李欣嶸 郭亮 朱同 賈立東 張志鋼 董瓊

1廊坊中油龍慧科技有限公司

2國家管網(wǎng)集團(tuán)北方管道有限責(zé)任公司

3中原油田熱力分公司

近年來，隨著國內(nèi)油氣管道建設(shè)的不斷加速，油氣管道生產(chǎn)運(yùn)行的安全性、可靠性、智能性等越來越被重視，對油氣管道行業(yè)的工業(yè)控制系統(tǒng)（以下簡稱“工控系統(tǒng)”）也提出了新的挑戰(zhàn)[1]。工控系統(tǒng)是油氣管道生產(chǎn)運(yùn)行的“神經(jīng)中樞”，通過監(jiān)測油氣管道生產(chǎn)運(yùn)行過程數(shù)據(jù)，分析生產(chǎn)趨勢走向，對現(xiàn)場設(shè)備下發(fā)控制指令，實現(xiàn)油氣管道輸送生產(chǎn)全過程的自動監(jiān)測與控制。工控系統(tǒng)確保了油氣輸送過程的安全，提升了油氣管道生產(chǎn)的自動化水平。工業(yè)控制網(wǎng)絡(luò)則是將工控系統(tǒng)各生產(chǎn)流程通過網(wǎng)絡(luò)設(shè)備組織為一個整體的通信網(wǎng)絡(luò)系統(tǒng)[2]，它貫穿于整個工控系統(tǒng)，實現(xiàn)各種網(wǎng)絡(luò)設(shè)備之間快速穩(wěn)定的數(shù)據(jù)通信。

在工控系統(tǒng)發(fā)展的過程中，工控系統(tǒng)網(wǎng)絡(luò)設(shè)備類型及數(shù)量不斷增加，各種設(shè)備設(shè)施接入工業(yè)控制網(wǎng)引發(fā)網(wǎng)絡(luò)風(fēng)暴等問題也逐漸增多。隨著當(dāng)前“兩化融合”工作逐步開展，對工控系統(tǒng)網(wǎng)絡(luò)搭建也提出了更高的要求?；谟蜌夤艿佬袠I(yè)工控系統(tǒng)自動化、智能化、智慧化新要求，著眼于當(dāng)下油氣管道工控系統(tǒng)易出現(xiàn)的網(wǎng)絡(luò)問題，在常規(guī)的工業(yè)控制網(wǎng)絡(luò)部署方式基礎(chǔ)上，提出一種可靠性、安全性、時效性更高的油氣管道工業(yè)控制網(wǎng)絡(luò)部署方案。

1 通信網(wǎng)絡(luò)現(xiàn)狀分析

1.1 常規(guī)工控系統(tǒng)網(wǎng)絡(luò)部署

常規(guī)油氣管道站場工控系統(tǒng)網(wǎng)絡(luò)采用設(shè)備“單層次模式”，即部署一臺或多臺交換機(jī)，但是交換機(jī)處于同一網(wǎng)絡(luò)連接下，幾乎所有的工控設(shè)備都接入到此交換機(jī)上，工業(yè)控制網(wǎng)絡(luò)內(nèi)所有數(shù)據(jù)流全在此交換機(jī)之間運(yùn)行，無法保障系統(tǒng)安全性和可靠性，使系統(tǒng)擴(kuò)展能力受限，易導(dǎo)致安全級別較高的系統(tǒng)與設(shè)備遭受攻擊，同時數(shù)據(jù)交互量太大也加重了交換機(jī)的負(fù)擔(dān)，降低設(shè)備使用壽命。

圖1 為一種常規(guī)的站場工控網(wǎng)絡(luò)配置方案。在該方案中，采用雙交換機(jī)配置，過程控制系統(tǒng)Sequence Control System（SCS 系統(tǒng)）、安全儀表系統(tǒng)Safety Instrumented System（SIS 系統(tǒng)）、壓縮機(jī)系統(tǒng)、閥室遠(yuǎn)程終端（Remote Terminal Unit RTU）以及數(shù)據(jù)采集監(jiān)視服務(wù)器Supervisory Control And Data Acquisition（SCADA）分別接入到兩個交換機(jī)中。該方案雖實現(xiàn)了設(shè)備的雙網(wǎng)絡(luò)配置，但所有系統(tǒng)與設(shè)備全部接入至同一網(wǎng)絡(luò)，各系統(tǒng)之間相互透明開放，不同安全等級的系統(tǒng)沒有進(jìn)行區(qū)分，帶來了網(wǎng)絡(luò)安全風(fēng)險。常規(guī)網(wǎng)絡(luò)配置未搭建網(wǎng)絡(luò)設(shè)備管理、遠(yuǎn)程維護(hù)，不具備向地區(qū)公司及信息化平臺發(fā)布數(shù)據(jù)的能力，也未部署網(wǎng)絡(luò)安全管理設(shè)備及軟件，缺乏網(wǎng)絡(luò)安全管理功能。

