1 研究背景
隨著生產(chǎn)執(zhí)行系統(tǒng)(簡稱MES)在我國煉油與化工企業(yè)的實施應(yīng)用,大部分石化企業(yè)逐步實現(xiàn)了數(shù)據(jù)采集自動化、操作日志電子化、生產(chǎn)管理精細化、績效考核標準化等目標,MES系統(tǒng)逐漸成為煉化企業(yè)生產(chǎn)運行不可或缺的信息平臺,深受廣大生產(chǎn)管理人員的歡迎。另一方,MES系統(tǒng)的實施推進了管理網(wǎng)與生產(chǎn)網(wǎng)的兩網(wǎng)融合,企業(yè)網(wǎng)絡(luò)應(yīng)用的范圍不斷擴大,網(wǎng)絡(luò)越來越開放,安全問題也日加突出和嚴峻,各種安全問題諸如病毒攻擊、網(wǎng)絡(luò)入侵和數(shù)據(jù)泄露等已廣泛引起各國政府和企業(yè)管理層的高度重視,尤其對對生產(chǎn)控制系統(tǒng)的安全構(gòu)成了重大威脅。
2011年9月,工信部下發(fā)了045號文件《關(guān)于加強工業(yè)控制系統(tǒng)信息安全管理的通知》,明確要求工業(yè)控制系統(tǒng)與公共網(wǎng)絡(luò)連接時,必須設(shè)置防火墻、單向隔離等措施,確保系統(tǒng)自身安全,避免對工業(yè)生產(chǎn)帶來重大損失。
2 現(xiàn)狀分析
2.1 安全隱患突出
隨著信息化的不斷發(fā)展,基于PC架構(gòu)的計算機應(yīng)用越來越普及,Windows平臺也廣泛應(yīng)用;MES系統(tǒng)管理實時數(shù)據(jù)的實時數(shù)據(jù)庫、實時數(shù)據(jù)采集服務(wù)器(BUFFER機)、OPC Server機、DCS系統(tǒng)等均為Windows平臺,這些平臺相互之間存在TCP/IP協(xié)議的雙向數(shù)據(jù)通訊,給病毒攻擊帶來了可能。
Honeywell公司MES中PHD的Buffer-Shadow架構(gòu)體系(如圖1)導(dǎo)致Buffer機必須開放1521、3100等網(wǎng)絡(luò)通訊端口。盡管管理網(wǎng)與生產(chǎn)網(wǎng)之間有防火墻等網(wǎng)絡(luò)安全設(shè)備,但由于通訊端口的開放,Buffer機也存在感染計算機病毒的可能。
OPC Server與Buffer通訊使用Microsoft的DCOM協(xié)議,OPC Server機須開放135遠程訪問端口(病毒經(jīng)常攻擊的端口);在Buffer機中毒的情況下,OPC Server機(工程師站)很容易被病毒攻擊,從而導(dǎo)致工業(yè)控制系統(tǒng)(DCS等)反應(yīng)滯后或死機,甚至感染病毒,給生產(chǎn)帶來安全隱患。
圖1 MES 系統(tǒng)Buffer&Shadow 結(jié)構(gòu)圖
這樣的安全事故非常多。2010年9月伊朗的布什爾核電站受到針對工業(yè)控制系統(tǒng)編寫的破壞性Stuxnet震網(wǎng)病毒攻擊,Stuxnet利用對Windows系統(tǒng)和西門子自動控制系統(tǒng)的默認密碼,繞過漏洞程序進行攻擊。2011年11月黑客通過一臺位于俄羅斯的電腦入侵了美國伊利諾伊州斯普林菲爾德市(Springfield)的公共供水網(wǎng)絡(luò)系統(tǒng),毀掉了一個向數(shù)千戶家庭供水的水泵。
2.2 主流的安全防護技術(shù)
目前,網(wǎng)絡(luò)安全技術(shù)、入侵檢測技術(shù)(IDS)、虛擬專用網(wǎng)絡(luò)(VPN)、防病毒、防火墻等,均不能實現(xiàn)網(wǎng)絡(luò)在OSI 7層上的完全隔離,不能有效保證MES對DCS控制系統(tǒng)不造成安全性風(fēng)險。當(dāng)前,業(yè)內(nèi)主要是采用網(wǎng)絡(luò)隔離技術(shù)解決兩個不同安全域網(wǎng)絡(luò)的互聯(lián)問題,各國政府和跨國型企業(yè)都在大力研發(fā)和應(yīng)用該技術(shù)。網(wǎng)絡(luò)隔離技術(shù)經(jīng)過長期的發(fā)展和應(yīng)用,目前已經(jīng)發(fā)展到了第五代。第一代隔離技術(shù)采取的是絕對的物理隔離,將不同網(wǎng)絡(luò)從物理上隔開,從而產(chǎn)生了信息孤島;第二代網(wǎng)絡(luò)隔離技術(shù)采用的是硬件卡;第三代隔離技術(shù)采用將數(shù)據(jù)包進行轉(zhuǎn)發(fā);第四代網(wǎng)絡(luò)隔離技術(shù)中引進了空氣開關(guān)進行隔離;最新的第五代隔離技術(shù)采用的是安全通道隔離技術(shù)。