- 產品
- 供應
- 公司
- 新聞
|
|
||||||||||||||||||||||||||||
CENTUM CS3000在當前情況下的安全性的解決方案
橫和電機公司推出最新的CENTUM CS3000系統,版本為R3.08,操作站系統采用為Windows XP Professional.。由于橫和電機公司推出的安全策略并不符合中國的具體情況,而且現在通過USB設備傳播的病毒更加廣泛。為此提出改進措施,有效地提高了操作站的安全性。
但正由于其過于開放,一方面由于移動設備的大量使用,二方面現煉廠都要求壓縮投資成本,經常要求工程師站(EWS)在平時也可以作為操作站給操作人員使用,從而給系統的安全性帶來了很大的威脅。維護工程師的CS3000安全性安裝問題的原理分析及成功解決方案。
1、CS3000系統存在的安全問題
而隨著橫河電機發布最新的CENTUM CS 3000系統版本為R3.08,其操作站的操作系統也改為Windows XP Professional。與以前的版本相比,版本R3.08增加了很多功能,更方便用戶的使用。在系統安全性上,它延續了使用“Centum Desktop”桌面環境,可禁止用戶更改Windows系統設置。但由于中國與歐美國情的不同,并未將與生產操作無關的功能進行完全封閉。
在實際使用中,筆者就發現下面幾個問題:
第一、由于煉廠為了壓縮投資成本,設計中要求在平時將工程師站(EWS)也作為操作站給操作人員進行操作,而工程師站(EWS)即使在“Centum Desktop”桌面環境中,在CENTUM賬戶下也能進入CS3000系統的任何組態工具中。
第二、由于現在移動設備增加,U盤的大量運用,經常發現操作工利用U盤在操作站上運行游戲程序及聽歌曲等,最危害大的是將通過U盤傳播的病毒帶入操作系統中。
第三、在安裝WINDOWS XP Professional操作系統過程中,一些Windows組件也會安裝到系統中來,而在“Centum Desktop”桌面環境中,在CENTUM賬戶下也能使用這些程序(比如游戲、通訊薄、Windows Media Player、Internet Explorer等)。從而操作人員可以通過這些游戲,進入系統刪除和修改操作站上的有關文件。
第四、在WINDOWS XP Professional 操作系統中,由于DCS維護人員未按相關要求進行安裝,也會影響到CS3000系統的正常運行,如在文獻[2]中明確指出應取消屏幕保護程序,由于WINDOWS XP Professional操作系統中是缺省有屏幕保護,若DCS維護人員在相關操作上沒有取消屏幕,會破化趨勢數據的采集等等。綜上所述,以上的這些問題將會嚴重地影響了操作站的安全,從而不利于生產操作。
雖然可以通過加強對操作人員的管理,可以防止嚴重的破壞事件發生。但從DCS維護人員的角度來看,必須制定一個詳細的步驟,提高操作站及工程師戰本身的安全性,限制操作工的權限。
解決方案
1、 如有打印機則安裝打印機,及其他設備驅動程序安裝,包括USB接口鍵盤驅動程序(為了以后禁用未經允許的USB設備做準備,在安裝完USB設備以后,插后的位置就不要發生改變)。
2、 以Administrator用戶登錄,取消屏保;設置電源工作模式,將休眠,高級里面的按鍵將SLEEP等取消。
3、 將USB自動運行關閉,使用組策略來進行設置。開始->運行->Gpedit.msc->計算機配置->管理模版->系統->關閉自動播放->設置已啟動->選擇所有驅動器。
4、 在WindowsXP中禁用未經允許的USB接口。開始->運行->Regedit,找到“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStor”主鍵,雙擊名為“Start”的DWORD值,將“數值數據”改為4(注:設為2時表示自動,設為3時表示手動(這是默認設置),設為4則為停用)。修改后,當用戶將未經允許的USB存儲設備連接到計算機時,該設備將無法運行。
5、 檢查程序菜單中是否有Windows操作系統附帶的Windows組件,如:游戲、通訊薄、Windows Media Player、Internet Explorer等等,如有則進入控制面板->增加/刪除程序->添加/刪除Windows組件,將相關組件刪除即可。
