计算机应用论文范文

　　2011年9月，工信部下发了045号文件《关于加强工业控制系统信息安全管理的通知》，明确要求工业控制系统与公共网络连接时，必须设置防火墙、单向隔离等措施，确保系统自身安全，避免对工业生产带来重大损失。
　　摘要：该文以Honeywell公司MES系统在石化企业的实施应用为背景，针对两网融合给控制网带来的安全威胁，论文从当前的MES业务应用和信息技术发展现状出发，分析了MES系统实时数据采集中的安全需求以及当前典型的安全防护产品，提出了石化企业MES系统实时数据采集的安全方案。

　　关键词：MES,两网融合,安全防护

　　1研究背景

　　随着生产执行系统（简称MES）在我国炼油与化工企业的实施应用，大部分石化企业逐步实现了数据采集自动化、操作日志电子化、生产管理精细化、绩效考核标准化等目标，MES系统逐渐成为炼化企业生产运行不可或缺的信息平台，深受广大生产管理人员的欢迎。另一方，MES系统的实施推进了管理网与生产网的两网融合，企业网络应用的范围不断扩大，网络越来越开放，安全问题也日加突出和严峻，各种安全问题诸如病毒攻击、网络入侵和数据泄露等已广泛引起各国政府和企业管理层的高度重视，尤其对对生产控制系统的安全构成了重大威胁。

　　2现状分析

　　2.1安全隐患突出

　　2.2主流的安全防护技术

　　目前，网络安全技术、入侵检测技术（IDS）、虚拟专用网络（VPN）、防病毒、防火墙等，均不能实现网络在OSI7层上的完全隔离，不能有效保证MES对DCS控制系统不造成安全性风险。当前，业内主要是采用网络隔离技术解决两个不同安全域网络的互联问题，各国政府和跨国型企业都在大力研发和应用该技术。网络隔离技术经过长期的发展和应用，目前已经发展到了第五代。第一代隔离技术采取的是绝对的物理隔离，将不同网络从物理上隔开，从而产生了信息孤岛；第二代网络隔离技术采用的是硬件卡；第三代隔离技术采用将数据包进行转发；第四代网络隔离技术中引进了空气开关进行隔离；最新的第五代隔离技术采用的是安全通道隔离技术[1]。第五代网络隔离技术使用专用通信硬件，采用私有安全协议来实现内部网络与外部网络的隔离和数据传递，这种方式解决了前几代隔离技术的不足，不但安全地将内部外部网络分离，同时还保证了两网之间数据传递的高效安全，已成为当前隔离技术的主流发展方向。这种数据传输技术的核心是采用信息摆渡[2]，物理传输信道只是在传输进行时建立，信息传输时先由信息源所在区域一端传输到中间缓存区域，同时物理上断开中间缓存区域与信息目的地所在区域的网络连接，然后连通中间缓存区域与信息目的地所在区域的数据传输信道，将信息安全传输至目的区域，此时在信道上物理断开信息源所在区域与中间缓存区域的连接。这保证了在任意时刻，中间缓存区域只与一个区域安全相连。与防火墙技术相比，防火墙技术是在保证信息传输的情况下，尽力保证系统的安全性；而网络隔离技术正好与之相反，是在保证系统安全的情况下，实现与外部的数据交换，一旦出现不安全的情形则断开连接，网络隔离的任务是解决和防范当前信息系统存在中的各种安全隐患：操作系统漏洞、TCP/IP漏洞、应用协议漏洞、链路连接漏洞、安全策略漏洞等。因此，网络隔离技术是目前解决上述安全问题的唯一有效技术手段。

