工业控制系统安全管理平台与管理信息数据融合的架构研究

作者 | 王晓玲

中国海洋石油总公司信息管理部技术中心

摘要：前端现场工控系统产生的数据的采集和利用对企业的生产经营管理具有重要意义。除了将这些实时采集的数据应用到生产预警和维护上，能否通过集团统一的数据分析平台，利用一些大数据的手段与管理信息相结合，发挥更大的作用，是本文要探讨的问题。 . . 对企业应用程序数据的需求不断增长，加剧了这些问题。

本文在实际试点的基础上，阐述了安全采集实时工控数据并与现有管理信息数据集成的架构。工控系统安全管理平台的建立，可以保证工控系统的安全高效应用。在这个过程中，如何利用分布式和集中式的方式获得更好的实际效果，需要考虑数据采集安全、数据传输安全和处理性能等关键因素。

关键词：CIMS；企业资源规划；双; 客户关系管理；办公自动化

当前，我国工业正处于转型升级的关键时期。国际产业竞争日趋激烈，核心竞争力不足、资源环境约束加剧、要素成本上升等矛盾日益突出。全球范围内新一轮科技革命和产业变革正在兴起。把握重大战略时期新机遇，大力推进两化深度融合，以信息化带动工业化，以工业化促进信息化，破解当前发展瓶颈，促进产业转型升级，走新型工业化道路；进而带动整个中国工业从根本上改变结构和格局，赶超世界先进水平。借助这些有力有效的举措，两化融合进一步提高了企业的效率，提高了运营效率，降低了成本，实现了更先进的生产方式，助力企业从数字化向智能化升级。

1 实时数据库定位及应用的基本情况

1.1实时数据库所在企业信息架构中的位置

在大数据时代，实时生产数据是大数据分析、运营管理和决策支持的重要数据源。缺乏实时生产数据会影响大数据分析的全面性，进而影响决策的敏捷性、前瞻性和准确性。.

生产实时数据库系统是实时控制系统、数据采集系统、CIMS()系统等开发的配套软件。帮助企业的专业管理部门利用这些关键的实时信息进行改进生产和销售的运营效率。

(1）在流程工业中，大量实时数据库系统用于控制系统监控、系统先进控制和优化控制，为企业生产管理和调度、数据分析提供实时数据服务，决策支持和远程在线浏览和各种数据管理功能。

（2）实时数据库已经成为企业信息化的基础数据平台，可以直接实时采集和获取企业运营过程中的各种数据，并将其转化为对各项业务有效的公共信息，所以为满足企业生产的需要，管理、企业过程监控、企业管理之间实时信息完整性、一致性、安全共享的需要，可以为企业自动化系统和管理信息系统之间的信息沟通架起一座桥梁。

实时数据库在企业信息架构中的位置如图1所示。

图1 企业信息架构

1.2两化融合的现状

公司围绕“整合数据资源，深化系统应用”主线，聚焦生产经营信息化，封闭服务生产，推动两化深度融合，持续推进数字化建设工厂和数字油田，取得了显著成效；

基于精准经营决策分析的支撑，集团新材料标准发布和数据清洗及信息系统切换的实施，大大提升了材料主数据的质量，为大数据创新应用奠定了数据基础。生产经营管理；

按照“智慧油田”总体规划，稳步推进油田装备设施和生产智能化一体化体系试点，智慧油田建设初见成效；

炼化公司实施工程设计一体化协同平台，逐步建立中下游工程图元库和信息规范，为中下游工程项目建设提供技术支持和“一体化交付”服务，推进“数字工厂”建设。

“数字化工厂”代表了企业“两化融合”的最新成果。“数字化工厂”实现工业控制系统和企业管理系统（ERP、CRM、BI等）的集成，实现工厂运营数据、生产数据甚至实时生产数据的全面采集和处理，真正提供管理者以360度视角，未来将利用大数据技术实现全数据分析、实时预警、精准预测等智能化功能，从而实现从“数字工厂”到“数字化工厂”的巨大飞跃。 “智能工厂”。

