工控安全——SCADA服务器智慧感知的实现
目录
背景介绍:
风电厂SCADA系统:
DCS系统:
SIS系统:
风机环网及交换机:
目标及需求:
涉及设备详解:
1、SysKeeper-2000网络安全隔离装置(正向型)
2、变电站纵向加密装置
背景介绍:
风电厂SCADA系统:
SCADA - Supervisory Control and Data Acquisition SCADA是一种过程控制系统体系结构,它使用计算机,网络数据通信和图形化人机界面(HMI)来实现高级过程监督管理和控制。
SCADA系统与其他设备通信,例如可编程逻辑控制器(PLC)和PID控制器,从而与工业过程涉及到的工厂和设备进行交互。
SCADA系统占据控制系统工程的很大一部分。SCADA系统从实时分析的过程中收集信息和数据并记录数据,同时在各种HMI上显示收集到的数据。也就是说过程控制操作员可以通过远程的方式来监视现场发生的事情,并且操作员可以通过与HMI交互来控制这些过程。
DCS系统:
集散控制系统 (Distributed Control system) 是以微处理器为基础的集中分散型控制系统。自70年代中期第一套集散控制系统问世以来,集散控制系统已经在工业控制领域得到了广泛应用。集散控制系统的主要特性是通过实时监控达到集中管理和分散控制。
SIS系统:
厂级监控信息系统 ( Supervisory Informntion System )是集过程实时监测、优化控制及生产过程管理为一体的厂级自动化信息系统。SIS的目标是通过大规模的数据搜集处理,实现生产实时信息与管理信息的共享,在此基础上,通过计算、分析、统计、优化、数据挖掘手段,实现化工厂生产过程监视、工艺设备性能及经济指标分析和运行指导。主要特性体现再系统决策支持上。
风机环网及交换机:
环网交换机是一种特殊的交换机,因为主流的环网交换机均为工业交换机,因此一般可以将其称为工业级环网交换机,环网交换在环网结构上有很多的优点,比如有冗余性、可靠性等。
环网交换机可以组建环形网络,每台交换机上有两个用于组环的端口,交换机之间通过手拉手形式构成了环形的网络拓扑。其组建的优势是当环网上的某一路链路断开时,不会影响网络上数据的转发,因此在很多工业通信领域引入了环网交换机。环网交换机采用了某些特殊技术,避免了广播风暴的产生,同时又实现了环形网络的可靠性。
目标及需求:
搭建连通SCADA风机环网的服务器,建立带外管理的网管系统和日志分析系统,可以在业务网络通信阻塞的情况下独立于业务网来分析工控网络设备,符合安全分区的要求的前提下建设工控网络感知系统,实施监控风机SCADA网络通信。
涉及设备详解:
1、SysKeeper-2000网络安全隔离装置(正向型)
数据单向传输控制:
数据上控制反向传输芯片的深度,在硬件上保证从低安全区到高安全区的TCP应答禁止携带应用数据,大大增强了高安全区业务系统的安全性。在物理上实现了数据流的纯单向传输,数据只能从内网流向外网。
隔断穿透性的TCP 连接: 网络安全隔离产品(正向型)采用截断TCP连接的方式,剥离数据包中的TCP/IP头,将内网的纯数据通过正向数据通道发送到外网,同时只允许应用层不带任务数据的TCP包的控制信息传输到内网,保护内网监控系统的安全性。
正向隔离装置单Bit每条规则需单独配置;分为内网和外网配置,存在IP地址、端口、虚拟IP、虚拟IP掩码、网卡、是否设置路由、网关、MAC地址如上条件需要添加。
2、变电站纵向加密装置
隧道标识填写01(再次添加隧道填写02以此类推),本地设备协商IP 填写厂站纵密设备IP,远程设备协商IP填写主站纵密设备IP,远程设备子网掩码填写主站纵密设备掩码,证书路径导入主站给出该隧道主站纵密设备证书,证书路径导入主站给出该隧道主站纵密设备证书,其他配置默认。
选中一条隧道为其配置策略,本地源起始ip地址为 厂站业务地址起始,本地源终止ip地址为 厂站业务地址终止,远程目的起始ip地址 主站业务地址起始,远程目的终止ip地址 主站业务地址终止,协议,根据业务选中协议一般为TCP。