煉化企業(yè)MES/ERP系統(tǒng)信息安全的研究與應(yīng)用

一、前言

    工業(yè)基礎(chǔ)設(shè)施是構(gòu)成我國國民經(jīng)濟、現(xiàn)代社會及國家安全的重要基礎(chǔ)組成部分，其核心環(huán)節(jié)是工業(yè)控制系統(tǒng)。隨著傳統(tǒng)自動化技術(shù)與信息技術(shù)融合進程的日益加速，工業(yè)控制系統(tǒng)逐漸從封閉走向互聯(lián)，廣泛地采用包括了TCP/IP在內(nèi)的開放技術(shù)，工業(yè)設(shè)備接口越來越開放。

    煉化企業(yè)信息化建設(shè)的全面開展，使得以網(wǎng)絡(luò)為基礎(chǔ)的各類應(yīng)用不斷增加，如煉油化工運行系統(tǒng)(Manufacturing Execution System，MES)。該系統(tǒng)以控制系統(tǒng)的生產(chǎn)過程數(shù)據(jù)為基礎(chǔ)，全面支撐企業(yè)的生產(chǎn)、經(jīng)營等多項業(yè)務(wù)管理。控制系統(tǒng)網(wǎng)絡(luò)不斷開放的同時，帶來的安全問題日益嚴峻，各種安全問題如病毒、攻擊和入侵等已經(jīng)引起了人們的高度重視。

    信息化安全是一個普遍問題，但是，不同行業(yè)的信息化安全重點和安全策略不盡相同，因此，本文面向煉化企業(yè)的特點，針對MES系統(tǒng)涉及的控制網(wǎng)絡(luò)安全問題進行了系統(tǒng)分析，并結(jié)合蘭州石化MES項目設(shè)計與實踐，提出適合行業(yè)特點的安全策略。

二、MES發(fā)展概述

    2000年，中國石油完成了《中國石油信息技術(shù)總體規(guī)劃》(以下簡稱《總體規(guī)劃》)，對公司未來信息工作管理體制、組織結(jié)構(gòu)及主要工作內(nèi)容作出了比較清晰與詳細的描述與規(guī)劃。在生產(chǎn)管理方面，《總體規(guī)劃》基本體現(xiàn)了企業(yè)資源計劃、生產(chǎn)運行、過程管理的三層企業(yè)集成模型。

    MES系統(tǒng)作為為制造行業(yè)經(jīng)營管理層與過程控制層之間的“橋梁”，在提高企業(yè)生產(chǎn)效率、改善產(chǎn)品質(zhì)量、降低生產(chǎn)損耗等方面具有重要的作用。MES系統(tǒng)由許多不同的應(yīng)用軟件組成。包括的主要應(yīng)用有進料選擇、計劃與調(diào)度、工廠優(yōu)化、運行管理、生產(chǎn)統(tǒng)計、物料與維修管理、質(zhì)量管理、條件監(jiān)控、安全臊作培訓(xùn)、實時過程數(shù)據(jù)管理等。MES系統(tǒng)的建設(shè)與應(yīng)用，使得信息網(wǎng)與控制網(wǎng)不斷的融合，控制系統(tǒng)變得不再是封閉、孤立。

    2004年中石油MES項目正式在全公司范圍內(nèi)啟動，項目按照先試點、后推廣的步驟逐步開展。試點項目于2005年上線正式投入運行，一期推廣的4家企業(yè)2007年同時成功上線，2006年開始開展二期推廣工作，三期工作于2008年開始，目前，中石油已完成MES系統(tǒng)整體建設(shè)工作。

三、MES設(shè)計及控制網(wǎng)現(xiàn)狀分析

    3.1 MES信息流設(shè)計。MES系統(tǒng)作為企業(yè)的生產(chǎn)指揮平臺，首先從控制網(wǎng)實時提取過程控制數(shù)據(jù)，控制數(shù)據(jù)被保存在實時數(shù)據(jù)庫中，然后通過各MES系統(tǒng)中的物料平衡、公用工程、運行管理等系統(tǒng)功能的業(yè)務(wù)化處理，以WEB方式為企業(yè)生產(chǎn)管理者提供數(shù)據(jù)分析及統(tǒng)計報表。

