一、前言

    工業(yè)基礎(chǔ)設(shè)施是構(gòu)成我國(guó)國(guó)民經(jīng)濟(jì)、現(xiàn)代社會(huì)及國(guó)家安全的重要基礎(chǔ)組成部分，其核心環(huán)節(jié)是工業(yè)控制系統(tǒng)。隨著傳統(tǒng)自動(dòng)化技術(shù)與信息技術(shù)融合進(jìn)程的日益加速，工業(yè)控制系統(tǒng)逐漸從封閉走向互聯(lián)，廣泛地采用包括了TCP/IP在內(nèi)的開(kāi)放技術(shù)，工業(yè)設(shè)備接口越來(lái)越開(kāi)放。

    煉化企業(yè)信息化建設(shè)的全面開(kāi)展，使得以網(wǎng)絡(luò)為基礎(chǔ)的各類(lèi)應(yīng)用不斷增加，如煉油化工運(yùn)行系統(tǒng)(Manufacturing Execution System，MES)。該系統(tǒng)以控制系統(tǒng)的生產(chǎn)過(guò)程數(shù)據(jù)為基礎(chǔ)，全面支撐企業(yè)的生產(chǎn)、經(jīng)營(yíng)等多項(xiàng)業(yè)務(wù)管理。控制系統(tǒng)網(wǎng)絡(luò)不斷開(kāi)放的同時(shí)，帶來(lái)的安全問(wèn)題日益嚴(yán)峻，各種安全問(wèn)題如病毒、攻擊和入侵等已經(jīng)引起了人們的高度重視。

    信息化安全是一個(gè)普遍問(wèn)題，但是，不同行業(yè)的信息化安全重點(diǎn)和安全策略不盡相同，因此，本文面向煉化企業(yè)的特點(diǎn)，針對(duì)MES系統(tǒng)涉及的控制網(wǎng)絡(luò)安全問(wèn)題進(jìn)行了系統(tǒng)分析，并結(jié)合蘭州石化MES項(xiàng)目設(shè)計(jì)與實(shí)踐，提出適合行業(yè)特點(diǎn)的安全策略。

二、MES發(fā)展概述

    2000年，中國(guó)石油完成了《中國(guó)石油信息技術(shù)總體規(guī)劃》(以下簡(jiǎn)稱(chēng)《總體規(guī)劃》)，對(duì)公司未來(lái)信息工作管理體制、組織結(jié)構(gòu)及主要工作內(nèi)容作出了比較清晰與詳細(xì)的描述與規(guī)劃。在生產(chǎn)管理方面，《總體規(guī)劃》基本體現(xiàn)了企業(yè)資源計(jì)劃、生產(chǎn)運(yùn)行、過(guò)程管理的三層企業(yè)集成模型。

    MES系統(tǒng)作為為制造行業(yè)經(jīng)營(yíng)管理層與過(guò)程控制層之間的“橋梁”，在提高企業(yè)生產(chǎn)效率、改善產(chǎn)品質(zhì)量、降低生產(chǎn)損耗等方面具有重要的作用。MES系統(tǒng)由許多不同的應(yīng)用軟件組成。包括的主要應(yīng)用有進(jìn)料選擇、計(jì)劃與調(diào)度、工廠優(yōu)化、運(yùn)行管理、生產(chǎn)統(tǒng)計(jì)、物料與維修管理、質(zhì)量管理、條件監(jiān)控、安全臊作培訓(xùn)、實(shí)時(shí)過(guò)程數(shù)據(jù)管理等。MES系統(tǒng)的建設(shè)與應(yīng)用，使得信息網(wǎng)與控制網(wǎng)不斷的融合，控制系統(tǒng)變得不再是封閉、孤立。

