紫金橋實時數(shù)據(jù)庫系統(tǒng)在網絡發(fā)布方面的安全處理
使用實時數(shù)據(jù)庫系統(tǒng)可以將生產過程中的實時數(shù)據(jù)實現(xiàn)集中和共享。比如紫金橋實時數(shù)據(jù)庫系統(tǒng)就可以把廠內各車間的數(shù)據(jù)集中在一起,然后通過網絡發(fā)布的形式把實時生產數(shù)據(jù)發(fā)布到Internet網上,這樣在任何可以連結到實時數(shù)據(jù)庫服務器的地方,只要打開標準的IE瀏覽器并輸入網址,即可觀看到實時的生產情況。
這種系統(tǒng)運行模式我們稱為B/S結構,即客戶端無須安裝任何軟件,只須有IE6.0瀏覽器即可。但是由于這種模式會把實時數(shù)據(jù)庫服務器暴露在以太網上,而且實時數(shù)據(jù)庫又往往通過一系列的驅動采集程序從生產現(xiàn)場DCS系統(tǒng)或其他控制站中直接采集數(shù)據(jù),所以網絡安全問題就顯得十分的重要,否則網絡病毒或黑客就會通過以太網侵入到生產系統(tǒng)中。
下圖是某大型生產系統(tǒng)的連接示意圖,管理人員通過本廠主頁進入系統(tǒng),即可察看到各車間的生產畫面,可以瀏覽實時數(shù)據(jù)、察看報警、和歷史記錄。
在本大型生產系統(tǒng)中數(shù)采計算機通過網絡OPC接口從控制系統(tǒng)中采集數(shù)據(jù),然后數(shù)據(jù)匯總到實時數(shù)據(jù)庫中,最后通過數(shù)據(jù)庫發(fā)布到整個廠內局域網。在制定本方案的時候一定要考慮到怎樣才能把局域網、生產網和控制系統(tǒng)隔離開來,從而保證控制系統(tǒng)的安全。從此原則著手制訂了如下的連接方案:
在每一套裝置處放置一臺微機進行數(shù)據(jù)采集,在每一臺數(shù)采機上都配置雙網卡,其中一塊網卡聯(lián)入生產網,另一塊聯(lián)結生產控制系統(tǒng)。同時實時數(shù)據(jù)庫服務器也配置雙網卡,一塊聯(lián)結生產網,另一塊和廠局域網相連。這樣由于有雙網卡的隔離,就把把局域網、生產網和控制系統(tǒng)隔離開來。這樣從硬件層面來說可以避免局域網內的計算機對控制系統(tǒng)直接進行攻擊。
數(shù)采計算機和服務器上采取安裝網絡防護軟件和實時殺毒軟件來提供最內層的保護。比如可以按裝Norton 網絡特警程序,此程序既可以防護網絡同時也可以時實的查殺病毒,一舉兩得。同時該軟件是Symmantec公司的產品,值的信賴。對于網絡防護方面,該軟件可以設置“信任”和“限制”連接,只要我們把控制系統(tǒng)工程師站加入信任連接中,同時選擇“除非特別聲明否則全部禁止”選擇項,那么和其他的所有計算機的連接都將會被完全禁止掉。這樣一來從軟件層面來說,可以杜絕病毒入侵到生產調度網,同時也加強了數(shù)采計算機的抗攻擊能力。
網絡管理上,將數(shù)采計算機與實時數(shù)據(jù)庫服務器分配在一個連續(xù)的網段內,然后通過使用子網掩碼設置,使的只有這些子網掩碼沒有過濾的計算機才可以相互訪問,這樣又從另一個層面上保證了服務器和數(shù)采機系統(tǒng)的安全性。所以采取了這種措施以后,又可以進一步的降低數(shù)采機被攻擊的概率。
在操作系統(tǒng)的設置方面,可以采取如下的方法來進一步的增強系統(tǒng)的安全性。我們知道網絡病毒入侵計算機的途徑只有攻擊計算機的特定端口,當端口存在漏洞時,它們才可以借此漏洞侵入計算機系統(tǒng)。所以我們只要把實時數(shù)據(jù)庫系統(tǒng)不使用的端口統(tǒng)統(tǒng)封閉,就可以完全不用擔心病毒從這些端口入侵了。
在計算機管理上,數(shù)采計算機和服務器只能作為專用設備,不允許維護人員外的其它人員使用,防止由于人員拷貝文件而引起的病毒入侵。為了達到此目的,必須給每一臺數(shù)采計算機和服務器設置用戶密碼,嚴格限制能進入該計算機系統(tǒng)的人員數(shù)量。
使用以上的方法就可以比較好的保護計算機,從而使整個系統(tǒng)的安全運行得到有力的保證。
由于很多人沒有使用過操作系統(tǒng)的封閉端口的功能,下面簡單的介紹一下如何在Windows系統(tǒng)中封閉無用的端口的方法。
打開IP地址設置對話框,如下圖所示:
在上圖的IP地址設置對話框中,點擊“高級”按鈕,彈出高級設置對話框如下所示:
