1、应用背景
某大型国有燃气公司在北京设立生产指挥调度中心,同时建设以大型分布式SCADA为核心的指挥调度系统。该公司目前在全国近20个省市拥有上百个站库,并计划在未来5年将站库规模扩大到1600个。到时中心采集的数据点数将达到30万点。中心调度系统完成功能包括:各站库所有参数的采集与存储、各站库主要参数与主要工艺画面的监视、各站库主要参数的统计及分析、各站库主要参数的图形展示、各站库主要参数的报表生成等www.cechina.cn,整个系统支持Web访问方式。
2、系统说明
由于各站库地理位置分散,从站库接入到调度中心的网络通信方式多种多样。一部分集团公司直属的站库采用集团专网,集团专网租用电信专线通过VPN实现广域网传输。其它不具备接入集团专网的站库则采用ADSL、无线等接入方式通过互联网将数据传到中心。最终构成的整个指挥调度系统的网络结构非常复杂。联网后,将导致各站库的站控网络直接暴露给集团专网或互联网。该集团专网是面向集团内各地分公司的办公网络www.cechina.cn,应用数据多样而复杂;互联网则更是一个开放网络。而由各种DCS、PLC、RTU、仪表等控制系统组成的站控系统负责完成对门站、调压站、管网的基础数据采集、控制、联锁保护等任务,因此其控制网络的安全性非常重要,一旦直接暴露给外网,就有可能因受到外网的恶性攻击、病毒感染而导致控制网络阻塞、瘫痪,甚至产生破坏和影响生产的严重后果。
3、解决方案
该燃气公司出于对各站库生产安全的考虑,选用了隔离网关pSafetyLink作为站控系统的网络安全防护装置。
隔离网关pSafetyLink通过内部的双独立主机系统,一端接入到站控系统的网络www.cechina.cn,通过采集接口完成对站控数据的采集;另一端接入到集团专网或通过ADSL、无线等方式接入到公网,完成数据到调度中心的传输。双主机之间通过专有的PSL网络隔离传输技术,截断 TCP 连接,彻底割断穿透性的 TCP 连接。PSL的物理层采用专用隔离硬件CONTROL ENGINEERING China版权所有,链路层和应用层采用私有通信协议CONTROL ENGINEERING China版权所有,数据流采用128 位以上加密方式传输,更加充分保障数据安全。PSL技术实现了数据完全自我定义、自我解析、自我审查,传输机制具有彻底不可攻击性,从根本上杜绝了非法数据的通过,确保站控制系统不会受到攻击、侵入及病毒感染。
4、总结
隔离网关pSafetyLink在燃气生产指挥调度系统中,一方面实现了对各站控系统的分布式数据采集与传输,同时彻底阻断了站控系统的控制网络与互联网络的直接网络连接,从根本上保证了站控系统的网络不会受到来自外网数据的攻击,为各站库的生产安全运行提供了保障。