工業(yè)以太網(wǎng)實際應(yīng)用中的安全對策
3安全對策
根據(jù)以上分析,在項目執(zhí)行的不同階段應(yīng)設(shè)計并實施相應(yīng)的安全對策:
a)項目規(guī)劃和DCS選型階段(總體設(shè)計階段)。此階段對所選DCS工業(yè)以太網(wǎng)的安全運行提出具體要求:網(wǎng)絡(luò)負荷、與MES等上層信息管理網(wǎng)的連接接口、終端界面的安全措施、系統(tǒng)使用賬戶管理、系統(tǒng)的在線可維護性要求及控制系統(tǒng)設(shè)備的具體選型等。
b)基礎(chǔ)設(shè)計階段。對所選工業(yè)以太網(wǎng)的所有安全內(nèi)容均提出具體要求和技術(shù)方案,編制設(shè)計文件作為后續(xù)工作的指南。
c)詳細設(shè)計階段。按照上一階段的基礎(chǔ)設(shè)計文件進行系統(tǒng)配置、組態(tài)和測試。
d)現(xiàn)場調(diào)試和驗收階段。在系統(tǒng)調(diào)試完成后對各界面接口的安全對策實施檢查確認,與生產(chǎn)和維護單位一起共同制訂合理的用戶管理策略、編制用戶等級和組態(tài)實施。
3.1 網(wǎng)絡(luò)負荷限制和設(shè)備穩(wěn)定性要求
為確保項目DCS網(wǎng)絡(luò)在任何時候都能安全運行,有必要在系統(tǒng)選型時明確選用冗余容錯工業(yè)以太網(wǎng),要求正常時不要超過網(wǎng)絡(luò)負荷的30%,系統(tǒng)響應(yīng)時間不超過1 s,控制器負荷正常時不超過50%并留有一定的擴展空間等;同時,盡可能選用網(wǎng)速較高的工業(yè)以太網(wǎng),現(xiàn)在1 G的網(wǎng)絡(luò)已在工業(yè)生產(chǎn)中得到了廣泛的應(yīng)用。對于網(wǎng)絡(luò)設(shè)備在選型時必須要求經(jīng)過實際生產(chǎn)驗證的工業(yè)用通用設(shè)備,這樣既保證了設(shè)備的穩(wěn)定性、安全性,也保證了高可用性和可維護性。
3.2工業(yè)以太網(wǎng)與信息管理網(wǎng)接口的安全策略
工業(yè)以太網(wǎng)作為上層信息管理網(wǎng)的數(shù)據(jù)平臺,將盡可能多的生產(chǎn)裝置上實時數(shù)據(jù)采集到實時數(shù)據(jù)庫中并經(jīng)防火墻傳送數(shù)據(jù)至MES和ERP:具體接口連接為工業(yè)以太網(wǎng)、防火墻、DMZ中間區(qū)域防護和MES數(shù)據(jù)采集服務(wù)器等,如圖2所示。由于MES和ERP與商用Internet相連,為保證工業(yè)以太網(wǎng)的切實安全,現(xiàn)在的大型項目一般采用如圖2所示的DMZ(demilitarized zone隔離區(qū),內(nèi)網(wǎng)和外網(wǎng)的緩沖區(qū))中間防護策略。
將上層信息管理網(wǎng)需要訪問的實時數(shù)據(jù)庫容錯服務(wù)器置于DMZ層,使來自上層的信息管理網(wǎng)只能通過外部防火墻訪問到實時數(shù)據(jù)庫服務(wù)器,而不能通過內(nèi)部防火墻至工業(yè)以太網(wǎng)。這樣來自Internet的攻擊將要通過外部防火墻、堡壘主機和內(nèi)部防火墻等三道相互獨立的防線才能到達工業(yè)以太網(wǎng),使攻擊難度大大加強,相應(yīng)內(nèi)部網(wǎng)絡(luò)的安全性也就大大加強。
點擊圖片查看大圖
圖2 工業(yè)以太網(wǎng)與MES的網(wǎng)絡(luò)接口
3.3全面加強工業(yè)以太網(wǎng)的安全管理
在安全管理上主要是防病毒網(wǎng)絡(luò)的設(shè)置和用戶管理策略的制訂及實施。由于現(xiàn)在以DCS為基礎(chǔ)控制系統(tǒng),其工業(yè)以太網(wǎng)上集成了幾乎所有的控制系統(tǒng),所以要保證工業(yè)以太網(wǎng)不受病毒攻擊,就必須使所有連接在工業(yè)以太網(wǎng)上的終端均受到防病毒軟件的保護,并實時更新病毒庫。具體措施:在DCS信息集成的工業(yè)以太網(wǎng)上配置一臺防病毒軟件服務(wù)器并安裝防病毒中心軟件,而相應(yīng)需保護的工業(yè)以太網(wǎng)終端設(shè)備上則安裝客戶端軟件(常用的防病毒軟件為西門鐵克),并根據(jù)需要由服務(wù)器直接從Internet實時升級病毒庫或由相關(guān)維護工程師手動及時更新病毒庫。
用戶管理策略一般可以采取以下措施:
a)加強工藝操作人員和系統(tǒng)維護工程師的培訓工作,嚴格計算機操作及維護紀律,力爭將誤操作降到零水準。
b)將安裝有開放的光驅(qū)和USB接口的操作站主機與顯示器及操作鍵盤異地放置,對不利于異地放置的地方則需對操作員賬戶屏蔽其對光驅(qū)和USB接口的操作功能;對服務(wù)器、工程師站則應(yīng)對維護工程師的工作制訂嚴格的紀律以確保病毒不從光驅(qū)和USB接口進入工業(yè)以太網(wǎng)。
C)根據(jù)使用者工作職責的不同建立不同級別的賬戶,使之操作行為受到相應(yīng)的限制以保護DCS及其網(wǎng)絡(luò)的安全運行。
4結(jié)束語
由于行業(yè)不同,對工業(yè)以太網(wǎng)應(yīng)用安全的要求也不盡相同,各用戶可以根據(jù)自己的經(jīng)驗和項目實際要求在應(yīng)用以太網(wǎng)控制系統(tǒng)時配置自己的安全對策。上述對策是根據(jù)近年來幾個大型合資石化項目的成功經(jīng)驗,結(jié)合儀表自動化領(lǐng)域控制技術(shù)發(fā)展總結(jié)而來的,經(jīng)過實際生產(chǎn)的檢驗,對相關(guān)控制對象具有很好的安全保護作用。隨著以太網(wǎng)技術(shù)的進一步發(fā)展,有線、無線網(wǎng)絡(luò)的混合應(yīng)用,對工業(yè)以太網(wǎng)的安全考驗會越來越多,從而也要求相應(yīng)的更為嚴密的安全措施相匹配。
評論