魏永斌

摘要：本文對工廠過程控制系統(tǒng)安全管理理念和目標進行分析討論，對控制系統(tǒng)安全管理措施和實施進行詳細分析說明，給出了工廠過程控制系統(tǒng)安全管理具體建議。提出安全管理措施需要得到有效、準確的實施，并且不斷加強和優(yōu)化，才能從長遠上確保工廠過程控制系統(tǒng)的安全穩(wěn)定。

關鍵詞：過程控制系統(tǒng);安全管理;策略

一、概述

工廠過程控制系統(tǒng)承擔著對工廠生產(chǎn)過程的實時監(jiān)視和控制功能，當前技術條件下，基于市場上某種成熟的控制系統(tǒng)平臺所構建的全數(shù)字化工廠過程控制系統(tǒng)一般均具有高數(shù)字化、集成化的特點，并具有可接入眾多第三方儀控系統(tǒng)和數(shù)據(jù)鏈的能力，同時能夠通過專用接口實現(xiàn)工廠控制系統(tǒng)向外部監(jiān)管管理系統(tǒng)報送工廠實時過程數(shù)據(jù)的功能。本文將結合筆者在相關項目上的過程控制系統(tǒng)調(diào)試經(jīng)驗，對一種基于Ovation平臺所構建的工廠過程控制系統(tǒng)所采取的內(nèi)部、外部安全管理措施進行詳細分析，并給出工廠控制系統(tǒng)安全管理方面的相關建議。

二、控制系統(tǒng)內(nèi)部安全管理

2.1內(nèi)部安全策略

過程控制系統(tǒng)內(nèi)部安全管理采取的主要措施是實施嚴格的內(nèi)部訪問控制，即建立一套與工廠實際管理完全匹配的內(nèi)部用戶管理法，防止系統(tǒng)被“非法”登錄或“越權”操作。

基于Ovation 3.3.1平臺所構建的過程控制系統(tǒng)通過采用“域”的概念來實現(xiàn)這一內(nèi)部安全管理措施。在某個域中，通過建立一個或一組域控制器對所有其他域成員進行集中的安全管理，所有域成員共享一套安全管理平臺。工廠一般按照其設施或車間為單位來創(chuàng)建控制系統(tǒng)的域，其中域控制器一般均為冗余配置，域成員包括該過程控制系統(tǒng)內(nèi)所有的分布式控制站點。

2.2內(nèi)部安全配置實施

在使用Ovation 3.3.1平臺構建的過程控制系統(tǒng)中，使用其專用的Security Manager來執(zhí)行整個控制系統(tǒng)的安全配置和管理工作。需要執(zhí)行的安全配置工作包括：

1、創(chuàng)建域并啟用域管理員

在對某個項目的控制系統(tǒng)實施初始配置的過程中，一旦建立域，則系統(tǒng)會立即生成一個默認的域管理員權限的帳號，后續(xù)對該域的所有安全配置和管理工作均需通過域管理員來實施。

2、創(chuàng)建域內(nèi)的組策略

創(chuàng)建組策略主要是對控制平臺工作站的操作系統(tǒng)的操作規(guī)則和操作權限進行預先分組定義，以實現(xiàn)不同權限的用戶登錄工作站后，其所面對的操作系統(tǒng)界面和可操作功能與其權限相匹配。

3、創(chuàng)建和分配點安全分組

將過程控制系統(tǒng)數(shù)據(jù)庫中的I/O點按照預定的用戶角色進行分類并創(chuàng)建各種不同的點安全分組，在進行用戶角色設置時可以綁定允許該用戶操作的點安全分組，這樣可以實現(xiàn)不同用戶角色只能對其角色允許的特定系統(tǒng)進行操作。

4、創(chuàng)建系統(tǒng)用戶角色

系統(tǒng)用戶角色的創(chuàng)建是指將特定用戶授權執(zhí)行的控制系統(tǒng)操作功能進行分組，預先創(chuàng)建出一個個具備不同系統(tǒng)功能的用戶角色，以用于計算機或用戶帳號創(chuàng)建時進行選擇，從而實現(xiàn)不同的控制系統(tǒng)操作授權功能。

5、創(chuàng)建域的全局策略

域的全局策略是適用于整個域內(nèi)的所有成員，包括計算機、用戶帳號的管理策略，包括默認域策略和默認域控制器策略兩種配置，其中默認域策略規(guī)定了域內(nèi)所有用戶帳號密碼的管理規(guī)則。

6、分配域內(nèi)的計算機、用戶權限，創(chuàng)建帳號密碼

上述系統(tǒng)安全配置工作完成后，可以根據(jù)工廠實際要求創(chuàng)建各級用戶帳號，并根據(jù)工廠實際管理要求，為各用戶帳號分配與之授權相對應的組策略和系統(tǒng)用戶角色，確保該用戶只能執(zhí)行授權范圍內(nèi)的操作，包括對操作系統(tǒng)和過程控制系統(tǒng)的操作權限以及電廠系統(tǒng)控制權限。

三、控制系統(tǒng)外部安全管理

3.1外部安全策略

控制系統(tǒng)外部安全管理的主要目標是防止控制系統(tǒng)軟硬件和數(shù)據(jù)受到控制系統(tǒng)網(wǎng)絡外部的入侵或破壞，以避免由此可能導致的工廠工藝控制異常。