圖1 常規(guī)站場工控系統(tǒng)網(wǎng)絡(luò)部署方案Fig.1 Network deployment scheme of industrial control system in conventional stations

1.2 問題分析

常規(guī)的工控系統(tǒng)網(wǎng)絡(luò)部署模式僅實現(xiàn)了站場數(shù)據(jù)采集、現(xiàn)場設(shè)備控制等基本功能，不能保證工控系統(tǒng)數(shù)據(jù)采集和控制功能的安全性、可靠性及穩(wěn)定性，其缺點主要體現(xiàn)在以下幾個方面：

（1）SIS 系統(tǒng)相比于其他系統(tǒng)具有更高的安全等級要求，將它們直接部署在同一網(wǎng)絡(luò)會降低SIS系統(tǒng)的安全性。

（2）局域網(wǎng)交換機(jī)內(nèi)部未進(jìn)行隔離規(guī)劃，極易出現(xiàn)局域網(wǎng)內(nèi)設(shè)備IP 地址沖突的問題。

（3）各系統(tǒng)網(wǎng)絡(luò)不做區(qū)分，全部接入局域網(wǎng)，極易引起環(huán)網(wǎng)，造成網(wǎng)絡(luò)風(fēng)暴問題。

（4）缺少網(wǎng)絡(luò)安全設(shè)備，如安全審計、安全終端防護(hù)、入侵監(jiān)測服務(wù)器等，增加了網(wǎng)絡(luò)入侵風(fēng)險。

（5）該方案只能夠滿足現(xiàn)場控制，缺少數(shù)據(jù)發(fā)布平臺，未將生產(chǎn)數(shù)據(jù)與工業(yè)信息系統(tǒng)結(jié)合，無法實現(xiàn)“兩化融合”的相關(guān)功能。

2 方案設(shè)計

隨著“工業(yè)4.0”“中國制造2025”的提出，我國開始大力推動工業(yè)化和信息化深度融合，鑒于目前站場工控系統(tǒng)網(wǎng)絡(luò)存在的短板，需要設(shè)計一套滿足當(dāng)前油氣管道行業(yè)信息化、智能化、智慧化、高安全性等新要求的新型工控網(wǎng)絡(luò)部署方案。圖2 為優(yōu)化后的工控系統(tǒng)網(wǎng)絡(luò)部署方案。

圖2 優(yōu)化后的工控系統(tǒng)網(wǎng)絡(luò)部署方案Fig.2 Optimized industrial control system network deployment scheme

2.1 雙網(wǎng)絡(luò)配置

該方案將系統(tǒng)劃分為局域網(wǎng)和控制網(wǎng)兩部分，局域網(wǎng)部署工控系統(tǒng)SCADA 服務(wù)器、工程師站、操作員站、閥室RTU、壓縮機(jī)系統(tǒng)、遠(yuǎn)維數(shù)據(jù)發(fā)布服務(wù)器、區(qū)域化數(shù)據(jù)發(fā)布服務(wù)器及與調(diào)控中心通信的主備路由器等設(shè)備，并進(jìn)行了功能分區(qū)?？刂凭W(wǎng)主要部署SIS 系統(tǒng)、火氣系統(tǒng)等。SCS 系統(tǒng)則作為局域網(wǎng)與控制網(wǎng)連接的橋梁，負(fù)責(zé)采集SIS 系統(tǒng)、火氣系統(tǒng)數(shù)據(jù)并傳輸至SCADA 服務(wù)器，進(jìn)而通過操作員站展示給操作人員；同時接收操作人員下發(fā)的緊急命令并傳輸?shù)絊IS 系統(tǒng)進(jìn)行現(xiàn)場設(shè)備控制；安全審計系統(tǒng)通過隔離端口連接局域網(wǎng)及控制網(wǎng)交換機(jī)，負(fù)責(zé)采集系統(tǒng)網(wǎng)絡(luò)中所有設(shè)備的實時運(yùn)行狀況，當(dāng)檢測到異常情況時發(fā)出報警；工程師站同時連接至局域網(wǎng)和控制網(wǎng)，通過對交換機(jī)劃分虛擬局域網(wǎng)（Vlan Virtual Local Area Network）進(jìn)行端口隔離后，可以登錄SCS 系統(tǒng)及SIS 系統(tǒng)進(jìn)行組態(tài)編程與遠(yuǎn)程維護(hù)。時鐘服務(wù)器具備多個隔離網(wǎng)絡(luò)端口，獨立為各網(wǎng)段提供授時服務(wù)。

通過對局域網(wǎng)和控制網(wǎng)的劃分，使得兩個網(wǎng)絡(luò)內(nèi)的設(shè)備不直接連接，防止兩個網(wǎng)絡(luò)中不同安全級別的設(shè)備互相影響，提升了系統(tǒng)控制功能安全性，降低了各設(shè)備間的耦合性，可避免人為因素對SIS系統(tǒng)的影響（例如工程師臨時通過局域網(wǎng)接入調(diào)試電腦易造成SIS 系統(tǒng)IP 地址沖突或程序文件下載錯誤等問題）。

