水利工程自主可控工业控制系统方案设计

2022-02-15丁言梅刘德龙

东北水利水电 2022年12期

丁言梅，刘德龙

（中国南水北调集团水务投资有限公司，北京 100036）

0 引言

工业控制系统是水利工程重要的组成，目前，国产自主可控设备研究处于起点较低、发展快速、水平参差的阶段，产品种类、国产化深度较为复杂，现有的国产化工业控制产品尚未在水利领域大面积应用。通过对水利工程工业控制技术安全研究发现，系统的控制设备和组态软件以德国西门子、法国施耐德、美国通用等公司的产品为主，控制设备核心技术掌握在国外厂商手中，无法真正实现安全可控。此外，部分水利工程工业控制系统设备老旧，如很多工业控制上位机还在使用Windows XP 操作系统，部分控制器存在后门、漏洞等[1]。因此，我国建设水利工程自主可控工业控制系统，构建工业控制系统自主可控标准化环境，开展工业控制系统自主可控环境下的标准正确性、可用性和一致性测试验证研究，对于提高工业控制安全国家标准质量，促进国家水利工程自主可控工业控制系统体系建设具有重要意义。

1 系统建设目标

根据工业控制系统典型架构，结合我国重要行业工业控制系统应用特点，设计和建设自主可控的工业控制系统，充分考虑水利行业工业控制系统的架构，包含自主可控服务器（含操作系统）、自主可控网络、存储架构设计、自主可控存储系统、自主可控PLC、自主可控网络安全防护等组成，全面体现自主可控工业控制系统功能完备、系统灵活、扩展能力强、实时性要求高、网络相对封闭、可靠性要求高、不能接受宕机、通信协议专有等特点。

2 系统建设内容

2.1 总体设计要求

水利工程工业控制系统的运行对自动化系统的依赖程度越来越高，对自动化系统的可靠性和连续可用性提出了更高要求。水利工程自主可控工业控制系统应在网络、主机、软件、数据库等关键方面采用冗余、队列或集群技术，确保系统具有极高的可靠性，具备长期稳定可靠运行的能力。水利工程自主可控工业控制系统需要充分考虑实时性要求，包括事件驱动和过程调用机制等。支持第三方应用的接入，满足系统多种应用对平台的要求，确保系统扩展性。平台横向涉及多个水利工程系统，因此，系统结构及功能部署应符合水利工程安全防护要求。为满足日益严格的控制系统安全防护要求，从支撑系统的设计上应提供一系列的安全能力，对重要的服务器进程进行一级守护，对数据库、Web 系统的访问提供不同级别的权限管理，对系统内部的服务调用和消息通信均提供安全机制[2]。

2.2 自主可控服务器

服务器搭配国产处理器，配合国产操作系统来满足系统业务需求。通过技术革新和自主研发，持续提升国产服务器单核性能和多核并行协同处理能力，高性能服务器芯片发展到最高可支持8 路直连，使国产芯片更好地满足各行业对海量数据处理要求。最新的国产处理器性能与Intel相当，功耗和高速接口方面则具有明显优势。

自主可控服务器配套的国产操作系统在安全性方面已经做出了很多实用的改进，包括管理员分权、最小特权、结合角色的基于类型的访问控制、细粒度的自主访问控制、禁止上读下写等安全功能，这些功能是存在系统层面的，能够对系统级用户进行管控。

2.3 自主可控网络、存储架构设计

统一的网络体系为各应用系统提供网络资源共享，从而使网络的建设过程中可以更多地考虑应用系统间的通信、容灾、服务控制及安全控制。网络模块负责系统间的通信与控制，以及应用系统内部的高速交换。网络模块为核心层、汇聚层、接入层三层网络结构。

核心层由大容量、高性能、高可靠性的核心交换机组成。该层是各个汇聚层的入口，也是各分区的控制点，所以对这一层的设备要求非常高。目前数据中心通常采用10 G作为骨干网络，接入千兆服务器，各个分区采用双归属上行到核心层，达到一个容量、性能、可靠性俱佳的数据中心网络结构[3]。

