CENTUM CS3000在當前情況下的安全性的解決方案

橫和電機公司推出最新的CENTUM CS3000系統，版本為R3.08，操作站系統采用為Windows XP Professional.。由于橫和電機公司推出的安全策略并不符合中國的具體情況，而且現在通過USB設備傳播的病毒更加廣泛。為此提出改進措施，有效地提高了操作站的安全性。

但正由于其過于開放，一方面由于移動設備的大量使用，二方面現煉廠都要求壓縮投資成本，經常要求工程師站（EWS）在平時也可以作為操作站給操作人員使用，從而給系統的安全性帶來了很大的威脅。維護工程師的CS3000安全性安裝問題的原理分析及成功解決方案。

1、CS3000系統存在的安全問題

而隨著橫河電機發布最新的CENTUM CS 3000系統版本為R3.08，其操作站的操作系統也改為Windows XP Professional。與以前的版本相比，版本R3.08增加了很多功能，更方便用戶的使用。在系統安全性上，它延續了使用“Centum Desktop”桌面環境，可禁止用戶更改Windows系統設置。但由于中國與歐美國情的不同，并未將與生產操作無關的功能進行完全封閉。

在實際使用中，筆者就發現下面幾個問題：

第一、由于煉廠為了壓縮投資成本，設計中要求在平時將工程師站（EWS）也作為操作站給操作人員進行操作，而工程師站（EWS）即使在“Centum Desktop”桌面環境中，在CENTUM賬戶下也能進入CS3000系統的任何組態工具中。

第二、由于現在移動設備增加，U盤的大量運用，經常發現操作工利用U盤在操作站上運行游戲程序及聽歌曲等，最危害大的是將通過U盤傳播的病毒帶入操作系統中。

第三、在安裝WINDOWS XP Professional操作系統過程中，一些Windows組件也會安裝到系統中來，而在“Centum Desktop”桌面環境中，在CENTUM賬戶下也能使用這些程序（比如游戲、通訊薄、Windows Media Player、Internet Explorer等）。從而操作人員可以通過這些游戲，進入系統刪除和修改操作站上的有關文件。

第四、在WINDOWS XP Professional 操作系統中，由于DCS維護人員未按相關要求進行安裝，也會影響到CS3000系統的正常運行，如在文獻[2]中明確指出應取消屏幕保護程序，由于WINDOWS XP Professional操作系統中是缺省有屏幕保護，若DCS維護人員在相關操作上沒有取消屏幕，會破化趨勢數據的采集等等。綜上所述，以上的這些問題將會嚴重地影響了操作站的安全，從而不利于生產操作。

雖然可以通過加強對操作人員的管理，可以防止嚴重的破壞事件發生。但從DCS維護人員的角度來看，必須制定一個詳細的步驟，提高操作站及工程師戰本身的安全性，限制操作工的權限。

 解決方案

1、 如有打印機則安裝打印機，及其他設備驅動程序安裝，包括USB接口鍵盤驅動程序（為了以后禁用未經允許的USB設備做準備，在安裝完USB設備以后，插后的位置就不要發生改變）。

2、 以Administrator用戶登錄，取消屏保；設置電源工作模式，將休眠，高級里面的按鍵將SLEEP等取消。

3、 將USB自動運行關閉，使用組策略來進行設置。開始－＞運行－＞Gpedit.msc－＞計算機配置－＞管理模版－＞系統－＞關閉自動播放－＞設置已啟動－＞選擇所有驅動器。

4、 在WindowsXP中禁用未經允許的USB接口。開始－＞運行－＞Regedit，找到“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStor”主鍵，雙擊名為“Start”的DWORD值，將“數值數據”改為4（注：設為2時表示自動，設為3時表示手動(這是默認設置)，設為4則為停用）。修改后，當用戶將未經允許的USB存儲設備連接到計算機時，該設備將無法運行。

5、 檢查程序菜單中是否有Windows操作系統附帶的Windows組件，如：游戲、通訊薄、Windows Media Player、Internet Explorer等等，如有則進入控制面板－＞增加/刪除程序－＞添加/刪除Windows組件，將相關組件刪除即可。

6、 重新啟動機器，在Administrator用戶登錄，將CENTUM添加管理員權限；在用CENTUM登錄，將屏保設置為無，設置電源工作模式，將休眠，高級里面的按鍵將SLEEP等取消。將音量圖標去掉(右鍵－＞打開音頻屬性)，輸入法圖標去掉（點右鍵－＞設置－＞首選項－＞語言欄)。然后注銷，在用Administrator登錄，將CENTUM管理員權限去掉。