2.2 內(nèi)網(wǎng)劃分

操作員站是工控系統(tǒng)網(wǎng)絡(luò)中現(xiàn)場人員獲取生產(chǎn)數(shù)據(jù)和下發(fā)控制指令最直接的設(shè)備，同時也是操作最頻繁的對象。由于操作人員存在安全不確定性，為了避免未經(jīng)授權(quán)的人員訪問受限功能，保證系統(tǒng)安全，需要對操作員站的通信權(quán)限進(jìn)行設(shè)置，使操作員站僅能訪問SCADA 服務(wù)器與校時服務(wù)器，不能訪問其他設(shè)備。首先，在局域網(wǎng)交換機(jī)上開辟內(nèi)網(wǎng)端口并分配內(nèi)網(wǎng)Vlan ID，從而與交換機(jī)上其他端口進(jìn)行隔離。其次，單獨設(shè)置一組內(nèi)網(wǎng)IP 地址，分配給SCADA 服務(wù)器、操作員站、校時服務(wù)器，并將這些設(shè)備通過局域網(wǎng)交換機(jī)內(nèi)網(wǎng)端口進(jìn)行連接。通過這種規(guī)劃及設(shè)置，操作員站只能與SCADA 服務(wù)器和校時服務(wù)器通信，進(jìn)行讀取數(shù)據(jù)、下發(fā)命令以及校時等，減輕了操作員站的工作負(fù)擔(dān)，降低了通過操作員站引起的系統(tǒng)故障風(fēng)險。

2.3 SCS 系統(tǒng)與SIS 系統(tǒng)通信

SIS 系統(tǒng)是現(xiàn)場出現(xiàn)異常狀況時能第一時間進(jìn)行安全警告及緊急事件自動處理的重要系統(tǒng)，SIS系統(tǒng)需通過SCS 系統(tǒng)將實時數(shù)據(jù)反饋給用戶，因此SCS 系統(tǒng)與SIS 系統(tǒng)之間的通信狀態(tài)影響著現(xiàn)場工控系統(tǒng)正常運(yùn)行。

在SCS 系統(tǒng)與SIS 系統(tǒng)中各安裝兩塊以太網(wǎng)通信模塊，以太網(wǎng)模塊之間兩兩建立通信，形成四條通信信道（圖3）。相比常規(guī)方案中的雙網(wǎng)冗余通信方式，四重信道的通信方式更加安全、穩(wěn)定。

圖3 SCS 系統(tǒng)與SIS 系統(tǒng)通信信道Fig.3 Communication channel of SCS system and SIS system

為實時監(jiān)測SCS 系統(tǒng)與SIS 系統(tǒng)的連接是否正常，在SCS 系統(tǒng)及SIS 系統(tǒng)中編寫通信狀態(tài)診斷邏輯程序，利用時鐘法進(jìn)行通信狀態(tài)診斷。在SCS 系統(tǒng)內(nèi)編程設(shè)置一個從0～59 s 往復(fù)循環(huán)變化的時鐘值，并實時寫入SIS 系統(tǒng)中，SIS 系統(tǒng)讀取該值后隔10 s 再傳回SCS 系統(tǒng)，SCS 系統(tǒng)對傳回的數(shù)值進(jìn)行判斷，若連續(xù)兩次傳回的數(shù)值不一致則表明系統(tǒng)之間通信正常。

四條通信信道在正常情況下按照“一條運(yùn)行，三條備用”的方式進(jìn)行工作。當(dāng)系統(tǒng)正常運(yùn)行后，激活1#信道，利用SCS 系統(tǒng)與SIS 系統(tǒng)各自第一塊以太網(wǎng)模塊進(jìn)行通信，并生成該信道通信標(biāo)志位上傳至上位機(jī)顯示，其他三條信道處于備用狀態(tài)。當(dāng)檢測到該信道通信中斷，立即切換至2#信道并發(fā)出報警提示，利用SCS 系統(tǒng)第一塊以太網(wǎng)模塊與SIS系統(tǒng)第二塊以太網(wǎng)模塊進(jìn)行通信，如果2#信道已存在通信故障，則直接跳過該信道，切換到3#信道進(jìn)行通信。同理其他信道也是如此切換。之前發(fā)生通信故障的信道在恢復(fù)通信后直接調(diào)整設(shè)置為備用信道。

通過該方式進(jìn)行通信連接穩(wěn)定性極高，提升了系統(tǒng)的通信故障識別度，滿足了SIS 系統(tǒng)的數(shù)據(jù)傳輸及邏輯控制功能對網(wǎng)絡(luò)通信的高要求。

