紫金橋?qū)崟r(shí)數(shù)據(jù)庫(kù)系統(tǒng)在網(wǎng)絡(luò)發(fā)布方面的安全處理
使用實(shí)時(shí)數(shù)據(jù)庫(kù)系統(tǒng)可以將生產(chǎn)過(guò)程中的實(shí)時(shí)數(shù)據(jù)實(shí)現(xiàn)集中和共享。比如紫金橋?qū)崟r(shí)數(shù)據(jù)庫(kù)系統(tǒng)就可以把廠內(nèi)各車間的數(shù)據(jù)集中在一起,然后通過(guò)網(wǎng)絡(luò)發(fā)布的形式把實(shí)時(shí)生產(chǎn)數(shù)據(jù)發(fā)布到Internet網(wǎng)上,這樣在任何可以連結(jié)到實(shí)時(shí)數(shù)據(jù)庫(kù)服務(wù)器的地方,只要打開(kāi)標(biāo)準(zhǔn)的IE瀏覽器并輸入網(wǎng)址,即可觀看到實(shí)時(shí)的生產(chǎn)情況。
這種系統(tǒng)運(yùn)行模式我們稱為B/S結(jié)構(gòu),即客戶端無(wú)須安裝任何軟件,只須有IE6.0瀏覽器即可。但是由于這種模式會(huì)把實(shí)時(shí)數(shù)據(jù)庫(kù)服務(wù)器暴露在以太網(wǎng)上,而且實(shí)時(shí)數(shù)據(jù)庫(kù)又往往通過(guò)一系列的驅(qū)動(dòng)采集程序從生產(chǎn)現(xiàn)場(chǎng)DCS系統(tǒng)或其他控制站中直接采集數(shù)據(jù),所以網(wǎng)絡(luò)安全問(wèn)題就顯得十分的重要,否則網(wǎng)絡(luò)病毒或黑客就會(huì)通過(guò)以太網(wǎng)侵入到生產(chǎn)系統(tǒng)中。
下圖是某大型生產(chǎn)系統(tǒng)的連接示意圖,管理人員通過(guò)本廠主頁(yè)進(jìn)入系統(tǒng),即可察看到各車間的生產(chǎn)畫(huà)面,可以瀏覽實(shí)時(shí)數(shù)據(jù)、察看報(bào)警、和歷史記錄。
在本大型生產(chǎn)系統(tǒng)中數(shù)采計(jì)算機(jī)通過(guò)網(wǎng)絡(luò)OPC接口從控制系統(tǒng)中采集數(shù)據(jù),然后數(shù)據(jù)匯總到實(shí)時(shí)數(shù)據(jù)庫(kù)中,最后通過(guò)數(shù)據(jù)庫(kù)發(fā)布到整個(gè)廠內(nèi)局域網(wǎng)。在制定本方案的時(shí)候一定要考慮到怎樣才能把局域網(wǎng)、生產(chǎn)網(wǎng)和控制系統(tǒng)隔離開(kāi)來(lái),從而保證控制系統(tǒng)的安全。從此原則著手制訂了如下的連接方案:
在每一套裝置處放置一臺(tái)微機(jī)進(jìn)行數(shù)據(jù)采集,在每一臺(tái)數(shù)采機(jī)上都配置雙網(wǎng)卡,其中一塊網(wǎng)卡聯(lián)入生產(chǎn)網(wǎng),另一塊聯(lián)結(jié)生產(chǎn)控制系統(tǒng)。同時(shí)實(shí)時(shí)數(shù)據(jù)庫(kù)服務(wù)器也配置雙網(wǎng)卡,一塊聯(lián)結(jié)生產(chǎn)網(wǎng),另一塊和廠局域網(wǎng)相連。這樣由于有雙網(wǎng)卡的隔離,就把把局域網(wǎng)、生產(chǎn)網(wǎng)和控制系統(tǒng)隔離開(kāi)來(lái)。這樣從硬件層面來(lái)說(shuō)可以避免局域網(wǎng)內(nèi)的計(jì)算機(jī)對(duì)控制系統(tǒng)直接進(jìn)行攻擊。