    MES系統(tǒng)除了集成控制數(shù)據(jù)、儲運數(shù)據(jù)等相關(guān)生產(chǎn)運行數(shù)據(jù)外，作為企業(yè)的生產(chǎn)指揮平臺，它以多種接口方式為企業(yè)各類管理系統(tǒng)提供生產(chǎn)統(tǒng)計信息。

    3.2 控制網(wǎng)絡(luò)現(xiàn)狀分析控制網(wǎng)絡(luò)與傳統(tǒng)網(wǎng)絡(luò)不同，它有自身的獨特性：網(wǎng)絡(luò)架構(gòu)設(shè)計獨立：控制系統(tǒng)是根據(jù)生產(chǎn)工藝設(shè)計的，沒有與其它信息系統(tǒng)應(yīng)用存在互通互聯(lián)的需求，其控制系統(tǒng)網(wǎng)絡(luò)是相對獨立。實時性、可靠性、穩(wěn)定性高：控制網(wǎng)絡(luò)主要是確保生產(chǎn)過程數(shù)據(jù)的實時、穩(wěn)定、高效的傳輸，它不允許有任何中斷，這是裝置生產(chǎn)運行可控的基礎(chǔ)。通訊協(xié)議的開放性：各個廠商的過程控制系統(tǒng)均有自己開發(fā)的通訊協(xié)議，但隨著系統(tǒng)應(yīng)用的不斷開放，出現(xiàn)了OPC，ModbUS TCP，現(xiàn)場總線等開放性的行業(yè)通訊標準。防病毒軟件兼容性差、補丁更新不及時：DCS系統(tǒng)僅能安裝經(jīng)過測試的殺毒軟件，且為單機版，不支持中油統(tǒng)一部署的防病毒軟件。

    控制系統(tǒng)采用Windows 2000操作系統(tǒng)只能安裝sp1補丁程序，病毒庫的補丁更新由DCS廠商測試后，才能進行現(xiàn)場安裝。然而目前Microsoft Windows的版本已經(jīng)升級到了Windows 2008，Service Pack卡b丁程序的版本也已經(jīng)由sp1升級到了sp4版本。而Windows 2000操作系統(tǒng)，微軟公司從2007年起已經(jīng)停止了對其的安全更新。

    3.3 網(wǎng)絡(luò)通訊協(xié)議分析。TCP／IP協(xié)議是目前最常用的一種通信協(xié)議。TCP／IP具有很強的靈活性，支持任意規(guī)模的網(wǎng)絡(luò)，企業(yè)網(wǎng)絡(luò)中TCP／IP協(xié)議在與控制網(wǎng)的數(shù)據(jù)交換中被普遍采用。TCMP協(xié)議簇最初設(shè)計的應(yīng)用環(huán)境是內(nèi)部網(wǎng)絡(luò)，假設(shè)網(wǎng)絡(luò)中各節(jié)點是互相信任的。它只考慮了互通互聯(lián)和資源共享需求，未考慮也無法解決來自網(wǎng)絡(luò)中的大量安全問題。

    首先它缺乏對用戶身份的鑒別。由于TCP／IP使用IP地址作為網(wǎng)絡(luò)節(jié)點的唯一標識，但實際在口地址的使用和管理中存在不少問題，使得IP地址容易暴露、易偽造和更改，這就為網(wǎng)絡(luò)安全留下了隱患；其次在邛層上缺乏對路由協(xié)議的安全認證機制，缺乏路由信息的鑒別與保護，因此通過互聯(lián)網(wǎng)，利用路由信息任意修改網(wǎng)絡(luò)傳輸路徑，可誤導(dǎo)網(wǎng)絡(luò)分組傳輸。

四、MES網(wǎng)絡(luò)安全策略

    隨著石化企業(yè)MES的快速發(fā)展，信息網(wǎng)與控制網(wǎng)的融合給MES建設(shè)帶來新的思考，那就是不能再將控制網(wǎng)絡(luò)與MES割裂開來。控制網(wǎng)絡(luò)已經(jīng)成為MES的一部分，MES系統(tǒng)建設(shè)要從全局考慮，進行網(wǎng)絡(luò)結(jié)構(gòu)優(yōu)化，安全策略部署等措施，做到信息網(wǎng)與控制網(wǎng)通訊可控，區(qū)域隔離、實時報警，既滿足數(shù)據(jù)通訊需求又保證工業(yè)控制網(wǎng)絡(luò)安全穩(wěn)定運行。

