一、前言
工業(yè)基礎(chǔ)設(shè)施是構(gòu)成我國(guó)國(guó)民經(jīng)濟(jì)、現(xiàn)代社會(huì)及國(guó)家安全的重要基礎(chǔ)組成部分,其核心環(huán)節(jié)是工業(yè)控制系統(tǒng)。隨著傳統(tǒng)自動(dòng)化技術(shù)與信息技術(shù)融合進(jìn)程的日益加速,工業(yè)控制系統(tǒng)逐漸從封閉走向互聯(lián),廣泛地采用包括了TCP/IP在內(nèi)的開(kāi)放技術(shù),工業(yè)設(shè)備接口越來(lái)越開(kāi)放。
煉化企業(yè)信息化建設(shè)的全面開(kāi)展,使得以網(wǎng)絡(luò)為基礎(chǔ)的各類(lèi)應(yīng)用不斷增加,如煉油化工運(yùn)行系統(tǒng)(Manufacturing Execution System,MES)。該系統(tǒng)以控制系統(tǒng)的生產(chǎn)過(guò)程數(shù)據(jù)為基礎(chǔ),全面支撐企業(yè)的生產(chǎn)、經(jīng)營(yíng)等多項(xiàng)業(yè)務(wù)管理。控制系統(tǒng)網(wǎng)絡(luò)不斷開(kāi)放的同時(shí),帶來(lái)的安全問(wèn)題日益嚴(yán)峻,各種安全問(wèn)題如病毒、攻擊和入侵等已經(jīng)引起了人們的高度重視。
信息化安全是一個(gè)普遍問(wèn)題,但是,不同行業(yè)的信息化安全重點(diǎn)和安全策略不盡相同,因此,本文面向煉化企業(yè)的特點(diǎn),針對(duì)MES系統(tǒng)涉及的控制網(wǎng)絡(luò)安全問(wèn)題進(jìn)行了系統(tǒng)分析,并結(jié)合蘭州石化MES項(xiàng)目設(shè)計(jì)與實(shí)踐,提出適合行業(yè)特點(diǎn)的安全策略。
二、MES發(fā)展概述
2000年,中國(guó)石油完成了《中國(guó)石油信息技術(shù)總體規(guī)劃》(以下簡(jiǎn)稱(chēng)《總體規(guī)劃》),對(duì)公司未來(lái)信息工作管理體制、組織結(jié)構(gòu)及主要工作內(nèi)容作出了比較清晰與詳細(xì)的描述與規(guī)劃。在生產(chǎn)管理方面,《總體規(guī)劃》基本體現(xiàn)了企業(yè)資源計(jì)劃、生產(chǎn)運(yùn)行、過(guò)程管理的三層企業(yè)集成模型。
MES系統(tǒng)作為為制造行業(yè)經(jīng)營(yíng)管理層與過(guò)程控制層之間的“橋梁”,在提高企業(yè)生產(chǎn)效率、改善產(chǎn)品質(zhì)量、降低生產(chǎn)損耗等方面具有重要的作用。MES系統(tǒng)由許多不同的應(yīng)用軟件組成。包括的主要應(yīng)用有進(jìn)料選擇、計(jì)劃與調(diào)度、工廠優(yōu)化、運(yùn)行管理、生產(chǎn)統(tǒng)計(jì)、物料與維修管理、質(zhì)量管理、條件監(jiān)控、安全臊作培訓(xùn)、實(shí)時(shí)過(guò)程數(shù)據(jù)管理等。MES系統(tǒng)的建設(shè)與應(yīng)用,使得信息網(wǎng)與控制網(wǎng)不斷的融合,控制系統(tǒng)變得不再是封閉、孤立。
2004年中石油MES項(xiàng)目正式在全公司范圍內(nèi)啟動(dòng),項(xiàng)目按照先試點(diǎn)、后推廣的步驟逐步開(kāi)展。試點(diǎn)項(xiàng)目于2005年上線正式投入運(yùn)行,一期推廣的4家企業(yè)2007年同時(shí)成功上線,2006年開(kāi)始開(kāi)展二期推廣工作,三期工作于2008年開(kāi)始,目前,中石油已完成MES系統(tǒng)整體建設(shè)工作。
三、MES設(shè)計(jì)及控制網(wǎng)現(xiàn)狀分析
3.1 MES信息流設(shè)計(jì)。MES系統(tǒng)作為企業(yè)的生產(chǎn)指揮平臺(tái),首先從控制網(wǎng)實(shí)時(shí)提取過(guò)程控制數(shù)據(jù),控制數(shù)據(jù)被保存在實(shí)時(shí)數(shù)據(jù)庫(kù)中,然后通過(guò)各MES系統(tǒng)中的物料平衡、公用工程、運(yùn)行管理等系統(tǒng)功能的業(yè)務(wù)化處理,以WEB方式為企業(yè)生產(chǎn)管理者提供數(shù)據(jù)分析及統(tǒng)計(jì)報(bào)表。
