基于图像采集的工业控制数据安全采集系统

作者 | 许雄轩 吐哈油田公司吐鲁番采油厂

摘要

随着智能制造和工业4.0时代的到来，以及工业化与信息化的深度融合，云计算、大数据、物联网等新技术的应用增加了电力、石化、水利、铁路、民航等行业工业处理流程的开放性和不确定性，安全风险进一步集中极大。互联与交互体验提升的同时，威胁也在与日俱增。针对工业控制系统的病毒、木马、入侵等安全威胁和攻击不断增多，工业控制系统信息安全（以下简称“工控安全”）面临严峻的安全挑战。基于图像识别的工业控制数据安全采集系统，采用基于图像识别的数据采集分析，光学逆向不可控，彻底实现物理隔离。可有效读取孤岛信息系统和未提供源数据结构的工业控制系统，对于关键不能停机设备和工控系统和老旧版工业工控系统采集十分有效，可以有效杜绝未知网络入侵和工业控制系统外部干扰，为大数据和工业信息化安全提供数据，确保工业控制系统安全性。大幅降低工控数据安全采集成本、缩短施工时间、强化安全可控，可大规模推广。

关键词：工业控制系统；信息安全；工控安全；图像采集；数据安全采集

工业控制系统是包括监控和数据采集系统（SCADA）、分布式控制系统（DCS）、可编程逻辑控制系统（PLC）等多种类型控制系统的总称，目前已广泛应用于钢铁、石油石化、化工、电力、民航、交通、医药、食品等关乎国计民生的关键基础设施领域，成为国家安全战略的重要组成部分。

随着智能制造和工业4.0时代的到来，以及工业化与信息化的深度融合，针对工业控制系统的病毒、木马、入侵等安全威胁和攻击不断增多，工业控制系统信息安全（以下简称“工控安全”）面临着巨大的挑战。

我们通常将安全分成三类，即功能安全、物理安全和信息安全。

功能安全是为了达到设备和工厂安全功能，受保护的安全相关部分必须正确执行其功能，而且当失效或故障发生时，设备或系统必须仍能保持安全条件或进入到安全状态。

物理安全是减少由于电击、着火、辐射、机械危险、化学危险等因素造成的危害。

信息安全是指通过计算机技术和网络技术手段，使计算机系统的硬件、软件、数据库等受到保护，最大可能不因偶然的或恶意的因素而遭破坏、更改或泄密，系统能够正常运行，使用户获得对信息使用的安全感。信息安全的目的是保护信息处理系统中存储、处理的信息的安全，其基本属性有：完整性、可用性、保密性、可控性、可靠性。

功能安全和物理安全在业界都做得比较完善。工业控制安全做得比较薄弱。

云计算、大数据、物联网等新技术的应用增加了工业处理流程的开放性和不确定性，安全风险进一步集中极大，工业控制面临严峻的安全挑战。

数据安全控制有三个要素：计算、通信和控制；三张网络形态：互联网、物联网和传感网。

工业互联网侧重于信息处理及与信息系统互联，工业物联网侧重于场内网络传输、标识与控制，工业传感网是物联网的一部分，侧重于信息收集、构建精准、实时、高校的数据采集传输体系。

工业保障有传感网、互联网和计算机网。计算机网是外网，外网有外网比较通行的做法，可以用传统的安全手段。内网物联网和传感网就需要有内网的做法。这要贴合于工业控制体系来解决问题的方法。

现有DCS、PLC、 RTU等工业控制系统局域网发布方案，数据采集计算机安置在现场，采集数据进入服务器数据源，由服务器单独数据源提供网络发布。网络控制台（网络数据路由，包括两段路由：现场设备监测开放节点到数采机；数采机到实时数据库服务器。列表数据自动录入实时数据库。

