企業管理與控制網絡之間的安全數據接口模型淺析

摘要：探討了在工業企業網絡的層次結構中建立管控數據接口的必要性，對接口按有無信息交換進行了分類，并針對有信息交換的接口提出了基礎型和增強型兩類安全的接口模型，以提高互聯系統的實用性和安全性，最后把增強型模型應用到MES系統的網絡框架設計中。

關鍵詞：工業控制網絡；管理網絡；信息安全；數據接口模型；MES

0 引言

工業企業網絡平臺包括處理企業信息、決策管理的信息管理網絡和處理生產現場實際測控信息的生產控制網絡兩個部分，信息管理網絡一般處于企業中上層，用來處理大量的、變化的、多樣的信息，具有高速、綜合的特性；生產控制網絡主要位于企業中下層，處理實時的、現場的信息，具有協議簡單，安全可靠、糾錯性好，成本低等特征。

在工業企業的生產控制網絡中，以太網也已成為一種主要的網絡技術，大量應用于生產控制網的較高層。實現生產控制網絡和信息管理網絡的集成可使企業實現管理與控制的一體化，逐步形成以工業控制網絡為基礎的企業綜合自動化系統，實現生產和管理的高效率、高效益、高柔性。

本文根據實際應用情況，給出了在以太網網絡層面的安全數據接口建設的建議，以實現信息化平臺統一部署、統一管理的目的，提高整個企業的計算機安全防范能力。

1 工業企業網絡結構

企業實現管理與控制一體化的目的是為了及時掌握和了解生產工藝各流程的運行狀況及工藝參數的變化，對工藝過程進行監視與閉環控制，實現離線及在線檢驗、設備狀態檢測、生產實時狀態查詢，最后完成效能及工藝歷史數據分析、挖掘，以修正后續的工藝標準，達到整個生產過程的閉環控制，提高生產成本控制水平，強化過程質量保障能力。

工業企業網絡結構是包含設備管理、工藝管理、生產調度、過程監視、過程控制，以及工藝和關鍵過程能力數據挖掘、分析等諸多內容，跨越自動控制、IT兩個領域的計算機系統。按實現功能的不同，可將工業企業的網絡結構自下而上分成五個層次(參見表1)

第一層：工業生產過程區，產生或接受系統的輸入、輸出(I/O)信號，這些信號來自于如檢測儀表、執行裝置、電器設備及就地控制裝置等。第二層：直接管理區，實現連續控制調節和順序控制、設備檢測和系統測試、進行過程數據采集、轉換等。第三層：過程管理區，實現過程作業操作、生產報表打印、裝置協調、優化控制、報警信息處理等。第四層：生產管理區，規劃生產產品結構和規模、作業計劃、產品監視、產品報告等。第五層：經營管理區，市場和用戶分析、計劃和制造協調、合同控制等。

2 管控接口類型

隨著工業企業業務的不斷擴展和機構的整合，信息化建設步伐也在不斷加快，各種支持業務及生產的新系統和網絡不斷出現，而這些系統無論是生產過程控制方面還是弱電方面均需要在企業的網絡內運行。管理應用系統與生產控制網絡系統之間的無縫連接，是實現工業企業的企業管理與生產控制的一體化的首要任務。

網絡結構層次中的第四層和第五層的功能是由計算機信息技術實現的，這兩層建立連接，就需要建立接口，并提出安全建設指導性要求，使生產、管理等網絡及系統的安全策略保持一致，以保障整個企業網絡的安全運行。根據是否有信息交換，可將管控系統之間的接口類型分為以下兩類：有信息交換的接口和無信息交換的接口。

2.1有信息交換的接口

管理網承載著ERP、OA等信息系統，生產控制網承載著生產控制、物流高架庫等系統。辦公終端和生產網之間沒有直接的連接，但由于工作的需要，辦公人員需要通過辦公終端訪問生產網的信息，反之亦然，所以管理網和生產網之間需要實現數據互訪。

其中數據互訪分為兩種情況：①兩網服務器之間的數據交換，如IVIES服務器和ERP、PDM服務器之間的狀態數據和計劃數據的同步和交換；②一網終端和另一網服務器之間的數據交換，如相關人員從辦公室的終端上了解生產控制系統的生產狀態信息等。

2.2無信息交換接口

工業企業的部分系統與管理網相連，但沒有數據交換，僅借用管理網來完成自身系統的數據傳輸，此類接口屬無信息交換接口，如弱電系統中的IP電話、視頻監控等系統。由于這些系統要占用管理網一定的資源，為了保證管理網正常的運轉，要做好這些系統和管理網之間的邊界控制和流量控制。