MES系統(tǒng)除了集成控制數(shù)據(jù)、儲(chǔ)運(yùn)數(shù)據(jù)等相關(guān)生產(chǎn)運(yùn)行數(shù)據(jù)外,作為企業(yè)的生產(chǎn)指揮平臺(tái),它以多種接口方式為企業(yè)各類(lèi)管理系統(tǒng)提供生產(chǎn)統(tǒng)計(jì)信息。
3.2 控制網(wǎng)絡(luò)現(xiàn)狀分析控制網(wǎng)絡(luò)與傳統(tǒng)網(wǎng)絡(luò)不同,它有自身的獨(dú)特性:網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)獨(dú)立:控制系統(tǒng)是根據(jù)生產(chǎn)工藝設(shè)計(jì)的,沒(méi)有與其它信息系統(tǒng)應(yīng)用存在互通互聯(lián)的需求,其控制系統(tǒng)網(wǎng)絡(luò)是相對(duì)獨(dú)立。實(shí)時(shí)性、可靠性、穩(wěn)定性高:控制網(wǎng)絡(luò)主要是確保生產(chǎn)過(guò)程數(shù)據(jù)的實(shí)時(shí)、穩(wěn)定、高效的傳輸,它不允許有任何中斷,這是裝置生產(chǎn)運(yùn)行可控的基礎(chǔ)。通訊協(xié)議的開(kāi)放性:各個(gè)廠商的過(guò)程控制系統(tǒng)均有自己開(kāi)發(fā)的通訊協(xié)議,但隨著系統(tǒng)應(yīng)用的不斷開(kāi)放,出現(xiàn)了OPC,ModbUS TCP,現(xiàn)場(chǎng)總線等開(kāi)放性的行業(yè)通訊標(biāo)準(zhǔn)。防病毒軟件兼容性差、補(bǔ)丁更新不及時(shí):DCS系統(tǒng)僅能安裝經(jīng)過(guò)測(cè)試的殺毒軟件,且為單機(jī)版,不支持中油統(tǒng)一部署的防病毒軟件。
控制系統(tǒng)采用Windows 2000操作系統(tǒng)只能安裝sp1補(bǔ)丁程序,病毒庫(kù)的補(bǔ)丁更新由DCS廠商測(cè)試后,才能進(jìn)行現(xiàn)場(chǎng)安裝。然而目前Microsoft Windows的版本已經(jīng)升級(jí)到了Windows 2008,Service Pack卡b丁程序的版本也已經(jīng)由sp1升級(jí)到了sp4版本。而Windows 2000操作系統(tǒng),微軟公司從2007年起已經(jīng)停止了對(duì)其的安全更新。
3.3 網(wǎng)絡(luò)通訊協(xié)議分析。TCP/IP協(xié)議是目前最常用的一種通信協(xié)議。TCP/IP具有很強(qiáng)的靈活性,支持任意規(guī)模的網(wǎng)絡(luò),企業(yè)網(wǎng)絡(luò)中TCP/IP協(xié)議在與控制網(wǎng)的數(shù)據(jù)交換中被普遍采用。TCMP協(xié)議簇最初設(shè)計(jì)的應(yīng)用環(huán)境是內(nèi)部網(wǎng)絡(luò),假設(shè)網(wǎng)絡(luò)中各節(jié)點(diǎn)是互相信任的。它只考慮了互通互聯(lián)和資源共享需求,未考慮也無(wú)法解決來(lái)自網(wǎng)絡(luò)中的大量安全問(wèn)題。
首先它缺乏對(duì)用戶(hù)身份的鑒別。由于TCP/IP使用IP地址作為網(wǎng)絡(luò)節(jié)點(diǎn)的唯一標(biāo)識(shí),但實(shí)際在口地址的使用和管理中存在不少問(wèn)題,使得IP地址容易暴露、易偽造和更改,這就為網(wǎng)絡(luò)安全留下了隱患;其次在邛層上缺乏對(duì)路由協(xié)議的安全認(rèn)證機(jī)制,缺乏路由信息的鑒別與保護(hù),因此通過(guò)互聯(lián)網(wǎng),利用路由信息任意修改網(wǎng)絡(luò)傳輸路徑,可誤導(dǎo)網(wǎng)絡(luò)分組傳輸。
四、MES網(wǎng)絡(luò)安全策略
隨著石化企業(yè)MES的快速發(fā)展,信息網(wǎng)與控制網(wǎng)的融合給MES建設(shè)帶來(lái)新的思考,那就是不能再將控制網(wǎng)絡(luò)與MES割裂開(kāi)來(lái)。控制網(wǎng)絡(luò)已經(jīng)成為MES的一部分,MES系統(tǒng)建設(shè)要從全局考慮,進(jìn)行網(wǎng)絡(luò)結(jié)構(gòu)優(yōu)化,安全策略部署等措施,做到信息網(wǎng)與控制網(wǎng)通訊可控,區(qū)域隔離、實(shí)時(shí)報(bào)警,既滿(mǎn)足數(shù)據(jù)通訊需求又保證工業(yè)控制網(wǎng)絡(luò)安全穩(wěn)定運(yùn)行。