2.4 冗余配置

生產(chǎn)數(shù)據(jù)是保證油氣管道輸送正常作業(yè)的基礎(chǔ)，它反映出生產(chǎn)過程的實時狀況，在整個生產(chǎn)過程中有著極其重要的地位。為了保證數(shù)據(jù)的安全性、可靠性，在工控系統(tǒng)網(wǎng)絡(luò)的關(guān)鍵節(jié)點均進(jìn)行冗余配置，主要包括路由器冗余、SCADA 服務(wù)器冗余、局域網(wǎng)冗余及控制網(wǎng)冗余等。這些冗余配置組成了一個完整的冗余工控網(wǎng)絡(luò)系統(tǒng)。

（1）路由器冗余。不論外部數(shù)據(jù)通往站場，還是站場數(shù)據(jù)傳輸至調(diào)控中心，均應(yīng)為數(shù)據(jù)傳輸設(shè)置不同的物理通道，采用“一主一備”甚至“一主多備”的通信方式，以保證數(shù)據(jù)的可靠性和安全性。本套優(yōu)化的方案通過規(guī)劃四條物理通道，打通站場與調(diào)控中心的通信，包括主備光通信鏈路、衛(wèi)星及DDN 專網(wǎng)鏈路。在站場部署兩臺路由器，對通往主備調(diào)控中心的四條通道進(jìn)行路由轉(zhuǎn)發(fā)配置，每條通道設(shè)置不同優(yōu)先級別，使通道在通信故障時可以有規(guī)律的進(jìn)行通信切換。在正常通信狀態(tài)下，主調(diào)控中心訪問站場通過主光通信鏈路，備調(diào)控中心訪問站場通過備光通信鏈路；主光通信鏈路故障時，主調(diào)控中心通過備調(diào)控中心的通信鏈路訪問站場；主備光通信鏈路故障時，主調(diào)控中心、備調(diào)控中心通過DDN 專網(wǎng)鏈路訪問站場；衛(wèi)星則為優(yōu)先級最低的通信方式，只有其他通信方式均發(fā)生故障時才使用。通過這種添加優(yōu)先級的冗余配置，保證數(shù)據(jù)首先通過傳輸速率高、可靠性高的通道進(jìn)行傳遞，確保了數(shù)據(jù)通信的時效性、可靠性和安全性。

（2）SCADA 服務(wù)器冗余。SCADA 服務(wù)器是操作人員控制現(xiàn)場設(shè)備的總臺，一方面，它通過SCS系統(tǒng)從現(xiàn)場設(shè)備采集數(shù)據(jù)進(jìn)行處理、分析，并將結(jié)果反饋給操作人員；另一方面，它接受操作人員的指令并轉(zhuǎn)換為機(jī)器語言發(fā)送至現(xiàn)場設(shè)備執(zhí)行相關(guān)動作，由此實現(xiàn)對現(xiàn)場設(shè)備及儀表的監(jiān)測和控制。因此，SCADA 服務(wù)器是工控系統(tǒng)中極其重要的一部分，須保證其長時間穩(wěn)定的在線運(yùn)行。本方案部署A、B 兩臺SCADA 服務(wù)器，它們互為主備并同步實時采集數(shù)據(jù)。當(dāng)主服務(wù)器產(chǎn)生故障時，備服務(wù)器自動切換為主服務(wù)器的角色接管系統(tǒng)的監(jiān)控功能。雙服務(wù)器的部署方式保證了工控系統(tǒng)監(jiān)控功能持續(xù)、穩(wěn)定、安全的運(yùn)行。

（3）網(wǎng)絡(luò)冗余。在單一網(wǎng)絡(luò)的模式下，若控制系統(tǒng)中任何一設(shè)備出現(xiàn)故障均會導(dǎo)致整個系統(tǒng)無法正常運(yùn)行。本文提出優(yōu)化后的局域網(wǎng)和控制網(wǎng)冗余方案，將局域網(wǎng)設(shè)置為A 網(wǎng)和B 網(wǎng)，將控制網(wǎng)設(shè)置為1#網(wǎng)和2#網(wǎng)，冗余網(wǎng)絡(luò)劃分兩個網(wǎng)段的IP 地址，網(wǎng)絡(luò)中的SCS 系統(tǒng)、SIS 系統(tǒng)、壓縮機(jī)系統(tǒng)、SCADA 服務(wù)器等設(shè)備也設(shè)置多個不同網(wǎng)段的IP 地址，并保證設(shè)備多個網(wǎng)絡(luò)端口之間物理隔離，這樣的目的在于既實現(xiàn)了冗余功能，也保證了冗余網(wǎng)絡(luò)之間IP 地址沒有沖突，避免形成環(huán)網(wǎng)問題。若其中一個網(wǎng)絡(luò)發(fā)生故障，數(shù)據(jù)采集及命令下發(fā)可通過另一網(wǎng)絡(luò)進(jìn)行，保證了生產(chǎn)過程監(jiān)控的實時性、可靠性和穩(wěn)定性。