　　目前，工业领域用于保护控制网络安全的网络隔离产品有网闸、工业网络安全防护网关等。这些隔离设备几乎都是采用了本文所提到的第五代隔离技术，在此基础上进行了开发和应用。这些隔离设备的核心是在OSI模型的七层上断开网络连接，利用“2+1”式的三模块架构，也就是产品内包括两种系统和一个私有的安全通道隔离单元用于交换数据。这种架构的好处是连接内部与外网的两个主机的网络是完全断开的，剥离了TCP/IP协议，剥离了应用协议，在完成数据的安全交换后再进行通信协议的恢复和重建。通过TCP/IP协议的剥离和重建技术消除了TCP/IP协议存在的漏洞。通过在应用层对应用协议进行剥离和重建，防范了应用协议漏洞，与此同时还可以达到针对应用协议实现一些更为有效的访问控制，从而阻挡当前TCP/IP存在的所有攻击。

　　2.3典型安全隔离产品介绍

　　一类是网闸。网闸产品的出现比较早，主要用于解决涉密网络与外部网络间的数据传递问题。网闸产品主要用于政府和企业中涉密业务比较多的办公系统，它提供的功能也以通用的互联网为主。

　　二是工业网络安全防护网关。工业网络安全防护网关是近几年新发展的的专门应用于工业领域的网络安全防护产品，主要采用“2+1”的三模块架构，内置双套操作系统，通信隔离单元通过总线技术建立安全通道来保障数据交换的安全和高效。网关产品与网闸产品比较，网关更是作为提供专门用于工业控制网络的安全防护，因此网关只提供控制网络所必需的通信需求，诸如OPC通信等，但不具备通用的互联网功能。

　　3安全方案设计

　　3.1设计原则

　　对于MES系统而言，既要满足应用的需要，又要保证工业控制系统安全，在实时数据采集安全方案中必须要增加安全防护硬件设备，该设备应具备第五代隔离技术的以对控制系统进行保护。该产品应该是一个非TCP/IP协议、跨平台应用、具备单向传输等核心技术，以此效解决MES系统实施后的“两网融合”产生的安全隐患。同时，该设备应该具备集中监控、一键恢复等功能，提高系统稳定性，且降低现场运维人员的工作量。

　　3.2MES系统数采安全方案

　　技术上，增加采用网络隔离技术的安全防护设备，架设于MES实施数据采集机与OPC服务器之间，确保MES系统数据采集不影响DCS控制系统的安全性。该设备应该具备以下四个功能：

　　1）内外网处理单元为跨平台系统。为了保证系统的安全性，内网处理单元应该为非Windows系统平台，以此屏蔽Windows操作系统的安全漏洞，阻止恶意代码和病毒对控制系统的攻击。

　　2）内外网处理单元之间为非TCP/IP协议。为了防止外网处理单元向内网处理单元传输恶意代码和病毒，网络隔离硬件中的专用传输通道使用私有网络传输协议，以此规避TCP/IP协议的漏洞。

　　3）内外网处理单元之间只能进行单向传输。即只能由内网处理单元向外网处理单元传输数据，而不接受从外网处理单元向内网处理单元传输数据，从根本上杜绝病毒向控制网传输的可能。

　　管理上，必须要安装补丁分发服务器，为MES服务器、Buffer机等及时进行操作系统补丁更新，消除系统安全漏洞。同时，必须严禁在DCS控制系统和公共网络之间交叉使用移动存储介质以及便携式计算机，防止其他途径的病毒感染。

　　4研究结论

　　当前，由网络病毒引起的工业事故层出不穷，工业网络安全问题变日益严峻，工信部下发《关于加强工业控制系统信息安全管理的通知》足以显现加强工业控制系统信息安全管理的重要性和紧迫性。石化行业是关乎国计民生的重要能源支柱产业，生产数据的安全在任何国家、任何阶段都备受重视和关注。保障石化企业生产控制网络的安全，保证生产环境稳定可靠，防止来自网络内部及网络外部的攻击，采取高效稳定的安全防护措施是炼油与化工企业MES系统实施的不可忽视的重要部分。

　　参考文献：

　　[1]网络隔离技术[DB/OL].http：//baike.baidu.com/view/1194699.htm.

　　[2]郭雪清，杨媛媛，肖飞.基于物理隔离技术的网络间信息“摆渡”的解决方案[J].医疗卫生装备，2010（6）.