丁言梅，劉德龍

（中國南水北調(diào)集團水務(wù)投資有限公司，北京 100036）

0 引言

工業(yè)控制系統(tǒng)是水利工程重要的組成，目前，國產(chǎn)自主可控設(shè)備研究處于起點較低、發(fā)展快速、水平參差的階段，產(chǎn)品種類、國產(chǎn)化深度較為復(fù)雜，現(xiàn)有的國產(chǎn)化工業(yè)控制產(chǎn)品尚未在水利領(lǐng)域大面積應(yīng)用。通過對水利工程工業(yè)控制技術(shù)安全研究發(fā)現(xiàn)，系統(tǒng)的控制設(shè)備和組態(tài)軟件以德國西門子、法國施耐德、美國通用等公司的產(chǎn)品為主，控制設(shè)備核心技術(shù)掌握在國外廠商手中，無法真正實現(xiàn)安全可控。此外，部分水利工程工業(yè)控制系統(tǒng)設(shè)備老舊，如很多工業(yè)控制上位機還在使用Windows XP 操作系統(tǒng)，部分控制器存在后門、漏洞等[1]。因此，我國建設(shè)水利工程自主可控工業(yè)控制系統(tǒng)，構(gòu)建工業(yè)控制系統(tǒng)自主可控標(biāo)準(zhǔn)化環(huán)境，開展工業(yè)控制系統(tǒng)自主可控環(huán)境下的標(biāo)準(zhǔn)正確性、可用性和一致性測試驗證研究，對于提高工業(yè)控制安全國家標(biāo)準(zhǔn)質(zhì)量，促進(jìn)國家水利工程自主可控工業(yè)控制系統(tǒng)體系建設(shè)具有重要意義。

1 系統(tǒng)建設(shè)目標(biāo)

根據(jù)工業(yè)控制系統(tǒng)典型架構(gòu)，結(jié)合我國重要行業(yè)工業(yè)控制系統(tǒng)應(yīng)用特點，設(shè)計和建設(shè)自主可控的工業(yè)控制系統(tǒng)，充分考慮水利行業(yè)工業(yè)控制系統(tǒng)的架構(gòu)，包含自主可控服務(wù)器（含操作系統(tǒng)）、自主可控網(wǎng)絡(luò)、存儲架構(gòu)設(shè)計、自主可控存儲系統(tǒng)、自主可控PLC、自主可控網(wǎng)絡(luò)安全防護(hù)等組成，全面體現(xiàn)自主可控工業(yè)控制系統(tǒng)功能完備、系統(tǒng)靈活、擴展能力強、實時性要求高、網(wǎng)絡(luò)相對封閉、可靠性要求高、不能接受宕機、通信協(xié)議專有等特點。

2 系統(tǒng)建設(shè)內(nèi)容

2.1 總體設(shè)計要求

水利工程工業(yè)控制系統(tǒng)的運行對自動化系統(tǒng)的依賴程度越來越高，對自動化系統(tǒng)的可靠性和連續(xù)可用性提出了更高要求。水利工程自主可控工業(yè)控制系統(tǒng)應(yīng)在網(wǎng)絡(luò)、主機、軟件、數(shù)據(jù)庫等關(guān)鍵方面采用冗余、隊列或集群技術(shù)，確保系統(tǒng)具有極高的可靠性，具備長期穩(wěn)定可靠運行的能力。水利工程自主可控工業(yè)控制系統(tǒng)需要充分考慮實時性要求，包括事件驅(qū)動和過程調(diào)用機制等。支持第三方應(yīng)用的接入，滿足系統(tǒng)多種應(yīng)用對平臺的要求，確保系統(tǒng)擴展性。平臺橫向涉及多個水利工程系統(tǒng)，因此，系統(tǒng)結(jié)構(gòu)及功能部署應(yīng)符合水利工程安全防護(hù)要求。為滿足日益嚴(yán)格的控制系統(tǒng)安全防護(hù)要求，從支撐系統(tǒng)的設(shè)計上應(yīng)提供一系列的安全能力，對重要的服務(wù)器進(jìn)程進(jìn)行一級守護(hù)，對數(shù)據(jù)庫、Web 系統(tǒng)的訪問提供不同級別的權(quán)限管理，對系統(tǒng)內(nèi)部的服務(wù)調(diào)用和消息通信均提供安全機制[2]。

