紫金橋?qū)崟r數(shù)據(jù)庫系統(tǒng)網(wǎng)絡(luò)發(fā)布的安全問題
使用實時數(shù)據(jù)庫系統(tǒng)可以實現(xiàn)生產(chǎn)實時數(shù)據(jù)的集中和共享。比如紫金橋?qū)崟r數(shù)據(jù)庫系統(tǒng)就可以把廠內(nèi)各車間的數(shù)據(jù)集中在一起,然后通過網(wǎng)絡(luò)發(fā)布的形式把實時生產(chǎn)數(shù)據(jù)發(fā)布到Internet網(wǎng)上,這樣在任何可以連結(jié)到實時數(shù)據(jù)庫服務(wù)器的地方,只要打開標(biāo)準(zhǔn)的IE瀏覽器并輸入網(wǎng)址,即可觀看到實時的生產(chǎn)情況。
這種系統(tǒng)運行模式我們稱為B/S結(jié)構(gòu),即客戶端無須安裝任何軟件,只須有IE6.0瀏覽器即可。但是由于這種模式會把實時數(shù)據(jù)庫服務(wù)器暴露在以太網(wǎng)上,而且實時數(shù)據(jù)庫又往往通過一系列的驅(qū)動采集程序從生產(chǎn)現(xiàn)場DCS系統(tǒng)或其他控制站中直接采集數(shù)據(jù),所以網(wǎng)絡(luò)安全問題就顯得十分的重要,否則網(wǎng)絡(luò)病毒或黑客就會通過以太網(wǎng)侵入到生產(chǎn)系統(tǒng)中。
下圖是某大型生產(chǎn)系統(tǒng)的連接示意圖,管理人員通過本廠主頁進入系統(tǒng),即可察看到各車間的生產(chǎn)畫面,可以瀏覽實時數(shù)據(jù)、察看報警、和歷史記錄。
在本大型生產(chǎn)系統(tǒng)中數(shù)采計算機通過網(wǎng)絡(luò)OPC接口從控制系統(tǒng)中采集數(shù)據(jù),然后數(shù)據(jù)匯總到實時數(shù)據(jù)庫中,最后通過數(shù)據(jù)庫發(fā)布到整個廠內(nèi)局域網(wǎng)。在制定本方案的時候一定要考慮到怎樣才能把局域網(wǎng)、生產(chǎn)網(wǎng)和控制系統(tǒng)隔離開來,從而保證控制系統(tǒng)的安全。從此原則著手制訂了如下的連接方案:
在每一套裝置處放置一臺微機進行數(shù)據(jù)采集,在每一臺數(shù)采機上都配置雙網(wǎng)卡,其中一塊網(wǎng)卡聯(lián)入生產(chǎn)網(wǎng),另一塊聯(lián)結(jié)生產(chǎn)控制系統(tǒng)。同時實時數(shù)據(jù)庫服務(wù)器也配置雙網(wǎng)卡,一塊聯(lián)結(jié)生產(chǎn)網(wǎng),另一塊和廠局域網(wǎng)相連。這樣由于有雙網(wǎng)卡的隔離,就把把局域網(wǎng)、生產(chǎn)網(wǎng)和控制系統(tǒng)隔離開來。這樣從硬件層面來說可以避免局域網(wǎng)內(nèi)的計算機對控制系統(tǒng)直接進行攻擊。
數(shù)采計算機和服務(wù)器上采取安裝網(wǎng)絡(luò)防護軟件和實時殺毒軟件來提供最內(nèi)層的保護。比如可以按裝Norton 網(wǎng)絡(luò)特警程序,此程序既可以防護網(wǎng)絡(luò)同時也可以時實的查殺病毒,一舉兩得。同時該軟件是Symmantec公司的產(chǎn)品,值的信賴。對于網(wǎng)絡(luò)防護方面,該軟件可以設(shè)置“信任”和“限制”連接,只要我們把控制系統(tǒng)工程師站加入信任連接中,同時選擇“除非特別聲明否則全部禁止”選擇項,那么和其他的所有計算機的連接都將會被完全禁止掉。這樣一來從軟件層面來說,可以杜絕病毒入侵到生產(chǎn)調(diào)度網(wǎng),同時也加強了數(shù)采計算機的抗攻擊能力。
