一、前言

    工業(yè)基礎設施是構成我國國民經(jīng)濟、現(xiàn)代社會及國家安全的重要基礎組成部分，其核心環(huán)節(jié)是工業(yè)控制系統(tǒng)。隨著傳統(tǒng)自動化技術與信息技術融合進程的日益加速，工業(yè)控制系統(tǒng)逐漸從封閉走向互聯(lián)，廣泛地采用包括了TCP/IP在內的開放技術，工業(yè)設備接口越來越開放。

    煉化企業(yè)信息化建設的全面開展，使得以網(wǎng)絡為基礎的各類應用不斷增加，如煉油化工運行系統(tǒng)(Manufacturing Execution System，MES)。該系統(tǒng)以控制系統(tǒng)的生產(chǎn)過程數(shù)據(jù)為基礎，全面支撐企業(yè)的生產(chǎn)、經(jīng)營等多項業(yè)務管理。控制系統(tǒng)網(wǎng)絡不斷開放的同時，帶來的安全問題日益嚴峻，各種安全問題如病毒、攻擊和入侵等已經(jīng)引起了人們的高度重視。

    信息化安全是一個普遍問題，但是，不同行業(yè)的信息化安全重點和安全策略不盡相同，因此，本文面向煉化企業(yè)的特點，針對MES系統(tǒng)涉及的控制網(wǎng)絡安全問題進行了系統(tǒng)分析，并結合蘭州石化MES項目設計與實踐，提出適合行業(yè)特點的安全策略。

二、MES發(fā)展概述

    2000年，中國石油完成了《中國石油信息技術總體規(guī)劃》(以下簡稱《總體規(guī)劃》)，對公司未來信息工作管理體制、組織結構及主要工作內容作出了比較清晰與詳細的描述與規(guī)劃。在生產(chǎn)管理方面，《總體規(guī)劃》基本體現(xiàn)了企業(yè)資源計劃、生產(chǎn)運行、過程管理的三層企業(yè)集成模型。

    MES系統(tǒng)作為為制造行業(yè)經(jīng)營管理層與過程控制層之間的“橋梁”，在提高企業(yè)生產(chǎn)效率、改善產(chǎn)品質量、降低生產(chǎn)損耗等方面具有重要的作用。MES系統(tǒng)由許多不同的應用軟件組成。包括的主要應用有進料選擇、計劃與調度、工廠優(yōu)化、運行管理、生產(chǎn)統(tǒng)計、物料與維修管理、質量管理、條件監(jiān)控、安全臊作培訓、實時過程數(shù)據(jù)管理等。MES系統(tǒng)的建設與應用，使得信息網(wǎng)與控制網(wǎng)不斷的融合，控制系統(tǒng)變得不再是封閉、孤立。

    2004年中石油MES項目正式在全公司范圍內啟動，項目按照先試點、后推廣的步驟逐步開展。試點項目于2005年上線正式投入運行，一期推廣的4家企業(yè)2007年同時成功上線，2006年開始開展二期推廣工作，三期工作于2008年開始，目前，中石油已完成MES系統(tǒng)整體建設工作。

三、MES設計及控制網(wǎng)現(xiàn)狀分析

    3.1 MES信息流設計。MES系統(tǒng)作為企業(yè)的生產(chǎn)指揮平臺，首先從控制網(wǎng)實時提取過程控制數(shù)據(jù)，控制數(shù)據(jù)被保存在實時數(shù)據(jù)庫中，然后通過各MES系統(tǒng)中的物料平衡、公用工程、運行管理等系統(tǒng)功能的業(yè)務化處理，以WEB方式為企業(yè)生產(chǎn)管理者提供數(shù)據(jù)分析及統(tǒng)計報表。

    MES系統(tǒng)除了集成控制數(shù)據(jù)、儲運數(shù)據(jù)等相關生產(chǎn)運行數(shù)據(jù)外，作為企業(yè)的生產(chǎn)指揮平臺，它以多種接口方式為企業(yè)各類管理系統(tǒng)提供生產(chǎn)統(tǒng)計信息。

