1 研究背景
随着生产执行系统(简称MES)在我国炼油与化工企业的实施应用,大部分石化企业逐步实现了数据采集自动化、操作日志电子化、生产管理精细化、绩效考核标准化等目标,MES系统逐渐成为炼化企业生产运行不可或缺的信息平台,深受广大生产管理人员的欢迎。另一方,MES系统的实施推进了管理网与生产网的两网融合,企业网络应用的范围不断扩大,网络越来越开放,安全问题也日加突出和严峻,各种安全问题诸如病毒攻击、网络入侵和数据泄露等已广泛引起各国政府和企业管理层的高度重视,尤其对对生产控制系统的安全构成了重大威胁。
2011年9月,工信部下发了045号文件《关于加强工业控制系统信息安全管理的通知》,明确要求工业控制系统与公共网络连接时,必须设置防火墙、单向隔离等措施,确保系统自身安全,避免对工业生产带来重大损失。
2 现状分析
2.1 安全隐患突出
随着信息化的不断发展,基于PC架构的计算机应用越来越普及,Windows平台也广泛应用;MES系统管理实时数据的实时数据库、实时数据采集服务器(BUFFER机)、OPC Server机、DCS系统等均为Windows平台,这些平台相互之间存在TCP/IP协议的双向数据通讯,给病毒攻击带来了可能。
Honeywell公司MES中PHD的Buffer-Shadow架构体系(如图1)导致Buffer机必须开放1521、3100等网络通讯端口。尽管管理网与生产网之间有防火墙等网络安全设备,但由于通讯端口的开放,Buffer机也存在感染计算机病毒的可能。
OPC Server与Buffer通讯使用Microsoft的DCOM协议,OPC Server机须开放135远程访问端口(病毒经常攻击的端口);在Buffer机中毒的情况下,OPC Server机(工程师站)很容易被病毒攻击,从而导致工业控制系统(DCS等)反应滞后或死机,甚至感染病毒,给生产带来安全隐患。
图1 MES 系统Buffer&Shadow 结构图
这样的安全事故非常多。2010年9月伊朗的布什尔核电站受到针对工业控制系统编写的破坏性Stuxnet震网病毒攻击,Stuxnet利用对Windows系统和西门子自动控制系统的默认密码,绕过漏洞程序进行攻击。2011年11月黑客通过一台位于俄罗斯的电脑入侵了美国伊利诺伊州斯普林菲尔德市(Springfield)的公共供水网络系统,毁掉了一个向数千户家庭供水的水泵。
2.2 主流的安全防护技术
目前,网络安全技术、入侵检测技术(IDS)、虚拟专用网络(VPN)、防病毒、防火墙等,均不能实现网络在OSI 7层上的完全隔离,不能有效保证MES对DCS控制系统不造成安全性风险。当前,业内主要是采用网络隔离技术解决两个不同安全域网络的互联问题,各国政府和跨国型企业都在大力研发和应用该技术。网络隔离技术经过长期的发展和应用,目前已经发展到了第五代。第一代隔离技术采取的是绝对的物理隔离,将不同网络从物理上隔开,从而产生了信息孤岛;第二代网络隔离技术采用的是硬件卡;第三代隔离技术采用将数据包进行转发;第四代网络隔离技术中引进了空气开关进行隔离;最新的第五代隔离技术采用的是安全通道隔离技术。第五代网络隔离技术使用专用通信硬件,采用私有安全协议来实现内部网络与外部网络的隔离和数据传递,这种方式解决了前几代隔离技术的不足,不但安全地将内部外部网络分离,同时还保证了两网之间数据传递的高效安全,已成为当前隔离技术的主流发展方向。这种数据传输技术的核心是采用信息摆渡,物理传输信道只是在传输进行时建立,信息传输时先由信息源所在区域一端传输到中间缓存区域,同时物理上断开中间缓存区域与信息目的地所在区域的网络连接,然后连通中间缓存区域与信息目的地所在区域的数据传输信道,将信息安全传输至目的区域,此时在信道上物理断开信息源所在区域与中间缓存区域的连接。这保证了在任意时刻,中间缓存区域只与一个区域安全相连。与防火墙技术相比,防火墙技术是在保证信息传输的情况下,尽力保证系统的安全性;而网络隔离技术正好与之相反,是在保证系统安全的情况下,实现与外部的数据交换,一旦出现不安全的情形则断开连接,网络隔离的任务是解决和防范当前信息系统存在中的各种安全隐患:操作系统漏洞、TCP/IP漏洞、应用协议漏洞、链路连接漏洞、安全策略漏洞等。因此,网络隔离技术是目前解决上述安全问题的唯一有效技术手段。
图2 网络隔离硬件结构示意图