2.5 網(wǎng)絡(luò)安全

油氣管道是國家能源的大動脈，一旦遭受攻擊，輕則對企業(yè)利益造成影響，重則造成人員傷亡，甚至威脅到國家能源安全。近年來針對能源行業(yè)工控系統(tǒng)的網(wǎng)絡(luò)攻擊行為呈上升趨勢，如攻擊伊朗的震網(wǎng)病毒、攻擊烏克蘭電廠的BlackEnergy等[3]。隨著“兩化融合”工作的逐步開展，工控系統(tǒng)的開放、數(shù)據(jù)在更大范圍內(nèi)的傳輸是未來工業(yè)發(fā)展的必然趨勢[4]，油氣管道工控系統(tǒng)的信息化程度不斷加強(qiáng)，對網(wǎng)絡(luò)安全的要求也越來越高?；凇暗缺?.0”對工控系統(tǒng)網(wǎng)絡(luò)安全提出的通用及擴(kuò)展要求，在工控系統(tǒng)網(wǎng)絡(luò)中部署終端防護(hù)、防火墻、安全審計等安全設(shè)備及軟件。終端防護(hù)軟件主要部署在工控系統(tǒng)中SCADA 服務(wù)器、工程師站、操作員站等終端設(shè)備上，保證通過終端設(shè)備進(jìn)入系統(tǒng)的數(shù)據(jù)是安全的。防火墻部署于網(wǎng)絡(luò)邊界處，使不同安全等級的區(qū)域網(wǎng)絡(luò)通過安全可控的方式互相訪問。部署安全審計系統(tǒng)，針對具體項目實施要求配置安全策略，實時對網(wǎng)絡(luò)安全設(shè)備、服務(wù)器、終端應(yīng)用系統(tǒng)等設(shè)備的異常狀態(tài)、操作記錄、日志信息進(jìn)行采集和存儲，對違規(guī)操作行為進(jìn)行記錄，對系統(tǒng)網(wǎng)絡(luò)安全的整體狀況做出分析和預(yù)測。

通過部署網(wǎng)絡(luò)安全設(shè)備，可以有效阻隔針對工控系統(tǒng)網(wǎng)絡(luò)的攻擊，保護(hù)生產(chǎn)數(shù)據(jù)的安全，提升工控系統(tǒng)工業(yè)化與信息化的融合程度。

2.6 區(qū)域化數(shù)據(jù)發(fā)布

通過區(qū)域化數(shù)據(jù)發(fā)布功能，將工業(yè)生產(chǎn)數(shù)據(jù)傳至信息管理系統(tǒng)中，經(jīng)過授權(quán)的人員直接在辦公電腦或移動終端即可實時查看生產(chǎn)數(shù)據(jù)；利用遠(yuǎn)維數(shù)據(jù)發(fā)布，實現(xiàn)工控系統(tǒng)運(yùn)行狀態(tài)的遠(yuǎn)程在線監(jiān)視與分析、故障診斷與預(yù)警，隨時掌握現(xiàn)場生產(chǎn)狀況。本方案部署數(shù)據(jù)發(fā)布專用路由器、服務(wù)器及遠(yuǎn)維數(shù)據(jù)和區(qū)域化數(shù)據(jù)上傳調(diào)控中心專用通道，將生產(chǎn)數(shù)據(jù)、設(shè)備運(yùn)行參數(shù)等信息實時傳輸至調(diào)控中心中間數(shù)據(jù)庫，中間數(shù)據(jù)庫再將數(shù)據(jù)提供給信息管理系統(tǒng)，實現(xiàn)數(shù)據(jù)的實時發(fā)布。

2.7 授時服務(wù)

油氣管道生產(chǎn)強(qiáng)調(diào)工控系統(tǒng)數(shù)據(jù)的時效性，只有實時的數(shù)據(jù)才能及時的反映出當(dāng)前生產(chǎn)狀況，SCADA 服務(wù)器需讀取工控系統(tǒng)網(wǎng)絡(luò)中各設(shè)備采集的實時數(shù)據(jù)，操作員站也需讀取SCADA 服務(wù)器的實時數(shù)據(jù)等等，因此要求工控系統(tǒng)網(wǎng)絡(luò)內(nèi)所有產(chǎn)生生產(chǎn)數(shù)據(jù)、接收調(diào)控指令的設(shè)備時區(qū)相同、時間一致。本設(shè)計方案部署一臺與衛(wèi)星時鐘同步的校時服務(wù)器，該時鐘源同時架設(shè)在局域網(wǎng)和控制網(wǎng)，通過對交換機(jī)端口分配Vlan ID 進(jìn)行端口隔離，可為工控系統(tǒng)網(wǎng)絡(luò)內(nèi)所有需要校時的設(shè)備進(jìn)行授時，確保所有設(shè)備的時間運(yùn)行一致。