    2004年中石油MES項(xiàng)目正式在全公司范圍內(nèi)啟動(dòng)，項(xiàng)目按照先試點(diǎn)、后推廣的步驟逐步開(kāi)展。試點(diǎn)項(xiàng)目于2005年上線正式投入運(yùn)行，一期推廣的4家企業(yè)2007年同時(shí)成功上線，2006年開(kāi)始開(kāi)展二期推廣工作，三期工作于2008年開(kāi)始，目前，中石油已完成MES系統(tǒng)整體建設(shè)工作。

三、MES設(shè)計(jì)及控制網(wǎng)現(xiàn)狀分析

    3.1 MES信息流設(shè)計(jì)。MES系統(tǒng)作為企業(yè)的生產(chǎn)指揮平臺(tái)，首先從控制網(wǎng)實(shí)時(shí)提取過(guò)程控制數(shù)據(jù)，控制數(shù)據(jù)被保存在實(shí)時(shí)數(shù)據(jù)庫(kù)中，然后通過(guò)各MES系統(tǒng)中的物料平衡、公用工程、運(yùn)行管理等系統(tǒng)功能的業(yè)務(wù)化處理，以WEB方式為企業(yè)生產(chǎn)管理者提供數(shù)據(jù)分析及統(tǒng)計(jì)報(bào)表。

    MES系統(tǒng)除了集成控制數(shù)據(jù)、儲(chǔ)運(yùn)數(shù)據(jù)等相關(guān)生產(chǎn)運(yùn)行數(shù)據(jù)外，作為企業(yè)的生產(chǎn)指揮平臺(tái)，它以多種接口方式為企業(yè)各類(lèi)管理系統(tǒng)提供生產(chǎn)統(tǒng)計(jì)信息。

    3.2 控制網(wǎng)絡(luò)現(xiàn)狀分析控制網(wǎng)絡(luò)與傳統(tǒng)網(wǎng)絡(luò)不同，它有自身的獨(dú)特性：網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)獨(dú)立：控制系統(tǒng)是根據(jù)生產(chǎn)工藝設(shè)計(jì)的，沒(méi)有與其它信息系統(tǒng)應(yīng)用存在互通互聯(lián)的需求，其控制系統(tǒng)網(wǎng)絡(luò)是相對(duì)獨(dú)立。實(shí)時(shí)性、可靠性、穩(wěn)定性高：控制網(wǎng)絡(luò)主要是確保生產(chǎn)過(guò)程數(shù)據(jù)的實(shí)時(shí)、穩(wěn)定、高效的傳輸，它不允許有任何中斷，這是裝置生產(chǎn)運(yùn)行可控的基礎(chǔ)。通訊協(xié)議的開(kāi)放性：各個(gè)廠商的過(guò)程控制系統(tǒng)均有自己開(kāi)發(fā)的通訊協(xié)議，但隨著系統(tǒng)應(yīng)用的不斷開(kāi)放，出現(xiàn)了OPC，ModbUS TCP，現(xiàn)場(chǎng)總線等開(kāi)放性的行業(yè)通訊標(biāo)準(zhǔn)。防病毒軟件兼容性差、補(bǔ)丁更新不及時(shí)：DCS系統(tǒng)僅能安裝經(jīng)過(guò)測(cè)試的殺毒軟件，且為單機(jī)版，不支持中油統(tǒng)一部署的防病毒軟件。

    控制系統(tǒng)采用Windows 2000操作系統(tǒng)只能安裝sp1補(bǔ)丁程序，病毒庫(kù)的補(bǔ)丁更新由DCS廠商測(cè)試后，才能進(jìn)行現(xiàn)場(chǎng)安裝。然而目前Microsoft Windows的版本已經(jīng)升級(jí)到了Windows 2008，Service Pack卡b丁程序的版本也已經(jīng)由sp1升級(jí)到了sp4版本。而Windows 2000操作系統(tǒng)，微軟公司從2007年起已經(jīng)停止了對(duì)其的安全更新。

