、煉焦中控室、十熄焦中控室與數采機之間部署工業網閘，在煉焦脫硫脫硝DCS的OPC Server服務器、焦爐地面除塵站、備煤中控室與數采機之間部署工業網閘，在堿精制中控室DCS的OPC Server服務器、環乙酮中控室DCS的OPC Server服務器與數采機之間部署工業網閘；
在合成氨富氧中控室、合成氨天然氣制氫DCS的OPC Server服務器、合成氨中控室DCS的OPC Server服務器與數采機之間部署工業網閘。

以上部署的工業網閘由內、外網處理單元和安全數據交換單元組成。安全數據交換單元在內外網主機間按照指定的周期進行安全數據的擺渡。從而在保證生產控制網隔離的情況下，實現可靠、高效的安全數據交換，而所有這些復雜的操作均由隔離系統自動完成，用戶只需依據自身業務特點定制合適的安全策略既可實現內外網絡進行安全數據通信，在保障用戶信息系統安全性的同時，最大限度保證客戶應用的方便性。

本項目選用的產品為力控華康IN-GAPS 2000工業安全隔離與信息交換系統產品，該產品不僅實現了傳統網閘用于控制網絡與信息網絡之間的隔離、數據擺渡和不同區域間的攻擊防護，同時也實現了對工業網絡協議和工業網絡中大量的測點數據進行細粒度的管理。

3.3   產品特點

工業測點級訪問控制

支持工業協議深度解析，針對測點深入到ITEM、寄存器地址等進行訪問控制，對測點進行可見范圍和讀寫權限控制。

指定哪些測點允許接入，實對設備數據讀取范圍的控制。當存在多個監控系統時，則實現設備數據的定向傳輸。讀寫權限修改為‘只讀’時，所有數據被禁止修改，則實現數據單向傳輸，保護設備數據安全。

專業工業數據采集轉發

支持多種工業協議數據采集，通過配置采集點表針對性的采集特定格式數據和頻率。將采集數據進行統一協議轉換，支持一對一，一對多，多對多采集轉發。

視頻、數據庫同步

使用自主開發的數據傳輸方式支持視頻傳輸、匯聚功能，關系型數據庫同步和異構同步。

應用層攻擊防護

支持網絡邊界安全基礎防護和應用識別管理、IPS入侵檢測、DDOS等攻擊防護、AV防病毒、WEB應用防護、流量管理、負載均衡等。

數據斷線緩存

工業控制網絡對于數據的連續性要求極高，IN-GAPS2000可以在網絡中斷時將數據緩存在本地隔離設備中，當網絡連接恢復時將緩存的數據補報到監控系統中，保證數據的連續性。

3.4   用戶價值

1、 IN-GAPS 2000工業安全隔離與信息交換系統產品支持OPC、Modbus TCP（ASCII/RTU）、IEC104、DNP3、SIEMENS S7、PROFIBUS/DP、PROFINET、PI、PHD等常見工業通信協議的深度檢測、指令、功能碼的控制。并且系統可通過導入協議分析模塊來支持更多的工業通信協議的控制。系統也可對特定的功能碼或通信內容做白、黑名單的內容過濾。

2、 IN-GAPS 2000工業安全隔離與信息交換系統產品實現兩個安全區之間的非網絡方式的安全的數據交換，并且保證內外兩個處理系統不同時連通，防止穿透性網絡連接，如禁止兩個網絡之間直接建立TCP/UDP聯接，保障應用數據的安全傳輸

3、IN-GAPS 2000工業安全隔離與信息交換系統產品具備配套的管理軟件，能夠提供對設備的調試、運維管理功能，并負責進行軟件配置、測試等內容。

4.   項目成果

本項目力控華康完成了鄆城園區網絡安全設備的安裝、調試工作，包括與生產控制系統的通訊采集調試以及與上層實時庫系統的數據通訊調試等工作。同時，對用戶進行技術培訓，以達到用戶可完成基礎運維的效果，得到了客戶的高度贊揚。