一、前言
工業基礎設施是構成我國國民經濟、現代社會及國家安全的重要基礎組成部分,其核心環節是工業控制系統。隨著傳統自動化技術與信息技術融合進程的日益加速,工業控制系統逐漸從封閉走向互聯,廣泛地采用包括了TCP/IP在內的開放技術,工業設備接口越來越開放。
煉化企業信息化建設的全面開展,使得以網絡為基礎的各類應用不斷增加,如煉油化工運行系統(Manufacturing Execution System,MES)。該系統以控制系統的生產過程數據為基礎,全面支撐企業的生產、經營等多項業務管理。控制系統網絡不斷開放的同時,帶來的安全問題日益嚴峻,各種安全問題如病毒、攻擊和入侵等已經引起了人們的高度重視。
信息化安全是一個普遍問題,但是,不同行業的信息化安全重點和安全策略不盡相同,因此,本文面向煉化企業的特點,針對MES系統涉及的控制網絡安全問題進行了系統分析,并結合蘭州石化MES項目設計與實踐,提出適合行業特點的安全策略。
二、MES發展概述
2000年,中國石油完成了《中國石油信息技術總體規劃》(以下簡稱《總體規劃》),對公司未來信息工作管理體制、組織結構及主要工作內容作出了比較清晰與詳細的描述與規劃。在生產管理方面,《總體規劃》基本體現了企業資源計劃、生產運行、過程管理的三層企業集成模型。
MES系統作為為制造行業經營管理層與過程控制層之間的“橋梁”,在提高企業生產效率、改善產品質量、降低生產損耗等方面具有重要的作用。MES系統由許多不同的應用軟件組成。包括的主要應用有進料選擇、計劃與調度、工廠優化、運行管理、生產統計、物料與維修管理、質量管理、條件監控、安全臊作培訓、實時過程數據管理等。MES系統的建設與應用,使得信息網與控制網不斷的融合,控制系統變得不再是封閉、孤立。
2004年中石油MES項目正式在全公司范圍內啟動,項目按照先試點、后推廣的步驟逐步開展。試點項目于2005年上線正式投入運行,一期推廣的4家企業2007年同時成功上線,2006年開始開展二期推廣工作,三期工作于2008年開始,目前,中石油已完成MES系統整體建設工作。
三、MES設計及控制網現狀分析
3.1 MES信息流設計。MES系統作為企業的生產指揮平臺,首先從控制網實時提取過程控制數據,控制數據被保存在實時數據庫中,然后通過各MES系統中的物料平衡、公用工程、運行管理等系統功能的業務化處理,以WEB方式為企業生產管理者提供數據分析及統計報表。
MES系統除了集成控制數據、儲運數據等相關生產運行數據外,作為企業的生產指揮平臺,它以多種接口方式為企業各類管理系統提供生產統計信息。
3.2 控制網絡現狀分析控制網絡與傳統網絡不同,它有自身的獨特性:網絡架構設計獨立:控制系統是根據生產工藝設計的,沒有與其它信息系統應用存在互通互聯的需求,其控制系統網絡是相對獨立。實時性、可靠性、穩定性高:控制網絡主要是確保生產過程數據的實時、穩定、高效的傳輸,它不允許有任何中斷,這是裝置生產運行可控的基礎。通訊協議的開放性:各個廠商的過程控制系統均有自己開發的通訊協議,但隨著系統應用的不斷開放,出現了OPC,ModbUS TCP,現場總線等開放性的行業通訊標準。防病毒軟件兼容性差、補丁更新不及時:DCS系統僅能安裝經過測試的殺毒軟件,且為單機版,不支持中油統一部署的防病毒軟件。
控制系統采用Windows 2000操作系統只能安裝sp1補丁程序,病毒庫的補丁更新由DCS廠商測試后,才能進行現場安裝。然而目前Microsoft Windows的版本已經升級到了Windows 2008,Service Pack卡b丁程序的版本也已經由sp1升級到了sp4版本。而Windows 2000操作系統,微軟公司從2007年起已經停止了對其的安全更新。