6、 重新啟動機器,在Administrator用戶登錄,將CENTUM添加管理員權限;在用CENTUM登錄,將屏保設置為無,設置電源工作模式,將休眠,高級里面的按鍵將SLEEP等取消。將音量圖標去掉(右鍵->打開音頻屬性),輸入法圖標去掉(點右鍵->設置->首選項->語言欄)。然后注銷,在用Administrator登錄,將CENTUM管理員權限去掉。
7、 進入HIS Utility,將Desktop設置為CENTUM Desktop。AUTO LOGO選擇為CENTUM登錄。在將開始菜單改為CENTUM Desktop。重啟機器(注:此時開始啟動了“Centum Desktop” 桌面環境)。
8、 用CENTUM用戶進入系統,將HIS Utility中的Startup(for CENTUM)選中下面的選項。
9、 對于工程師站,因為安裝了SYSTEM VIEWER等CS3000組態軟件,在“Centum Desktop”桌面環境中,在CENTUM賬戶下還是可以操作SYSTEM VIEWER等CS3000組態軟件。參考以前的解決方案,發現很多都是使用對文件和目錄賦予NTFS權限來進行限制,但是操作步驟繁雜,而且由于CS3000系統在CENTUM用戶下,是通過啟動目錄來調用CENTUM HIS程序,而如果稍一不注意,沒有分配給CENTUM用戶對“C:\Documents and Settings\All Users\「開始」菜單\啟動”目錄的訪問權限,就會導致CS3000在CENTUM用戶下不能自啟動。筆者通過摸索,找到更簡單的辦法,在Administrator用戶下,即進入C:\Documents and Settings\All Users\「開始」菜單\程序,將YOKOGAWA CENTUM文件夾發送至桌面快捷方式,然后再將YOKOGAWA CENTUM文件夾設置為隱藏屬性,同時將文件夾選項中的查看將隱藏文件全部顯示(主要是為了在Administrator用戶下,也可以調用CENTUM系統組態程序)。即更簡單解決該問題。
10、 在使用過程中,筆者還發現在工程師站(EWS)上只要操作級別為工程師級別,無論是采用軟件方式(使用密碼),還是鑰匙開關方式(使用工程師鑰匙),即使在CENTUM用戶下都能從CS3000系統菜單中進入組態畫面,并且還可以隨意進行關鍵操作如停FCS,HIS及改變重要參數等。由于CENTUM用戶下,操作人員知道了班長或工程師級別密碼,就能任意修改密碼,造成密碼管理困難,最重要的是可能會造成極大的不安全因素。參考文獻[6],我們采用的方法是由DCS維護人員設置一個很長很復雜的密碼,不告訴任何人,而如需操作級別切換,則使用鑰匙開關方式,就能較好的解決這一個問題。
注:由于CENTUM CS 3000使用了“Centum Desktop”桌面環境,筆者在摸索過程中發現,任何對安全策略的改變,都需要重新更新“Centum Desktop” 桌面環境的緩存,具體步驟為1、用Administrator用戶登錄,進入HIS Utility,將Desktop設置為Windows Standard,確定后,重啟機器。2、在用CENTUM登錄,然后注銷,用Administrator用戶登錄,進入HIS Utility,將Desktop設置為CENTUM Desktop,確定后,重啟機器。則將“Centum Desktop” 桌面環境的緩存更新完畢。
經過上述步驟,DCS維護工程師很容易就可以對操作站及工程師站進行維護。在CENTUM用戶下,操作人員再也不能進入Windows系統進行非法操作。而對于工程師站,DCS維護工程師在使用Administrator用戶登錄后,很方便的對CS3000組態和Windows XP系統進行維護;操作級別的切換也僅僅為使用鑰匙方能切換;同時在計算機已安裝了USB設備不受影響下,禁止非法的USB設備對系統的操作。至此,完整地解決了現階段CENTUM CS3000在Windows XP Professional操作系統上的安全性問題,并且經過2套系統的實施和將近一年的運行,系統運行安全、穩定、且便于工程師的組態和維護,得到了肯定,由此證明上述步驟和改進措施是成功的。
目前很多DCS,FCS和PLC操作站都是使用PC機,采用Windows XP 操作系統。由于Windows系統本身具有開放、通用和易用的特點,同時通過USB設備傳播病毒越來越廣泛,很多操作人員對Windows系統都有著很深的了解,因此他們經常試圖進入系統,進行一些與生產無關的操作。在這種情況下,要求DCS維護人員不僅要掌握DCS組態技術,還需要深入掌握Windows系統,充分利用好提供的相關工具,做好必要的安全防范。