2.8 站場與閥室通信

長輸油氣管道閥室數(shù)據(jù)分別傳至上下游站場，再通過站場路由器上傳至調(diào)控中心。目前閥室按照有無外部市電供應(yīng)的區(qū)別劃分為監(jiān)控閥室與監(jiān)視閥室，監(jiān)控閥室有外電接入，可利用光通信設(shè)備將監(jiān)控閥室局域網(wǎng)絡(luò)接入到上下游站場。而監(jiān)視閥室無外電接入，只能利用太陽能供電，無法保證光通信設(shè)備的正常運(yùn)行，因此通過將各監(jiān)視閥室的光交換機(jī)相互串聯(lián)，使監(jiān)視閥室網(wǎng)絡(luò)接入到站場[5-7]，如圖4 所示。

由圖4 可知，上下游站場通過監(jiān)視閥室與監(jiān)控閥室連接，有形成環(huán)網(wǎng)的風(fēng)險，從而引起網(wǎng)絡(luò)風(fēng)暴，并且還會造成上下游站場局域網(wǎng)互通的問題。

圖4 站場與閥室網(wǎng)絡(luò)連接Fig.4 Network connection between stations and valve chambers

針對此問題，將監(jiān)視閥室的工業(yè)交換機(jī)分為兩個區(qū)域，分別連接上下游閥室或站場，通過對工業(yè)交換機(jī)端口分配不同Vlan ID（圖4 中以Vlan 101 和Vlan 102 為例），分別只接收上下游閥室傳遞過來的帶有各自Vlan 標(biāo)簽的數(shù)據(jù)。當(dāng)站場訪問監(jiān)視閥室數(shù)據(jù)時，數(shù)據(jù)流可通過閥室交換機(jī)從第一個閥室跳轉(zhuǎn)至第二個閥室，再從第二個閥室跳轉(zhuǎn)至第三個閥室，以此類推。但由于分配了不同的VLAN ID，上下游站場最多只能訪問到各自線路最尾端閥室，無法進(jìn)一步實現(xiàn)站場之間的通信。

通過這種方式，既有效避免了上下游站場與閥室形成環(huán)網(wǎng)，也保證了閥室數(shù)據(jù)可以通過級聯(lián)鏈路傳遞至上下游站場，同時也解決了上下游站場間的網(wǎng)絡(luò)互通問題。

3 方案的優(yōu)點

相比常規(guī)工控系統(tǒng)網(wǎng)絡(luò)設(shè)置，經(jīng)過優(yōu)化后的網(wǎng)絡(luò)部署更能適應(yīng)當(dāng)前油氣管道行業(yè)的發(fā)展，其優(yōu)點主要體現(xiàn)在以下六點：

（1）對現(xiàn)場劃分兩個網(wǎng)段，實現(xiàn)雙網(wǎng)絡(luò)通信，實現(xiàn)網(wǎng)絡(luò)冗余功能，提升了安全性及可靠性。

（2）采用三層交換機(jī)，并通過對交換機(jī)劃分不同的Vlan，有助于控制流量、減少設(shè)備投資、簡化網(wǎng)絡(luò)管理、提高網(wǎng)絡(luò)的安全性，防止同一交換機(jī)上不同網(wǎng)段的設(shè)備互聯(lián)，保證通信安全，避免網(wǎng)絡(luò)風(fēng)暴。

（3）依據(jù)等保2.0 要求，部署網(wǎng)絡(luò)安全設(shè)備及軟件，提升工控系統(tǒng)網(wǎng)絡(luò)安全。

（4）與調(diào)控中心通信采用多個互相獨立的傳輸通道，并在路由器中建立策略，劃分不同路徑的優(yōu)先級，提升了數(shù)據(jù)傳輸可靠性和穩(wěn)定性。

（5）分開設(shè)置局域網(wǎng)和控制網(wǎng)，實現(xiàn)邏輯控制功能與上位機(jī)監(jiān)測功能分開管理，降低了系統(tǒng)耦合性。

（6）通過將區(qū)域化數(shù)據(jù)進(jìn)行網(wǎng)絡(luò)發(fā)布，可將生產(chǎn)數(shù)據(jù)信息化，實現(xiàn)工業(yè)生產(chǎn)系統(tǒng)向信息管理系統(tǒng)的邁入。

4 網(wǎng)絡(luò)測試

經(jīng)過優(yōu)化后的工控系統(tǒng)網(wǎng)絡(luò)部署方案，是否能適應(yīng)當(dāng)前油氣管道行業(yè)的發(fā)展，提高工控系統(tǒng)應(yīng)用能力，滿足現(xiàn)場生產(chǎn)監(jiān)控要求，需要經(jīng)過現(xiàn)場測試后方可驗證。方案通過在現(xiàn)有天然氣長輸管道控制站場與閥室進(jìn)行測試，驗證了其可行性。