汇聚层主要功能是提供核心层与接入层的衔接功能，从安全性及业务功能考虑，汇聚层负责业务系统之间的通信隔离、负载均衡等应用的业务特性。现阶段由于各种控制特性对网络设备的性能影响非常大，所以大部分系统间的控制策略、服务策略都要在汇聚层实现。在数据中心的整体策略中，同一业务系统最好是用同一组汇聚层服务器。

接入层主要是与服务器群相连，从可靠性考虑，也可将接入层与汇聚层设备融合在一起，服务器直接连接在汇聚层设备上，利用汇聚设备的高速背板交换能力提供服务器之间的高速数据交换，这样就可能要求汇聚层设备具备接入层设备的一些特性[3]。

2.4 自主可控存储系统

自主可控控制系统对数据的保护极为重要，需要对应用数据进行统一存储、集中备份，需要数据的存储平台具备强大的可扩展性、可靠性、出众的性能，以及异构环境下的连通性。随着信息化建设的不断深入，IT 环境必将向复杂化发展。这就需要存储系统能够对异构环境提供支持，在操作系统方面能够支持包括HP-UX，AIX，SCO Unix，Linux，Win2000，WinNT 及Solaris 在内的多种操作系统；在服务器方面能够支持包括PC SERVER 和UNIX 在内的所有服务器；在数据库方面能够支持Oracle，SQL Server，DB2 等多种企业数据库产品；以及在存储设备方面能够支持多个厂商的产品。

2.5 自主可控PLC

自主可控PLC 的目标是采用国产核心元器件和工业基础软件实现PLC 的全面自主可控，主要包括采用国产工业级嵌入式处理器、多任务操作系统及实时多任务控制软件，实现核心元器件和基础工业软件的自主化。自主研制的PLC 编程开发环境采用同时支持中标麒麟Linux 和Windows系统的跨平台设计；支持双因子认证，符合信息安全等要求；提供IEC61131-3 标准的LD，FBD，ST和SFC 等PLC 图形化编程语言；支持在线调试和仿真功能，达到西门子、施耐德、罗克韦尔等国际同类PLC 系统先进水平。PLC 支持IEC61850，IEC60870，MQTT，OPC UA 等多种工业通讯协议；支持与SCADA 系统和工业互联网平台的双向数据通讯；支持符合国密算法的数据加密传输功能，满足国家信息安全法规和标准要求。

自主可控PLC 由两个主控单元构成，两个主控单元软硬件完全相同，通过1 000 Mbps 的冗余网络进行双机状态判断和同步数据交换，每个主控单元可提供两路千兆以太网接口，实现与SCA⁃DA 系统的双向数据交换，每个主控单元提供两路100 Mbps 的扩展IO 总线接口，实现与智能IO 设备的通讯。

2.6 自主可控网络安全防护

对信息系统区域边界进行安全保护，通过选择入侵防御、下一代防火墙（NGFW）、Web 应用防护系统（WAF）等技术满足区域边界访问控制、包过滤、安全审计、完整性保护等安全要求。同时，在安全管控技术措施的基础上，针对新型恶意攻击进行有效防护，具体安全保障措施包括访问控制、异常流量检测、入侵防御、流量检测等。

为了有效抵御入侵行为，需要在网络边界部署入侵防御系统，提供主动、实时的防护。为了更好地发现信息系统环境相关的系统和组件的安全问题，通过部署入侵威胁检测系统，实现计算环境内部的未知威胁监测。通过深度和全面的行为分析能力，可以发现网络中的隐蔽攻击威胁，避免内网出现恶意代码传播和感染等危害。通过对攻击威胁的详细分析和行为记录，不仅可以快速发现威胁，并可对威胁的详细行为进行记录，便于进一步取证和追溯。