《工业控制网络安全技术与实践》一一2.6 典型工业领域的工业控制网络

简介:

本节书摘来自华章出版社《工业控制网络安全技术与实践》一 书中的第2章,第2.6节,作者:姚 羽 祝烈煌 武传坤  ,更多章节内容可以访问云栖社区“华章计算机”公众号查看。

2.6 典型工业领域的工业控制网络

工业控制系统是工业控制网络的服务对象。一些通过信息技术手段对工业控制系统实施的攻击都是通过工业控制网络完成的,因此保护好工业控制网络的安全,就能预防工业控制系统的非法入侵等攻击行为。为此,有必要了解一些具体行业的工业控制网络。
2.6.1 钢铁行业的工业控制网络
钢铁行业工业以太网一般采用环网结构,为实时控制网,负责控制器、操作员站及工程师站之间过程控制数据实时通信,网络上所有操作员站、数采机及PLC都使用以太网接口并设置为同一网段IP地址,网络中远距离传输介质为光缆,本地传输介质为网线(如PLC与操作员站之间)。生产监控主机利用双网卡结构与管理网相连。图2-16是典型钢铁厂网络拓扑图。
1)垂直划分为互联网层、办公网层、监控层、控制层及现场层(仪表)。
2)水平划分为不同功能区域(烧结、炼铁、炼钢、轧钢等)。
2.6.2 石化行业的工业控制网络
典型情形下,现有的炼化厂生产控制系统的网络拓扑图如图2-17所示。大型石油化工产业控制系统庞大,安全要求高,现场由多个控制系统完成控制功能。大型石油化工工程全厂DCS采用大型局域网架构,网络架构较为复杂。现场的主要控制功能都是由DCS来完成的,其他系统的集中控制在某种程度上可以完全由DCS监控。DCS含有大量的数据接口,是构建企业信息化的数据来源与执行机构。除DCS外的其他系统一般对外并没有数据接口(无生产数据),且相对独立,网络结构简单。
image

图2-16 典型钢铁厂网络拓扑图
主要控制系统的功能如下所示。
(1)分布式控制系统(DCS)
DCS完成生产装置的基本过程控制、操作、监视、管理、顺序控制、工艺联锁,部分先进过程控制也在DCS中完成。大型石油化工工程全厂DCS采用大型局域网架构。根据生产需求、系统规模和总图布置划分为若干独立的局域网,确保每套生产装置独立开停车和正常运行。
(2)安全仪表系统(SIS)
SIS设置在现场机柜室(FAR),与DCS独立设置,以确保人员及生产装置、重要机组和关键设备的安全。SIS按照故障安全型设计,与DCS实时数据通信,在DCS操作员站上显示。大型石油化工工程全厂SIS采用局域网架构。根据生产需求、系统规模和总图布置划分为若干独立的局域网,确保采用SIS的生产装置独立开停车和安全运行。
image
image

