工廠過程控制系統安全管理分析

魏永斌

摘要：本文對工廠過程控制系統安全管理理念和目標進行分析討論，對控制系統安全管理措施和實施進行詳細分析說明，給出了工廠過程控制系統安全管理具體建議。提出安全管理措施需要得到有效、準確的實施，并且不斷加強和優化，才能從長遠上確保工廠過程控制系統的安全穩定。

關鍵詞：過程控制系統;安全管理;策略

一、概述

工廠過程控制系統承擔著對工廠生產過程的實時監視和控制功能，當前技術條件下，基于市場上某種成熟的控制系統平臺所構建的全數字化工廠過程控制系統一般均具有高數字化、集成化的特點，并具有可接入眾多第三方儀控系統和數據鏈的能力，同時能夠通過專用接口實現工廠控制系統向外部監管管理系統報送工廠實時過程數據的功能。本文將結合筆者在相關項目上的過程控制系統調試經驗，對一種基于Ovation平臺所構建的工廠過程控制系統所采取的內部、外部安全管理措施進行詳細分析，并給出工廠控制系統安全管理方面的相關建議。

二、控制系統內部安全管理

2.1內部安全策略

過程控制系統內部安全管理采取的主要措施是實施嚴格的內部訪問控制，即建立一套與工廠實際管理完全匹配的內部用戶管理法，防止系統被“非法”登錄或“越權”操作。

基于Ovation 3.3.1平臺所構建的過程控制系統通過采用“域”的概念來實現這一內部安全管理措施。在某個域中，通過建立一個或一組域控制器對所有其他域成員進行集中的安全管理，所有域成員共享一套安全管理平臺。工廠一般按照其設施或車間為單位來創建控制系統的域，其中域控制器一般均為冗余配置，域成員包括該過程控制系統內所有的分布式控制站點。

2.2內部安全配置實施

在使用Ovation 3.3.1平臺構建的過程控制系統中，使用其專用的Security Manager來執行整個控制系統的安全配置和管理工作。需要執行的安全配置工作包括：

1、創建域并啟用域管理員

在對某個項目的控制系統實施初始配置的過程中，一旦建立域，則系統會立即生成一個默認的域管理員權限的帳號，后續對該域的所有安全配置和管理工作均需通過域管理員來實施。

2、創建域內的組策略

創建組策略主要是對控制平臺工作站的操作系統的操作規則和操作權限進行預先分組定義，以實現不同權限的用戶登錄工作站后，其所面對的操作系統界面和可操作功能與其權限相匹配。

3、創建和分配點安全分組

將過程控制系統數據庫中的I/O點按照預定的用戶角色進行分類并創建各種不同的點安全分組，在進行用戶角色設置時可以綁定允許該用戶操作的點安全分組，這樣可以實現不同用戶角色只能對其角色允許的特定系統進行操作。

4、創建系統用戶角色

系統用戶角色的創建是指將特定用戶授權執行的控制系統操作功能進行分組，預先創建出一個個具備不同系統功能的用戶角色，以用于計算機或用戶帳號創建時進行選擇，從而實現不同的控制系統操作授權功能。

5、創建域的全局策略

域的全局策略是適用于整個域內的所有成員，包括計算機、用戶帳號的管理策略，包括默認域策略和默認域控制器策略兩種配置，其中默認域策略規定了域內所有用戶帳號密碼的管理規則。

6、分配域內的計算機、用戶權限，創建帳號密碼

上述系統安全配置工作完成后，可以根據工廠實際要求創建各級用戶帳號，并根據工廠實際管理要求，為各用戶帳號分配與之授權相對應的組策略和系統用戶角色，確保該用戶只能執行授權范圍內的操作，包括對操作系統和過程控制系統的操作權限以及電廠系統控制權限。