4.1 MES網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)。蘭州石化MES項(xiàng)目于2006年10月啟動(dòng),項(xiàng)目分為兩期,至2008年實(shí)施完成并成功上線運(yùn)行。項(xiàng)目充分考慮了兩網(wǎng)融合的實(shí)際需要及安全需求,對(duì)網(wǎng)絡(luò)基礎(chǔ)進(jìn)行了新的設(shè)計(jì),制定了局域網(wǎng)設(shè)計(jì)方案。該架構(gòu)設(shè)計(jì)將網(wǎng)絡(luò)結(jié)構(gòu)劃分為三個(gè)區(qū)域,從上至下是辦公區(qū)、生產(chǎn)區(qū)、控制區(qū)。其中辦公區(qū)是企業(yè)的辦公網(wǎng)絡(luò),主要部署了基于網(wǎng)絡(luò)應(yīng)用的辦公自動(dòng)化系統(tǒng),生產(chǎn)運(yùn)行系統(tǒng),生產(chǎn)視頻監(jiān)控系統(tǒng),ERP等等。
生產(chǎn)區(qū)是為MES系統(tǒng)搭建的生產(chǎn)專(zhuān)網(wǎng),它是一條獨(dú)立于辦公網(wǎng)的物理鏈路。其網(wǎng)絡(luò)節(jié)點(diǎn)是的無(wú)人機(jī)交互的計(jì)算機(jī),僅部署MES系統(tǒng)服務(wù)器、BUFFER機(jī)。在生產(chǎn)網(wǎng)和辦公網(wǎng)之間通過(guò)部署防火墻,實(shí)現(xiàn)由生產(chǎn)網(wǎng)至辦公網(wǎng)的單向訪問(wèn)。防火墻配置相應(yīng)安全策略,允許MES服務(wù)器、BuFFER機(jī)訪問(wèn)部分辦公網(wǎng)資源,如防病毒和補(bǔ)丁程序網(wǎng)站等。控制區(qū)為控制系統(tǒng)所在的控制網(wǎng)絡(luò)。
4.2 安全防護(hù)網(wǎng)關(guān)。在生產(chǎn)區(qū)與控制區(qū)進(jìn)行數(shù)據(jù)交換的設(shè)備間,部署安全防護(hù)網(wǎng)關(guān)。通過(guò)建立通訊許可機(jī)制、通訊協(xié)議檢測(cè),實(shí)現(xiàn)生產(chǎn)網(wǎng)與控制網(wǎng)間可信的數(shù)據(jù)交換和網(wǎng)絡(luò)隔離,確保MES等系統(tǒng)與控制系統(tǒng)的通信安全,保障控制網(wǎng)安全穩(wěn)定運(yùn)行。通過(guò)統(tǒng)一的監(jiān)控平臺(tái),實(shí)時(shí)監(jiān)測(cè)生產(chǎn)網(wǎng)與控制網(wǎng)的數(shù)據(jù)通訊、網(wǎng)關(guān)運(yùn)行狀態(tài)、運(yùn)行參數(shù),及時(shí)更新安全策略。
4.3 網(wǎng)絡(luò)節(jié)點(diǎn)安全策略。對(duì)Windows操作系統(tǒng)中的賬戶(hù)、口令、認(rèn)證授權(quán)、協(xié)議安全、補(bǔ)丁與防護(hù)軟件等多個(gè)方面進(jìn)行安全策略的部署。其中在補(bǔ)丁與防護(hù)軟件方面,安裝賽門(mén)鐵克殺毒軟件,通過(guò)定制掃描策略,定期進(jìn)行病毒掃描,做到及時(shí)檢測(cè)病毒,減少計(jì)算機(jī)中毒概率;通過(guò)集成安裝補(bǔ)丁分發(fā)系統(tǒng),為Buffer機(jī)及時(shí)推送最新的Windows安全漏洞補(bǔ)丁程序。在協(xié)議安全方面進(jìn)行TCP/IP篩選,開(kāi)放業(yè)務(wù)所需的TCP、UDP端口和口協(xié)議。
五、結(jié)論
MES系統(tǒng)在生產(chǎn)運(yùn)行,生產(chǎn)統(tǒng)計(jì)管理中取得了良好的應(yīng)用效果,越來(lái)越多的企業(yè)通過(guò)MES進(jìn)行生產(chǎn)管理,它的安全性也受到前所未有的關(guān)注。石化行業(yè)的信息安全問(wèn)題直接影響到其它行業(yè)的安全、穩(wěn)定運(yùn)行,同時(shí)也影響著企業(yè)信息化的實(shí)現(xiàn)進(jìn)程。維護(hù)好網(wǎng)絡(luò)安全,確保企業(yè)生產(chǎn)的穩(wěn)定可靠,采取安全、可靠的防護(hù)措施是石化企業(yè)信息安全不可忽視的組成部分。
轉(zhuǎn)載請(qǐng)注明出處:拓步ERP資訊網(wǎng)http://www.guhuozai8.cn/
本文標(biāo)題:煉化企業(yè)MES/ERP系統(tǒng)信息安全的研究與應(yīng)用
本文網(wǎng)址:http://www.guhuozai8.cn/html/consultation/10820211389.html