第五代網(wǎng)絡(luò)隔離技術(shù)使用專用通信硬件,采用私有安全協(xié)議來實現(xiàn)內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的隔離和數(shù)據(jù)傳遞,這種方式解決了前幾代隔離技術(shù)的不足,不但安全地將內(nèi)部外部網(wǎng)絡(luò)分離,同時還保證了兩網(wǎng)之間數(shù)據(jù)傳遞的高效安全,已成為當(dāng)前隔離技術(shù)的主流發(fā)展方向。這種數(shù)據(jù)傳輸技術(shù)的核心是采用信息擺渡,物理傳輸信道只是在傳輸進行時建立,信息傳輸時先由信息源所在區(qū)域一端傳輸?shù)街虚g緩存區(qū)域,同時物理上斷開中間緩存區(qū)域與信息目的地所在區(qū)域的網(wǎng)絡(luò)連接,然后連通中間緩存區(qū)域與信息目的地所在區(qū)域的數(shù)據(jù)傳輸信道,將信息安全傳輸至目的區(qū)域,此時在信道上物理斷開信息源所在區(qū)域與中間緩存區(qū)域的連接。這保證了在任意時刻,中間緩存區(qū)域只與一個區(qū)域安全相連。與防火墻技術(shù)相比,防火墻技術(shù)是在保證信息傳輸?shù)那闆r下,盡力保證系統(tǒng)的安全性;而網(wǎng)絡(luò)隔離技術(shù)正好與之相反,是在保證系統(tǒng)安全的情況下,實現(xiàn)與外部的數(shù)據(jù)交換,一旦出現(xiàn)不安全的情形則斷開連接,網(wǎng)絡(luò)隔離的任務(wù)是解決和防范當(dāng)前信息系統(tǒng)存在中的各種安全隱患:操作系統(tǒng)漏洞、TCP/IP漏洞、應(yīng)用協(xié)議漏洞、鏈路連接漏洞、安全策略漏洞等。因此,網(wǎng)絡(luò)隔離技術(shù)是目前解決上述安全問題的唯一有效技術(shù)手段。
圖2 網(wǎng)絡(luò)隔離硬件結(jié)構(gòu)示意圖
目前,工業(yè)領(lǐng)域用于保護控制網(wǎng)絡(luò)安全的網(wǎng)絡(luò)隔離產(chǎn)品有網(wǎng)閘、工業(yè)網(wǎng)絡(luò)安全防護網(wǎng)關(guān)等。這些隔離設(shè)備幾乎都是采用了本文所提到的第五代隔離技術(shù),在此基礎(chǔ)上進行了開發(fā)和應(yīng)用。這些隔離設(shè)備的核心是在OSI模型的七層上斷開網(wǎng)絡(luò)連接,利用“2+1”式的三模塊架構(gòu),也就是產(chǎn)品內(nèi)包括兩種系統(tǒng)和一個私有的安全通道隔離單元用于交換數(shù)據(jù)。這種架構(gòu)的好處是連接內(nèi)部與外網(wǎng)的兩個主機的網(wǎng)絡(luò)是完全斷開的,剝離了TCP/IP協(xié)議,剝離了應(yīng)用協(xié)議,在完成數(shù)據(jù)的安全交換后再進行通信協(xié)議的恢復(fù)和重建。通過TCP/IP協(xié)議的剝離和重建技術(shù)消除了TCP/IP協(xié)議存在的漏洞。通過在應(yīng)用層對應(yīng)用協(xié)議進行剝離和重建,防范了應(yīng)用協(xié)議漏洞,與此同時還可以達到針對應(yīng)用協(xié)議實現(xiàn)一些更為有效的訪問控制,從而阻擋當(dāng)前TCP/IP存在的所有攻擊。
2.3 典型安全隔離產(chǎn)品介紹
一類是網(wǎng)閘。網(wǎng)閘產(chǎn)品的出現(xiàn)比較早,主要用于解決涉密網(wǎng)絡(luò)與外部網(wǎng)絡(luò)間的數(shù)據(jù)傳遞問題。網(wǎng)閘產(chǎn)品主要用于政府和企業(yè)中涉密業(yè)務(wù)比較多的辦公系統(tǒng),它提供的功能也以通用的互聯(lián)網(wǎng)為主。
二是工業(yè)網(wǎng)絡(luò)安全防護網(wǎng)關(guān)。工業(yè)網(wǎng)絡(luò)安全防護網(wǎng)關(guān)是近幾年新發(fā)展的的專門應(yīng)用于工業(yè)領(lǐng)域的網(wǎng)絡(luò)安全防護產(chǎn)品,主要采用“2+1”的三模塊架構(gòu),內(nèi)置雙套操作系統(tǒng),通信隔離單元通過總線技術(shù)建立安全通道來保障數(shù)據(jù)交換的安全和高效。網(wǎng)關(guān)產(chǎn)品與網(wǎng)閘產(chǎn)品比較,網(wǎng)關(guān)更是作為提供專門用于工業(yè)控制網(wǎng)絡(luò)的安全防護,因此網(wǎng)關(guān)只提供控制網(wǎng)絡(luò)所必需的通信需求,諸如OPC通信等,但不具備通用的互聯(lián)網(wǎng)功能。
