魏永斌

摘要：本文對(duì)工廠過程控制系統(tǒng)安全管理理念和目標(biāo)進(jìn)行分析討論，對(duì)控制系統(tǒng)安全管理措施和實(shí)施進(jìn)行詳細(xì)分析說明，給出了工廠過程控制系統(tǒng)安全管理具體建議。提出安全管理措施需要得到有效、準(zhǔn)確的實(shí)施，并且不斷加強(qiáng)和優(yōu)化，才能從長(zhǎng)遠(yuǎn)上確保工廠過程控制系統(tǒng)的安全穩(wěn)定。

關(guān)鍵詞：過程控制系統(tǒng);安全管理;策略

一、概述

工廠過程控制系統(tǒng)承擔(dān)著對(duì)工廠生產(chǎn)過程的實(shí)時(shí)監(jiān)視和控制功能，當(dāng)前技術(shù)條件下，基于市場(chǎng)上某種成熟的控制系統(tǒng)平臺(tái)所構(gòu)建的全數(shù)字化工廠過程控制系統(tǒng)一般均具有高數(shù)字化、集成化的特點(diǎn)，并具有可接入眾多第三方儀控系統(tǒng)和數(shù)據(jù)鏈的能力，同時(shí)能夠通過專用接口實(shí)現(xiàn)工廠控制系統(tǒng)向外部監(jiān)管管理系統(tǒng)報(bào)送工廠實(shí)時(shí)過程數(shù)據(jù)的功能。本文將結(jié)合筆者在相關(guān)項(xiàng)目上的過程控制系統(tǒng)調(diào)試經(jīng)驗(yàn)，對(duì)一種基于Ovation平臺(tái)所構(gòu)建的工廠過程控制系統(tǒng)所采取的內(nèi)部、外部安全管理措施進(jìn)行詳細(xì)分析，并給出工廠控制系統(tǒng)安全管理方面的相關(guān)建議。

二、控制系統(tǒng)內(nèi)部安全管理

2.1內(nèi)部安全策略

過程控制系統(tǒng)內(nèi)部安全管理采取的主要措施是實(shí)施嚴(yán)格的內(nèi)部訪問控制，即建立一套與工廠實(shí)際管理完全匹配的內(nèi)部用戶管理法，防止系統(tǒng)被“非法”登錄或“越權(quán)”操作。

基于Ovation 3.3.1平臺(tái)所構(gòu)建的過程控制系統(tǒng)通過采用“域”的概念來實(shí)現(xiàn)這一內(nèi)部安全管理措施。在某個(gè)域中，通過建立一個(gè)或一組域控制器對(duì)所有其他域成員進(jìn)行集中的安全管理，所有域成員共享一套安全管理平臺(tái)。工廠一般按照其設(shè)施或車間為單位來創(chuàng)建控制系統(tǒng)的域，其中域控制器一般均為冗余配置，域成員包括該過程控制系統(tǒng)內(nèi)所有的分布式控制站點(diǎn)。

2.2內(nèi)部安全配置實(shí)施

在使用Ovation 3.3.1平臺(tái)構(gòu)建的過程控制系統(tǒng)中，使用其專用的Security Manager來執(zhí)行整個(gè)控制系統(tǒng)的安全配置和管理工作。需要執(zhí)行的安全配置工作包括：

1、創(chuàng)建域并啟用域管理員

在對(duì)某個(gè)項(xiàng)目的控制系統(tǒng)實(shí)施初始配置的過程中，一旦建立域，則系統(tǒng)會(huì)立即生成一個(gè)默認(rèn)的域管理員權(quán)限的帳號(hào)，后續(xù)對(duì)該域的所有安全配置和管理工作均需通過域管理員來實(shí)施。

2、創(chuàng)建域內(nèi)的組策略

創(chuàng)建組策略主要是對(duì)控制平臺(tái)工作站的操作系統(tǒng)的操作規(guī)則和操作權(quán)限進(jìn)行預(yù)先分組定義，以實(shí)現(xiàn)不同權(quán)限的用戶登錄工作站后，其所面對(duì)的操作系統(tǒng)界面和可操作功能與其權(quán)限相匹配。

3、創(chuàng)建和分配點(diǎn)安全分組

將過程控制系統(tǒng)數(shù)據(jù)庫中的I/O點(diǎn)按照預(yù)定的用戶角色進(jìn)行分類并創(chuàng)建各種不同的點(diǎn)安全分組，在進(jìn)行用戶角色設(shè)置時(shí)可以綁定允許該用戶操作的點(diǎn)安全分組，這樣可以實(shí)現(xiàn)不同用戶角色只能對(duì)其角色允許的特定系統(tǒng)進(jìn)行操作。

