生產(chǎn)過程控制計(jì)算機(jī)網(wǎng)絡(luò)的安全與防護(hù)

高 源

（萊蕪鋼鐵集團(tuán)有限公司 自動(dòng)化部，山東 萊蕪 271104）

1 概述

萊蕪鋼鐵集團(tuán)自動(dòng)化部自從2005年建立了生產(chǎn)網(wǎng)遠(yuǎn)程維護(hù)系統(tǒng)，繼而于2008年在前者的基礎(chǔ)上拓展建立了生產(chǎn)指揮中心系統(tǒng)，所屬的生產(chǎn)過程控制計(jì)算機(jī)網(wǎng)絡(luò)（以下簡稱生產(chǎn)網(wǎng)）日益擴(kuò)大，已將一級(jí)生產(chǎn)網(wǎng)拓展涵蓋到所有PLC以及DCS，目前已經(jīng)容納1 000臺(tái)上位機(jī)，400套PLC或DCS，因此使得生產(chǎn)網(wǎng)的網(wǎng)絡(luò)安全和管理問題顯得越來越重要。例如：在網(wǎng)絡(luò)安全上需要有效地檢測并預(yù)防病毒及網(wǎng)絡(luò)攻擊，以保障網(wǎng)絡(luò)的正常運(yùn)行；在維護(hù)方面則需要做到自動(dòng)而且安全地進(jìn)行病毒庫升級(jí)，隨時(shí)隨地進(jìn)行漏洞掃描、補(bǔ)丁管理；在主服務(wù)器上實(shí)現(xiàn)對(duì)整個(gè)網(wǎng)絡(luò)的監(jiān)聽，并進(jìn)一步實(shí)現(xiàn)監(jiān)控等。

2 網(wǎng)絡(luò)病毒的預(yù)防和控制

銀山前區(qū)維護(hù)車間老區(qū)煉鋼站成功建立了一套生產(chǎn)網(wǎng)的網(wǎng)絡(luò)安全系統(tǒng)，該系統(tǒng)以一臺(tái)計(jì)算機(jī)作為服務(wù)器，安裝瑞星控制臺(tái)程序；在其他計(jì)算機(jī)上安裝瑞星客戶端軟件，實(shí)現(xiàn)了對(duì)該網(wǎng)絡(luò)上所有上位機(jī)的遠(yuǎn)程管理和病毒查殺、病毒庫的手／自動(dòng)升級(jí)、Windows系統(tǒng)補(bǔ)丁遠(yuǎn)程安裝；具有遠(yuǎn)程協(xié)助功能，通過遠(yuǎn)程維護(hù)網(wǎng)絡(luò)，成功地將現(xiàn)場的費(fèi)時(shí)費(fèi)力的單機(jī)維護(hù)上升到自動(dòng)系統(tǒng)維護(hù)，使網(wǎng)絡(luò)維護(hù)的效率得到了提高；具有網(wǎng)絡(luò)監(jiān)聽功能，維護(hù)人員可以實(shí)時(shí)監(jiān)視并記錄系統(tǒng)內(nèi)網(wǎng)絡(luò)流量的占用情況，以便及時(shí)發(fā)現(xiàn)問題、記錄問題，便于查找網(wǎng)絡(luò)故障及其原因。圖1為生產(chǎn)過程控制計(jì)算機(jī)網(wǎng)絡(luò)圖。

本系統(tǒng)包含所屬維護(hù)范圍內(nèi)的30套PLC（分配有TCP／IP地址）、50臺(tái)計(jì)算機(jī)，其設(shè)計(jì)采用星形連接，通過一個(gè)德國菲尼克斯FL SWITCH MM HS模塊化網(wǎng)管型光纖交換機(jī)分別與各子生產(chǎn)區(qū)域進(jìn)行連接，防止了電涌信號(hào)在各子生產(chǎn)區(qū)域的傳播，構(gòu)建了目前的班組生產(chǎn)網(wǎng)；同時(shí)為防止外部病毒和木馬的傳播，在本班組生產(chǎn)網(wǎng)絡(luò)與上層骨干網(wǎng)之間配置了硬件防火墻和網(wǎng)閘。