在构建包括生产经营数据和管理信息数据的分析平台的过程中，自下而上主要分为以下几个层次：

(1）数据采集层：包括生产管理层、生产执行层、设备控制层和现场设备层。主要服务于数据共享与集成层。采集的数据应进入数据共享与集成中心，供企业使用。下一步大数据应用与分析。

(2）数据共享与集成层：将各种分布式数据通过通用连接器连接到高性能数据仓库和大数据平台，为下一步应用处理打下基础。

(3）数据处理层：根据不同的生产经营主题细分。

(4）数据分析层：对处理后的数据进行建模和分析。

（5）数据表现层：通过手机APP、浏览器、OA灵活呈现数据分析结果。

图2是特定层次结构的示意图。

图2 企业数字化工厂架构图

目前，该层级结构的总体设计已经完成，并通过了企业内部技术委员会的审核。后期将进行试点推广应用。

1.3 实时数据库建设及应用中存在的问题

生产实时数据库对于工艺系统中的生产设备等企业资产，如果没有生产实时数据的支持，就无法满足精细化设备物料管理的需求，包括对静态信息和统一管理的需求。动态信息。在原有的系统架构中，生产专业系统和管理信息系统ERP相对独立。公司管理层难以及时获取生产应用层数据，相关数据只能手动导入甚至丢失，影响报表分析和辅助决策。由于前期对企业集团内大量二级单位的调查了解，

大数据基础平台作为数据集成平台，要求生产实时数据具备全面的数据采集能力、数据连接能力、工具标准化数据输出能力。数据只有经过沟通、整合和共享来实现自动化,数字化管理,在生产上采用cims(，才能通过大数据应用和分析实现数据的价值。但是，各个厂商的产品软件不仅不统一，而且功能上也存在巨大差异。有的产品只能实现生产数据的实时采集（采集性能也参差不齐），有的只能实现生产数据和管理数据的本地连接。网络远程传输功能。在接口方面，存在开发成本高、数据传输效率低、

随着数据积累的增加，企业在生产实时大数据技术方面面临的困难和挑战也越来越明显。由于在大数据分析中使用生产实时数据在能源行业仍处于探索阶段，是一个创新的过程。整体道路有曲折。经过前期试点的调研核实，不止一个单位经历了从模糊到清晰，从无能到有能力的过程。在这个项目中也存在同样的情况，即随时存在组内重复发生和变化的风险。

随着企业在实时数据库生产中面临的困难和挑战，各二级单位在数据采集方面对减轻数据负担和系统集成提出了强烈要求。各单位希望有一个统一的数据统一管理平台，不允许现场人员为多个专业系统重复手动采集和录入数据；实现实时数据的自动采集、生产日报的自动生成，实现单井测试和产量分配。生产、出口作业、货油舱、日常作业报告等报表应用；装备专业还需要对关键装备进行实时状态跟踪分析，油气生产技术和油藏动态分析专业需要电潜泵监测分析等；操作区 该层希望通过一个平台对现场数据进行管理，充分利用现场实时数据、结构化数据、文档等，通过前台的展示、导出和界面自动传输功能系统，满足各专业系统和管理层次的数据需求；作业区和分公司的管理希望实现现场生产过程的可视化管理，实现关键设备和生产过程的远程模拟和监控，方便远程诊断和应急支持。操作区 该层希望通过一个平台对现场数据进行管理，充分利用现场实时数据、结构化数据、文档等，通过前台的展示、导出和界面自动传输功能系统，满足各专业系统和管理层次的数据需求；作业区和分公司的管理希望实现现场生产过程的可视化管理，实现关键设备和生产过程的远程模拟和监控，方便远程诊断和应急支持。操作区 该层希望通过一个平台对现场数据进行管理，充分利用现场实时数据、结构化数据、文档等，通过前台的展示、导出和界面自动传输功能系统，满足各专业系统和管理层次的数据需求；作业区和分公司的管理希望实现现场生产过程的可视化管理，实现关键设备和生产过程的远程模拟和监控，方便远程诊断和应急支持。满足各专业系统和管理层次的数据需求；作业区和分公司的管理希望实现现场生产过程的可视化管理，实现关键设备和生产过程的远程模拟和监控，方便远程诊断和应急支持。满足各专业系统和管理层次的数据需求；作业区和分公司的管理希望实现现场生产过程的可视化管理，实现关键设备和生产过程的远程模拟和监控，方便远程诊断和应急支持。

