- 產(chǎn)品
- 供應(yīng)
- 公司
- 新聞
|
|
||||||||||||||||||||||||||||
CENTUM CS3000在當(dāng)前情況下的安全性的解決方案
橫和電機(jī)公司推出最新的CENTUM CS3000系統(tǒng),版本為R3.08,操作站系統(tǒng)采用為Windows XP Professional.。由于橫和電機(jī)公司推出的安全策略并不符合中國的具體情況,而且現(xiàn)在通過USB設(shè)備傳播的病毒更加廣泛。為此提出改進(jìn)措施,有效地提高了操作站的安全性。
但正由于其過于開放,一方面由于移動設(shè)備的大量使用,二方面現(xiàn)煉廠都要求壓縮投資成本,經(jīng)常要求工程師站(EWS)在平時也可以作為操作站給操作人員使用,從而給系統(tǒng)的安全性帶來了很大的威脅。維護(hù)工程師的CS3000安全性安裝問題的原理分析及成功解決方案。
1、CS3000系統(tǒng)存在的安全問題
而隨著橫河電機(jī)發(fā)布最新的CENTUM CS 3000系統(tǒng)版本為R3.08,其操作站的操作系統(tǒng)也改為Windows XP Professional。與以前的版本相比,版本R3.08增加了很多功能,更方便用戶的使用。在系統(tǒng)安全性上,它延續(xù)了使用“Centum Desktop”桌面環(huán)境,可禁止用戶更改Windows系統(tǒng)設(shè)置。但由于中國與歐美國情的不同,并未將與生產(chǎn)操作無關(guān)的功能進(jìn)行完全封閉。
在實(shí)際使用中,筆者就發(fā)現(xiàn)下面幾個問題:
第一、由于煉廠為了壓縮投資成本,設(shè)計中要求在平時將工程師站(EWS)也作為操作站給操作人員進(jìn)行操作,而工程師站(EWS)即使在“Centum Desktop”桌面環(huán)境中,在CENTUM賬戶下也能進(jìn)入CS3000系統(tǒng)的任何組態(tài)工具中。
第二、由于現(xiàn)在移動設(shè)備增加,U盤的大量運(yùn)用,經(jīng)常發(fā)現(xiàn)操作工利用U盤在操作站上運(yùn)行游戲程序及聽歌曲等,最危害大的是將通過U盤傳播的病毒帶入操作系統(tǒng)中。
第三、在安裝WINDOWS XP Professional操作系統(tǒng)過程中,一些Windows組件也會安裝到系統(tǒng)中來,而在“Centum Desktop”桌面環(huán)境中,在CENTUM賬戶下也能使用這些程序(比如游戲、通訊薄、Windows Media Player、Internet Explorer等)。從而操作人員可以通過這些游戲,進(jìn)入系統(tǒng)刪除和修改操作站上的有關(guān)文件。
第四、在WINDOWS XP Professional 操作系統(tǒng)中,由于DCS維護(hù)人員未按相關(guān)要求進(jìn)行安裝,也會影響到CS3000系統(tǒng)的正常運(yùn)行,如在文獻(xiàn)[2]中明確指出應(yīng)取消屏幕保護(hù)程序,由于WINDOWS XP Professional操作系統(tǒng)中是缺省有屏幕保護(hù),若DCS維護(hù)人員在相關(guān)操作上沒有取消屏幕,會破化趨勢數(shù)據(jù)的采集等等。綜上所述,以上的這些問題將會嚴(yán)重地影響了操作站的安全,從而不利于生產(chǎn)操作。
雖然可以通過加強(qiáng)對操作人員的管理,可以防止嚴(yán)重的破壞事件發(fā)生。但從DCS維護(hù)人員的角度來看,必須制定一個詳細(xì)的步驟,提高操作站及工程師戰(zhàn)本身的安全性,限制操作工的權(quán)限。
解決方案
1、 如有打印機(jī)則安裝打印機(jī),及其他設(shè)備驅(qū)動程序安裝,包括USB接口鍵盤驅(qū)動程序(為了以后禁用未經(jīng)允許的USB設(shè)備做準(zhǔn)備,在安裝完USB設(shè)備以后,插后的位置就不要發(fā)生改變)。
2、 以Administrator用戶登錄,取消屏保;設(shè)置電源工作模式,將休眠,高級里面的按鍵將SLEEP等取消。
3、 將USB自動運(yùn)行關(guān)閉,使用組策略來進(jìn)行設(shè)置。開始->運(yùn)行->Gpedit.msc->計算機(jī)配置->管理模版->系統(tǒng)->關(guān)閉自動播放->設(shè)置已啟動->選擇所有驅(qū)動器。