4.1 局域網(wǎng)測試

局域網(wǎng)交換機(jī)劃分為過程數(shù)據(jù)采集網(wǎng)端口與SCADA 上位機(jī)內(nèi)網(wǎng)端口兩部分。其中內(nèi)網(wǎng)端口用于操作員站與服務(wù)器的連接，在每臺交換機(jī)上都選取4 個端口劃分至同一Vlan 區(qū)域。而過程數(shù)據(jù)采集網(wǎng)則使用每臺交換機(jī)剩余的端口，并分為A、B 兩個通信網(wǎng)絡(luò)。局域網(wǎng)測試分兩部分，內(nèi)網(wǎng)測試和采集網(wǎng)測試[8-10]。

4.1.1 內(nèi)網(wǎng)測試

（1）將兩臺交換機(jī)1-4 口均劃分為Vlan 20，并做級聯(lián)。

（2）SCADA 上位機(jī)兩臺操作員站與兩臺服務(wù)器連接到交換機(jī)1-4 口上，每臺操作員站與每臺服務(wù)器均有2 個端口分別連接到兩臺交換機(jī)的Vlan 20端口中。服務(wù)器兩個端口配置為bond 接口并設(shè)置成冗余非交換接口模式。接口拓?fù)鋱D如圖5 所示[11]。

圖5 內(nèi)網(wǎng)接口拓?fù)銯ig.5 Intranet interface topology

（3）分別切斷主服務(wù)器、備服務(wù)器以及操作員站一個端口的網(wǎng)絡(luò)連接，檢查服務(wù)器與操作員站的通信狀況，并檢查兩臺服務(wù)器的冗余狀況，此時通信與冗余情況均未受影響。

（4）切斷服務(wù)器采集網(wǎng)絡(luò)，對采集網(wǎng)絡(luò)做端口強(qiáng)制禁用操作以及在采集網(wǎng)絡(luò)模擬網(wǎng)絡(luò)風(fēng)暴現(xiàn)象，客戶端與服務(wù)器內(nèi)網(wǎng)未受任何影響，客戶端可正常訪問服務(wù)器。

4.1.2 采集網(wǎng)測試

（1）第一臺局域網(wǎng)交換機(jī)除內(nèi)網(wǎng)網(wǎng)口外，其余網(wǎng)口劃分為Vlan 30，為采集網(wǎng)A 網(wǎng)網(wǎng)絡(luò)，接入SCS系統(tǒng)1#口通信端口、遠(yuǎn)維數(shù)據(jù)服務(wù)器1#口通信端口、SCADA 數(shù)據(jù)服務(wù)器3#口通信端口。

（2）第二臺局域網(wǎng)交換機(jī)除內(nèi)網(wǎng)網(wǎng)口外，其余網(wǎng)口劃分為Vlan 40，為采集網(wǎng)B 網(wǎng)網(wǎng)絡(luò)，接入SCS系統(tǒng)2#口通信端口、遠(yuǎn)維數(shù)據(jù)服務(wù)器2#口通信端口、SCADA 數(shù)據(jù)服務(wù)器4#口通信端口，如圖6所示。

圖6 采集網(wǎng)接口拓?fù)銯ig.6 Acquisition network interface topology

（3）分別順序切斷SCS 系統(tǒng)、遠(yuǎn)維數(shù)據(jù)服務(wù)器與SCADA 數(shù)據(jù)服務(wù)器的A/B 網(wǎng)端口，檢查數(shù)據(jù)采集與指令下發(fā)情況，此時數(shù)據(jù)采集與指令下發(fā)均正常。

（4）切斷服務(wù)器與客戶端內(nèi)網(wǎng)、對內(nèi)網(wǎng)做端口強(qiáng)制禁用操作以及在內(nèi)網(wǎng)模擬網(wǎng)絡(luò)風(fēng)暴現(xiàn)象，采集網(wǎng)的數(shù)據(jù)采集與命令下發(fā)未受任何影響，SCS 系統(tǒng)與服務(wù)器數(shù)據(jù)采集監(jiān)控業(yè)務(wù)正常。

4.2 控制網(wǎng)測試

控制網(wǎng)內(nèi)接SIS 系統(tǒng)與火氣系統(tǒng)，與過程控制系統(tǒng)的局域網(wǎng)以及遠(yuǎn)維網(wǎng)是相互獨立并且隔離的。每個系統(tǒng)均有兩個端口分別接到控制網(wǎng)的兩臺交換機(jī)上，過程控制系統(tǒng)訪問控制網(wǎng)是通過SCS 系統(tǒng)本地機(jī)架上的通信模塊實現(xiàn)，通信模塊兩個端口也分別接到控制網(wǎng)兩臺交換機(jī)上。因此控制網(wǎng)測試較局域網(wǎng)相對簡單，不劃分Vlan，不做級聯(lián)，僅需進(jìn)行雙網(wǎng)冗余測試即可。經(jīng)過分別切斷SIS 系統(tǒng)與火氣系統(tǒng)其中一個端口與控制網(wǎng)交換機(jī)的連接，各系統(tǒng)之間的數(shù)據(jù)通信均正常，未受到影響。在局域網(wǎng)中模擬網(wǎng)絡(luò)入侵、網(wǎng)絡(luò)風(fēng)暴等現(xiàn)象，也未對控制網(wǎng)造成任何影響[12]。