现有技术：数据采集发布系统与原有工业控制系统通过数采机和防火墙/网闸等物理接触。或通过双网卡隔离网络。

通过网闸隔离网络，通过防火墙控制网络采集工业控制系统数据。

现有技术存在如下缺点：

1.数据采集发布系统与原有工业控制系统通过数采机/防火墙/网闸等网络连接，有物理接触，存在网络安全隐患。

2.双网卡导致网络安全隐患，比特币病毒等未知网络安全风险。且现有工业控制系统本身的缺陷也会导致网络安全隐患。

3.设备价格昂贵。物理接触仍然存在。

4.现有网络结构存在未知的网络安全隐患。

5.由于有物理连接，存在类似于勒索病毒等未知网络安全风险。

6.对古老的自动控制系统和未知数据结构和提供方式的工业控制系统数据不能采集。

基于图像识别的工业控制数据安全采集系统，实现数据采集发布系统与原有工业控制系统没有数采机和防火墙/网闸等物理接触，不通过网络连接采集。可以有效杜绝未知网络入侵和工业控制系统外部干扰，确保工业控制系统安全性。可有效读取孤岛信息系统和未提供源数据结构的工业控制系统，对于关键不能停机设备和工控系统和老旧版工业工控系统采集十分有效，为大数据和工业信息化安全提供数据。

图1 基于图像识别的工业控制数据安全采集机

图2 基于图像识别的工业控制数据安全采集方法

1.在工业控制系统触摸屏或者工业控制系统上位机（如重要的单机设备压缩机、加热炉、加工装置等的触摸屏/数据显示屏或者重要工业控制系统的上位机（工程师站或者操作员站））附近安装基于图像识别的工业控制数据安全采集机（摄像头）。

2.通过基于图像识别的工业控制数据安全采集机镜头光学动态识别采集工业控制数据动态图像（每秒采集1次或者多秒采集1次，根据现场情况可调节设置），并转化成为静态图像。监控数据原图见图3。

3.通过基于图像识别的工业控制数据安全采集机图像识别处理单元识别处理图像采集单元采集的静态图像中工业控制数据，如工艺参数温度、压力、流量、液位、设备参数、运行状态等。图像识别数据示意图参见图8，只识别红色框内数据和颜色。

4.通过基于图像识别的工业控制数据安全采集机数据处理单元处理工业控制数据。将识别工艺温度、压力、流量、液位参数、设备参数、运行状态等与预先组态参数设置的关系一一对应。数据结构范围参见表1。

5.通过基于图像识别的工业控制数据安全采集机数据存储单元存储工业控制数据工艺温度、压力、流量、液位参数、设备参数、运行状态等参数。

6.通过基于图像识别的工业控制数据安全采集机网络传输接口传输工业控制数据（艺温度、压力、流量、液位参数、设备参数、运行状态）。

7.网络数据采集发布单元采集工业控制数据并经组态后发布，见图4，可将装置监控参数通过工业控制数据图像→图像采集单元采集→图像处理单元识别处理→数据存储单元存储→数据传输网络单元传输→数据采集发布单元组态发布。

图3 基于图像识别的工业控制数据安全采集监控图

图4 基于图像识别的工业控制数据安全采集

表1 基于图像识别的工业控制数据安全采集机图像识别处理监控数据类型

基于图像识别的工业控制数据安全采集系统光学识别采集存储传输工业控制数据。采用基于图像识别的数据采集分析，光学逆向不可控，彻底实现物理隔离。可有效读取孤岛信息系统和未提供源数据结构的工业控制系统，对于关键不能停机设备和工控系统和老旧版工业工控系统采集十分有效，可以有效杜绝未知网络入侵和工业控制系统外部干扰，为大数据和工业信息化安全提供数据，确保工业控制系统安全性。实现工业控制数据安全采集。同时大幅降低工控数据安全采集成本、缩短施工时间、强化安全可控，可大规模推广。

作者简介

许雄轩（1983-），男，毕业于中国石油大学（华东）电子信息工程专业，工学学士，现供职于中国石油吐哈油田吐鲁番采油厂设备自动化室，高级工程师、注册安全工程师，主要从事自动化、安全、物联网研究和应用工作。

来源：石油化工信息化技术装备

声明：本文来自工业安全产业联盟，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。