目前,工业领域用于保护控制网络安全的网络隔离产品有网闸、工业网络安全防护网关等。这些隔离设备几乎都是采用了本文所提到的第五代隔离技术,在此基础上进行了开发和应用。这些隔离设备的核心是在OSI模型的七层上断开网络连接,利用“2+1”式的三模块架构,也就是产品内包括两种系统和一个私有的安全通道隔离单元用于交换数据。这种架构的好处是连接内部与外网的两个主机的网络是完全断开的,剥离了TCP/IP协议,剥离了应用协议,在完成数据的安全交换后再进行通信协议的恢复和重建。通过TCP/IP协议的剥离和重建技术消除了TCP/IP协议存在的漏洞。通过在应用层对应用协议进行剥离和重建,防范了应用协议漏洞,与此同时还可以达到针对应用协议实现一些更为有效的访问控制,从而阻挡当前TCP/IP存在的所有攻击。
2.3 典型安全隔离产品介绍
一类是网闸。网闸产品的出现比较早,主要用于解决涉密网络与外部网络间的数据传递问题。网闸产品主要用于政府和企业中涉密业务比较多的办公系统,它提供的功能也以通用的互联网为主。
二是工业网络安全防护网关。工业网络安全防护网关是近几年新发展的的专门应用于工业领域的网络安全防护产品,主要采用“2+1”的三模块架构,内置双套操作系统,通信隔离单元通过总线技术建立安全通道来保障数据交换的安全和高效。网关产品与网闸产品比较,网关更是作为提供专门用于工业控制网络的安全防护,因此网关只提供控制网络所必需的通信需求,诸如OPC通信等,但不具备通用的互联网功能。
3 安全方案设计
3.1 设计原则
对于MES系统而言,既要满足应用的需要,又要保证工业控制系统安全,在实时数据采集安全方案中必须要增加安全防护硬件设备,该设备应具备第五代隔离技术的以对控制系统进行保护。该产品应该是一个非TCP/IP协议、跨平台应用、具备单向传输等核心技术,以此效解决MES系统实施后的“两网融合”产生的安全隐患。同时,该设备应该具备集中监控、一键恢复等功能,提高系统稳定性,且降低现场运维人员的工作量。
3.2 MES 系统数采安全方案
技术上,增加采用网络隔离技术的安全防护设备,架设于MES实施数据采集机与OPC服务器之间,确保MES系统数据采集不影响DCS控制系统的安全性。该设备应该具备以下四个功能:
1)内外网处理单元为跨平台系统。为了保证系统的安全性,内网处理单元应该为非Windows系统平台,以屏蔽Windows操作系统的安全漏洞,阻止恶意代码和病毒对控制系统的攻击。
2)内外网处理单元之间为非TCP/IP协议。为了防止外网处理单元向内网处理单元传输恶意代码和病毒,网络隔离硬件中的专用传输通道使用私有网络传输协议,以此规避TCP/IP协议的漏洞。
3)内外网处理单元之间只能进行单向传输。即只能由内网处理单元向外网处理单元传输数据,而不接受从外网处理单元向内网处理单元传输数据,从根本上杜绝病毒向控制网传输的可能。
4)安全防护设备具备高稳定性和可维护性。作为应用于与控制网相连的设备,安全防护设备必须具备高稳定性,以及可维护性,既能保证控制系统的安全性,同时又不增加维护人员的工作量,因此需要在安全防护设备内增加监控模块,监控设备运行性能和状态。
图3 MES 系统实时数据采集安全方案架构图
管理上,必须要安装补丁分发服务器,为MES服务器、Buffer机等及时进行操作系统补丁更新,消除系统安全漏洞。同时,必须严禁在DCS控制系统和公共网络之间交叉使用移动存储介质以及便携式计算机,防止其他途径的病毒感染。
4 研究结论
当前,由网络病毒引起的工业事故层出不穷,工业网络安全问题变日益严峻,工信部下发《关于加强工业控制系统信息安全管理的通知》足以显现加强工业控制系统信息安全管理的重要性和紧迫性。石化行业是关乎国计民生的重要能源支柱产业,生产数据的安全在任何国家、任何阶段都备受重视和关注。保障石化企业生产控制网络的安全,保证生产环境稳定可靠,防止来自网络内部及网络外部的攻击,采取高效稳定的安全防护措施是炼油与化工企业MES系统实施的不可忽视的重要部分。
核心关注:拓步ERP系统平台是覆盖了众多的业务领域、行业应用,蕴涵了丰富的ERP管理思想,集成了ERP软件业务管理理念,功能涉及供应链、成本、制造、CRM、HR等众多业务领域的管理,全面涵盖了企业关注ERP管理系统的核心领域,是众多中小企业信息化建设首选的ERP管理软件信赖品牌。
转载请注明出处:拓步ERP资讯网http://www.toberp.com/
本文标题:炼化企业MES/ERP系统实时数据采集安全方案研究
本文网址:http://www.toberp.com/html/consultation/10820611526.html
相关文章
