摘要：在企業(yè)信息化的過(guò)程中，控制網(wǎng)絡(luò)的安全性非常重要，一旦直接暴露給外網(wǎng)，就有可能因受到外網(wǎng)的惡性攻擊、病毒感染而導(dǎo)致控制網(wǎng)絡(luò)阻塞、癱瘓，甚至產(chǎn)生破壞和影響生產(chǎn)的嚴(yán)重后果，目前工業(yè)自動(dòng)化市場(chǎng)上選用常規(guī)網(wǎng)安產(chǎn)品，由于自身存在的缺陷與不足，不能滿(mǎn)足工業(yè)網(wǎng)絡(luò)較高的防護(hù)要求，或者因?yàn)椴皇菍?zhuān)門(mén)針對(duì)工業(yè)網(wǎng)絡(luò)設(shè)計(jì)，難以在工業(yè)場(chǎng)合應(yīng)用。隔離網(wǎng)關(guān)pSafetyLink實(shí)現(xiàn)了對(duì)各子系統(tǒng)的分布式數(shù)據(jù)采集與傳輸，同時(shí)徹底阻斷了站控系統(tǒng)的控制網(wǎng)絡(luò)與互聯(lián)網(wǎng)絡(luò)的直接網(wǎng)絡(luò)連接，從根本上保證了系統(tǒng)的網(wǎng)絡(luò)安全。

1、應(yīng)用背景
　　某大型國(guó)有燃?xì)夤驹诒本┰O(shè)立生產(chǎn)指揮調(diào)度中心，同時(shí)建設(shè)以大型分布式SCADA為核心的指揮調(diào)度系統(tǒng)。該公司目前在全國(guó)近20個(gè)省市擁有上百個(gè)站庫(kù)，并計(jì)劃在未來(lái)5年將站庫(kù)規(guī)模擴(kuò)大到1600個(gè)。到時(shí)中心采集的數(shù)據(jù)點(diǎn)數(shù)將達(dá)到30萬(wàn)點(diǎn)。中心調(diào)度系統(tǒng)完成功能包括：各站庫(kù)所有參數(shù)的采集與存儲(chǔ)、各站庫(kù)主要參數(shù)與主要工藝畫(huà)面的監(jiān)視、各站庫(kù)主要參數(shù)的統(tǒng)計(jì)及分析、各站庫(kù)主要參數(shù)的圖形展示、各站庫(kù)主要參數(shù)的報(bào)表生成等，整個(gè)系統(tǒng)支持Web訪問(wèn)方式。

2、系統(tǒng)說(shuō)明
　　由于各站庫(kù)地理位置分散，從站庫(kù)接入到調(diào)度中心的網(wǎng)絡(luò)通信方式多種多樣。一部分集團(tuán)公司直屬的站庫(kù)采用集團(tuán)專(zhuān)網(wǎng)，集團(tuán)專(zhuān)網(wǎng)租用電信專(zhuān)線通過(guò)VPN實(shí)現(xiàn)廣域網(wǎng)傳輸。其它不具備接入集團(tuán)專(zhuān)網(wǎng)的站庫(kù)則采用ADSL、無(wú)線等接入方式通過(guò)互聯(lián)網(wǎng)將數(shù)據(jù)傳到中心。最終構(gòu)成的整個(gè)指揮調(diào)度系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)非常復(fù)雜。聯(lián)網(wǎng)后，將導(dǎo)致各站庫(kù)的站控網(wǎng)絡(luò)直接暴露給集團(tuán)專(zhuān)網(wǎng)或互聯(lián)網(wǎng)。該集團(tuán)專(zhuān)網(wǎng)是面向集團(tuán)內(nèi)各地分公司的辦公網(wǎng)絡(luò)，應(yīng)用數(shù)據(jù)多樣而復(fù)雜；互聯(lián)網(wǎng)則更是一個(gè)開(kāi)放網(wǎng)絡(luò)。而由各種DCS、PLC、RTU、儀表等控制系統(tǒng)組成的站控系統(tǒng)負(fù)責(zé)完成對(duì)門(mén)站、調(diào)壓站、管網(wǎng)的基礎(chǔ)數(shù)據(jù)采集、控制、聯(lián)鎖保護(hù)等任務(wù)，因此其控制網(wǎng)絡(luò)的安全性非常重要，一旦直接暴露給外網(wǎng)，就有可能因受到外網(wǎng)的惡性攻擊、病毒感染而導(dǎo)致控制網(wǎng)絡(luò)阻塞、癱瘓，甚至產(chǎn)生破壞和影響生產(chǎn)的嚴(yán)重后果。

3、解決方案
　　該燃?xì)夤境鲇趯?duì)各站庫(kù)生產(chǎn)安全的考慮，選用了隔離網(wǎng)關(guān)pSafetyLink作為站控系統(tǒng)的網(wǎng)絡(luò)安全防護(hù)裝置。
　　隔離網(wǎng)關(guān)pSafetyLink通過(guò)內(nèi)部的雙獨(dú)立主機(jī)系統(tǒng)，一端接入到站控系統(tǒng)的網(wǎng)絡(luò)，通過(guò)采集接口完成對(duì)站控?cái)?shù)據(jù)的采集；另一端接入到集團(tuán)專(zhuān)網(wǎng)或通過(guò)ADSL、無(wú)線等方式接入到公網(wǎng)，完成數(shù)據(jù)到調(diào)度中心的傳輸。雙主機(jī)之間通過(guò)專(zhuān)有的PSL網(wǎng)絡(luò)隔離傳輸技術(shù)，截?cái)?TCP 連接，徹底割斷穿透性的 TCP 連接。PSL的物理層采用專(zhuān)用隔離硬件，鏈路層和應(yīng)用層采用私有通信協(xié)議，數(shù)據(jù)流采用128 位以上加密方式傳輸，更加充分保障數(shù)據(jù)安全。PSL技術(shù)實(shí)現(xiàn)了數(shù)據(jù)完全自我定義、自我解析、自我審查，傳輸機(jī)制具有徹底不可攻擊性，從根本上杜絕了非法數(shù)據(jù)的通過(guò)，確保站控制系統(tǒng)不會(huì)受到攻擊、侵入及病毒感染。
 
4、總結(jié)
　　隔離網(wǎng)關(guān)pSafetyLink在燃?xì)馍a(chǎn)指揮調(diào)度系統(tǒng)中，一方面實(shí)現(xiàn)了對(duì)各站控系統(tǒng)的分布式數(shù)據(jù)采集與傳輸，同時(shí)徹底阻斷了站控系統(tǒng)的控制網(wǎng)絡(luò)與互聯(lián)網(wǎng)絡(luò)的直接網(wǎng)絡(luò)連接，從根本上保證了站控系統(tǒng)的網(wǎng)絡(luò)不會(huì)受到來(lái)自外網(wǎng)數(shù)據(jù)的攻擊，為各站庫(kù)的生產(chǎn)安全運(yùn)行提供了保障。