4、 在WindowsXP中禁用未經(jīng)允許的USB接口。開始->運(yùn)行->Regedit,找到“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStor”主鍵,雙擊名為“Start”的DWORD值,將“數(shù)值數(shù)據(jù)”改為4(注:設(shè)為2時表示自動,設(shè)為3時表示手動(這是默認(rèn)設(shè)置),設(shè)為4則為停用)。修改后,當(dāng)用戶將未經(jīng)允許的USB存儲設(shè)備連接到計算機(jī)時,該設(shè)備將無法運(yùn)行。
5、 檢查程序菜單中是否有Windows操作系統(tǒng)附帶的Windows組件,如:游戲、通訊薄、Windows Media Player、Internet Explorer等等,如有則進(jìn)入控制面板->增加/刪除程序->添加/刪除Windows組件,將相關(guān)組件刪除即可。
6、 重新啟動機(jī)器,在Administrator用戶登錄,將CENTUM添加管理員權(quán)限;在用CENTUM登錄,將屏保設(shè)置為無,設(shè)置電源工作模式,將休眠,高級里面的按鍵將SLEEP等取消。將音量圖標(biāo)去掉(右鍵->打開音頻屬性),輸入法圖標(biāo)去掉(點(diǎn)右鍵->設(shè)置->首選項->語言欄)。然后注銷,在用Administrator登錄,將CENTUM管理員權(quán)限去掉。
7、 進(jìn)入HIS Utility,將Desktop設(shè)置為CENTUM Desktop。AUTO LOGO選擇為CENTUM登錄。在將開始菜單改為CENTUM Desktop。重啟機(jī)器(注:此時開始啟動了“Centum Desktop” 桌面環(huán)境)。
8、 用CENTUM用戶進(jìn)入系統(tǒng),將HIS Utility中的Startup(for CENTUM)選中下面的選項。
9、 對于工程師站,因?yàn)榘惭b了SYSTEM VIEWER等CS3000組態(tài)軟件,在“Centum Desktop”桌面環(huán)境中,在CENTUM賬戶下還是可以操作SYSTEM VIEWER等CS3000組態(tài)軟件。參考以前的解決方案,發(fā)現(xiàn)很多都是使用對文件和目錄賦予NTFS權(quán)限來進(jìn)行限制,但是操作步驟繁雜,而且由于CS3000系統(tǒng)在CENTUM用戶下,是通過啟動目錄來調(diào)用CENTUM HIS程序,而如果稍一不注意,沒有分配給CENTUM用戶對“C:\Documents and Settings\All Users\「開始」菜單\啟動”目錄的訪問權(quán)限,就會導(dǎo)致CS3000在CENTUM用戶下不能自啟動。筆者通過摸索,找到更簡單的辦法,在Administrator用戶下,即進(jìn)入C:\Documents and Settings\All Users\「開始」菜單\程序,將YOKOGAWA CENTUM文件夾發(fā)送至桌面快捷方式,然后再將YOKOGAWA CENTUM文件夾設(shè)置為隱藏屬性,同時將文件夾選項中的查看將隱藏文件全部顯示(主要是為了在Administrator用戶下,也可以調(diào)用CENTUM系統(tǒng)組態(tài)程序)。即更簡單解決該問題。
10、 在使用過程中,筆者還發(fā)現(xiàn)在工程師站(EWS)上只要操作級別為工程師級別,無論是采用軟件方式(使用密碼),還是鑰匙開關(guān)方式(使用工程師鑰匙),即使在CENTUM用戶下都能從CS3000系統(tǒng)菜單中進(jìn)入組態(tài)畫面,并且還可以隨意進(jìn)行關(guān)鍵操作如停FCS,HIS及改變重要參數(shù)等。由于CENTUM用戶下,操作人員知道了班長或工程師級別密碼,就能任意修改密碼,造成密碼管理困難,最重要的是可能會造成極大的不安全因素。參考文獻(xiàn)[6],我們采用的方法是由DCS維護(hù)人員設(shè)置一個很長很復(fù)雜的密碼,不告訴任何人,而如需操作級別切換,則使用鑰匙開關(guān)方式,就能較好的解決這一個問題。
