一、前言
工业基础设施是构成我国国民经济、现代社会及国家安全的重要基础组成部分,其核心环节是工业控制系统。随着传统自动化技术与信息技术融合进程的日益加速,工业控制系统逐渐从封闭走向互联,广泛地采用包括了TCP/IP在内的开放技术,工业设备接口越来越开放。
炼化企业信息化建设的全面开展,使得以网络为基础的各类应用不断增加,如炼油化工运行系统(Manufacturing Execution System,MES)。该系统以控制系统的生产过程数据为基础,全面支撑企业的生产、经营等多项业务管理。控制系统网络不断开放的同时,带来的安全问题日益严峻,各种安全问题如病毒、攻击和入侵等已经引起了人们的高度重视。
信息化安全是一个普遍问题,但是,不同行业的信息化安全重点和安全策略不尽相同,因此,本文面向炼化企业的特点,针对MES系统涉及的控制网络安全问题进行了系统分析,并结合兰州石化MES项目设计与实践,提出适合行业特点的安全策略。
二、MES发展概述
2000年,中国石油完成了《中国石油信息技术总体规划》(以下简称《总体规划》),对公司未来信息工作管理体制、组织结构及主要工作内容作出了比较清晰与详细的描述与规划。在生产管理方面,《总体规划》基本体现了企业资源计划、生产运行、过程管理的三层企业集成模型。
MES系统作为为制造行业经营管理层与过程控制层之间的“桥梁”,在提高企业生产效率、改善产品质量、降低生产损耗等方面具有重要的作用。MES系统由许多不同的应用软件组成。包括的主要应用有进料选择、计划与调度、工厂优化、运行管理、生产统计、物料与维修管理、质量管理、条件监控、安全臊作培训、实时过程数据管理等。MES系统的建设与应用,使得信息网与控制网不断的融合,控制系统变得不再是封闭、孤立。
2004年中石油MES项目正式在全公司范围内启动,项目按照先试点、后推广的步骤逐步开展。试点项目于2005年上线正式投入运行,一期推广的4家企业2007年同时成功上线,2006年开始开展二期推广工作,三期工作于2008年开始,目前,中石油已完成MES系统整体建设工作。
三、MES设计及控制网现状分析
3.1 MES信息流设计。MES系统作为企业的生产指挥平台,首先从控制网实时提取过程控制数据,控制数据被保存在实时数据库中,然后通过各MES系统中的物料平衡、公用工程、运行管理等系统功能的业务化处理,以WEB方式为企业生产管理者提供数据分析及统计报表。
MES系统除了集成控制数据、储运数据等相关生产运行数据外,作为企业的生产指挥平台,它以多种接口方式为企业各类管理系统提供生产统计信息。
3.2 控制网络现状分析控制网络与传统网络不同,它有自身的独特性:网络架构设计独立:控制系统是根据生产工艺设计的,没有与其它信息系统应用存在互通互联的需求,其控制系统网络是相对独立。实时性、可靠性、稳定性高:控制网络主要是确保生产过程数据的实时、稳定、高效的传输,它不允许有任何中断,这是装置生产运行可控的基础。通讯协议的开放性:各个厂商的过程控制系统均有自己开发的通讯协议,但随着系统应用的不断开放,出现了OPC,ModbUS TCP,现场总线等开放性的行业通讯标准。防病毒软件兼容性差、补丁更新不及时:DCS系统仅能安装经过测试的杀毒软件,且为单机版,不支持中油统一部署的防病毒软件。
控制系统采用Windows 2000操作系统只能安装sp1补丁程序,病毒库的补丁更新由DCS厂商测试后,才能进行现场安装。然而目前Microsoft Windows的版本已经升级到了Windows 2008,Service Pack卡b丁程序的版本也已经由sp1升级到了sp4版本。而Windows 2000操作系统,微软公司从2007年起已经停止了对其的安全更新。
3.3 网络通讯协议分析。TCP/IP协议是目前最常用的一种通信协议。TCP/IP具有很强的灵活性,支持任意规模的网络,企业网络中TCP/IP协议在与控制网的数据交换中被普遍采用。TCMP协议簇最初设计的应用环境是内部网络,假设网络中各节点是互相信任的。它只考虑了互通互联和资源共享需求,未考虑也无法解决来自网络中的大量安全问题。
首先它缺乏对用户身份的鉴别。由于TCP/IP使用IP地址作为网络节点的唯一标识,但实际在口地址的使用和管理中存在不少问题,使得IP地址容易暴露、易伪造和更改,这就为网络安全留下了隐患;其次在邛层上缺乏对路由协议的安全认证机制,缺乏路由信息的鉴别与保护,因此通过互联网,利用路由信息任意修改网络传输路径,可误导网络分组传输。
四、MES网络安全策略
随着石化企业MES的快速发展,信息网与控制网的融合给MES建设带来新的思考,那就是不能再将控制网络与MES割裂开来。控制网络已经成为MES的一部分,MES系统建设要从全局考虑,进行网络结构优化,安全策略部署等措施,做到信息网与控制网通讯可控,区域隔离、实时报警,既满足数据通讯需求又保证工业控制网络安全稳定运行。
4.1 MES网络架构设计。兰州石化MES项目于2006年10月启动,项目分为两期,至2008年实施完成并成功上线运行。项目充分考虑了两网融合的实际需要及安全需求,对网络基础进行了新的设计,制定了局域网设计方案。该架构设计将网络结构划分为三个区域,从上至下是办公区、生产区、控制区。其中办公区是企业的办公网络,主要部署了基于网络应用的办公自动化系统,生产运行系统,生产视频监控系统,ERP等等。
生产区是为MES系统搭建的生产专网,它是一条独立于办公网的物理链路。其网络节点是的无人机交互的计算机,仅部署MES系统服务器、BUFFER机。在生产网和办公网之间通过部署防火墙,实现由生产网至办公网的单向访问。防火墙配置相应安全策略,允许MES服务器、BuFFER机访问部分办公网资源,如防病毒和补丁程序网站等。控制区为控制系统所在的控制网络。
4.2 安全防护网关。在生产区与控制区进行数据交换的设备间,部署安全防护网关。通过建立通讯许可机制、通讯协议检测,实现生产网与控制网间可信的数据交换和网络隔离,确保MES等系统与控制系统的通信安全,保障控制网安全稳定运行。通过统一的监控平台,实时监测生产网与控制网的数据通讯、网关运行状态、运行参数,及时更新安全策略。
4.3 网络节点安全策略。对Windows操作系统中的账户、口令、认证授权、协议安全、补丁与防护软件等多个方面进行安全策略的部署。其中在补丁与防护软件方面,安装赛门铁克杀毒软件,通过定制扫描策略,定期进行病毒扫描,做到及时检测病毒,减少计算机中毒概率;通过集成安装补丁分发系统,为Buffer机及时推送最新的Windows安全漏洞补丁程序。在协议安全方面进行TCP/IP筛选,开放业务所需的TCP、UDP端口和口协议。
五、结论
MES系统在生产运行,生产统计管理中取得了良好的应用效果,越来越多的企业通过MES进行生产管理,它的安全性也受到前所未有的关注。石化行业的信息安全问题直接影响到其它行业的安全、稳定运行,同时也影响着企业信息化的实现进程。维护好网络安全,确保企业生产的稳定可靠,采取安全、可靠的防护措施是石化企业信息安全不可忽视的组成部分。
转载请注明出处:拓步ERP资讯网http://www.toberp.com/
本文网址:http://www.toberp.com/html/consultation/10820211389.html
相关文章