2 企业实时数据库和工控系统解决方案

2.1 解决实时数据库问题的方法

通过对生产实时数据库产品及各二级单位现状的分析了解，满足企业生产实时数据库要求，满足实时数据处理能力来实现自动化,数字化管理,在生产上采用cims(，集成管理数据能力的解决方案，并选择与 SAP 集成。

具体能力指标如下：

(1）实时数据处理能力：

（2）综合管理数据能力：

（3）SAP 集成：

还要遵循生产实时数据库应用的原则：

(1）分析确定生产实时数据库部署架构的特点；

(2）有效继承生产实时数据库和报表四模系统架构；

（3）生产实时数据库数据提取和报表呈现能力；

(4）通过实时生产数据洞察企业生产经营情况。

2.2 企业信息化架构中工控系统面临的风险

2.2.1 “两化融合”的风险

传统工控系统中，安全防护采用隔离网关和杀毒软件的方式：工控系统与外界基本“隔离”，内部认为是完全可靠的安全网络；功能区域之间传输的信息很少；系统漏洞长期未打补丁，杀毒软件病毒特征库长期未更新，基本处于“夜里关门”状态。随着与信息系统的融合，工控系统与其他系统之间存在大量的信息传输，必须对原有的控制方式进行修改。

另外，原工控系统各系统单独控制用户，用户数量有限，权限明确；一旦与信息系统集成，大量用户将通过各种方式与过程控制系统进行通信，这是必须要改变的。独创的用户安全控制方式。

2.2.2 工控系统固有的技术风险

工控系统不同于以保密为第一目标的信息系统安全防护。对于工控系统来说，保证系统的实时可用性是最重要的目标，所以误堵的情况是不能接受的。

不同的行业使用不同的网络数据通信协议和标准。最常见的协议和标准包括OPC、IEC-104、MMS、DNP3等。传统的IT防护产品对这些协议的识别和解析无能为力，传统的IT防护产品和解决方案无法有效解决工控的系统性安全威胁.

2.2.3 工控系统安全管理风险

（1）安全意识不强导致不必要的风险；

（2）组合结构的人员不完善，人才匮乏，技术水平有限；

（3）信息安全管理体系和流程不完善，特别是信息系统和工控系统的区别不认识，制度和流程简单粗暴，无法有效。

2.2.4 工控系统安全技术风险

(1）缺乏信息安全监控管理平台

由于意识和人员不足，安全监控完全靠人工，无法快速发现问题并进行处理。尤其是两者融合后，这种滞后性进一步放大了风险。

(2）无线通信安全性不足

在工控系统中使用无线通信带来了极大的便利，但是却忽略了无线通信的安全问题，如未经授权的用户未经授权的访问、非法AP欺骗访问生产设备等，造成安全漏洞。

2.解决工控系统风险三招——建立信息系统安全管理与监控平台

依靠单一的保护系统和手动控制已不能满足企业工控系统信息安全的需求。在两化融合的背景下，企业积极应对信息安全风险，搭建信息安全管控平台，实现信息安全实时监控、主动防御、自动化处理等，逐步实现信息安全工控系统信息安全纵深防御。

图3为企业工控系统信息安全管理平台架构图，分为三层：第一层为企业级层，提供企业级安全防护层；第二层是监控层，提供工控系统主动防御层；第三层是现场监控层，提供分级、分区、入侵容忍的信息安全防护体系。