網(wǎng)絡(luò)管理上,將數(shù)采計算機與實時數(shù)據(jù)庫服務(wù)器分配在一個連續(xù)的網(wǎng)段內(nèi),然后通過使用子網(wǎng)掩碼設(shè)置,使的只有這些子網(wǎng)掩碼沒有過濾的計算機才可以相互訪問,這樣又從另一個層面上保證了服務(wù)器和數(shù)采機系統(tǒng)的安全性。所以采取了這種措施以后,又可以進一步的降低數(shù)采機被攻擊的概率。
在操作系統(tǒng)的設(shè)置方面,可以采取如下的方法來進一步的增強系統(tǒng)的安全性。我們知道網(wǎng)絡(luò)病毒入侵計算機的途徑只有攻擊計算機的特定端口,當(dāng)端口存在漏洞時,它們才可以借此漏洞侵入計算機系統(tǒng)。所以我們只要把實時數(shù)據(jù)庫系統(tǒng)不使用的端口統(tǒng)統(tǒng)封閉,就可以完全不用擔(dān)心病毒從這些端口入侵了。
在計算機管理上,數(shù)采計算機和服務(wù)器只能作為專用設(shè)備,不允許維護人員外的其它人員使用,防止由于人員拷貝文件而引起的病毒入侵。為了達到此目的,必須給每一臺數(shù)采計算機和服務(wù)器設(shè)置用戶密碼,嚴格限制能進入該計算機系統(tǒng)的人員數(shù)量。
使用以上的方法就可以比較好的保護計算機,從而使整個系統(tǒng)的安全運行得到有力的保證。
由于很多人沒有使用過操作系統(tǒng)的封閉端口的功能,下面簡單的介紹一下如何在Windows系統(tǒng)中封閉無用的端口的方法。
打開IP地址設(shè)置對話框,如下圖所示:
在上圖的IP地址設(shè)置對話框中,點擊“高級”按鈕,彈出高級設(shè)置對話框如下所示:
選擇“選項”頁,選擇“TCP/IP 篩選”項,點擊“屬性”按鈕,彈出端口過濾對話框,如下圖所示:
在本對話框中即可設(shè)置允許打開的端口。點擊“確定”按鈕,完成端口的配置。此時系統(tǒng)將提示重起計算機,選擇重新啟動計算機即可。
這種系統(tǒng)運行模式我們稱為B/S結(jié)構(gòu),即客戶端無須安裝任何軟件,只須有IE6.0瀏覽器即可。但是由于這種模式會把實時數(shù)據(jù)庫服務(wù)器暴露在以太網(wǎng)上,而且實時數(shù)據(jù)庫又往往通過一系列的驅(qū)動采集程序從生產(chǎn)現(xiàn)場DCS系統(tǒng)或其他控制站中直接采集數(shù)據(jù),所以網(wǎng)絡(luò)安全問題就顯得十分的重要,否則網(wǎng)絡(luò)病毒或黑客就會通過以太網(wǎng)侵入到生產(chǎn)系統(tǒng)中。
下圖是某大型生產(chǎn)系統(tǒng)的連接示意圖,管理人員通過本廠主頁進入系統(tǒng),即可察看到各車間的生產(chǎn)畫面,可以瀏覽實時數(shù)據(jù)、察看報警、和歷史記錄。
在本大型生產(chǎn)系統(tǒng)中數(shù)采計算機通過網(wǎng)絡(luò)OPC接口從控制系統(tǒng)中采集數(shù)據(jù),然后數(shù)據(jù)匯總到實時數(shù)據(jù)庫中,最后通過數(shù)據(jù)庫發(fā)布到整個廠內(nèi)局域網(wǎng)。在制定本方案的時候一定要考慮到怎樣才能把局域網(wǎng)、生產(chǎn)網(wǎng)和控制系統(tǒng)隔離開來,從而保證控制系統(tǒng)的安全。從此原則著手制訂了如下的連接方案:
在每一套裝置處放置一臺微機進行數(shù)據(jù)采集,在每一臺數(shù)采機上都配置雙網(wǎng)卡,其中一塊網(wǎng)卡聯(lián)入生產(chǎn)網(wǎng),另一塊聯(lián)結(jié)生產(chǎn)控制系統(tǒng)。同時實時數(shù)據(jù)庫服務(wù)器也配置雙網(wǎng)卡,一塊聯(lián)結(jié)生產(chǎn)網(wǎng),另一塊和廠局域網(wǎng)相連。這樣由于有雙網(wǎng)卡的隔離,就把把局域網(wǎng)、生產(chǎn)網(wǎng)和控制系統(tǒng)隔離開來。這樣從硬件層面來說可以避免局域網(wǎng)內(nèi)的計算機對控制系統(tǒng)直接進行攻擊。
數(shù)采計算機和服務(wù)器上采取安裝網(wǎng)絡(luò)防護軟件和實時殺毒軟件來提供最內(nèi)層的保護。比如可以按裝Norton 網(wǎng)絡(luò)特警程序,此程序既可以防護網(wǎng)絡(luò)同時也可以時實的查殺病毒,一舉兩得。同時該軟件是Symmantec公司的產(chǎn)品,值的信賴。對于網(wǎng)絡(luò)防護方面,該軟件可以設(shè)置“信任”和“限制”連接,只要我們把控制系統(tǒng)工程師站加入信任連接中,同時選擇“除非特別聲明否則全部禁止”選擇項,那么和其他的所有計算機的連接都將會被完全禁止掉。這樣一來從軟件層面來說,可以杜絕病毒入侵到生產(chǎn)調(diào)度網(wǎng),同時也加強了數(shù)采計算機的抗攻擊能力。
網(wǎng)絡(luò)管理上,將數(shù)采計算機與實時數(shù)據(jù)庫服務(wù)器分配在一個連續(xù)的網(wǎng)段內(nèi),然后通過使用子網(wǎng)掩碼設(shè)置,使的只有這些子網(wǎng)掩碼沒有過濾的計算機才可以相互訪問,這樣又從另一個層面上保證了服務(wù)器和數(shù)采機系統(tǒng)的安全性。所以采取了這種措施以后,又可以進一步的降低數(shù)采機被攻擊的概率。
在操作系統(tǒng)的設(shè)置方面,可以采取如下的方法來進一步的增強系統(tǒng)的安全性。我們知道網(wǎng)絡(luò)病毒入侵計算機的途徑只有攻擊計算機的特定端口,當(dāng)端口存在漏洞時,它們才可以借此漏洞侵入計算機系統(tǒng)。所以我們只要把實時數(shù)據(jù)庫系統(tǒng)不使用的端口統(tǒng)統(tǒng)封閉,就可以完全不用擔(dān)心病毒從這些端口入侵了。
在計算機管理上,數(shù)采計算機和服務(wù)器只能作為專用設(shè)備,不允許維護人員外的其它人員使用,防止由于人員拷貝文件而引起的病毒入侵。為了達到此目的,必須給每一臺數(shù)采計算機和服務(wù)器設(shè)置用戶密碼,嚴格限制能進入該計算機系統(tǒng)的人員數(shù)量。
使用以上的方法就可以比較好的保護計算機,從而使整個系統(tǒng)的安全運行得到有力的保證。
由于很多人沒有使用過操作系統(tǒng)的封閉端口的功能,下面簡單的介紹一下如何在Windows系統(tǒng)中封閉無用的端口的方法。
打開IP地址設(shè)置對話框,如下圖所示:
在上圖的IP地址設(shè)置對話框中,點擊“高級”按鈕,彈出高級設(shè)置對話框如下所示:
選擇“選項”頁,選擇“TCP/IP 篩選”項,點擊“屬性”按鈕,彈出端口過濾對話框,如下圖所示:
在本對話框中即可設(shè)置允許打開的端口。點擊“確定”按鈕,完成端口的配置。此時系統(tǒng)將提示重起計算機,選擇重新啟動計算機即可。
文章版權(quán)歸西部工控xbgk所有,未經(jīng)許可不得轉(zhuǎn)載。
服務(wù)咨詢