圖1 生產(chǎn)過程控制計(jì)算機(jī)網(wǎng)絡(luò)圖

2008年，自動(dòng)化部生產(chǎn)指揮中心系統(tǒng)的投運(yùn)，將所屬維護(hù)范圍內(nèi)的二級(jí)廠礦所有的生產(chǎn)網(wǎng)絡(luò)連成一體，其目的在于能夠使全廠共享生產(chǎn)數(shù)據(jù)及生產(chǎn)信息，同時(shí)便于進(jìn)行遠(yuǎn)程監(jiān)視和維護(hù)生產(chǎn)網(wǎng)的線上設(shè)備。通過該系統(tǒng)，能夠?qū)崟r(shí)采集現(xiàn)場設(shè)備的運(yùn)行數(shù)據(jù)和設(shè)備信息，掌握主要設(shè)備的運(yùn)行狀況和生產(chǎn)信息，并通過開發(fā)設(shè)備診斷程序和各專家系統(tǒng)，最終實(shí)現(xiàn)設(shè)備的遠(yuǎn)端監(jiān)視，進(jìn)而進(jìn)行快速反應(yīng)，減少了生產(chǎn)協(xié)調(diào)時(shí)間。但是一個(gè)接入點(diǎn)一旦爆發(fā)網(wǎng)絡(luò)病毒，會(huì)直接導(dǎo)致整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的崩潰，造成生產(chǎn)網(wǎng)絡(luò)的大范圍癱瘓；或者被非法進(jìn)入者非法控制生產(chǎn)系統(tǒng)，若導(dǎo)致設(shè)備異常動(dòng)作，則該危害造成的后果就更為可怕。目前防范病毒、木馬的措施采用單機(jī)運(yùn)行的方式，方法簡單，維護(hù)量大，效率低，不適于分布廣泛、結(jié)構(gòu)復(fù)雜的網(wǎng)絡(luò)系統(tǒng)的維護(hù)。

2．1 在內(nèi)部網(wǎng)絡(luò)進(jìn)行的防范措施

由于我們?cè)谌粘＞S護(hù)時(shí)需要經(jīng)常性地使用移動(dòng)硬盤和U盤在計(jì)算機(jī)上進(jìn)行復(fù)制和拷貝文件，若某些移動(dòng)存儲(chǔ)設(shè)備攜帶病毒或木馬，一旦插入網(wǎng)絡(luò)上的計(jì)算機(jī)，就會(huì)造成病毒的迅速傳播，并擴(kuò)散到整個(gè)網(wǎng)絡(luò)，將導(dǎo)致整個(gè)或部分網(wǎng)絡(luò)癱瘓，使得生產(chǎn)網(wǎng)不能順利運(yùn)行。因此我們應(yīng)用瑞星殺毒網(wǎng)絡(luò)版軟件在班組內(nèi)部生產(chǎn)網(wǎng)上建立了一個(gè)網(wǎng)絡(luò)病毒系統(tǒng)中心，同時(shí)在子網(wǎng)絡(luò)上實(shí)施不同的病毒安全策略。該策略允許已有病毒的計(jì)算機(jī)使用網(wǎng)絡(luò)，又不至于擴(kuò)散到其他網(wǎng)絡(luò)；控制臺(tái)中心會(huì)根據(jù)病毒信息和中毒計(jì)算機(jī)的地址，通過網(wǎng)絡(luò)維護(hù)人員進(jìn)行專門處理，最終保障整個(gè)網(wǎng)絡(luò)的正常運(yùn)行。

2．1．1 建立生產(chǎn)網(wǎng)系統(tǒng)中心

以使用瑞星殺毒軟件網(wǎng)絡(luò)防病毒系統(tǒng)的系統(tǒng)中心作為生產(chǎn)網(wǎng)系統(tǒng)中心，它是信息管理和病毒防護(hù)的自動(dòng)控制核心，系統(tǒng)中心能夠?qū)崟r(shí)記錄生產(chǎn)網(wǎng)體系內(nèi)每臺(tái)計(jì)算機(jī)上的病毒檢測和監(jiān)視、清除信息。系統(tǒng)中心必須先于其他子系統(tǒng)安裝到服務(wù)器上，該系統(tǒng)中心根據(jù)管理員對(duì)管理控制臺(tái)的設(shè)置，能夠?qū)崿F(xiàn)對(duì)整個(gè)生產(chǎn)網(wǎng)網(wǎng)絡(luò)系統(tǒng)的自動(dòng)監(jiān)視和處理控制。