    3.3 網(wǎng)絡(luò)通訊協(xié)議分析。TCP／IP協(xié)議是目前最常用的一種通信協(xié)議。TCP／IP具有很強(qiáng)的靈活性，支持任意規(guī)模的網(wǎng)絡(luò)，企業(yè)網(wǎng)絡(luò)中TCP／IP協(xié)議在與控制網(wǎng)的數(shù)據(jù)交換中被普遍采用。TCMP協(xié)議簇最初設(shè)計(jì)的應(yīng)用環(huán)境是內(nèi)部網(wǎng)絡(luò)，假設(shè)網(wǎng)絡(luò)中各節(jié)點(diǎn)是互相信任的。它只考慮了互通互聯(lián)和資源共享需求，未考慮也無(wú)法解決來(lái)自網(wǎng)絡(luò)中的大量安全問(wèn)題。

    首先它缺乏對(duì)用戶(hù)身份的鑒別。由于TCP／IP使用IP地址作為網(wǎng)絡(luò)節(jié)點(diǎn)的唯一標(biāo)識(shí)，但實(shí)際在口地址的使用和管理中存在不少問(wèn)題，使得IP地址容易暴露、易偽造和更改，這就為網(wǎng)絡(luò)安全留下了隱患；其次在邛層上缺乏對(duì)路由協(xié)議的安全認(rèn)證機(jī)制，缺乏路由信息的鑒別與保護(hù)，因此通過(guò)互聯(lián)網(wǎng)，利用路由信息任意修改網(wǎng)絡(luò)傳輸路徑，可誤導(dǎo)網(wǎng)絡(luò)分組傳輸。

四、MES網(wǎng)絡(luò)安全策略

    隨著石化企業(yè)MES的快速發(fā)展，信息網(wǎng)與控制網(wǎng)的融合給MES建設(shè)帶來(lái)新的思考，那就是不能再將控制網(wǎng)絡(luò)與MES割裂開(kāi)來(lái)。控制網(wǎng)絡(luò)已經(jīng)成為MES的一部分，MES系統(tǒng)建設(shè)要從全局考慮，進(jìn)行網(wǎng)絡(luò)結(jié)構(gòu)優(yōu)化，安全策略部署等措施，做到信息網(wǎng)與控制網(wǎng)通訊可控，區(qū)域隔離、實(shí)時(shí)報(bào)警，既滿(mǎn)足數(shù)據(jù)通訊需求又保證工業(yè)控制網(wǎng)絡(luò)安全穩(wěn)定運(yùn)行。

    4.1 MES網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)。蘭州石化MES項(xiàng)目于2006年10月啟動(dòng)，項(xiàng)目分為兩期，至2008年實(shí)施完成并成功上線運(yùn)行。項(xiàng)目充分考慮了兩網(wǎng)融合的實(shí)際需要及安全需求，對(duì)網(wǎng)絡(luò)基礎(chǔ)進(jìn)行了新的設(shè)計(jì)，制定了局域網(wǎng)設(shè)計(jì)方案。該架構(gòu)設(shè)計(jì)將網(wǎng)絡(luò)結(jié)構(gòu)劃分為三個(gè)區(qū)域，從上至下是辦公區(qū)、生產(chǎn)區(qū)、控制區(qū)。其中辦公區(qū)是企業(yè)的辦公網(wǎng)絡(luò)，主要部署了基于網(wǎng)絡(luò)應(yīng)用的辦公自動(dòng)化系統(tǒng)，生產(chǎn)運(yùn)行系統(tǒng)，生產(chǎn)視頻監(jiān)控系統(tǒng)，ERP等等。

