1. 項(xiàng)目概況

中國(guó)石油西藏銷售分公司 725油庫(kù)位于西藏自治區(qū)拉薩市西郊，油庫(kù)于1972年5月建成，現(xiàn)油庫(kù)儲(chǔ)油總?cè)莘e達(dá)到86000 m3,屬二級(jí)油庫(kù)。油庫(kù)原有25個(gè)油罐、總庫(kù)容8萬(wàn)6千噸。油庫(kù)經(jīng)營(yíng)5種油品，主要油品均為部隊(duì)管道輸入，其它油品采用汽車運(yùn)輸，付油系統(tǒng)建有3平臺(tái)12鶴位自流付油設(shè)施，年進(jìn)出油品24萬(wàn)噸。

西藏725油庫(kù)項(xiàng)目實(shí)現(xiàn)以成品油庫(kù)管理體系為標(biāo)準(zhǔn)，以管理決策層、業(yè)務(wù)管理層和生產(chǎn)作業(yè)層為核心的管控一體化，及產(chǎn)供銷一體化，全部生產(chǎn)數(shù)據(jù)將實(shí)時(shí)接入管理層。為防止病毒和黑客進(jìn)入到油庫(kù)生產(chǎn)作業(yè)層網(wǎng)絡(luò)，進(jìn)而影響整個(gè)油品存儲(chǔ)的安全，在這種情況下必須重視數(shù)據(jù)傳輸?shù)陌踩?，做好必要的工業(yè)控制系統(tǒng)邊界安全防護(hù)。

本項(xiàng)目中，通過(guò)力控華康工業(yè)隔離網(wǎng)關(guān)pSafetyLink將西藏725油庫(kù)生產(chǎn)作業(yè)層的數(shù)據(jù)安全地傳輸?shù)轿鞑?/span>725油庫(kù)管理層，有效的阻止了黑客和病毒對(duì)控制網(wǎng)造成的攻擊。 

2. 解決方案

西藏725油庫(kù)項(xiàng)目系統(tǒng)結(jié)構(gòu)按業(yè)務(wù)功能可分為管理決策層、業(yè)務(wù)管理層和生產(chǎn)作業(yè)層三個(gè)層面。業(yè)務(wù)管理層主和管理決策層要從生產(chǎn)作業(yè)層提取有關(guān)油庫(kù)生產(chǎn)數(shù)據(jù)用于生產(chǎn)調(diào)度指揮，完成各種控制、運(yùn)行參數(shù)的監(jiān)測(cè)、報(bào)警和趨勢(shì)分析、油品進(jìn)、銷、存等業(yè)務(wù)管理。工業(yè)控制系統(tǒng)的每一個(gè)安全漏洞都會(huì)導(dǎo)致不可預(yù)測(cè)的嚴(yán)重后果，所以將業(yè)務(wù)管理層、管理決策層和生產(chǎn)作業(yè)層間進(jìn)行物理隔離十分必要。

西藏725油庫(kù)項(xiàng)目的體系將企業(yè)信息化系統(tǒng)結(jié)構(gòu)劃分成不同的區(qū)域，為油田建立有效的控制系統(tǒng)信息安全“縱深防御”體系。

    在油庫(kù)生產(chǎn)作業(yè)層與油庫(kù)管理層，管理層與業(yè)務(wù)管理層之間采用力控華康 工業(yè)安全隔離網(wǎng)關(guān)pSafetyLink，pSafetyLink實(shí)現(xiàn)油庫(kù)生產(chǎn)作業(yè)層、業(yè)務(wù)管理層和管理決策層之間有效的邊界隔離，在確保油庫(kù)生產(chǎn)作業(yè)層、業(yè)務(wù)管理層和管理決策層之間數(shù)據(jù)有效通信的前提下，有效地保護(hù)生產(chǎn)網(wǎng)免受病毒及黑客的攻擊，為油庫(kù)生產(chǎn)作業(yè)層、業(yè)務(wù)管理層和管理決策層的連接提供安全保障。

