紫金橋?qū)崟r(shí)數(shù)據(jù)庫系統(tǒng)網(wǎng)絡(luò)發(fā)布的安全問題
使用實(shí)時(shí)數(shù)據(jù)庫系統(tǒng)可以實(shí)現(xiàn)生產(chǎn)實(shí)時(shí)數(shù)據(jù)的集中和共享。比如紫金橋?qū)崟r(shí)數(shù)據(jù)庫系統(tǒng)就可以把廠內(nèi)各車間的數(shù)據(jù)集中在一起,然后通過網(wǎng)絡(luò)發(fā)布的形式把實(shí)時(shí)生產(chǎn)數(shù)據(jù)發(fā)布到Internet網(wǎng)上,這樣在任何可以連結(jié)到實(shí)時(shí)數(shù)據(jù)庫服務(wù)器的地方,只要打開標(biāo)準(zhǔn)的IE瀏覽器并輸入網(wǎng)址,即可觀看到實(shí)時(shí)的生產(chǎn)情況。
這種系統(tǒng)運(yùn)行模式我們稱為B/S結(jié)構(gòu),即客戶端無須安裝任何軟件,只須有IE6.0瀏覽器即可。但是由于這種模式會(huì)把實(shí)時(shí)數(shù)據(jù)庫服務(wù)器暴露在以太網(wǎng)上,而且實(shí)時(shí)數(shù)據(jù)庫又往往通過一系列的驅(qū)動(dòng)采集程序從生產(chǎn)現(xiàn)場DCS系統(tǒng)或其他控制站中直接采集數(shù)據(jù),所以網(wǎng)絡(luò)安全問題就顯得十分的重要,否則網(wǎng)絡(luò)病毒或黑客就會(huì)通過以太網(wǎng)侵入到生產(chǎn)系統(tǒng)中。
下圖是某大型生產(chǎn)系統(tǒng)的連接示意圖,管理人員通過本廠主頁進(jìn)入系統(tǒng),即可察看到各車間的生產(chǎn)畫面,可以瀏覽實(shí)時(shí)數(shù)據(jù)、察看報(bào)警、和歷史記錄。
在本大型生產(chǎn)系統(tǒng)中數(shù)采計(jì)算機(jī)通過網(wǎng)絡(luò)OPC接口從控制系統(tǒng)中采集數(shù)據(jù),然后數(shù)據(jù)匯總到實(shí)時(shí)數(shù)據(jù)庫中,最后通過數(shù)據(jù)庫發(fā)布到整個(gè)廠內(nèi)局域網(wǎng)。在制定本方案的時(shí)候一定要考慮到怎樣才能把局域網(wǎng)、生產(chǎn)網(wǎng)和控制系統(tǒng)隔離開來,從而保證控制系統(tǒng)的安全。從此原則著手制訂了如下的連接方案:
在每一套裝置處放置一臺(tái)微機(jī)進(jìn)行數(shù)據(jù)采集,在每一臺(tái)數(shù)采機(jī)上都配置雙網(wǎng)卡,其中一塊網(wǎng)卡聯(lián)入生產(chǎn)網(wǎng),另一塊聯(lián)結(jié)生產(chǎn)控制系統(tǒng)。同時(shí)實(shí)時(shí)數(shù)據(jù)庫服務(wù)器也配置雙網(wǎng)卡,一塊聯(lián)結(jié)生產(chǎn)網(wǎng),另一塊和廠局域網(wǎng)相連。這樣由于有雙網(wǎng)卡的隔離,就把把局域網(wǎng)、生產(chǎn)網(wǎng)和控制系統(tǒng)隔離開來。這樣從硬件層面來說可以避免局域網(wǎng)內(nèi)的計(jì)算機(jī)對控制系統(tǒng)直接進(jìn)行攻擊。
數(shù)采計(jì)算機(jī)和服務(wù)器上采取安裝網(wǎng)絡(luò)防護(hù)軟件和實(shí)時(shí)殺毒軟件來提供最內(nèi)層的保護(hù)。比如可以按裝Norton 網(wǎng)絡(luò)特警程序,此程序既可以防護(hù)網(wǎng)絡(luò)同時(shí)也可以時(shí)實(shí)的查殺病毒,一舉兩得。同時(shí)該軟件是Symmantec公司的產(chǎn)品,值的信賴。對于網(wǎng)絡(luò)防護(hù)方面,該軟件可以設(shè)置“信任”和“限制”連接,只要我們把控制系統(tǒng)工程師站加入信任連接中,同時(shí)選擇“除非特別聲明否則全部禁止”選擇項(xiàng),那么和其他的所有計(jì)算機(jī)的連接都將會(huì)被完全禁止掉。這樣一來從軟件層面來說,可以杜絕病毒入侵到生產(chǎn)調(diào)度網(wǎng),同時(shí)也加強(qiáng)了數(shù)采計(jì)算機(jī)的抗攻擊能力。