數(shù)采計(jì)算機(jī)和服務(wù)器上采取安裝網(wǎng)絡(luò)防護(hù)軟件和實(shí)時(shí)殺毒軟件來(lái)提供最內(nèi)層的保護(hù)。比如可以按裝Norton 網(wǎng)絡(luò)特警程序,此程序既可以防護(hù)網(wǎng)絡(luò)同時(shí)也可以時(shí)實(shí)的查殺病毒,一舉兩得。同時(shí)該軟件是Symmantec公司的產(chǎn)品,值的信賴。對(duì)于網(wǎng)絡(luò)防護(hù)方面,該軟件可以設(shè)置“信任”和“限制”連接,只要我們把控制系統(tǒng)工程師站加入信任連接中,同時(shí)選擇“除非特別聲明否則全部禁止”選擇項(xiàng),那么和其他的所有計(jì)算機(jī)的連接都將會(huì)被完全禁止掉。這樣一來(lái)從軟件層面來(lái)說(shuō),可以杜絕病毒入侵到生產(chǎn)調(diào)度網(wǎng),同時(shí)也加強(qiáng)了數(shù)采計(jì)算機(jī)的抗攻擊能力。
網(wǎng)絡(luò)管理上,將數(shù)采計(jì)算機(jī)與實(shí)時(shí)數(shù)據(jù)庫(kù)服務(wù)器分配在一個(gè)連續(xù)的網(wǎng)段內(nèi),然后通過(guò)使用子網(wǎng)掩碼設(shè)置,使的只有這些子網(wǎng)掩碼沒(méi)有過(guò)濾的計(jì)算機(jī)才可以相互訪問(wèn),這樣又從另一個(gè)層面上保證了服務(wù)器和數(shù)采機(jī)系統(tǒng)的安全性。所以采取了這種措施以后,又可以進(jìn)一步的降低數(shù)采機(jī)被攻擊的概率。
在操作系統(tǒng)的設(shè)置方面,可以采取如下的方法來(lái)進(jìn)一步的增強(qiáng)系統(tǒng)的安全性。我們知道網(wǎng)絡(luò)病毒入侵計(jì)算機(jī)的途徑只有攻擊計(jì)算機(jī)的特定端口,當(dāng)端口存在漏洞時(shí),它們才可以借此漏洞侵入計(jì)算機(jī)系統(tǒng)。所以我們只要把實(shí)時(shí)數(shù)據(jù)庫(kù)系統(tǒng)不使用的端口統(tǒng)統(tǒng)封閉,就可以完全不用擔(dān)心病毒從這些端口入侵了。
在計(jì)算機(jī)管理上,數(shù)采計(jì)算機(jī)和服務(wù)器只能作為專用設(shè)備,不允許維護(hù)人員外的其它人員使用,防止由于人員拷貝文件而引起的病毒入侵。為了達(dá)到此目的,必須給每一臺(tái)數(shù)采計(jì)算機(jī)和服務(wù)器設(shè)置用戶密碼,嚴(yán)格限制能進(jìn)入該計(jì)算機(jī)系統(tǒng)的人員數(shù)量。
使用以上的方法就可以比較好的保護(hù)計(jì)算機(jī),從而使整個(gè)系統(tǒng)的安全運(yùn)行得到有力的保證。
由于很多人沒(méi)有使用過(guò)操作系統(tǒng)的封閉端口的功能,下面簡(jiǎn)單的介紹一下如何在Windows系統(tǒng)中封閉無(wú)用的端口的方法。
打開(kāi)IP地址設(shè)置對(duì)話框,如下圖所示:
在上圖的IP地址設(shè)置對(duì)話框中,點(diǎn)擊“高級(jí)”按鈕,彈出高級(jí)設(shè)置對(duì)話框如下所示:
選擇“選項(xiàng)”頁(yè),選擇“TCP/IP 篩選”項(xiàng),點(diǎn)擊“屬性”按鈕,彈出端口過(guò)濾對(duì)話框,如下圖所示:
在本對(duì)話框中即可設(shè)置允許打開(kāi)的端口。點(diǎn)擊“確定”按鈕,完成端口的配置。此時(shí)系統(tǒng)將提示重起計(jì)算機(jī),選擇重新啟動(dòng)計(jì)算機(jī)即可。
這種系統(tǒng)運(yùn)行模式我們稱為B/S結(jié)構(gòu),即客戶端無(wú)須安裝任何軟件,只須有IE6.0瀏覽器即可。但是由于這種模式會(huì)把實(shí)時(shí)數(shù)據(jù)庫(kù)服務(wù)器暴露在以太網(wǎng)上,而且實(shí)時(shí)數(shù)據(jù)庫(kù)又往往通過(guò)一系列的驅(qū)動(dòng)采集程序從生產(chǎn)現(xiàn)場(chǎng)DCS系統(tǒng)或其他控制站中直接采集數(shù)據(jù),所以網(wǎng)絡(luò)安全問(wèn)題就顯得十分的重要,否則網(wǎng)絡(luò)病毒或黑客就會(huì)通過(guò)以太網(wǎng)侵入到生產(chǎn)系統(tǒng)中。
下圖是某大型生產(chǎn)系統(tǒng)的連接示意圖,管理人員通過(guò)本廠主頁(yè)進(jìn)入系統(tǒng),即可察看到各車間的生產(chǎn)畫(huà)面,可以瀏覽實(shí)時(shí)數(shù)據(jù)、察看報(bào)警、和歷史記錄。
在本大型生產(chǎn)系統(tǒng)中數(shù)采計(jì)算機(jī)通過(guò)網(wǎng)絡(luò)OPC接口從控制系統(tǒng)中采集數(shù)據(jù),然后數(shù)據(jù)匯總到實(shí)時(shí)數(shù)據(jù)庫(kù)中,最后通過(guò)數(shù)據(jù)庫(kù)發(fā)布到整個(gè)廠內(nèi)局域網(wǎng)。在制定本方案的時(shí)候一定要考慮到怎樣才能把局域網(wǎng)、生產(chǎn)網(wǎng)和控制系統(tǒng)隔離開(kāi)來(lái),從而保證控制系統(tǒng)的安全。從此原則著手制訂了如下的連接方案:
在每一套裝置處放置一臺(tái)微機(jī)進(jìn)行數(shù)據(jù)采集,在每一臺(tái)數(shù)采機(jī)上都配置雙網(wǎng)卡,其中一塊網(wǎng)卡聯(lián)入生產(chǎn)網(wǎng),另一塊聯(lián)結(jié)生產(chǎn)控制系統(tǒng)。同時(shí)實(shí)時(shí)數(shù)據(jù)庫(kù)服務(wù)器也配置雙網(wǎng)卡,一塊聯(lián)結(jié)生產(chǎn)網(wǎng),另一塊和廠局域網(wǎng)相連。這樣由于有雙網(wǎng)卡的隔離,就把把局域網(wǎng)、生產(chǎn)網(wǎng)和控制系統(tǒng)隔離開(kāi)來(lái)。這樣從硬件層面來(lái)說(shuō)可以避免局域網(wǎng)內(nèi)的計(jì)算機(jī)對(duì)控制系統(tǒng)直接進(jìn)行攻擊。