    3.2 控制網(wǎng)絡現(xiàn)狀分析控制網(wǎng)絡與傳統(tǒng)網(wǎng)絡不同，它有自身的獨特性：網(wǎng)絡架構設計獨立：控制系統(tǒng)是根據(jù)生產(chǎn)工藝設計的，沒有與其它信息系統(tǒng)應用存在互通互聯(lián)的需求，其控制系統(tǒng)網(wǎng)絡是相對獨立。實時性、可靠性、穩(wěn)定性高：控制網(wǎng)絡主要是確保生產(chǎn)過程數(shù)據(jù)的實時、穩(wěn)定、高效的傳輸，它不允許有任何中斷，這是裝置生產(chǎn)運行可控的基礎。通訊協(xié)議的開放性：各個廠商的過程控制系統(tǒng)均有自己開發(fā)的通訊協(xié)議，但隨著系統(tǒng)應用的不斷開放，出現(xiàn)了OPC，ModbUS TCP，現(xiàn)場總線等開放性的行業(yè)通訊標準。防病毒軟件兼容性差、補丁更新不及時：DCS系統(tǒng)僅能安裝經(jīng)過測試的殺毒軟件，且為單機版，不支持中油統(tǒng)一部署的防病毒軟件。

    控制系統(tǒng)采用Windows 2000操作系統(tǒng)只能安裝sp1補丁程序，病毒庫的補丁更新由DCS廠商測試后，才能進行現(xiàn)場安裝。然而目前Microsoft Windows的版本已經(jīng)升級到了Windows 2008，Service Pack卡b丁程序的版本也已經(jīng)由sp1升級到了sp4版本。而Windows 2000操作系統(tǒng)，微軟公司從2007年起已經(jīng)停止了對其的安全更新。

    3.3 網(wǎng)絡通訊協(xié)議分析。TCP／IP協(xié)議是目前最常用的一種通信協(xié)議。TCP／IP具有很強的靈活性，支持任意規(guī)模的網(wǎng)絡，企業(yè)網(wǎng)絡中TCP／IP協(xié)議在與控制網(wǎng)的數(shù)據(jù)交換中被普遍采用。TCMP協(xié)議簇最初設計的應用環(huán)境是內部網(wǎng)絡，假設網(wǎng)絡中各節(jié)點是互相信任的。它只考慮了互通互聯(lián)和資源共享需求，未考慮也無法解決來自網(wǎng)絡中的大量安全問題。

    首先它缺乏對用戶身份的鑒別。由于TCP／IP使用IP地址作為網(wǎng)絡節(jié)點的唯一標識，但實際在口地址的使用和管理中存在不少問題，使得IP地址容易暴露、易偽造和更改，這就為網(wǎng)絡安全留下了隱患；其次在邛層上缺乏對路由協(xié)議的安全認證機制，缺乏路由信息的鑒別與保護，因此通過互聯(lián)網(wǎng)，利用路由信息任意修改網(wǎng)絡傳輸路徑，可誤導網(wǎng)絡分組傳輸。

四、MES網(wǎng)絡安全策略

    隨著石化企業(yè)MES的快速發(fā)展，信息網(wǎng)與控制網(wǎng)的融合給MES建設帶來新的思考，那就是不能再將控制網(wǎng)絡與MES割裂開來�？刂凭W(wǎng)絡已經(jīng)成為MES的一部分，MES系統(tǒng)建設要從全局考慮，進行網(wǎng)絡結構優(yōu)化，安全策略部署等措施，做到信息網(wǎng)與控制網(wǎng)通訊可控，區(qū)域隔離、實時報警，既滿足數(shù)據(jù)通訊需求又保證工業(yè)控制網(wǎng)絡安全穩(wěn)定運行。