    4.1 MES網(wǎng)絡(luò)架構(gòu)設(shè)計。蘭州石化MES項目于2006年10月啟動，項目分為兩期，至2008年實施完成并成功上線運行。項目充分考慮了兩網(wǎng)融合的實際需要及安全需求，對網(wǎng)絡(luò)基礎(chǔ)進行了新的設(shè)計，制定了局域網(wǎng)設(shè)計方案。該架構(gòu)設(shè)計將網(wǎng)絡(luò)結(jié)構(gòu)劃分為三個區(qū)域，從上至下是辦公區(qū)、生產(chǎn)區(qū)、控制區(qū)。其中辦公區(qū)是企業(yè)的辦公網(wǎng)絡(luò)，主要部署了基于網(wǎng)絡(luò)應(yīng)用的辦公自動化系統(tǒng)，生產(chǎn)運行系統(tǒng)，生產(chǎn)視頻監(jiān)控系統(tǒng)，ERP等等。

    生產(chǎn)區(qū)是為MES系統(tǒng)搭建的生產(chǎn)專網(wǎng)，它是一條獨立于辦公網(wǎng)的物理鏈路。其網(wǎng)絡(luò)節(jié)點是的無人機交互的計算機，僅部署MES系統(tǒng)服務(wù)器、BUFFER機。在生產(chǎn)網(wǎng)和辦公網(wǎng)之間通過部署防火墻，實現(xiàn)由生產(chǎn)網(wǎng)至辦公網(wǎng)的單向訪問。防火墻配置相應(yīng)安全策略，允許MES服務(wù)器、BuFFER機訪問部分辦公網(wǎng)資源，如防病毒和補丁程序網(wǎng)站等。控制區(qū)為控制系統(tǒng)所在的控制網(wǎng)絡(luò)。

    4.2 安全防護網(wǎng)關(guān)。在生產(chǎn)區(qū)與控制區(qū)進行數(shù)據(jù)交換的設(shè)備間，部署安全防護網(wǎng)關(guān)。通過建立通訊許可機制、通訊協(xié)議檢測，實現(xiàn)生產(chǎn)網(wǎng)與控制網(wǎng)間可信的數(shù)據(jù)交換和網(wǎng)絡(luò)隔離，確保MES等系統(tǒng)與控制系統(tǒng)的通信安全，保障控制網(wǎng)安全穩(wěn)定運行。通過統(tǒng)一的監(jiān)控平臺，實時監(jiān)測生產(chǎn)網(wǎng)與控制網(wǎng)的數(shù)據(jù)通訊、網(wǎng)關(guān)運行狀態(tài)、運行參數(shù)，及時更新安全策略。

    4.3 網(wǎng)絡(luò)節(jié)點安全策略。對Windows操作系統(tǒng)中的賬戶、口令、認證授權(quán)、協(xié)議安全、補丁與防護軟件等多個方面進行安全策略的部署。其中在補丁與防護軟件方面，安裝賽門鐵克殺毒軟件，通過定制掃描策略，定期進行病毒掃描，做到及時檢測病毒，減少計算機中毒概率；通過集成安裝補丁分發(fā)系統(tǒng)，為Buffer機及時推送最新的Windows安全漏洞補丁程序。在協(xié)議安全方面進行TCP／IP篩選，開放業(yè)務(wù)所需的TCP、UDP端口和口協(xié)議。

五、結(jié)論

    MES系統(tǒng)在生產(chǎn)運行，生產(chǎn)統(tǒng)計管理中取得了良好的應(yīng)用效果，越來越多的企業(yè)通過MES進行生產(chǎn)管理，它的安全性也受到前所未有的關(guān)注。石化行業(yè)的信息安全問題直接影響到其它行業(yè)的安全、穩(wěn)定運行，同時也影響著企業(yè)信息化的實現(xiàn)進程。維護好網(wǎng)絡(luò)安全，確保企業(yè)生產(chǎn)的穩(wěn)定可靠，采取安全、可靠的防護措施是石化企業(yè)信息安全不可忽視的組成部分。 

轉(zhuǎn)載請注明出處：拓步ERP資訊網(wǎng)http://m.hanmeixuan.com/

本文標題：煉化企業(yè)MES/ERP系統(tǒng)信息安全的研究與應(yīng)用

本文網(wǎng)址：http://m.hanmeixuan.com/html/consultation/10820211389.html