4、創(chuàng)建系統(tǒng)用戶角色

系統(tǒng)用戶角色的創(chuàng)建是指將特定用戶授權(quán)執(zhí)行的控制系統(tǒng)操作功能進(jìn)行分組，預(yù)先創(chuàng)建出一個(gè)個(gè)具備不同系統(tǒng)功能的用戶角色，以用于計(jì)算機(jī)或用戶帳號(hào)創(chuàng)建時(shí)進(jìn)行選擇，從而實(shí)現(xiàn)不同的控制系統(tǒng)操作授權(quán)功能。

5、創(chuàng)建域的全局策略

域的全局策略是適用于整個(gè)域內(nèi)的所有成員，包括計(jì)算機(jī)、用戶帳號(hào)的管理策略，包括默認(rèn)域策略和默認(rèn)域控制器策略兩種配置，其中默認(rèn)域策略規(guī)定了域內(nèi)所有用戶帳號(hào)密碼的管理規(guī)則。

6、分配域內(nèi)的計(jì)算機(jī)、用戶權(quán)限，創(chuàng)建帳號(hào)密碼

上述系統(tǒng)安全配置工作完成后，可以根據(jù)工廠實(shí)際要求創(chuàng)建各級(jí)用戶帳號(hào)，并根據(jù)工廠實(shí)際管理要求，為各用戶帳號(hào)分配與之授權(quán)相對(duì)應(yīng)的組策略和系統(tǒng)用戶角色，確保該用戶只能執(zhí)行授權(quán)范圍內(nèi)的操作，包括對(duì)操作系統(tǒng)和過程控制系統(tǒng)的操作權(quán)限以及電廠系統(tǒng)控制權(quán)限。

三、控制系統(tǒng)外部安全管理

3.1外部安全策略

控制系統(tǒng)外部安全管理的主要目標(biāo)是防止控制系統(tǒng)軟硬件和數(shù)據(jù)受到控制系統(tǒng)網(wǎng)絡(luò)外部的入侵或破壞，以避免由此可能導(dǎo)致的工廠工藝控制異常。

為了實(shí)現(xiàn)這一目標(biāo)，控制系統(tǒng)一般采用兩種主要安全措施，一是與外部網(wǎng)絡(luò)執(zhí)行安全隔離;二是對(duì)外部訪問和數(shù)據(jù)進(jìn)行安全防護(hù)。

3.2外部安全管理實(shí)施

1、與外部網(wǎng)絡(luò)的安全隔離

工廠過程控制系統(tǒng)集成了大量數(shù)據(jù)，并且向外部監(jiān)管用戶提供工廠實(shí)時(shí)數(shù)據(jù)，在與外部網(wǎng)絡(luò)接口過程中，控制系統(tǒng)需要采取可靠的單項(xiàng)隔離措施，確?？刂葡到y(tǒng)網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的隔離。例如某工廠控制系統(tǒng)與外部網(wǎng)絡(luò)的接口和采取的隔離措施如下：

a）外部接口：OPC

用途：將實(shí)時(shí)數(shù)據(jù)通過OPC協(xié)議傳輸給監(jiān)管層的信息系統(tǒng)和指揮中心系統(tǒng)。

外部接口隔離措施：使用控制系統(tǒng)服務(wù)器站點(diǎn)作為OPC數(shù)據(jù)服務(wù)器，在OPC數(shù)據(jù)服務(wù)器與外部OPC客戶端之間設(shè)置防火墻和單向隔離網(wǎng)閘。

b）外部接口：企業(yè)數(shù)據(jù)服務(wù)器接口

用途：將實(shí)時(shí)數(shù)據(jù)通過企業(yè)數(shù)據(jù)服務(wù)器系統(tǒng)傳輸給工廠其他設(shè)施內(nèi)的非生產(chǎn)用監(jiān)視站點(diǎn)。

外部接口隔離措施：使用控制系統(tǒng)工作站作為企業(yè)數(shù)據(jù)服務(wù)器數(shù)據(jù)源，通過單向隔離系統(tǒng)Waterfall TX-Waterfall RX將數(shù)據(jù)傳輸至企業(yè)數(shù)據(jù)服務(wù)器，再由企業(yè)數(shù)據(jù)服務(wù)器通過防火墻向外部企業(yè)數(shù)據(jù)客戶端提供數(shù)據(jù)。

c）外部接口：專用應(yīng)用程序接口

用途：將經(jīng)過控制系統(tǒng)應(yīng)用服務(wù)器和專用應(yīng)用程序監(jiān)視服務(wù)器處理后的專用應(yīng)用程序計(jì)算數(shù)據(jù)傳輸給外部服務(wù)器。