    4.1 MES網(wǎng)絡架構設計。蘭州石化MES項目于2006年10月啟動，項目分為兩期，至2008年實施完成并成功上線運行。項目充分考慮了兩網(wǎng)融合的實際需要及安全需求，對網(wǎng)絡基礎進行了新的設計，制定了局域網(wǎng)設計方案。該架構設計將網(wǎng)絡結構劃分為三個區(qū)域，從上至下是辦公區(qū)、生產(chǎn)區(qū)、控制區(qū)。其中辦公區(qū)是企業(yè)的辦公網(wǎng)絡，主要部署了基于網(wǎng)絡應用的辦公自動化系統(tǒng)，生產(chǎn)運行系統(tǒng)，生產(chǎn)視頻監(jiān)控系統(tǒng)，ERP等等。

    生產(chǎn)區(qū)是為MES系統(tǒng)搭建的生產(chǎn)專網(wǎng)，它是一條獨立于辦公網(wǎng)的物理鏈路。其網(wǎng)絡節(jié)點是的無人機交互的計算機，僅部署MES系統(tǒng)服務器、BUFFER機。在生產(chǎn)網(wǎng)和辦公網(wǎng)之間通過部署防火墻，實現(xiàn)由生產(chǎn)網(wǎng)至辦公網(wǎng)的單向訪問。防火墻配置相應安全策略，允許MES服務器、BuFFER機訪問部分辦公網(wǎng)資源，如防病毒和補丁程序網(wǎng)站等�？刂茀^(qū)為控制系統(tǒng)所在的控制網(wǎng)絡。

    4.2 安全防護網(wǎng)關。在生產(chǎn)區(qū)與控制區(qū)進行數(shù)據(jù)交換的設備間，部署安全防護網(wǎng)關。通過建立通訊許可機制、通訊協(xié)議檢測，實現(xiàn)生產(chǎn)網(wǎng)與控制網(wǎng)間可信的數(shù)據(jù)交換和網(wǎng)絡隔離，確保MES等系統(tǒng)與控制系統(tǒng)的通信安全，保障控制網(wǎng)安全穩(wěn)定運行。通過統(tǒng)一的監(jiān)控平臺，實時監(jiān)測生產(chǎn)網(wǎng)與控制網(wǎng)的數(shù)據(jù)通訊、網(wǎng)關運行狀態(tài)、運行參數(shù)，及時更新安全策略。

    4.3 網(wǎng)絡節(jié)點安全策略。對Windows操作系統(tǒng)中的賬戶、口令、認證授權、協(xié)議安全、補丁與防護軟件等多個方面進行安全策略的部署。其中在補丁與防護軟件方面，安裝賽門鐵克殺毒軟件，通過定制掃描策略，定期進行病毒掃描，做到及時檢測病毒，減少計算機中毒概率；通過集成安裝補丁分發(fā)系統(tǒng)，為Buffer機及時推送最新的Windows安全漏洞補丁程序。在協(xié)議安全方面進行TCP／IP篩選，開放業(yè)務所需的TCP、UDP端口和口協(xié)議。

五、結論

    MES系統(tǒng)在生產(chǎn)運行，生產(chǎn)統(tǒng)計管理中取得了良好的應用效果，越來越多的企業(yè)通過MES進行生產(chǎn)管理，它的安全性也受到前所未有的關注。石化行業(yè)的信息安全問題直接影響到其它行業(yè)的安全、穩(wěn)定運行，同時也影響著企業(yè)信息化的實現(xiàn)進程。維護好網(wǎng)絡安全，確保企業(yè)生產(chǎn)的穩(wěn)定可靠，采取安全、可靠的防護措施是石化企業(yè)信息安全不可忽視的組成部分。 

轉載請注明出處：拓步ERP資訊網(wǎng)http://www.ezxoed.cn/

本文標題：煉化企業(yè)MES/ERP系統(tǒng)信息安全的研究與應用

本文網(wǎng)址：http://www.ezxoed.cn/html/consultation/10820211389.html