图2-17 典型炼化厂网络拓扑图
(3)可燃/有毒气体检测系统(GDS)
生产装置、公用工程及辅助设施内可能泄漏或聚集可燃、有毒气体的地方分别设有可燃、有毒气体检测器,并将信号接至GDS。
(4)压缩机控制系统(CCS)
压缩机控制系统完成压缩机组的调速控制、防喘振控制、负荷控制及安全联锁保护等功能,并与装置的DCS 进行通信,操作人员能够在DCS操作员站上对机组进行监视和操作。
(5)转动设备监视系统(MMS)
MMS用于主要透平机、压缩机和泵等转动设备参数的在线监视,同时对转动设备的性能进行分析和诊断,对转动设备的故障预测维护进行有力的支持。
(6)可编程逻辑控制系统(PLC)
操作控制相对比较独立或特殊的设备的控制监视和安全保护功能原则上采用独立的PLC 控制系统。与DCS 进行数据通信,操作人员能够在DCS操作员站上对设备的运行进行监视与操作。
(7)在线分析仪系统(PAS)
在线分析仪(工业色谱仪、红外线分析仪等)应包括采样单元、采样预处理单元、分析器单元、回收或放空单元、微处理器单元、通信接口(网络与串行)、显示器(LCD)单元和打印机等。
2.6.3 电力行业的工业控制网络
大型电厂全厂DCS采用大型局域网架构,网络架构较为复杂。以下是DCS 网络的架构说明。
(1)L1基础控制层
该层网络完成控制生产过程的功能,主要由工业控制器、数据采集卡件,以及各种过程控制输入输出仪表组成,也包括现场所有的系统间通信。可以本地实现连续控制调节和顺序控制、设备检测和系统测试与自诊断、过程数据采集、信号转换、协议转换等功能。
(2)L2监控层
该层包含各个分装置的工程师站以及操作员站,可以对生产过程进行生产过程的监控、系统组态的维护、现场智能仪表的管理。事实上,由L1 和L2 层就能进行产品的正常生产,但是在大型电厂中,为了实现生产管理智能化以及信息化,通常都会设置L3 及以上的网
络层。
(3)L3 操作管理层(集控CCR)
DCS管理层网络通过L3级交换机汇聚各分区L2层的LAN。设置全局工程师站可以对分区内所有装置的组态进行维护,查看网络内各装置的监控画面、趋势和报警。L3层设置的中心OPC服务器,可以实现对各装置实时数据的采集。
(4)L4调度管理层(厂级SIS)
SIS是实行生产过程综合优化服务的实时管理和监控系统,它将全厂DCS、PLC以及其他计算机过程控制系统(Process Control System,PCS)汇集在一起,并与管理信息系统(Management Information System,MIS)有机结合,在整个电厂内实现资源共用、信息共享,做到管控一体化。
典型情形下,现有的火电厂生产控制系统的网络拓扑图如图2-18所示。
image

图2-18 现有的火电厂生产控制系统的网络拓扑图
2.6.4 市政交通行业的工业控制网络
地铁综合监控系统的总体架构如图2-19所示。它由中央综合监控系统、车站综合监控系统(包括车辆段综合监控系统)以及将它们连接的综合监控系统骨干网组成。
(1)中央综合监控系统
中央综合监控系统安装在线路监控中心,用于监视全线各个车站(包括车辆段)的各个子系统的运行状态,完成中心级的操作控制功能。中央综合监控系统由中央监控网、OCC(Operating Control Center,运行控制中心)实时服务器、历史和事件服务器、磁盘阵列、磁带记录装置、各类操作员工作站、中心互联系统、UPS、打印机、机柜和附件等部分组成。此外,还有全系统的网络管理系统(NMS)、大屏幕系统(OPS)。
(2)车站综合监控系统
车站级监控网为双冗余高速交换式以太网,数据传输率为100 Mbit/s或1 000 Mbit/s,遵循IEEE 802.3标准、使用TCP/IP 协议,网络交换机为冗余配置。
image

图2-19 典型的综合监控系统架构图
(3)综合监控系统骨干网
综合监控系统骨干网(MBN)可采用地铁工程通信骨干网的传输信道,也可单独组建骨干网。地铁综合监控系统是一个地理分散的大型SCADA 系统。它构建在分布于方圆几十千米的广域网上。