4.3 遠(yuǎn)維網(wǎng)測試

遠(yuǎn)維網(wǎng)負(fù)責(zé)對外發(fā)布過程控制系統(tǒng)的數(shù)據(jù)，如向信息化平臺、中心遠(yuǎn)維數(shù)據(jù)庫等平臺進(jìn)行數(shù)據(jù)發(fā)布。遠(yuǎn)維數(shù)據(jù)服務(wù)器具有多個隔離端口，設(shè)置不同端口分別負(fù)責(zé)數(shù)據(jù)采集與數(shù)據(jù)對外發(fā)布。遠(yuǎn)維數(shù)據(jù)服務(wù)器支持多種工業(yè)通信協(xié)議，如Modbus Tcp/Ip、IEC104、OPC UA、Snmp 協(xié)議等。本次測試采用Modbus Tcp/Ip 協(xié)議采集過程控制系統(tǒng)SCS 數(shù)據(jù)后，再采用IEC104 協(xié)議對外發(fā)布；采用SNMP 協(xié)議采集工控網(wǎng)絡(luò)內(nèi)網(wǎng)絡(luò)設(shè)備信息后，再采用OPC UA 協(xié)議對外發(fā)布[13]。

4.4 網(wǎng)絡(luò)安全測試

對局域網(wǎng)交換機(jī)與控制網(wǎng)交換機(jī)設(shè)置鏡像口，網(wǎng)絡(luò)安全審計設(shè)備接入交換機(jī)鏡像口，監(jiān)視網(wǎng)絡(luò)流量。網(wǎng)絡(luò)安全測試主要分以下幾個步驟進(jìn)行：

（1）設(shè)置網(wǎng)絡(luò)流量審計探針I(yè)P 地址、上聯(lián)設(shè)備端口、監(jiān)聽交換機(jī)鏡像接口。

（2）配置網(wǎng)絡(luò)安全審計設(shè)備為硬件管理平臺和安全管理平臺。

（3）物理連接網(wǎng)絡(luò)安全審計設(shè)備與工控網(wǎng)絡(luò)交換機(jī)。

（4）開啟網(wǎng)絡(luò)安全審計設(shè)備的攻擊策略、防病毒檢測策略、網(wǎng)絡(luò)攻擊策略、特征檢測策略、主機(jī)監(jiān)控策略、時鐘同步與日志外發(fā)策略等。

（5）測試與中心安全審計總部平臺的數(shù)據(jù)收發(fā)。

（6）導(dǎo)入工控測試包與攻擊測試包，用筆記本本地網(wǎng)卡接網(wǎng)絡(luò)流量審計任意工作口，使用數(shù)據(jù)包播放器回放攻擊包和工控會話包，查看是否有網(wǎng)絡(luò)會話和安全事件產(chǎn)生。圖7 為安全審計潛在風(fēng)險報警。

圖7 安全審計潛在風(fēng)險報警Fig.7 Security audit potential risk alarm

（7）檢查中心安全審計服務(wù)器平臺日志接收情況。中心安全審計平臺能夠正常讀取站場安全審計信息并對信息進(jìn)行記錄存儲。

5 結(jié)論

（1）優(yōu)化后的工控系統(tǒng)網(wǎng)絡(luò)空間層次更加清晰，系統(tǒng)網(wǎng)絡(luò)內(nèi)各子系統(tǒng)間的數(shù)據(jù)交互穩(wěn)定性及時效性得到了極大的提高，系統(tǒng)控制安全性得到了進(jìn)一步加強(qiáng)。

（2）優(yōu)化后的工控系統(tǒng)網(wǎng)絡(luò)提升了工業(yè)數(shù)據(jù)向信息系統(tǒng)傳輸過程中的網(wǎng)絡(luò)安全性和可靠性，滿足“等保2.0”對工控系統(tǒng)提出的要求。

（3）該工控系統(tǒng)網(wǎng)絡(luò)部署方案能夠更好的適應(yīng)當(dāng)前油氣行業(yè)的需求，在實用性、安全性、可靠性、智能性等方面比常規(guī)工控系統(tǒng)網(wǎng)絡(luò)有更大的優(yōu)勢，這種優(yōu)勢也順應(yīng)當(dāng)前“兩化融合”、“工業(yè)4.0”、“中國制造2025”等新概念提出的新要求，對于后續(xù)油氣行業(yè)的工控系統(tǒng)發(fā)展具有一定的指導(dǎo)作用。