工业控制安全型远程数据测控装置

1、案例名称

工业控制安全型远程数据测控装置

2、参评单位

华北石油通信有限公司

3、案例简介

工业控制安全型远程数据测控装置（RTU）是工业生产中数据采集与控制的核心设备，本产品采用双CPU，同时进行解码和执行，形成随时+步步进行诊断和检测，I/O模块执行包括RAM测试、ROM测试在内的系统层面的诊断以及根据模块的类型不同进行的现场层面的诊断。采用双看门狗的容灾设计与攻击防护，有力的保障了本产品的稳定性。数据加密认证、协议过滤、用户身份认证提升本产品的数据有效性与传输安全性，防范现场维护或远程维护时被恶意控制和篡改，保障该装置在工业现场应用中的信息安全。

4、案例解决行业痛点

1、不安全的串口连接（比如，缺乏连接认证）或缺乏有效的配置有效性核查，而造成设备运行参数被篡改，从而对整个工业控制系统的运行造成危害；

2、安全机制缺失，数字通信接口随便读写内部的数据；

3、设备自身工作状态无法自检，不能及时上报控制室；

4、无冗余功能，部分功能失效后无法正常运行。

5、案例应用范围

该产品现已在长庆油田、新疆油田、中石油煤层气、中石化煤层气、苏里格气田及华北油田等地推广应用，在能源行业应用已形成一定规模。

该产品在电力行业、制造业、电讯业、交通运输业等领域正在进行推广应用，应用前景良好。

6、案例应用场景

1、中石油煤层气现已使用249台，实现了煤层气井的数据采集控制与信息安全管控；

华北油田现已使用568台，实现了抽油机井的数据采集控制与信息安全管控；

苏里格气田已使用28台，实现了天然气井的数据采集控制与信息安全工控。

2、电力行业：发电厂、国家电网等数据监测方面进行推广应用。

3、制造业：具备自动控制监测的制造生产流水线进行推广应用。

4、电讯业：电讯业的机房监测推广应用。

5、交通运输业：车辆运行状态监测推广应用。

7、案例核心优势

1、双CPU设计，两个CPU分别对同一个用户程序各自执行一次，然后把两个结果放在一起进行比较，如果比较的结果是一致的，就输出这个结果，如果是不一致的，选择安全的结果输出。

2、两个处理器同时进行解码和执行，形成随时+步步进行诊断和检测。这种检测通过自身信息进行的为自检，通过对方的信息进行的为互检。

3、可进行多种检测，包括时钟测量、监视时钟、序列检查、存储器检查等。

4、I/O模块可执行包括RAM测试、ROM测试在内的系统层面的诊断以及根据模块的类型不同进行的现场层面的诊断，包括模拟量输入、数字量输入、数字量输出的超限问题、断线检测、现场电源失效以及超载问题。

5、可对安全CPU和安全I/O模块之间的通信进行诊断，比如使用CRC校验。不仅要检查接受的数据是否等于发送的数据，而且要检查数据的变化。

6、数据加密认证：基于AES与ECC的混合数字签名加密技术结合了2种算法的优点，利用AES算法对原数据加密，利用ECC算法加密密钥，大大提高了数据加密的安全性。

7、内嵌身份认证功能，对尝试访问系统的人员进行身份验证，实现集中式身份验证和访问控制，防范现场维护或远程维护时被恶意控制和篡改。

8、双看门狗设计：独立看门狗，主要用于在代码跑飞之后复位使用；窗口看门狗，主要用于在复位前对于一些重要数据进行保存。

9、身份认证支持资产识别，支持IP、MAC识别支持IP-MAC绑定，保证调试工程师设备的合法IP和MAC不被盗用和滥用，有效地保证网络的安全和通信质量。

10、支持MODBUS等工控协议，支持TCP、UDP、ICMP等标准传输协议，做到协议过滤。支持Ddos、ARP欺骗、LAND、畸形数据等，支持C/S架构调试平台，自定义通讯协议，进行攻击防护。

本行业无类似案例。

8、案例实施成果

以油气田生产应用为例：

游梁式抽油机是目前油气开采过程中最重要的设备，其生产安全的重要性为整个油气田生产的重中之重，监测其生产运行数据，保障生产数据安全可靠，是后期生产分析的基础。安装工业控制安全型远程数据测控装置，通过自身双检与加密技术，实现抽油机生产数据的信息安全，保障设备安全，防范现场维护或远程维护时受到恶意攻击。

以单井为例，设备遭受恶意攻击，更换设备、维修为3000元/台，平均每年遭受3次攻击，维护成本（燃油费、人工费）平均为300元/次，全年费用为3000×3+300×3=9900元/年。截止到2017年底，华北油田共有抽油机井6000余口，如遭受信息攻击，每年的费用支出庞大。安装使用工业控制安全型远程数据测控装置，将大大降低费用支出，降低生产成本。

产品在国内属于领先应用，集数据采集分析处理、双检诊断、加密认证为一体，核心技术达到了国际先进水平，适合油气田的采油、采气的日常管理，能够明显减少信息恶意攻击的费用支出，提升了生产信息数据的安全度。

9、案例社会价值及影响力

该成果目前已经在中石油煤层气、苏里格气田、华北油田等地推广应用，并在新疆乌鲁木齐湿地环境监测、城市燃气监测等业务领域进行针对性应用。该成果有效的保障生产数据以及各类业务数据的安全性、设备运行的可靠性，降低恶意信息攻击的风险。在能源行业等领域的成功应用，充分体现了工业控制安全型远程数据测控装置的技术先进性，在各种恶劣环境下的使用也体现了设备的高可靠性，为今后在电力行业、制造业、电讯业、交通运输业的推广应用打下了坚实的基础，在信息安全技术方面达到了国内领先，竞争力很强，应用前景广阔。

10、案例未来规划

1、进一步完善数据加密、数据完整性校验、攻击防护、容灾设计，保持工业控制安全型远程数据测控装置的技术先进性。

2、在能源业、电力行业、制造业、电讯业、交通运输业等行业领域推广应用，在各行业的工业控制信息安全方面发挥积极作用。

3、积极拓展民用领域，在城市燃气监测的基础上，延伸到小区水电数据远程集抄、小区安防监控等业务领域。

4、在油田加热炉烟尘监测、油田回注水水质监测的基础上，拓展能源行业之外的环境监测领域。

5、在油田油罐车拉运管理的基础上，拓展能源行业之外的仓储物流监测管理领域。