    生產(chǎn)區(qū)是為MES系統(tǒng)搭建的生產(chǎn)專(zhuān)網(wǎng)，它是一條獨(dú)立于辦公網(wǎng)的物理鏈路。其網(wǎng)絡(luò)節(jié)點(diǎn)是的無(wú)人機(jī)交互的計(jì)算機(jī)，僅部署MES系統(tǒng)服務(wù)器、BUFFER機(jī)。在生產(chǎn)網(wǎng)和辦公網(wǎng)之間通過(guò)部署防火墻，實(shí)現(xiàn)由生產(chǎn)網(wǎng)至辦公網(wǎng)的單向訪問(wèn)。防火墻配置相應(yīng)安全策略，允許MES服務(wù)器、BuFFER機(jī)訪問(wèn)部分辦公網(wǎng)資源，如防病毒和補(bǔ)丁程序網(wǎng)站等。控制區(qū)為控制系統(tǒng)所在的控制網(wǎng)絡(luò)。

    4.2 安全防護(hù)網(wǎng)關(guān)。在生產(chǎn)區(qū)與控制區(qū)進(jìn)行數(shù)據(jù)交換的設(shè)備間，部署安全防護(hù)網(wǎng)關(guān)。通過(guò)建立通訊許可機(jī)制、通訊協(xié)議檢測(cè)，實(shí)現(xiàn)生產(chǎn)網(wǎng)與控制網(wǎng)間可信的數(shù)據(jù)交換和網(wǎng)絡(luò)隔離，確保MES等系統(tǒng)與控制系統(tǒng)的通信安全，保障控制網(wǎng)安全穩(wěn)定運(yùn)行。通過(guò)統(tǒng)一的監(jiān)控平臺(tái)，實(shí)時(shí)監(jiān)測(cè)生產(chǎn)網(wǎng)與控制網(wǎng)的數(shù)據(jù)通訊、網(wǎng)關(guān)運(yùn)行狀態(tài)、運(yùn)行參數(shù)，及時(shí)更新安全策略。

    4.3 網(wǎng)絡(luò)節(jié)點(diǎn)安全策略。對(duì)Windows操作系統(tǒng)中的賬戶(hù)、口令、認(rèn)證授權(quán)、協(xié)議安全、補(bǔ)丁與防護(hù)軟件等多個(gè)方面進(jìn)行安全策略的部署。其中在補(bǔ)丁與防護(hù)軟件方面，安裝賽門(mén)鐵克殺毒軟件，通過(guò)定制掃描策略，定期進(jìn)行病毒掃描，做到及時(shí)檢測(cè)病毒，減少計(jì)算機(jī)中毒概率；通過(guò)集成安裝補(bǔ)丁分發(fā)系統(tǒng)，為Buffer機(jī)及時(shí)推送最新的Windows安全漏洞補(bǔ)丁程序。在協(xié)議安全方面進(jìn)行TCP／IP篩選，開(kāi)放業(yè)務(wù)所需的TCP、UDP端口和口協(xié)議。

五、結(jié)論

    MES系統(tǒng)在生產(chǎn)運(yùn)行，生產(chǎn)統(tǒng)計(jì)管理中取得了良好的應(yīng)用效果，越來(lái)越多的企業(yè)通過(guò)MES進(jìn)行生產(chǎn)管理，它的安全性也受到前所未有的關(guān)注。石化行業(yè)的信息安全問(wèn)題直接影響到其它行業(yè)的安全、穩(wěn)定運(yùn)行，同時(shí)也影響著企業(yè)信息化的實(shí)現(xiàn)進(jìn)程。維護(hù)好網(wǎng)絡(luò)安全，確保企業(yè)生產(chǎn)的穩(wěn)定可靠，采取安全、可靠的防護(hù)措施是石化企業(yè)信息安全不可忽視的組成部分。 

轉(zhuǎn)載請(qǐng)注明出處：拓步ERP資訊網(wǎng)http://www.guhuozai8.cn/

本文標(biāo)題：煉化企業(yè)MES/ERP系統(tǒng)信息安全的研究與應(yīng)用

本文網(wǎng)址：http://www.guhuozai8.cn/html/consultation/10820211389.html