選擇“選項”頁,選擇“TCP/IP 篩選”項,點擊“屬性”按鈕,彈出端口過濾對話框,如下圖所示:
在本對話框中即可設置允許打開的端口。點擊“確定”按鈕,完成端口的配置。此時系統(tǒng)將提示重起計算機,選擇重新啟動計算機即可。
這種系統(tǒng)運行模式我們稱為B/S結構,即客戶端無須安裝任何軟件,只須有IE6.0瀏覽器即可。但是由于這種模式會把實時數(shù)據(jù)庫服務器暴露在以太網上,而且實時數(shù)據(jù)庫又往往通過一系列的驅動采集程序從生產現(xiàn)場DCS系統(tǒng)或其他控制站中直接采集數(shù)據(jù),所以網絡安全問題就顯得十分的重要,否則網絡病毒或黑客就會通過以太網侵入到生產系統(tǒng)中。
下圖是某大型生產系統(tǒng)的連接示意圖,管理人員通過本廠主頁進入系統(tǒng),即可察看到各車間的生產畫面,可以瀏覽實時數(shù)據(jù)、察看報警、和歷史記錄。
在本大型生產系統(tǒng)中數(shù)采計算機通過網絡OPC接口從控制系統(tǒng)中采集數(shù)據(jù),然后數(shù)據(jù)匯總到實時數(shù)據(jù)庫中,最后通過數(shù)據(jù)庫發(fā)布到整個廠內局域網。在制定本方案的時候一定要考慮到怎樣才能把局域網、生產網和控制系統(tǒng)隔離開來,從而保證控制系統(tǒng)的安全。從此原則著手制訂了如下的連接方案:
在每一套裝置處放置一臺微機進行數(shù)據(jù)采集,在每一臺數(shù)采機上都配置雙網卡,其中一塊網卡聯(lián)入生產網,另一塊聯(lián)結生產控制系統(tǒng)。同時實時數(shù)據(jù)庫服務器也配置雙網卡,一塊聯(lián)結生產網,另一塊和廠局域網相連。這樣由于有雙網卡的隔離,就把把局域網、生產網和控制系統(tǒng)隔離開來。這樣從硬件層面來說可以避免局域網內的計算機對控制系統(tǒng)直接進行攻擊。
數(shù)采計算機和服務器上采取安裝網絡防護軟件和實時殺毒軟件來提供最內層的保護。比如可以按裝Norton 網絡特警程序,此程序既可以防護網絡同時也可以時實的查殺病毒,一舉兩得。同時該軟件是Symmantec公司的產品,值的信賴。對于網絡防護方面,該軟件可以設置“信任”和“限制”連接,只要我們把控制系統(tǒng)工程師站加入信任連接中,同時選擇“除非特別聲明否則全部禁止”選擇項,那么和其他的所有計算機的連接都將會被完全禁止掉。這樣一來從軟件層面來說,可以杜絕病毒入侵到生產調度網,同時也加強了數(shù)采計算機的抗攻擊能力。
網絡管理上,將數(shù)采計算機與實時數(shù)據(jù)庫服務器分配在一個連續(xù)的網段內,然后通過使用子網掩碼設置,使的只有這些子網掩碼沒有過濾的計算機才可以相互訪問,這樣又從另一個層面上保證了服務器和數(shù)采機系統(tǒng)的安全性。所以采取了這種措施以后,又可以進一步的降低數(shù)采機被攻擊的概率。
在操作系統(tǒng)的設置方面,可以采取如下的方法來進一步的增強系統(tǒng)的安全性。我們知道網絡病毒入侵計算機的途徑只有攻擊計算機的特定端口,當端口存在漏洞時,它們才可以借此漏洞侵入計算機系統(tǒng)。所以我們只要把實時數(shù)據(jù)庫系統(tǒng)不使用的端口統(tǒng)統(tǒng)封閉,就可以完全不用擔心病毒從這些端口入侵了。
在計算機管理上,數(shù)采計算機和服務器只能作為專用設備,不允許維護人員外的其它人員使用,防止由于人員拷貝文件而引起的病毒入侵。為了達到此目的,必須給每一臺數(shù)采計算機和服務器設置用戶密碼,嚴格限制能進入該計算機系統(tǒng)的人員數(shù)量。
使用以上的方法就可以比較好的保護計算機,從而使整個系統(tǒng)的安全運行得到有力的保證。
由于很多人沒有使用過操作系統(tǒng)的封閉端口的功能,下面簡單的介紹一下如何在Windows系統(tǒng)中封閉無用的端口的方法。
打開IP地址設置對話框,如下圖所示:
在上圖的IP地址設置對話框中,點擊“高級”按鈕,彈出高級設置對話框如下所示:
選擇“選項”頁,選擇“TCP/IP 篩選”項,點擊“屬性”按鈕,彈出端口過濾對話框,如下圖所示:
在本對話框中即可設置允許打開的端口。點擊“確定”按鈕,完成端口的配置。此時系統(tǒng)將提示重起計算機,選擇重新啟動計算機即可。
文章版權歸西部工控xbgk所有,未經許可不得轉載。
服務咨詢