數(shù)采計(jì)算機(jī)和服務(wù)器上采取安裝網(wǎng)絡(luò)防護(hù)軟件和實(shí)時(shí)殺毒軟件來(lái)提供最內(nèi)層的保護(hù)。比如可以按裝Norton 網(wǎng)絡(luò)特警程序,此程序既可以防護(hù)網(wǎng)絡(luò)同時(shí)也可以時(shí)實(shí)的查殺病毒,一舉兩得。同時(shí)該軟件是Symmantec公司的產(chǎn)品,值的信賴。對(duì)于網(wǎng)絡(luò)防護(hù)方面,該軟件可以設(shè)置“信任”和“限制”連接,只要我們把控制系統(tǒng)工程師站加入信任連接中,同時(shí)選擇“除非特別聲明否則全部禁止”選擇項(xiàng),那么和其他的所有計(jì)算機(jī)的連接都將會(huì)被完全禁止掉。這樣一來(lái)從軟件層面來(lái)說(shuō),可以杜絕病毒入侵到生產(chǎn)調(diào)度網(wǎng),同時(shí)也加強(qiáng)了數(shù)采計(jì)算機(jī)的抗攻擊能力。
網(wǎng)絡(luò)管理上,將數(shù)采計(jì)算機(jī)與實(shí)時(shí)數(shù)據(jù)庫(kù)服務(wù)器分配在一個(gè)連續(xù)的網(wǎng)段內(nèi),然后通過(guò)使用子網(wǎng)掩碼設(shè)置,使的只有這些子網(wǎng)掩碼沒(méi)有過(guò)濾的計(jì)算機(jī)才可以相互訪問(wèn),這樣又從另一個(gè)層面上保證了服務(wù)器和數(shù)采機(jī)系統(tǒng)的安全性。所以采取了這種措施以后,又可以進(jìn)一步的降低數(shù)采機(jī)被攻擊的概率。
在操作系統(tǒng)的設(shè)置方面,可以采取如下的方法來(lái)進(jìn)一步的增強(qiáng)系統(tǒng)的安全性。我們知道網(wǎng)絡(luò)病毒入侵計(jì)算機(jī)的途徑只有攻擊計(jì)算機(jī)的特定端口,當(dāng)端口存在漏洞時(shí),它們才可以借此漏洞侵入計(jì)算機(jī)系統(tǒng)。所以我們只要把實(shí)時(shí)數(shù)據(jù)庫(kù)系統(tǒng)不使用的端口統(tǒng)統(tǒng)封閉,就可以完全不用擔(dān)心病毒從這些端口入侵了。
在計(jì)算機(jī)管理上,數(shù)采計(jì)算機(jī)和服務(wù)器只能作為專用設(shè)備,不允許維護(hù)人員外的其它人員使用,防止由于人員拷貝文件而引起的病毒入侵。為了達(dá)到此目的,必須給每一臺(tái)數(shù)采計(jì)算機(jī)和服務(wù)器設(shè)置用戶密碼,嚴(yán)格限制能進(jìn)入該計(jì)算機(jī)系統(tǒng)的人員數(shù)量。
使用以上的方法就可以比較好的保護(hù)計(jì)算機(jī),從而使整個(gè)系統(tǒng)的安全運(yùn)行得到有力的保證。
由于很多人沒(méi)有使用過(guò)操作系統(tǒng)的封閉端口的功能,下面簡(jiǎn)單的介紹一下如何在Windows系統(tǒng)中封閉無(wú)用的端口的方法。
打開(kāi)IP地址設(shè)置對(duì)話框,如下圖所示:
在上圖的IP地址設(shè)置對(duì)話框中,點(diǎn)擊“高級(jí)”按鈕,彈出高級(jí)設(shè)置對(duì)話框如下所示:
選擇“選項(xiàng)”頁(yè),選擇“TCP/IP 篩選”項(xiàng),點(diǎn)擊“屬性”按鈕,彈出端口過(guò)濾對(duì)話框,如下圖所示:
在本對(duì)話框中即可設(shè)置允許打開(kāi)的端口。點(diǎn)擊“確定”按鈕,完成端口的配置。此時(shí)系統(tǒng)將提示重起計(jì)算機(jī),選擇重新啟動(dòng)計(jì)算機(jī)即可。
文章版權(quán)歸西部工控xbgk所有,未經(jīng)許可不得轉(zhuǎn)載。
服務(wù)咨詢