伴随工厂信息化的不断深入缅甸威尼斯人-18187192850,公司在生产管理上建立了基于实时数据库应用的MES系统。实时数据库的建立是以采集过程控制系统的数据为前提,这就需要MES 的信息网络必须要实现与控制网络之间的数据交换,控制网络不再以一个独立的网络运行,而要与信息网络互通、互联。目前基本网络结构如下:
网络图:
网络图说明:(控制系统泛指用于过程生产控制及安全的DCS/PLC/ESD等)
(1) 控制系统的控制器网络层:随着工业以太网技术的不断发展,目前国际主流控制器的通讯方式都采用以太网模式。
(2) 控制系统的操作站/服务器网络层:目前基本所有控制系统制造商的操作站和服务器都采用普通基于Windows操作系统的PC机作为平台,同时网络也采用冗余以太网模式。
(3) 数据采集接口服务器OPC Server:为保证系统的开放与互联性,系统制造商遵循国际OPC基金会组织的标准,提供了一个与第三方通讯的接口。
(4) 数据采集缓存机(Buffer):有两个作用,第一可以作为数据采集的缓存,当上层MES网络有问题时,Buffer机可以临时存贮一段时间的过程数据,当链路恢复时,数据自动恢复到MES实时数据库中,保证过程数据在数据库中无断点;第二个作用是通过其自身的双网卡设置可抵御外部非法入侵,杜绝黑客等恶意人员对控制系统的直接攻击。
(5) MES实时数据库:企业工厂生产管理系统的核心数据库,可长时间存贮现场实时生产过程数据,是提高我公司生产管理效率、优化生产工艺的核心根本。
(6)第三方接入系统:通常指部分小型控制系统(PLC居多),通过以太网或串行接口接入到装置的核心控制系统内。
2.2 控制系统网络特点分析
与传统IT网络不同,工业控制网络及相关设备有其独特性:
1.可靠性、实时性要求高:主要反映在控制器和操作站的网络层内,工业控制网络最主要是要保证过程数据的实时性和网络的可靠性,所以对整个网络的过程数据而言,不允许有任何中断出现,简单说就是不能失控。
2.专有通讯协议: 每一个过程控制系统供应商都有自己专有的通讯协议,这些协议基本都为独自研发。近几年随着系统开放性呼声越来越高,进而出现了一些行业内的开放协议,例如OPC,Modbus TCP,现场总线(Foundation/Hart/Profibus等)等行业通讯标准,都是工业控制领域的专有通讯协议。
3.相对独立:每套控制系统通常都是根据工艺设备要求而设计,所以无论从前期网络设计到实际物理安装,整个控制系统网络都是相当独立,不会与其它任何应用存在交联部分,在与外界交互的通道上仅仅开放OPC Server这一个接口,通过OPC工业通讯协议与外部进行数据交换。
4.产品更新周期长:控制系统产品不以追求设备的先进性为目标,更多的是强调它的安全稳定,所以结合实际工艺生产以及设备投资综合考虑,在该领域的产品更新周期通常在10年以上,容易导致系统的操作平台落伍。(目前Microsoft早就不提供windows NT/2000的技术支持)
5.与杀毒软件兼容性差:截至目前,没有任何杀毒软件厂商对在网络中基于Windows平台上安装的过程控制软件做过完整兼容性测试,这种情况同样也适应于过程控制系统制造商,所以在工控领域的操作站层难于统一部署杀毒策略。
3.目前控制网络隐患及解决方案
过程控制系统在近十年的发展中呈现出整体开放的趋势,计算机技术在工控领域的应用使得现代DCS操作站完全是一种PC+Windows的模式,控制系统网络也基本都向工业以太网结构发展,开放性越来越强。基于TCP/IP以太网通讯的OPC技术在工业数据采集中得到广泛应用。虽然工厂信息网络安全采取杀毒服务器、操作系统补丁服务器等措施,但病毒库及系统补丁的升级总是存在滞后效应,对于新型病毒及入侵攻击根本无法抵御。在我公司DCS系统网络架构进行整体分析后,得出潜在风险如下:
3.1 OPC通讯安全隐患:
风险识别:来自上层信息网对控制网的攻击或病毒感染。
目前现状:OPC数采机(Buffer机)采用双网卡配置,安装杀毒软件。
隐患问题:
OPC,即用于过程控制的OLE(OLE,Object Linking and Embedding )。 OPC技术诞生于1996年,旨在为不同的控制系统提供一种通讯标准。OPC技术发展至今,已经成为全球领先的自动化产品通信互联技术。
OPC基于Microsoft的DCOM(分布式组件对象模式)技术,该技术使用了RPC(远程过程调用)网络协议来实现工业网络中的以太网连接。来自该领域的安全研究人员(包括黑客组织)却发现该标准中存在一些严重问题。
第一个问题:DCOM的动态端口分配的问题。由于OPC服务器需要任意使用1024~65535中的任何端口,这在传统IT防火墙防护配置时,就会使得大量端口完全开放,形成严重的安全漏洞,因此,OPC无法由传统IT型防火墙进行防护,这一点已经得到了广泛认同。
第二个问题则源于OPC过于宽松的访问权限。因为设置OPC是一个复杂的过程,所以一些主要的供应商提出建议,将最终用户的OPC安全配置完全敞开。例如,某PLC厂商建议将所有的远程访问和启动控制设定为匿名登录。这些过于宽松的设置将使得任意网络中的任意个体都可以运行OPC中的服务——这无疑是一个重大的安全隐患。
最后一个问题(也是最常引起关注问题)是OPC 使用的Windows的DCOM和RPC服务极易受到攻击。在过去的5年内,来自网络的病毒和蠕虫对这些接口的攻击越来越强,这个方式几乎成为了病毒和蠕虫开发者目前的最爱。
虽然考虑了双网卡配置,管理信息网与控制网通过该站进行了隔离,部分恶意程序不能直接攻击到控制网络,但对于能够利用 Windows 系统漏洞的网络蠕虫及病毒等,这种配置没有作用,病毒会在信息网和控制网之间互相传播。安装杀毒软件可以对部分病毒或攻击有所抑制,但病毒库存在滞后,所以不能从根本上进行防护。
解决方案:需要在两层网络之间增加OPC通信协议防火墙。