三、控制系統外部安全管理

3.1外部安全策略

控制系統外部安全管理的主要目標是防止控制系統軟硬件和數據受到控制系統網絡外部的入侵或破壞，以避免由此可能導致的工廠工藝控制異常。

為了實現這一目標，控制系統一般采用兩種主要安全措施，一是與外部網絡執行安全隔離;二是對外部訪問和數據進行安全防護。

3.2外部安全管理實施

1、與外部網絡的安全隔離

工廠過程控制系統集成了大量數據，并且向外部監管用戶提供工廠實時數據，在與外部網絡接口過程中，控制系統需要采取可靠的單項隔離措施，確保控制系統網絡與外部網絡的隔離。例如某工廠控制系統與外部網絡的接口和采取的隔離措施如下：

a）外部接口：OPC

用途：將實時數據通過OPC協議傳輸給監管層的信息系統和指揮中心系統。

外部接口隔離措施：使用控制系統服務器站點作為OPC數據服務器，在OPC數據服務器與外部OPC客戶端之間設置防火墻和單向隔離網閘。

b）外部接口：企業數據服務器接口

用途：將實時數據通過企業數據服務器系統傳輸給工廠其他設施內的非生產用監視站點。

外部接口隔離措施：使用控制系統工作站作為企業數據服務器數據源，通過單向隔離系統Waterfall TX-Waterfall RX將數據傳輸至企業數據服務器，再由企業數據服務器通過防火墻向外部企業數據客戶端提供數據。

c）外部接口：專用應用程序接口

用途：將經過控制系統應用服務器和專用應用程序監視服務器處理后的專用應用程序計算數據傳輸給外部服務器。

外部接口隔離措施：使用專用應用程序監視服務器作為數據源，通過單向隔離系統Waterfall TX-Waterfall RX和防火墻將數據傳輸給外部服務器，同時數據再次經過局域網防火墻提供給外部。

2、對外部訪問和數據的安全防護

控制系統對外部訪問具有嚴格限制，首先，根據前文的內部授權控制措施，只有獲得最高權限組策略的用戶，才具備使用控制系統服務器或工作站外部數據端口;其次，工廠的控制系統一般均會規定所有外部數據只能使用光盤介質傳遞，只使用專用的防病毒服務器的特定光驅接口執行數據讀寫操作。

四、控制系統安全管理建議

上文分析可見，工廠的過程控制系統一般均會在其內部、外部執行一系列安全管理措施，針對控制系統已采取的安全管理措施，筆者建議還需注意以下幾方面：

1、對控制系統用戶進行授權并做好授權管理工作

工廠應該根據各自實際情況制定控制系統安全管理程序，明確各級授權用戶的具體權限和授權資質要求;其次應由控制系統工程技術人員根據工廠管理程序對系統安全管理配置定期進行清查，確保安全配置與管理目標一致。

2、對控制系統外部接口單向隔離措施定期進行安全檢查

對于控制系統外部接口，尤其是單向隔離措施的可用性，建議進行定期安全檢查，確保單向隔離措施的可靠。

3、禁用控制系統所有不需要的外部端口

禁用工作站、服務器相關服務通訊端口，同時對工作站、服務器的外部物理端口，如USB、光驅等進行禁用，這種禁用需要非常慎重，以避免對系統正常運行產生影響。

4、定期對控制系統安裝補丁

根據設計及供方要求，對工作站服務器OS補丁，控制系統補丁包括專用應用程序補丁以及防病毒系統補丁，修復系統漏洞并提升系統安全性能。

五、總結

通過本文分析可見，工廠過程控制系統一般均會在內外部安全管理方面采取一系列技術和管理措施，從而有效實現其內部用戶訪問控制和與外部的安全隔離的安全目標，通過這些措施也確實使控制系統的安全得到了保障。但也要注意任何為工廠過程控制系統所設計的安全管理措施都只有在得到有效、準確的實施，并且通過日常維護不斷進行加強和優化，才能從長遠上確保整個系統的安全和穩定。

參考文獻

[1] OPC基金會.《OPC數據存取接口定義規范》

[2] 艾默生.《Managing Security in Ovation 3.3 OW330_40》