注:由于CENTUM CS 3000使用了“Centum Desktop”桌面環(huán)境,筆者在摸索過程中發(fā)現(xiàn),任何對安全策略的改變,都需要重新更新“Centum Desktop” 桌面環(huán)境的緩存,具體步驟為1、用Administrator用戶登錄,進(jìn)入HIS Utility,將Desktop設(shè)置為Windows Standard,確定后,重啟機(jī)器。2、在用CENTUM登錄,然后注銷,用Administrator用戶登錄,進(jìn)入HIS Utility,將Desktop設(shè)置為CENTUM Desktop,確定后,重啟機(jī)器。則將“Centum Desktop” 桌面環(huán)境的緩存更新完畢。
經(jīng)過上述步驟,DCS維護(hù)工程師很容易就可以對操作站及工程師站進(jìn)行維護(hù)。在CENTUM用戶下,操作人員再也不能進(jìn)入Windows系統(tǒng)進(jìn)行非法操作。而對于工程師站,DCS維護(hù)工程師在使用Administrator用戶登錄后,很方便的對CS3000組態(tài)和Windows XP系統(tǒng)進(jìn)行維護(hù);操作級別的切換也僅僅為使用鑰匙方能切換;同時在計算機(jī)已安裝了USB設(shè)備不受影響下,禁止非法的USB設(shè)備對系統(tǒng)的操作。至此,完整地解決了現(xiàn)階段CENTUM CS3000在Windows XP Professional操作系統(tǒng)上的安全性問題,并且經(jīng)過2套系統(tǒng)的實(shí)施和將近一年的運(yùn)行,系統(tǒng)運(yùn)行安全、穩(wěn)定、且便于工程師的組態(tài)和維護(hù),得到了肯定,由此證明上述步驟和改進(jìn)措施是成功的。
目前很多DCS,FCS和PLC操作站都是使用PC機(jī),采用Windows XP 操作系統(tǒng)。由于Windows系統(tǒng)本身具有開放、通用和易用的特點(diǎn),同時通過USB設(shè)備傳播病毒越來越廣泛,很多操作人員對Windows系統(tǒng)都有著很深的了解,因此他們經(jīng)常試圖進(jìn)入系統(tǒng),進(jìn)行一些與生產(chǎn)無關(guān)的操作。在這種情況下,要求DCS維護(hù)人員不僅要掌握DCS組態(tài)技術(shù),還需要深入掌握Windows系統(tǒng),充分利用好提供的相關(guān)工具,做好必要的安全防范。
ESB BUS COUPLER MODULE\EC401-11\ISA STANDARD G3\YOKOGAWA\PCS/DCS 更新型號EC401-51
ESB BUS CABLE\YCB301-C100\100cm\YOKOGAWA\PCS/DCS
SB401-11\ISA STANDARD G3\YOKOGAWA\PCS/DCS 更新SB401-51
AI模塊:AAI143-H03\ISA STANDARD G3\YOKOGAWA\PCS/DCS 更新型號AAI143-H53
AO模塊:AAI543-H03\ISA STANDARD G3\YOKOGAWA\PCS/DCS
modbus通訊模塊:ALR121-S01\ISA STANDARD G3\YOKOGAWA\PCS/DCS 更新型號ALR121-S51
電源模塊:PW482-11\YOKOGAWA 更新型號PW482-51
CPU模塊:CP451-11\YOKOGAWA
電源模塊:SPW482-13\YOKOGAWA 更新型號SPW482-53
CPU模塊:SCP461-11\YOKOGAWA 更新型號SCP461-51
控制網(wǎng)通訊模塊:SEC402-21\YOKOGAWA 更新型號SEC402-51
DO模塊: SDV541-S23\YOKOGAWA
DO模塊:SDV531-S23\YOKOGAWA 更新型號SDV531-S53
電源模塊:PW482-11\YOKOGAWA
CPU模塊:CP451-11\YOKOGAWA
電源模塊:SPW482-13\YOKOGAWA
CPU模塊:SCP461-11\YOKOGAWA 更新型號SCP461-51
AI模塊:SAI143-H03\YOKOGAWA
DO模塊: SDV541-S23\YOKOGAWA?
DO模塊:SDV531-S23\YOKOGAWA
AO模塊: AAI543-H03\ISA STANDARD G3\YOKOGAWA
DI模塊:SDV144-S13\YOKOGAWA