目录
打赏
0
0
0
0
1408
分享
相关文章
阿里云CDN:全球加速网络的实践创新与价值解析
在数字化浪潮下,用户体验成为企业竞争力的核心。阿里云CDN凭借技术创新与全球化布局,提供高效稳定的加速解决方案。其三层优化体系(智能调度、缓存策略、安全防护)确保低延迟和高命中率,覆盖2800+全球节点,支持电商、教育、游戏等行业,帮助企业节省带宽成本,提升加载速度和安全性。未来,阿里云CDN将继续引领内容分发的行业标准。
29 7
网络安全视角:从地域到账号的阿里云日志审计实践
网络安全视角:从地域到账号的阿里云日志审计实践
云栖大会 | Terraform从入门到实践:快速构建你的第一张业务网络
云栖大会 | Terraform从入门到实践:快速构建你的第一张业务网络
算力流动的基石:边缘网络产品技术升级与实践探索
本文介绍了边缘网络产品技术的升级与实践探索,由阿里云专家分享。内容涵盖三大方面:1) 云编一体的混合组网方案,通过边缘节点实现广泛覆盖和高效连接;2) 基于边缘基础设施特点构建一网多态的边缘网络平台,提供多种业务形态的统一技术支持;3) 以软硬一体的边缘网关技术实现多类型业务网络平面统一,确保不同网络间的互联互通。边缘网络已实现全球覆盖、差异化连接及云边互联,支持即开即用和云网一体,满足各行业需求。
网络安全视角:从地域到账号的阿里云日志审计实践
日志审计的必要性在于其能够帮助企业和组织落实法律要求,打破信息孤岛和应对安全威胁。选择 SLS 下日志审计应用,一方面是选择国家网络安全专用认证的日志分析产品,另一方面可以快速帮助大型公司统一管理多组地域、多个账号的日志数据。除了在日志服务中存储、查看和分析日志外,还可通过报表分析和告警配置,主动发现潜在的安全威胁,增强云上资产安全。
170 14
GeneralDyG:南洋理工推出通用动态图异常检测方法,支持社交网络、电商和网络安全
GeneralDyG 是南洋理工大学推出的通用动态图异常检测方法,通过时间 ego-graph 采样、图神经网络和时间感知 Transformer 模块,有效应对数据多样性、动态特征捕捉和计算成本高等挑战。
75 18
GeneralDyG:南洋理工推出通用动态图异常检测方法,支持社交网络、电商和网络安全
阿里云先知安全沙龙(武汉站) - 网络空间安全中的红蓝对抗实践
网络空间安全中的红蓝对抗场景通过模拟真实的攻防演练,帮助国家关键基础设施单位提升安全水平。具体案例包括快递单位、航空公司、一线城市及智能汽车品牌等,在演练中发现潜在攻击路径,有效识别和防范风险,确保系统稳定运行。演练涵盖情报收集、无差别攻击、针对性打击、稳固据点、横向渗透和控制目标等关键步骤,全面提升防护能力。
网络安全视角:从地域到账号的阿里云日志审计实践
日志审计的必要性在于其能够帮助企业和组织落实法律要求,打破信息孤岛和应对安全威胁。选择 SLS 下日志审计应用,一方面是选择国家网络安全专用认证的日志分析产品,另一方面可以快速帮助大型公司统一管理多组地域、多个账号的日志数据。除了在日志服务中存储、查看和分析日志外,还可通过报表分析和告警配置,主动发现潜在的安全威胁,增强云上资产安全。
深入解析图神经网络:Graph Transformer的算法基础与工程实践
Graph Transformer是一种结合了Transformer自注意力机制与图神经网络(GNNs)特点的神经网络模型,专为处理图结构数据而设计。它通过改进的数据表示方法、自注意力机制、拉普拉斯位置编码、消息传递与聚合机制等核心技术,实现了对图中节点间关系信息的高效处理及长程依赖关系的捕捉,显著提升了图相关任务的性能。本文详细解析了Graph Transformer的技术原理、实现细节及应用场景,并通过图书推荐系统的实例,展示了其在实际问题解决中的强大能力。
326 30
网络安全与信息安全:关于网络安全漏洞、加密技术、安全意识等方面的知识分享
随着互联网的普及,网络安全问题日益突出。本文将介绍网络安全的重要性,分析常见的网络安全漏洞及其危害,探讨加密技术在保障网络安全中的作用,并强调提高安全意识的必要性。通过本文的学习,读者将了解网络安全的基本概念和应对策略,提升个人和组织的网络安全防护能力。

热门文章

最新文章

AI助理

你好,我是AI助理

可以解答问题、推荐解决方案等