2．1．2 建立生產(chǎn)網(wǎng)系統(tǒng)客戶端

在生產(chǎn)網(wǎng)的所有上位機(jī)上均建立生產(chǎn)網(wǎng)系統(tǒng)客戶端，該客戶端是瑞星殺毒軟件網(wǎng)絡(luò)防病毒系統(tǒng)專門為工作站（客戶機(jī)）設(shè)計(jì)的防病毒子系統(tǒng)。該系統(tǒng)主要承擔(dān)上位機(jī)（客戶機(jī)）上的病毒實(shí)時(shí)監(jiān)測和清除任務(wù)，同時(shí)自動(dòng)向生產(chǎn)網(wǎng)系統(tǒng)中心報(bào)告病毒監(jiān)測和清除情況。

2．1．3 建立生產(chǎn)網(wǎng)管理控制臺(tái)

采用瑞星殺毒網(wǎng)絡(luò)版軟件在生產(chǎn)網(wǎng)的一臺(tái)管理員計(jì)算機(jī)上建立生產(chǎn)網(wǎng)的管理控制臺(tái)系統(tǒng)，該管理控制臺(tái)（瑞星自帶）能夠集中管理所有安裝有瑞星殺毒軟件網(wǎng)絡(luò)版的客戶端軟件。管理員通過管理控制臺(tái)可以在遠(yuǎn)端管理生產(chǎn)網(wǎng)中的任何一臺(tái)上位機(jī)上的瑞星網(wǎng)絡(luò)版殺毒軟件。在生產(chǎn)網(wǎng)上的任何一臺(tái)上位機(jī)的病毒信息都可以通過該管理控制臺(tái)進(jìn)行匯總，最終在控制臺(tái)系統(tǒng)上能夠得到生產(chǎn)網(wǎng)上所有上位機(jī)的實(shí)時(shí)監(jiān)控狀態(tài)、病毒查殺情況等。管理員通過該管理控制臺(tái)在生產(chǎn)網(wǎng)的其他上位機(jī)上遠(yuǎn)程安裝瑞星網(wǎng)絡(luò)版殺毒軟件并能夠?qū)⒃摴芾砜刂婆_(tái)移動(dòng)到其他計(jì)算機(jī)上，這樣管理員就能夠通過該管理控制臺(tái)的操作遠(yuǎn)程對(duì)生產(chǎn)網(wǎng)上其他所有的上位機(jī)進(jìn)行操作，包括定期／不定期查殺病毒、進(jìn)行漏洞掃描、所在計(jì)算機(jī)的補(bǔ)丁管理／組策略的設(shè)置、計(jì)算機(jī)操作系統(tǒng)的不安全設(shè)置的修復(fù)和病毒庫和漏洞的統(tǒng)一升級(jí)。

2．2 應(yīng)用網(wǎng)絡(luò)分析工具對(duì)內(nèi)部網(wǎng)絡(luò)進(jìn)行安全監(jiān)視

當(dāng)生產(chǎn)網(wǎng)網(wǎng)絡(luò)出現(xiàn)故障后，要使用硬件工具對(duì)生產(chǎn)網(wǎng)進(jìn)行診斷。在本單位，我們常用福祿克公司生產(chǎn)的OptiView III網(wǎng)絡(luò)分析儀進(jìn)行診斷和分析。由于該設(shè)備具有實(shí)時(shí)分析網(wǎng)絡(luò)的功能，因此應(yīng)用該工具就能夠在線查看生產(chǎn)網(wǎng)的所有上位機(jī)、交換機(jī)以及PLC的連接和應(yīng)用情況，并能夠以圖形化和表單化的形式顯示，方便維護(hù)人員查找分析網(wǎng)絡(luò)故障。例如，我們經(jīng)常使用到的一個(gè)重要功能就是進(jìn)行基本以太網(wǎng)故障診斷，該工具有助于盡快查找到故障點(diǎn)，減少網(wǎng)絡(luò)故障的處理時(shí)間。福祿克的Networks局域網(wǎng)測試儀能夠幫助我們快速解決生產(chǎn)網(wǎng)的以太網(wǎng)鏈路、線纜的連通性問題，直接找到故障點(diǎn)，防止由于不確定問題點(diǎn)而導(dǎo)致的問題持續(xù)惡化。對(duì)于更為棘手的以太網(wǎng)問題，該公司生產(chǎn)的便攜式分析儀具有幫助維護(hù)人員解決有線局域網(wǎng)、無線局域網(wǎng)、虛擬局域網(wǎng)網(wǎng)絡(luò)問題的強(qiáng)大功能。