图3 企业工业信息安全管理平台架构

(1）企业层

企业层是指远离生产线，与管理系统相结合，为企业提供全球服务的IT设备和软件系统，如生产调度、客户管理、数据管理、域名管理等功能，并直接与他们通信，主要使用工业防火墙。用于安全保护的访问控制。

与传统防火墙相比，工业防火墙支持更多的预防性通信协议，并对协议进行深入分析。表1显示了工业防火墙与传统防火墙的比较。

表1 工业防火墙与传统防火墙对比

企业采用以“白名单”系统为核心的工业防火墙技术，实现门禁与防火墙的一体化。

“白名单”就是通过预定义的协议规则来限制网络数据的交换，判断网络数据传输的动态行为，通过分析约定协议的特性和限制端口，从根源上控制未知恶意软件的运行。并传播。

(2）监控层

监控层是指对现场执行的系统的主动监控，及时发现问题。

主要实现以下功能：

收集关键设备的状态信息，将收集到的数据与标准值进行比较，及时发现问题并提供可能的原因分析。

对工业网络中的计算机进行实时监控，对内部计算机上的上网活动（上网监控）和与上网无关的内部行为和资产进行过程管理（内网监控）。

检索历史网络日志、检查用户行为、发现模式和跟踪原因。

识别并坚持工控协议攻击、TCP/IP 攻击、网络风暴和参数阈值检测。

如工程师站的配置变化、控制命令的变化、PLC程序的下载、负载的变化等关键事件。

(3）字段控制层

现场控制层的信息安全是工控系统信息安全防护的重中之重。针对现场控制层的入侵攻击众多，攻击后果严重，控制体系结构复杂，流程复杂，采用分区分级的信息安全防护可以有效阻断传播攻击和保护系统的重要组件和过程。

此外，由于工控系统属于信息物理融合系统，信息攻击可能导致物理故障，甚至引发重大安全事件，造成人员伤亡和负面社会影响。因此，现场控制层的信息安全防护必须具备容忍入侵的能力，以保证系统在入侵攻击下仍能安全降级或关机。

入侵容忍允许系统受到攻击，即使系统的某些部件或组件已经被恶意攻击者破坏或控制，系统仍然可以触发机制来防止这些人入侵或破坏系统安全故障，从而使其仍然可以继续到外面的世界。维持正常运行（可能处于降级模式），提供核心或系统的基础服务，保证系统的基本功能。

企业采用基于冗余机制的入侵容忍机制，采用多网关、多业务冗余的方式保证入侵容忍，如图4所示。

图4 企业入侵容忍系统示意图

综上所述，本文探讨了工业化与工业化融合背景下企业建立工业控制系统实时数据库和信息安全管理平台的具体方法。实时数据的应用和分析是我们的终极目标，而工控系统则是提供上层二合一集成应用的重要系统和基石。为保障上层数据分析和应用，建立工控系统信息安全平台具有以下意义：

（1）统一了不同工控系统之间的技术路线，实现了工控系统各种协议的解析，保证了系统之间的通信，从而奠定了技术基础；

（2）实现工控系统信息安全实时在线监控，大大提高工作效率；

（3）利用信息技术固化管理制度和工作流程，改变以往无章可图、无工作规范的现象；

（4）通过优化信息安全工作流程，逐步明确各部门职责；

(5）通过管理平台积累信息安全问题的相关数据，逐步挖掘原因，提高管理水平。

在建设工控系统信息安全管理平台和实时数据采集平台的过程中，存在很多问题需要解决，如工控系统覆盖面不够广、数据采集程度不高等。不高；未实现信息安全事件闭环管理；信息安全知识库尚未建立；采用冗余技术的入侵容忍系统有待进一步完善；流程体系建设也处于起步阶段，需要进一步优化和完善，这也是企业长期持续改进和改进的任务。

文章来源:http://www.toutiao.com/a6530536597681603075/

------本页内容已结束，喜欢请分享------

感谢您的来访，获取更多精彩文章请收藏本站。