7、 進入HIS Utility，將Desktop設置為CENTUM Desktop。AUTO LOGO選擇為CENTUM登錄。在將開始菜單改為CENTUM Desktop。重啟機器（注：此時開始啟動了“Centum Desktop” 桌面環境）。

8、 用CENTUM用戶進入系統，將HIS Utility中的Startup(for CENTUM)選中下面的選項。

9、 對于工程師站，因為安裝了SYSTEM VIEWER等CS3000組態軟件，在“Centum Desktop”桌面環境中，在CENTUM賬戶下還是可以操作SYSTEM VIEWER等CS3000組態軟件。參考以前的解決方案，發現很多都是使用對文件和目錄賦予NTFS權限來進行限制，但是操作步驟繁雜，而且由于CS3000系統在CENTUM用戶下，是通過啟動目錄來調用CENTUM HIS程序,而如果稍一不注意，沒有分配給CENTUM用戶對“C:\Documents and Settings\All Users\「開始」菜單\啟動”目錄的訪問權限，就會導致CS3000在CENTUM用戶下不能自啟動。筆者通過摸索，找到更簡單的辦法，在Administrator用戶下，即進入C:\Documents and Settings\All Users\「開始」菜單\程序，將YOKOGAWA CENTUM文件夾發送至桌面快捷方式，然后再將YOKOGAWA CENTUM文件夾設置為隱藏屬性，同時將文件夾選項中的查看將隱藏文件全部顯示（主要是為了在Administrator用戶下，也可以調用CENTUM系統組態程序）。即更簡單解決該問題。

10、 在使用過程中，筆者還發現在工程師站（EWS）上只要操作級別為工程師級別，無論是采用軟件方式（使用密碼），還是鑰匙開關方式（使用工程師鑰匙），即使在CENTUM用戶下都能從CS3000系統菜單中進入組態畫面，并且還可以隨意進行關鍵操作如停FCS，HIS及改變重要參數等。由于CENTUM用戶下，操作人員知道了班長或工程師級別密碼，就能任意修改密碼，造成密碼管理困難，最重要的是可能會造成極大的不安全因素。參考文獻[6]，我們采用的方法是由DCS維護人員設置一個很長很復雜的密碼，不告訴任何人，而如需操作級別切換，則使用鑰匙開關方式，就能較好的解決這一個問題。

注：由于CENTUM CS 3000使用了“Centum Desktop”桌面環境，筆者在摸索過程中發現，任何對安全策略的改變，都需要重新更新“Centum Desktop” 桌面環境的緩存，具體步驟為1、用Administrator用戶登錄，進入HIS Utility，將Desktop設置為Windows Standard，確定后，重啟機器。2、在用CENTUM登錄，然后注銷，用Administrator用戶登錄，進入HIS Utility，將Desktop設置為CENTUM Desktop，確定后，重啟機器。則將“Centum Desktop” 桌面環境的緩存更新完畢。

經過上述步驟，DCS維護工程師很容易就可以對操作站及工程師站進行維護。在CENTUM用戶下，操作人員再也不能進入Windows系統進行非法操作。而對于工程師站，DCS維護工程師在使用Administrator用戶登錄后，很方便的對CS3000組態和Windows XP系統進行維護；操作級別的切換也僅僅為使用鑰匙方能切換；同時在計算機已安裝了USB設備不受影響下，禁止非法的USB設備對系統的操作。至此，完整地解決了現階段CENTUM CS3000在Windows XP Professional操作系統上的安全性問題，并且經過2套系統的實施和將近一年的運行，系統運行安全、穩定、且便于工程師的組態和維護，得到了肯定，由此證明上述步驟和改進措施是成功的。

目前很多DCS，FCS和PLC操作站都是使用PC機，采用Windows XP 操作系統。由于Windows系統本身具有開放、通用和易用的特點，同時通過USB設備傳播病毒越來越廣泛，很多操作人員對Windows系統都有著很深的了解，因此他們經常試圖進入系統，進行一些與生產無關的操作。在這種情況下，要求DCS維護人員不僅要掌握DCS組態技術，還需要深入掌握Windows系統，充分利用好提供的相關工具，做好必要的安全防范。