2.2 自主可控服務(wù)器

服務(wù)器搭配國產(chǎn)處理器，配合國產(chǎn)操作系統(tǒng)來滿足系統(tǒng)業(yè)務(wù)需求。通過技術(shù)革新和自主研發(fā)，持續(xù)提升國產(chǎn)服務(wù)器單核性能和多核并行協(xié)同處理能力，高性能服務(wù)器芯片發(fā)展到最高可支持8 路直連，使國產(chǎn)芯片更好地滿足各行業(yè)對海量數(shù)據(jù)處理要求。最新的國產(chǎn)處理器性能與Intel相當(dāng)，功耗和高速接口方面則具有明顯優(yōu)勢。

自主可控服務(wù)器配套的國產(chǎn)操作系統(tǒng)在安全性方面已經(jīng)做出了很多實用的改進(jìn)，包括管理員分權(quán)、最小特權(quán)、結(jié)合角色的基于類型的訪問控制、細(xì)粒度的自主訪問控制、禁止上讀下寫等安全功能，這些功能是存在系統(tǒng)層面的，能夠?qū)ο到y(tǒng)級用戶進(jìn)行管控。

2.3 自主可控網(wǎng)絡(luò)、存儲架構(gòu)設(shè)計

統(tǒng)一的網(wǎng)絡(luò)體系為各應(yīng)用系統(tǒng)提供網(wǎng)絡(luò)資源共享，從而使網(wǎng)絡(luò)的建設(shè)過程中可以更多地考慮應(yīng)用系統(tǒng)間的通信、容災(zāi)、服務(wù)控制及安全控制。網(wǎng)絡(luò)模塊負(fù)責(zé)系統(tǒng)間的通信與控制，以及應(yīng)用系統(tǒng)內(nèi)部的高速交換。網(wǎng)絡(luò)模塊為核心層、匯聚層、接入層三層網(wǎng)絡(luò)結(jié)構(gòu)。

核心層由大容量、高性能、高可靠性的核心交換機組成。該層是各個匯聚層的入口，也是各分區(qū)的控制點，所以對這一層的設(shè)備要求非常高。目前數(shù)據(jù)中心通常采用10 G作為骨干網(wǎng)絡(luò)，接入千兆服務(wù)器，各個分區(qū)采用雙歸屬上行到核心層，達(dá)到一個容量、性能、可靠性俱佳的數(shù)據(jù)中心網(wǎng)絡(luò)結(jié)構(gòu)[3]。

匯聚層主要功能是提供核心層與接入層的銜接功能，從安全性及業(yè)務(wù)功能考慮，匯聚層負(fù)責(zé)業(yè)務(wù)系統(tǒng)之間的通信隔離、負(fù)載均衡等應(yīng)用的業(yè)務(wù)特性。現(xiàn)階段由于各種控制特性對網(wǎng)絡(luò)設(shè)備的性能影響非常大，所以大部分系統(tǒng)間的控制策略、服務(wù)策略都要在匯聚層實現(xiàn)。在數(shù)據(jù)中心的整體策略中，同一業(yè)務(wù)系統(tǒng)最好是用同一組匯聚層服務(wù)器。

接入層主要是與服務(wù)器群相連，從可靠性考慮，也可將接入層與匯聚層設(shè)備融合在一起，服務(wù)器直接連接在匯聚層設(shè)備上，利用匯聚設(shè)備的高速背板交換能力提供服務(wù)器之間的高速數(shù)據(jù)交換，這樣就可能要求匯聚層設(shè)備具備接入層設(shè)備的一些特性[3]。

2.4 自主可控存儲系統(tǒng)

自主可控控制系統(tǒng)對數(shù)據(jù)的保護(hù)極為重要，需要對應(yīng)用數(shù)據(jù)進(jìn)行統(tǒng)一存儲、集中備份，需要數(shù)據(jù)的存儲平臺具備強大的可擴展性、可靠性、出眾的性能，以及異構(gòu)環(huán)境下的連通性。隨著信息化建設(shè)的不斷深入，IT 環(huán)境必將向復(fù)雜化發(fā)展。這就需要存儲系統(tǒng)能夠?qū)Ξ悩?gòu)環(huán)境提供支持，在操作系統(tǒng)方面能夠支持包括HP-UX，AIX，SCO Unix，Linux，Win2000，WinNT 及Solaris 在內(nèi)的多種操作系統(tǒng)；在服務(wù)器方面能夠支持包括PC SERVER 和UNIX 在內(nèi)的所有服務(wù)器；在數(shù)據(jù)庫方面能夠支持Oracle，SQL Server，DB2 等多種企業(yè)數(shù)據(jù)庫產(chǎn)品；以及在存儲設(shè)備方面能夠支持多個廠商的產(chǎn)品。