為了實現(xiàn)這一目標，控制系統(tǒng)一般采用兩種主要安全措施，一是與外部網(wǎng)絡執(zhí)行安全隔離;二是對外部訪問和數(shù)據(jù)進行安全防護。

3.2外部安全管理實施

1、與外部網(wǎng)絡的安全隔離

工廠過程控制系統(tǒng)集成了大量數(shù)據(jù)，并且向外部監(jiān)管用戶提供工廠實時數(shù)據(jù)，在與外部網(wǎng)絡接口過程中，控制系統(tǒng)需要采取可靠的單項隔離措施，確?？刂葡到y(tǒng)網(wǎng)絡與外部網(wǎng)絡的隔離。例如某工廠控制系統(tǒng)與外部網(wǎng)絡的接口和采取的隔離措施如下：

a）外部接口：OPC

用途：將實時數(shù)據(jù)通過OPC協(xié)議傳輸給監(jiān)管層的信息系統(tǒng)和指揮中心系統(tǒng)。

外部接口隔離措施：使用控制系統(tǒng)服務器站點作為OPC數(shù)據(jù)服務器，在OPC數(shù)據(jù)服務器與外部OPC客戶端之間設置防火墻和單向隔離網(wǎng)閘。

b）外部接口：企業(yè)數(shù)據(jù)服務器接口

用途：將實時數(shù)據(jù)通過企業(yè)數(shù)據(jù)服務器系統(tǒng)傳輸給工廠其他設施內(nèi)的非生產(chǎn)用監(jiān)視站點。

外部接口隔離措施：使用控制系統(tǒng)工作站作為企業(yè)數(shù)據(jù)服務器數(shù)據(jù)源，通過單向隔離系統(tǒng)Waterfall TX-Waterfall RX將數(shù)據(jù)傳輸至企業(yè)數(shù)據(jù)服務器，再由企業(yè)數(shù)據(jù)服務器通過防火墻向外部企業(yè)數(shù)據(jù)客戶端提供數(shù)據(jù)。

c）外部接口：專用應用程序接口

用途：將經(jīng)過控制系統(tǒng)應用服務器和專用應用程序監(jiān)視服務器處理后的專用應用程序計算數(shù)據(jù)傳輸給外部服務器。

外部接口隔離措施：使用專用應用程序監(jiān)視服務器作為數(shù)據(jù)源，通過單向隔離系統(tǒng)Waterfall TX-Waterfall RX和防火墻將數(shù)據(jù)傳輸給外部服務器，同時數(shù)據(jù)再次經(jīng)過局域網(wǎng)防火墻提供給外部。

2、對外部訪問和數(shù)據(jù)的安全防護

控制系統(tǒng)對外部訪問具有嚴格限制，首先，根據(jù)前文的內(nèi)部授權控制措施，只有獲得最高權限組策略的用戶，才具備使用控制系統(tǒng)服務器或工作站外部數(shù)據(jù)端口;其次，工廠的控制系統(tǒng)一般均會規(guī)定所有外部數(shù)據(jù)只能使用光盤介質(zhì)傳遞，只使用專用的防病毒服務器的特定光驅接口執(zhí)行數(shù)據(jù)讀寫操作。

四、控制系統(tǒng)安全管理建議

上文分析可見，工廠的過程控制系統(tǒng)一般均會在其內(nèi)部、外部執(zhí)行一系列安全管理措施，針對控制系統(tǒng)已采取的安全管理措施，筆者建議還需注意以下幾方面：

1、對控制系統(tǒng)用戶進行授權并做好授權管理工作

工廠應該根據(jù)各自實際情況制定控制系統(tǒng)安全管理程序，明確各級授權用戶的具體權限和授權資質(zhì)要求;其次應由控制系統(tǒng)工程技術人員根據(jù)工廠管理程序對系統(tǒng)安全管理配置定期進行清查，確保安全配置與管理目標一致。

2、對控制系統(tǒng)外部接口單向隔離措施定期進行安全檢查

對于控制系統(tǒng)外部接口，尤其是單向隔離措施的可用性，建議進行定期安全檢查，確保單向隔離措施的可靠。

3、禁用控制系統(tǒng)所有不需要的外部端口

禁用工作站、服務器相關服務通訊端口，同時對工作站、服務器的外部物理端口，如USB、光驅等進行禁用，這種禁用需要非常慎重，以避免對系統(tǒng)正常運行產(chǎn)生影響。

4、定期對控制系統(tǒng)安裝補丁

根據(jù)設計及供方要求，對工作站服務器OS補丁，控制系統(tǒng)補丁包括專用應用程序補丁以及防病毒系統(tǒng)補丁，修復系統(tǒng)漏洞并提升系統(tǒng)安全性能。

五、總結

通過本文分析可見，工廠過程控制系統(tǒng)一般均會在內(nèi)外部安全管理方面采取一系列技術和管理措施，從而有效實現(xiàn)其內(nèi)部用戶訪問控制和與外部的安全隔離的安全目標，通過這些措施也確實使控制系統(tǒng)的安全得到了保障。但也要注意任何為工廠過程控制系統(tǒng)所設計的安全管理措施都只有在得到有效、準確的實施，并且通過日常維護不斷進行加強和優(yōu)化，才能從長遠上確保整個系統(tǒng)的安全和穩(wěn)定。

參考文獻

[1] OPC基金會.《OPC數(shù)據(jù)存取接口定義規(guī)范》

[2] 艾默生.《Managing Security in Ovation 3.3 OW330_40》