e-works数字化企业网  »  文章频道  »  管理信息化  »  MES

石化MES控制网络安全分析与实践

2010/10/21    来源:万方数据    作者:刘钰  郑雯  彭文辉      
关键字:MES  工厂制造执行系统  控制网络安全病毒  
石化MES的核心功能是基于实时数据库的生产调度管理,并以实现对控制系统的数据采集作为必要前提条件。控制网络的开放已经成为大势所趋,但网络开放的同时,带来的安全问题就更加严峻,各种安全问题如病毒、攻击和入侵等已经引起人们的高度重视。本文针对石化企业MES涉及的控制网络安全问题进行了系统地分析,并结合在乌石化的实践情况,提出适合行业特点的安全对策。

0 引言

    随着互联网日新月异的发展和企业集团信息化整合的加强,企业网络应用的范围在不断扩大,通过广域网实现集团内部资源共享、统一管理等,企业信息化网络不再是单纯意义上的Intranet,而更多的则是基于Internet的网络和应用。但网络开放的同时,带来的安全问题就更加严峻了,各种安全问题如病毒、攻击和入侵等已经引起了人们的高度重视。

1 石化MES发展概述

    当今石化企业普遍采用基于ERP/SCM,MES和PCS三层架构的管控一体化信息模型,MES处于企业信息系统ERP/SCM和过程控制系统的中间位置。MES在整个信息系统中主要担当了两个方面的重要作用:一是数据双向通道的作用。即通过MES的实施,可以有效弥补企业PCS层及ERP/SCM层之问的数据间隙,由下至上,通过对底层PCS层数据的搜集、存储及校正,建立过程控制数据层次上的数字化工厂,结合生产调度层次上的调度事件信息数据等,为上层ERP/SCM计划管理层提供准确统一的生产数据;由上至下,通过对实时生产数据的总结,上层ERP/SCM层可以根据未来订单及现阶段生产状况调整生产计划,下发MES层进行计划的分解及产生调度指令,有效指导企业生产活动。因此,MES在数据层面上,起到了沟通PCS层和ERP/SCM层的桥梁作用,并保证了生产数据、调度事件等信息的一致性及准确性。另一方面,生产活动的复杂性产生了很多实际的用户需求,为了满足这些用户需求,MES也可以视为一个功能模块的集合。

    国内炼化企业从1999年开始,逐步意识到MES的开发及实施工作对于工厂信息化建设的重要性,这个过程主要分为两个阶段:炼化企业主要依据实际生产应用需求,在工厂开发实施一些独立非系统化的MES模块(例如:数据整合与物料平衡系统等);炼化企业开始注重MES的完整性,在PCS系统上架设统一的工厂实时/关系数据平台,向上连接ERP/SCM系统,形成完整的企业综合自动化系统三层结构,在生产活动方面的用户需求通过功能模块的架构及实施得到解决。以中石油的炼化企业为例,2004年中石油MES项目正式启动以来,目前三期工作于2008年在全行业展开。

2 MES控制网络安全

    2.1 两网融合

    基于管控一体化的主导思想,石化MES的核心功能是基于实时数据库的生产调度管理,并以实现对控制系统的数据采集作为必要前提条件。这意味着运行MES的信息网络必须要实现与控制网络之间的数据交换。此时,PCS层的控制网络也不再以一个独立的网络运行,而要与信息网络互通、互联。

    两网融合,为我们在建设MES时带来新的思考,既不能再将控制网络与MES割裂开来。特别是从网络安全的角度,控制网络已经成为MES的一部分,必须通盘考虑。

    2.2 控制网络开放性

    以石化主流控制系统DCS为例,过去的DCS厂商基本上是以自主开发为主,提供的系统也是自己的系统。当今的DCS厂商更强调开放系统集成性,纷纷把DCS的各个组成部分采用第三方集成方式或OEM方式,在新一代DCS的操作站中,几乎清一色采用PC+Windows的技术架构,使用户的投资及维护成本大幅降低。

    同时,DCS网络技术也呈现出开放的特征。过去,由于通信技术相对落后,网络技术开放性是困扰用户的一个重要问题。而当代网络技术、软件技术的发展为开放系统提供了可能。网络技术开放性体现在DCS可以从多个层面与第三方系统互联,同时支持多种网络协议。目前在与企业管理层信息平台互联时,大多采用基于TCP(UDP)/IP协议的以太网通信技术,使用OPC等开放接口标准。

    2.3 控制网络安全漏洞

    2.3.1 网络通信协议安全漏洞

    随着TCP(UDP)/IP协议被控制网络普遍采用,网络通信协议漏洞问题变得越来越突出。TCP/IP协议簇最初设计的应用环境是美国国防系统的内部网络,这一网络是互相信任的,因此它原本只考虑互通互联和资源共享的问题,并未考虑也无法兼容解决来自网络中和网际间的大量安全问题。

    a)缺乏对用户身份的鉴别。TCP/IP的机制性漏洞之一是缺乏对通信双方真实身份的鉴别机制。由于TCP/IP使用IP地址作为网络节点的唯一标识,而IP地址的使用和管理又存在很多问题,因而一方面很容易导致IP地址的暴露,另一方面IP地址很容易被伪造和更改。

    b)缺乏对路由协议的鉴别认证。TCP/IP在IP层上缺乏对路由协议的安全认证机制,对路由信息缺乏鉴别与保护,因此可以通过互联网,利用路由信息修改网络传输路径,误导网络分组传输。

    c)TCP/UDP自身缺陷。TCP/IP协议簇规定了TCP/UDP是基于IP协议上的传输协议,TCP分段和UDP数据包是封装成IP包在网上传输的,除了可能面I临IP层所遇到的安全威胁外,还存在TCP/UDP实现中的安全隐患。

责任编辑:袁琴桃
本文为授权转载文章,任何人未经原授权方同意,不得复制、转载、摘编等任何方式进行使用,e-works不承担由此而产生的任何法律责任! 如有异议请及时告之,以便进行及时处理。联系方式:editor@e-works.net.cn tel:027-87592219/20/21。
e-works
官方微信
掌上
信息化
编辑推荐
新闻推荐
博客推荐
视频推荐