3 安全方案設(shè)計
3.1 設(shè)計原則
對于MES系統(tǒng)而言,既要滿足應(yīng)用的需要,又要保證工業(yè)控制系統(tǒng)安全,在實時數(shù)據(jù)采集安全方案中必須要增加安全防護硬件設(shè)備,該設(shè)備應(yīng)具備第五代隔離技術(shù)的以對控制系統(tǒng)進行保護。該產(chǎn)品應(yīng)該是一個非TCP/IP協(xié)議、跨平臺應(yīng)用、具備單向傳輸?shù)群诵募夹g(shù),以此效解決MES系統(tǒng)實施后的“兩網(wǎng)融合”產(chǎn)生的安全隱患。同時,該設(shè)備應(yīng)該具備集中監(jiān)控、一鍵恢復(fù)等功能,提高系統(tǒng)穩(wěn)定性,且降低現(xiàn)場運維人員的工作量。
3.2 MES 系統(tǒng)數(shù)采安全方案
技術(shù)上,增加采用網(wǎng)絡(luò)隔離技術(shù)的安全防護設(shè)備,架設(shè)于MES實施數(shù)據(jù)采集機與OPC服務(wù)器之間,確保MES系統(tǒng)數(shù)據(jù)采集不影響DCS控制系統(tǒng)的安全性。該設(shè)備應(yīng)該具備以下四個功能:
1)內(nèi)外網(wǎng)處理單元為跨平臺系統(tǒng)。為了保證系統(tǒng)的安全性,內(nèi)網(wǎng)處理單元應(yīng)該為非Windows系統(tǒng)平臺,以此屏蔽Windows操作系統(tǒng)的安全漏洞,阻止惡意代碼和病毒對控制系統(tǒng)的攻擊。
2)內(nèi)外網(wǎng)處理單元之間為非TCP/IP協(xié)議。為了防止外網(wǎng)處理單元向內(nèi)網(wǎng)處理單元傳輸惡意代碼和病毒,網(wǎng)絡(luò)隔離硬件中的專用傳輸通道使用私有網(wǎng)絡(luò)傳輸協(xié)議,以此規(guī)避TCP/IP協(xié)議的漏洞。
3)內(nèi)外網(wǎng)處理單元之間只能進行單向傳輸。即只能由內(nèi)網(wǎng)處理單元向外網(wǎng)處理單元傳輸數(shù)據(jù),而不接受從外網(wǎng)處理單元向內(nèi)網(wǎng)處理單元傳輸數(shù)據(jù),從根本上杜絕病毒向控制網(wǎng)傳輸?shù)目赡堋?/p>
4)安全防護設(shè)備具備高穩(wěn)定性和可維護性。作為應(yīng)用于與控制網(wǎng)相連的設(shè)備,安全防護設(shè)備必須具備高穩(wěn)定性,以及可維護性,既能保證控制系統(tǒng)的安全性,同時又不增加維護人員的工作量,因此需要在安全防護設(shè)備內(nèi)增加監(jiān)控模塊,監(jiān)控設(shè)備運行性能和狀態(tài)。
圖3 MES 系統(tǒng)實時數(shù)據(jù)采集安全方案架構(gòu)圖
管理上,必須要安裝補丁分發(fā)服務(wù)器,為MES服務(wù)器、Buffer機等及時進行操作系統(tǒng)補丁更新,消除系統(tǒng)安全漏洞。同時,必須嚴禁在DCS控制系統(tǒng)和公共網(wǎng)絡(luò)之間交叉使用移動存儲介質(zhì)以及便攜式計算機,防止其他途徑的病毒感染。
4 研究結(jié)論
當(dāng)前,由網(wǎng)絡(luò)病毒引起的工業(yè)事故層出不窮,工業(yè)網(wǎng)絡(luò)安全問題變?nèi)找鎳谰ば挪肯掳l(fā)《關(guān)于加強工業(yè)控制系統(tǒng)信息安全管理的通知》足以顯現(xiàn)加強工業(yè)控制系統(tǒng)信息安全管理的重要性和緊迫性。石化行業(yè)是關(guān)乎國計民生的重要能源支柱產(chǎn)業(yè),生產(chǎn)數(shù)據(jù)的安全在任何國家、任何階段都備受重視和關(guān)注。保障石化企業(yè)生產(chǎn)控制網(wǎng)絡(luò)的安全,保證生產(chǎn)環(huán)境穩(wěn)定可靠,防止來自網(wǎng)絡(luò)內(nèi)部及網(wǎng)絡(luò)外部的攻擊,采取高效穩(wěn)定的安全防護措施是煉油與化工企業(yè)MES系統(tǒng)實施的不可忽視的重要部分。
核心關(guān)注:拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標題:煉化企業(yè)MES/ERP系統(tǒng)實時數(shù)據(jù)采集安全方案研究
本文網(wǎng)址:http://www.ezxoed.cn/html/consultation/10819412251.html