(1)在網絡規劃設計時，應滿足其對帶寬的要求，且不要影響管理網業務高峰期對帶寬的需要；

(2)把該類網絡劃分單獨的子網或網段，并按照方便管理和控制的原則為各子網、網段分配地址段；

(3)按照對業務服務的重要次序來指定帶寬分配優先級別，保證在網絡發生擁堵的時候優先保護重要業務。

3 有信息交換接口的安全建設指南

該類系統可采用在交換設備上建立VLAN并通過ACL控制后進行數據交換。這種方式簡捷易用，但安全性較差。為了使數據交換更安全，按實際需求，采用兩種安全級別的數據接口方式：基礎級和增強級，作為工業企業安全保障體系的一部分。基礎級滿足與管理網連接的一般要求；增強級是在基礎級上增加了實時緩沖交換和更高嚴格的安全防護措施。

3.1接口模型

3.1.1基礎級基礎級接口模型要求建立接口區，在接口區內通過邊界訪問控制設備對管理網和生產網進行連接，并在訪問過程中對訪問行為進行身份鑒別和安全審計，對資源進行訪問控制，對通信的數據流進行安全檢查等。具體連接方式如圖1所示。

網絡之間使用UTM綜合網關連接，對訪問進行控制和惡意代碼防范，部署身份鑒別系統對訪問行為進行身份鑒別，部署入侵檢測系統對通信內容進行實時檢測，部署安全審計系統對訪問行為進行安全審計。

3.1.2增強級

增強級在基礎級上增加了實時緩沖交換和更強安全防護措施。這種接口方式采用前置服務器來進行數據交換，避免了兩網直接連接互訪，提高了安全能力。具體連接方式如圖2所示。

模型設有一個數據接口區，進行信息交換。接口區使用UTM綜合網關連接生產網和管理網。區內沒有前置服務器，需要交換的數據實時同步到前置服務器上，等待被訪問。工作過程如圖3所示。

(1)當生產網終端需要訪問管理網的信息時，管理網的服務器把數據傳遞到信息交換區的管理網前置服務器上，生產網終端再到管理網前置服務器上去訪問。

(2)當管理網終端需要訪問生產網的信息時，生產阿的服務器把數據傳遞到信息交換區的生產網前置服務器上，管理網終端再到生產網前置服務器上去訪問。

(3)當生產網和管理網的服務器之間需要交換數據時，通過UTM綜合網關的訪問控制措施后，可以進行數據交換。

3.2模型的安全要求

基礎級接口主要從身份鑒別、訪問控制、安全審計、入侵防范、惡意代碼等方面對接口進行防護和監控。這些系統作為管理網的安全子系統，其管理、控制、升級通過管理網的相關服務器來完成。

4 接口模型的應用

MES(Manufacturing Execution System)系統是工業企業生產指揮中的一個非常重要的信息化平臺，它結合各類生產控制系統，以及工業企業在建的PDM、ERP系統，實現與周邊系統的協調聯動。MES的優化目標是，整個生產過程能收集生產過程中大量的實時數據，能及時處理實時事件；具有同時與經營管理層和生產管理層保持雙向通信的能力，能從上、下兩層接收相應數據并反饋處理結果和生產指令。

MES橫跨生產控制與企業管理網絡，傳統連通也帶來了網絡安全的威脅。如何將這種威脅降到最低，甚至消除，是MES在功能設計和網絡設計上需要重點解決的問題。

圖4中模型是在工業企業的網絡結構基礎上，結合管控安全接口模型，由浙江中煙提出的一種安全解決方案：在企業管理與生產控制網絡區域之間劃出一個緩沖區，為接口區，同時，把數據庫服務器前置服務器、入侵檢測和安全審計設備部署在該區。針對MES系統的特殊性，模型中把經營管理區分為兩層，即MES層和與MES相關的企業級應用系統層(WMS／ERP／PDM等)。這兩層應用是平行的，并無上下之分，只是從應用角度使層次和功能更為清晰。

模型把工控網絡和管理網絡協調到一個架構下，其拓撲框架不但能適應不同系統的邏輯關系，還能滿足不同系統協同工作的要求，實現了整體最優。

5 結束語

工業控制網絡的體系結構正向著高性能、全開放的網絡體系發展，本文通過對管理與控制網絡之間的安全數據接口模型的研究和其可能受到威脅的分析，根據工業企業的實際情況，建立了兩種安全需求的數據接口模型，并在MES系統的框架設計中得到了有效的應用。根據安全需求配置策略，模型可以保護管理網絡和控制網絡的信息機密性、系統的可用性和數據的完整性，從而保障工業控制網絡和管理網絡基礎設施的安全。