2.5 自主可控PLC

自主可控PLC 的目標(biāo)是采用國產(chǎn)核心元器件和工業(yè)基礎(chǔ)軟件實現(xiàn)PLC 的全面自主可控，主要包括采用國產(chǎn)工業(yè)級嵌入式處理器、多任務(wù)操作系統(tǒng)及實時多任務(wù)控制軟件，實現(xiàn)核心元器件和基礎(chǔ)工業(yè)軟件的自主化。自主研制的PLC 編程開發(fā)環(huán)境采用同時支持中標(biāo)麒麟Linux 和Windows系統(tǒng)的跨平臺設(shè)計；支持雙因子認(rèn)證，符合信息安全等要求；提供IEC61131-3 標(biāo)準(zhǔn)的LD，F(xiàn)BD，ST和SFC 等PLC 圖形化編程語言；支持在線調(diào)試和仿真功能，達(dá)到西門子、施耐德、羅克韋爾等國際同類PLC 系統(tǒng)先進(jìn)水平。PLC 支持IEC61850，IEC60870，MQTT，OPC UA 等多種工業(yè)通訊協(xié)議；支持與SCADA 系統(tǒng)和工業(yè)互聯(lián)網(wǎng)平臺的雙向數(shù)據(jù)通訊；支持符合國密算法的數(shù)據(jù)加密傳輸功能，滿足國家信息安全法規(guī)和標(biāo)準(zhǔn)要求。

自主可控PLC 由兩個主控單元構(gòu)成，兩個主控單元軟硬件完全相同，通過1 000 Mbps 的冗余網(wǎng)絡(luò)進(jìn)行雙機狀態(tài)判斷和同步數(shù)據(jù)交換，每個主控單元可提供兩路千兆以太網(wǎng)接口，實現(xiàn)與SCA?DA 系統(tǒng)的雙向數(shù)據(jù)交換，每個主控單元提供兩路100 Mbps 的擴展IO 總線接口，實現(xiàn)與智能IO 設(shè)備的通訊。

2.6 自主可控網(wǎng)絡(luò)安全防護(hù)

對信息系統(tǒng)區(qū)域邊界進(jìn)行安全保護(hù)，通過選擇入侵防御、下一代防火墻（NGFW）、Web 應(yīng)用防護(hù)系統(tǒng)（WAF）等技術(shù)滿足區(qū)域邊界訪問控制、包過濾、安全審計、完整性保護(hù)等安全要求。同時，在安全管控技術(shù)措施的基礎(chǔ)上，針對新型惡意攻擊進(jìn)行有效防護(hù)，具體安全保障措施包括訪問控制、異常流量檢測、入侵防御、流量檢測等。

為了有效抵御入侵行為，需要在網(wǎng)絡(luò)邊界部署入侵防御系統(tǒng)，提供主動、實時的防護(hù)。為了更好地發(fā)現(xiàn)信息系統(tǒng)環(huán)境相關(guān)的系統(tǒng)和組件的安全問題，通過部署入侵威脅檢測系統(tǒng)，實現(xiàn)計算環(huán)境內(nèi)部的未知威脅監(jiān)測。通過深度和全面的行為分析能力，可以發(fā)現(xiàn)網(wǎng)絡(luò)中的隱蔽攻擊威脅，避免內(nèi)網(wǎng)出現(xiàn)惡意代碼傳播和感染等危害。通過對攻擊威脅的詳細(xì)分析和行為記錄，不僅可以快速發(fā)現(xiàn)威脅，并可對威脅的詳細(xì)行為進(jìn)行記錄，便于進(jìn)一步取證和追溯。

3 結(jié)語

自主可控是國家長遠(yuǎn)發(fā)展的基本戰(zhàn)略，發(fā)展水利工程自主可控工業(yè)控制系統(tǒng)，通過系統(tǒng)掌握核心技術(shù)及關(guān)鍵零部件進(jìn)行國產(chǎn)替代，從而推進(jìn)我國水利工程事業(yè)的發(fā)展。后續(xù)完全自主可控工業(yè)控制系統(tǒng)工作還需要繼續(xù)加大研發(fā)力度，加速推進(jìn)我國水利工程事業(yè)自主可控進(jìn)程，確保水利工程發(fā)揮更大的經(jīng)濟效益和安全效益。