網(wǎng)絡(luò)管理上,將數(shù)采計(jì)算機(jī)與實(shí)時(shí)數(shù)據(jù)庫服務(wù)器分配在一個(gè)連續(xù)的網(wǎng)段內(nèi),然后通過使用子網(wǎng)掩碼設(shè)置,使的只有這些子網(wǎng)掩碼沒有過濾的計(jì)算機(jī)才可以相互訪問,這樣又從另一個(gè)層面上保證了服務(wù)器和數(shù)采機(jī)系統(tǒng)的安全性。所以采取了這種措施以后,又可以進(jìn)一步的降低數(shù)采機(jī)被攻擊的概率。
在操作系統(tǒng)的設(shè)置方面,可以采取如下的方法來進(jìn)一步的增強(qiáng)系統(tǒng)的安全性。我們知道網(wǎng)絡(luò)病毒入侵計(jì)算機(jī)的途徑只有攻擊計(jì)算機(jī)的特定端口,當(dāng)端口存在漏洞時(shí),它們才可以借此漏洞侵入計(jì)算機(jī)系統(tǒng)。所以我們只要把實(shí)時(shí)數(shù)據(jù)庫系統(tǒng)不使用的端口統(tǒng)統(tǒng)封閉,就可以完全不用擔(dān)心病毒從這些端口入侵了。
在計(jì)算機(jī)管理上,數(shù)采計(jì)算機(jī)和服務(wù)器只能作為專用設(shè)備,不允許維護(hù)人員外的其它人員使用,防止由于人員拷貝文件而引起的病毒入侵。為了達(dá)到此目的,必須給每一臺(tái)數(shù)采計(jì)算機(jī)和服務(wù)器設(shè)置用戶密碼,嚴(yán)格限制能進(jìn)入該計(jì)算機(jī)系統(tǒng)的人員數(shù)量。
使用以上的方法就可以比較好的保護(hù)計(jì)算機(jī),從而使整個(gè)系統(tǒng)的安全運(yùn)行得到有力的保證。
由于很多人沒有使用過操作系統(tǒng)的封閉端口的功能,下面簡單的介紹一下如何在Windows系統(tǒng)中封閉無用的端口的方法。
打開IP地址設(shè)置對話框,如下圖所示:
在上圖的IP地址設(shè)置對話框中,點(diǎn)擊“高級”按鈕,彈出高級設(shè)置對話框如下所示:
選擇“選項(xiàng)”頁,選擇“TCP/IP 篩選”項(xiàng),點(diǎn)擊“屬性”按鈕,彈出端口過濾對話框,如下圖所示:
在本對話框中即可設(shè)置允許打開的端口。點(diǎn)擊“確定”按鈕,完成端口的配置。此時(shí)系統(tǒng)將提示重起計(jì)算機(jī),選擇重新啟動(dòng)計(jì)算機(jī)即可。
這種系統(tǒng)運(yùn)行模式我們稱為B/S結(jié)構(gòu),即客戶端無須安裝任何軟件,只須有IE6.0瀏覽器即可。但是由于這種模式會(huì)把實(shí)時(shí)數(shù)據(jù)庫服務(wù)器暴露在以太網(wǎng)上,而且實(shí)時(shí)數(shù)據(jù)庫又往往通過一系列的驅(qū)動(dòng)采集程序從生產(chǎn)現(xiàn)場DCS系統(tǒng)或其他控制站中直接采集數(shù)據(jù),所以網(wǎng)絡(luò)安全問題就顯得十分的重要,否則網(wǎng)絡(luò)病毒或黑客就會(huì)通過以太網(wǎng)侵入到生產(chǎn)系統(tǒng)中。
下圖是某大型生產(chǎn)系統(tǒng)的連接示意圖,管理人員通過本廠主頁進(jìn)入系統(tǒng),即可察看到各車間的生產(chǎn)畫面,可以瀏覽實(shí)時(shí)數(shù)據(jù)、察看報(bào)警、和歷史記錄。
在本大型生產(chǎn)系統(tǒng)中數(shù)采計(jì)算機(jī)通過網(wǎng)絡(luò)OPC接口從控制系統(tǒng)中采集數(shù)據(jù),然后數(shù)據(jù)匯總到實(shí)時(shí)數(shù)據(jù)庫中,最后通過數(shù)據(jù)庫發(fā)布到整個(gè)廠內(nèi)局域網(wǎng)。在制定本方案的時(shí)候一定要考慮到怎樣才能把局域網(wǎng)、生產(chǎn)網(wǎng)和控制系統(tǒng)隔離開來,從而保證控制系統(tǒng)的安全。從此原則著手制訂了如下的連接方案:
在每一套裝置處放置一臺(tái)微機(jī)進(jìn)行數(shù)據(jù)采集,在每一臺(tái)數(shù)采機(jī)上都配置雙網(wǎng)卡,其中一塊網(wǎng)卡聯(lián)入生產(chǎn)網(wǎng),另一塊聯(lián)結(jié)生產(chǎn)控制系統(tǒng)。同時(shí)實(shí)時(shí)數(shù)據(jù)庫服務(wù)器也配置雙網(wǎng)卡,一塊聯(lián)結(jié)生產(chǎn)網(wǎng),另一塊和廠局域網(wǎng)相連。這樣由于有雙網(wǎng)卡的隔離,就把把局域網(wǎng)、生產(chǎn)網(wǎng)和控制系統(tǒng)隔離開來。這樣從硬件層面來說可以避免局域網(wǎng)內(nèi)的計(jì)算機(jī)對控制系統(tǒng)直接進(jìn)行攻擊。
數(shù)采計(jì)算機(jī)和服務(wù)器上采取安裝網(wǎng)絡(luò)防護(hù)軟件和實(shí)時(shí)殺毒軟件來提供最內(nèi)層的保護(hù)。比如可以按裝Norton 網(wǎng)絡(luò)特警程序,此程序既可以防護(hù)網(wǎng)絡(luò)同時(shí)也可以時(shí)實(shí)的查殺病毒,一舉兩得。同時(shí)該軟件是Symmantec公司的產(chǎn)品,值的信賴。對于網(wǎng)絡(luò)防護(hù)方面,該軟件可以設(shè)置“信任”和“限制”連接,只要我們把控制系統(tǒng)工程師站加入信任連接中,同時(shí)選擇“除非特別聲明否則全部禁止”選擇項(xiàng),那么和其他的所有計(jì)算機(jī)的連接都將會(huì)被完全禁止掉。這樣一來從軟件層面來說,可以杜絕病毒入侵到生產(chǎn)調(diào)度網(wǎng),同時(shí)也加強(qiáng)了數(shù)采計(jì)算機(jī)的抗攻擊能力。
網(wǎng)絡(luò)管理上,將數(shù)采計(jì)算機(jī)與實(shí)時(shí)數(shù)據(jù)庫服務(wù)器分配在一個(gè)連續(xù)的網(wǎng)段內(nèi),然后通過使用子網(wǎng)掩碼設(shè)置,使的只有這些子網(wǎng)掩碼沒有過濾的計(jì)算機(jī)才可以相互訪問,這樣又從另一個(gè)層面上保證了服務(wù)器和數(shù)采機(jī)系統(tǒng)的安全性。所以采取了這種措施以后,又可以進(jìn)一步的降低數(shù)采機(jī)被攻擊的概率。
在操作系統(tǒng)的設(shè)置方面,可以采取如下的方法來進(jìn)一步的增強(qiáng)系統(tǒng)的安全性。我們知道網(wǎng)絡(luò)病毒入侵計(jì)算機(jī)的途徑只有攻擊計(jì)算機(jī)的特定端口,當(dāng)端口存在漏洞時(shí),它們才可以借此漏洞侵入計(jì)算機(jī)系統(tǒng)。所以我們只要把實(shí)時(shí)數(shù)據(jù)庫系統(tǒng)不使用的端口統(tǒng)統(tǒng)封閉,就可以完全不用擔(dān)心病毒從這些端口入侵了。
在計(jì)算機(jī)管理上,數(shù)采計(jì)算機(jī)和服務(wù)器只能作為專用設(shè)備,不允許維護(hù)人員外的其它人員使用,防止由于人員拷貝文件而引起的病毒入侵。為了達(dá)到此目的,必須給每一臺(tái)數(shù)采計(jì)算機(jī)和服務(wù)器設(shè)置用戶密碼,嚴(yán)格限制能進(jìn)入該計(jì)算機(jī)系統(tǒng)的人員數(shù)量。
使用以上的方法就可以比較好的保護(hù)計(jì)算機(jī),從而使整個(gè)系統(tǒng)的安全運(yùn)行得到有力的保證。
由于很多人沒有使用過操作系統(tǒng)的封閉端口的功能,下面簡單的介紹一下如何在Windows系統(tǒng)中封閉無用的端口的方法。
打開IP地址設(shè)置對話框,如下圖所示:
在上圖的IP地址設(shè)置對話框中,點(diǎn)擊“高級”按鈕,彈出高級設(shè)置對話框如下所示:
選擇“選項(xiàng)”頁,選擇“TCP/IP 篩選”項(xiàng),點(diǎn)擊“屬性”按鈕,彈出端口過濾對話框,如下圖所示:
在本對話框中即可設(shè)置允許打開的端口。點(diǎn)擊“確定”按鈕,完成端口的配置。此時(shí)系統(tǒng)將提示重起計(jì)算機(jī),選擇重新啟動(dòng)計(jì)算機(jī)即可。
文章版權(quán)歸西部工控xbgk所有,未經(jīng)許可不得轉(zhuǎn)載。
服務(wù)咨詢