外部接口隔離措施：使用專用應(yīng)用程序監(jiān)視服務(wù)器作為數(shù)據(jù)源，通過單向隔離系統(tǒng)Waterfall TX-Waterfall RX和防火墻將數(shù)據(jù)傳輸給外部服務(wù)器，同時(shí)數(shù)據(jù)再次經(jīng)過局域網(wǎng)防火墻提供給外部。

2、對(duì)外部訪問和數(shù)據(jù)的安全防護(hù)

控制系統(tǒng)對(duì)外部訪問具有嚴(yán)格限制，首先，根據(jù)前文的內(nèi)部授權(quán)控制措施，只有獲得最高權(quán)限組策略的用戶，才具備使用控制系統(tǒng)服務(wù)器或工作站外部數(shù)據(jù)端口;其次，工廠的控制系統(tǒng)一般均會(huì)規(guī)定所有外部數(shù)據(jù)只能使用光盤介質(zhì)傳遞，只使用專用的防病毒服務(wù)器的特定光驅(qū)接口執(zhí)行數(shù)據(jù)讀寫操作。

四、控制系統(tǒng)安全管理建議

上文分析可見，工廠的過程控制系統(tǒng)一般均會(huì)在其內(nèi)部、外部執(zhí)行一系列安全管理措施，針對(duì)控制系統(tǒng)已采取的安全管理措施，筆者建議還需注意以下幾方面：

1、對(duì)控制系統(tǒng)用戶進(jìn)行授權(quán)并做好授權(quán)管理工作

工廠應(yīng)該根據(jù)各自實(shí)際情況制定控制系統(tǒng)安全管理程序，明確各級(jí)授權(quán)用戶的具體權(quán)限和授權(quán)資質(zhì)要求;其次應(yīng)由控制系統(tǒng)工程技術(shù)人員根據(jù)工廠管理程序?qū)ο到y(tǒng)安全管理配置定期進(jìn)行清查，確保安全配置與管理目標(biāo)一致。

2、對(duì)控制系統(tǒng)外部接口單向隔離措施定期進(jìn)行安全檢查

對(duì)于控制系統(tǒng)外部接口，尤其是單向隔離措施的可用性，建議進(jìn)行定期安全檢查，確保單向隔離措施的可靠。

3、禁用控制系統(tǒng)所有不需要的外部端口

禁用工作站、服務(wù)器相關(guān)服務(wù)通訊端口，同時(shí)對(duì)工作站、服務(wù)器的外部物理端口，如USB、光驅(qū)等進(jìn)行禁用，這種禁用需要非常慎重，以避免對(duì)系統(tǒng)正常運(yùn)行產(chǎn)生影響。

4、定期對(duì)控制系統(tǒng)安裝補(bǔ)丁

根據(jù)設(shè)計(jì)及供方要求，對(duì)工作站服務(wù)器OS補(bǔ)丁，控制系統(tǒng)補(bǔ)丁包括專用應(yīng)用程序補(bǔ)丁以及防病毒系統(tǒng)補(bǔ)丁，修復(fù)系統(tǒng)漏洞并提升系統(tǒng)安全性能。

五、總結(jié)

通過本文分析可見，工廠過程控制系統(tǒng)一般均會(huì)在內(nèi)外部安全管理方面采取一系列技術(shù)和管理措施，從而有效實(shí)現(xiàn)其內(nèi)部用戶訪問控制和與外部的安全隔離的安全目標(biāo)，通過這些措施也確實(shí)使控制系統(tǒng)的安全得到了保障。但也要注意任何為工廠過程控制系統(tǒng)所設(shè)計(jì)的安全管理措施都只有在得到有效、準(zhǔn)確的實(shí)施，并且通過日常維護(hù)不斷進(jìn)行加強(qiáng)和優(yōu)化，才能從長(zhǎng)遠(yuǎn)上確保整個(gè)系統(tǒng)的安全和穩(wěn)定。

參考文獻(xiàn)

[1] OPC基金會(huì).《OPC數(shù)據(jù)存取接口定義規(guī)范》

[2] 艾默生.《Managing Security in Ovation 3.3 OW330_40》