安全隔離網(wǎng)關(guān)內(nèi)部特殊的2+1的雙獨(dú)立主機(jī)架構(gòu)，控制端接入工業(yè)控制網(wǎng)絡(luò)，通過(guò)采集接口完成各子系統(tǒng)數(shù)據(jù)的采集；信息接入到企業(yè)管理網(wǎng)絡(luò)，完成數(shù)據(jù)到調(diào)度中心的傳輸。雙主機(jī)之間通過(guò)專有的PSL網(wǎng)絡(luò)隔離傳輸技術(shù)，截?cái)?TCP 連接，徹底割斷穿透性的 TCP 連接。PSL的物理層采用專用隔離硬件，鏈路層和應(yīng)用層采用私有通信協(xié)議，數(shù)據(jù)流采用128 位以上加密方式傳輸，更加充分保障數(shù)據(jù)安全。PSL技術(shù)實(shí)現(xiàn)了數(shù)據(jù)完全自我定義、自我解析、自我審查，傳輸機(jī)制具有徹底不可攻擊性，從根本上杜絕了非法數(shù)據(jù)的通過(guò)，確保子系統(tǒng)控制系統(tǒng)不會(huì)受到攻擊、侵入及病毒感染。

產(chǎn)品特性

1. “2+1”隔離技術(shù)架構(gòu)

保證網(wǎng)絡(luò)間正常通信，且徹底阻斷網(wǎng)絡(luò)間的直接TCP/IP連接，切斷攻擊的載體。

2. 數(shù)據(jù)單向傳輸

生產(chǎn)數(shù)據(jù)上傳到信息網(wǎng)絡(luò)的同時(shí)，阻斷各種威脅傳播到控制網(wǎng)絡(luò)。

3. 雙數(shù)據(jù)擺渡模式

測(cè)點(diǎn)管控模式：針對(duì)工業(yè)現(xiàn)場(chǎng)數(shù)據(jù)通信需要，提供測(cè)點(diǎn)數(shù)據(jù)的解析和安全保護(hù)；

隧道管控模式：使用自主開(kāi)發(fā)的安全數(shù)據(jù)傳輸方式支持通用IT流量、視頻流量、關(guān)系數(shù)據(jù)庫(kù)流量等更為多樣的網(wǎng)絡(luò)環(huán)境中的數(shù)據(jù)擺渡。

4. 多協(xié)議數(shù)據(jù)匯聚分發(fā)

支持OPC、Modbus、IEC60870-5-101/102/103/104及各種PLC以太通訊等常用工業(yè)協(xié)議，支持?jǐn)?shù)據(jù)多路分發(fā)給不同上位系統(tǒng)。

5. 斷線緩存

保證數(shù)據(jù)的完整性、連續(xù)性、可靠性，在通信鏈路斷開(kāi)時(shí)自動(dòng)記錄數(shù)據(jù)。

6. 雙機(jī)熱備

設(shè)備本身的故障不會(huì)影響現(xiàn)場(chǎng)的正常業(yè)務(wù)流，以提高工系統(tǒng)穩(wěn)定性，保障業(yè)務(wù)的連續(xù)性。

7. OPC tunnel

 簡(jiǎn)化了DCOM配置程序，提高了工作效率，大大降低了維護(hù)成本。

用戶價(jià)值

2 徹底隔離IT網(wǎng)絡(luò)中蠕蟲、木馬等惡意程序傳播-à保護(hù)SCADA、DCS、PLC等重要資產(chǎn)的安全。

2 過(guò)濾掉嵌入在應(yīng)用層的惡意代碼-à保護(hù)工廠生產(chǎn)裝置的安全。

2 徹底阻斷ARP、flood、碎片、惡意掃描等惡意攻擊-à保護(hù)工廠生產(chǎn)裝置免受惡意攻擊，從而保護(hù)工廠人員生命及財(cái)產(chǎn)安全。

2 工業(yè)級(jí)可靠性，設(shè)備長(zhǎng)期穩(wěn)定運(yùn)行-à提高系統(tǒng)穩(wěn)定性，保障業(yè)務(wù)連續(xù)性。

3、防護(hù)效果

pSafetyLink從2009年12月開(kāi)始投運(yùn)，至今運(yùn)行穩(wěn)定。pSafetyLink為西藏725油庫(kù)項(xiàng)目的控制系統(tǒng)網(wǎng)絡(luò)數(shù)據(jù)安全提供了有力保障。