2．3 加強(qiáng)網(wǎng)絡(luò)的可管理性

2．3．1 建立健全安全制度

首先本單位制定了自己的網(wǎng)絡(luò)管理規(guī)章制度，規(guī)范了計(jì)算機(jī)地址和工作組。

2．3．2 選擇合適的防病毒軟件

由于生產(chǎn)網(wǎng)的龐大和復(fù)雜，一旦內(nèi)部某個(gè)計(jì)算機(jī)感染病毒或木馬，就會(huì)極快地傳播擴(kuò)散到整個(gè)生產(chǎn)網(wǎng)，因此我們通常使用的單機(jī)版防病毒軟件產(chǎn)品若想徹底清除病毒就比較困難。因此在生產(chǎn)網(wǎng)上必須要有適用于局域網(wǎng)的全方位的防病毒產(chǎn)品，需要一個(gè)建立在服務(wù)器平臺(tái)上的網(wǎng)絡(luò)版的防病毒軟件，同時(shí)由于生產(chǎn)網(wǎng)上的計(jì)算機(jī)操作系統(tǒng)的多樣性，就必須用能夠支持WinXP、Win2000、WIN7等各種操作系統(tǒng)的防病毒軟件來保障生產(chǎn)網(wǎng)的安全。這點(diǎn)瑞星殺毒網(wǎng)絡(luò)版軟件能夠滿足此項(xiàng)要求。

2．3．3 配置軟／硬件防火墻

合理利用軟／硬件防火墻。通過對(duì)維護(hù)人員的授權(quán)，允許被授權(quán)的人與數(shù)據(jù)進(jìn)入生產(chǎn)網(wǎng)，未被授權(quán)的人與數(shù)據(jù)拒絕進(jìn)入生產(chǎn)網(wǎng)，以最大限度保護(hù)生產(chǎn)網(wǎng)，防止非法用戶的進(jìn)入。軟／硬件防火墻目前來看仍然是一種行之有效且應(yīng)用廣泛的網(wǎng)絡(luò)安全機(jī)制。

2．3．4 定期進(jìn)行計(jì)算機(jī)漏洞掃描

對(duì)于生產(chǎn)網(wǎng)這種大型網(wǎng)絡(luò)，僅僅依靠幾個(gè)管理人員的技術(shù)和經(jīng)驗(yàn)來尋找計(jì)算機(jī)安全漏洞，是很費(fèi)時(shí)費(fèi)力的。所以我們需要一種能夠遠(yuǎn)程查找整個(gè)生產(chǎn)網(wǎng)上所有計(jì)算機(jī)的安全漏洞、并能夠提出修改建議和遠(yuǎn)程操作的計(jì)算機(jī)漏洞掃描工具，還能夠遠(yuǎn)程對(duì)漏洞進(jìn)行打補(bǔ)丁操作，盡可能地彌補(bǔ)安全漏洞和消除安全隱患。

2．3．5 及時(shí)解決IP地址的盜用問題

在生產(chǎn)網(wǎng)的關(guān)鍵位置對(duì)IP地址和MAC地址進(jìn)行綁定。地址相符，交換機(jī)則對(duì)該地址的廣播包放行，否則不予放行。

2．3．6 使用網(wǎng)絡(luò)分析工具監(jiān)聽生產(chǎn)網(wǎng)

使用網(wǎng)絡(luò)分析工具對(duì)生產(chǎn)網(wǎng)的各子網(wǎng)絡(luò)做一個(gè)監(jiān)聽文件，其作用是記錄子網(wǎng)絡(luò)內(nèi)各通訊單元之間的相互聯(lián)系情況，并以此作為常態(tài)樣本，為管理分析生產(chǎn)網(wǎng)的運(yùn)行狀態(tài)提供標(biāo)準(zhǔn)依據(jù)。

3 結(jié)束語

針對(duì)本單位的生產(chǎn)網(wǎng)特點(diǎn)，通過瑞星殺毒網(wǎng)絡(luò)版軟件、福祿克網(wǎng)絡(luò)分析儀、軟／硬件防火墻、漏洞檢測、完善的網(wǎng)絡(luò)管理制度等多種方式，基本滿足了生產(chǎn)網(wǎng)的網(wǎng)絡(luò)安全需求和維護(hù)要求，最終保障了整個(gè)網(wǎng)絡(luò)的正常運(yùn)行。同時(shí)應(yīng)看到由于病毒和木馬的不斷更新和發(fā)展，生產(chǎn)網(wǎng)的維護(hù)工作依然任重而道遠(yuǎn)。