3.3 網絡通訊協議分析。TCP/IP協議是目前最常用的一種通信協議。TCP/IP具有很強的靈活性,支持任意規模的網絡,企業網絡中TCP/IP協議在與控制網的數據交換中被普遍采用。TCMP協議簇最初設計的應用環境是內部網絡,假設網絡中各節點是互相信任的。它只考慮了互通互聯和資源共享需求,未考慮也無法解決來自網絡中的大量安全問題。
首先它缺乏對用戶身份的鑒別。由于TCP/IP使用IP地址作為網絡節點的唯一標識,但實際在口地址的使用和管理中存在不少問題,使得IP地址容易暴露、易偽造和更改,這就為網絡安全留下了隱患;其次在邛層上缺乏對路由協議的安全認證機制,缺乏路由信息的鑒別與保護,因此通過互聯網,利用路由信息任意修改網絡傳輸路徑,可誤導網絡分組傳輸。
四、MES網絡安全策略
隨著石化企業MES的快速發展,信息網與控制網的融合給MES建設帶來新的思考,那就是不能再將控制網絡與MES割裂開來。控制網絡已經成為MES的一部分,MES系統建設要從全局考慮,進行網絡結構優化,安全策略部署等措施,做到信息網與控制網通訊可控,區域隔離、實時報警,既滿足數據通訊需求又保證工業控制網絡安全穩定運行。
4.1 MES網絡架構設計。蘭州石化MES項目于2006年10月啟動,項目分為兩期,至2008年實施完成并成功上線運行。項目充分考慮了兩網融合的實際需要及安全需求,對網絡基礎進行了新的設計,制定了局域網設計方案。該架構設計將網絡結構劃分為三個區域,從上至下是辦公區、生產區、控制區。其中辦公區是企業的辦公網絡,主要部署了基于網絡應用的辦公自動化系統,生產運行系統,生產視頻監控系統,ERP等等。
生產區是為MES系統搭建的生產專網,它是一條獨立于辦公網的物理鏈路。其網絡節點是的無人機交互的計算機,僅部署MES系統服務器、BUFFER機。在生產網和辦公網之間通過部署防火墻,實現由生產網至辦公網的單向訪問。防火墻配置相應安全策略,允許MES服務器、BuFFER機訪問部分辦公網資源,如防病毒和補丁程序網站等。控制區為控制系統所在的控制網絡。
4.2 安全防護網關。在生產區與控制區進行數據交換的設備間,部署安全防護網關。通過建立通訊許可機制、通訊協議檢測,實現生產網與控制網間可信的數據交換和網絡隔離,確保MES等系統與控制系統的通信安全,保障控制網安全穩定運行。通過統一的監控平臺,實時監測生產網與控制網的數據通訊、網關運行狀態、運行參數,及時更新安全策略。
4.3 網絡節點安全策略。對Windows操作系統中的賬戶、口令、認證授權、協議安全、補丁與防護軟件等多個方面進行安全策略的部署。其中在補丁與防護軟件方面,安裝賽門鐵克殺毒軟件,通過定制掃描策略,定期進行病毒掃描,做到及時檢測病毒,減少計算機中毒概率;通過集成安裝補丁分發系統,為Buffer機及時推送最新的Windows安全漏洞補丁程序。在協議安全方面進行TCP/IP篩選,開放業務所需的TCP、UDP端口和口協議。
五、結論
MES系統在生產運行,生產統計管理中取得了良好的應用效果,越來越多的企業通過MES進行生產管理,它的安全性也受到前所未有的關注。石化行業的信息安全問題直接影響到其它行業的安全、穩定運行,同時也影響著企業信息化的實現進程。維護好網絡安全,確保企業生產的穩定可靠,采取安全、可靠的防護措施是石化企業信息安全不可忽視的組成部分。
轉載請注明出處:拓步ERP資訊網http://www.guhuozai8.cn/
本文網址:http://www.guhuozai8.cn/html/consultation/10820211389.html