- 產(chǎn)品
- 供應(yīng)
- 公司
- 新聞
|
|
||||||||||||||||||||||||||||
CENTUM CS3000在當(dāng)前情況下的安全性的解決方案
橫和電機(jī)公司推出最新的CENTUM CS3000系統(tǒng),版本為R3.08,操作站系統(tǒng)采用為Windows XP Professional.。由于橫和電機(jī)公司推出的安全策略并不符合中國(guó)的具體情況,而且現(xiàn)在通過(guò)USB設(shè)備傳播的病毒更加廣泛。為此提出改進(jìn)措施,有效地提高了操作站的安全性。
但正由于其過(guò)于開放,一方面由于移動(dòng)設(shè)備的大量使用,二方面現(xiàn)煉廠都要求壓縮投資成本,經(jīng)常要求工程師站(EWS)在平時(shí)也可以作為操作站給操作人員使用,從而給系統(tǒng)的安全性帶來(lái)了很大的威脅。維護(hù)工程師的CS3000安全性安裝問(wèn)題的原理分析及成功解決方案。
1、CS3000系統(tǒng)存在的安全問(wèn)題
而隨著橫河電機(jī)發(fā)布最新的CENTUM CS 3000系統(tǒng)版本為R3.08,其操作站的操作系統(tǒng)也改為Windows XP Professional。與以前的版本相比,版本R3.08增加了很多功能,更方便用戶的使用。在系統(tǒng)安全性上,它延續(xù)了使用“Centum Desktop”桌面環(huán)境,可禁止用戶更改Windows系統(tǒng)設(shè)置。但由于中國(guó)與歐美國(guó)情的不同,并未將與生產(chǎn)操作無(wú)關(guān)的功能進(jìn)行完全封閉。
在實(shí)際使用中,筆者就發(fā)現(xiàn)下面幾個(gè)問(wèn)題:
第一、由于煉廠為了壓縮投資成本,設(shè)計(jì)中要求在平時(shí)將工程師站(EWS)也作為操作站給操作人員進(jìn)行操作,而工程師站(EWS)即使在“Centum Desktop”桌面環(huán)境中,在CENTUM賬戶下也能進(jìn)入CS3000系統(tǒng)的任何組態(tài)工具中。
第二、由于現(xiàn)在移動(dòng)設(shè)備增加,U盤的大量運(yùn)用,經(jīng)常發(fā)現(xiàn)操作工利用U盤在操作站上運(yùn)行游戲程序及聽(tīng)歌曲等,最危害大的是將通過(guò)U盤傳播的病毒帶入操作系統(tǒng)中。
第三、在安裝WINDOWS XP Professional操作系統(tǒng)過(guò)程中,一些Windows組件也會(huì)安裝到系統(tǒng)中來(lái),而在“Centum Desktop”桌面環(huán)境中,在CENTUM賬戶下也能使用這些程序(比如游戲、通訊薄、Windows Media Player、Internet Explorer等)。從而操作人員可以通過(guò)這些游戲,進(jìn)入系統(tǒng)刪除和修改操作站上的有關(guān)文件。
第四、在WINDOWS XP Professional 操作系統(tǒng)中,由于DCS維護(hù)人員未按相關(guān)要求進(jìn)行安裝,也會(huì)影響到CS3000系統(tǒng)的正常運(yùn)行,如在文獻(xiàn)[2]中明確指出應(yīng)取消屏幕保護(hù)程序,由于WINDOWS XP Professional操作系統(tǒng)中是缺省有屏幕保護(hù),若DCS維護(hù)人員在相關(guān)操作上沒(méi)有取消屏幕,會(huì)破化趨勢(shì)數(shù)據(jù)的采集等等。綜上所述,以上的這些問(wèn)題將會(huì)嚴(yán)重地影響了操作站的安全,從而不利于生產(chǎn)操作。
雖然可以通過(guò)加強(qiáng)對(duì)操作人員的管理,可以防止嚴(yán)重的破壞事件發(fā)生。但從DCS維護(hù)人員的角度來(lái)看,必須制定一個(gè)詳細(xì)的步驟,提高操作站及工程師戰(zhàn)本身的安全性,限制操作工的權(quán)限。
解決方案
1、 如有打印機(jī)則安裝打印機(jī),及其他設(shè)備驅(qū)動(dòng)程序安裝,包括USB接口鍵盤驅(qū)動(dòng)程序(為了以后禁用未經(jīng)允許的USB設(shè)備做準(zhǔn)備,在安裝完USB設(shè)備以后,插后的位置就不要發(fā)生改變)。
2、 以Administrator用戶登錄,取消屏保;設(shè)置電源工作模式,將休眠,高級(jí)里面的按鍵將SLEEP等取消。
3、 將USB自動(dòng)運(yùn)行關(guān)閉,使用組策略來(lái)進(jìn)行設(shè)置。開始->運(yùn)行->Gpedit.msc->計(jì)算機(jī)配置->管理模版->系統(tǒng)->關(guān)閉自動(dòng)播放->設(shè)置已啟動(dòng)->選擇所有驅(qū)動(dòng)器。
4、 在WindowsXP中禁用未經(jīng)允許的USB接口。開始->運(yùn)行->Regedit,找到“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStor”主鍵,雙擊名為“Start”的DWORD值,將“數(shù)值數(shù)據(jù)”改為4(注:設(shè)為2時(shí)表示自動(dòng),設(shè)為3時(shí)表示手動(dòng)(這是默認(rèn)設(shè)置),設(shè)為4則為停用)。修改后,當(dāng)用戶將未經(jīng)允許的USB存儲(chǔ)設(shè)備連接到計(jì)算機(jī)時(shí),該設(shè)備將無(wú)法運(yùn)行。
5、 檢查程序菜單中是否有Windows操作系統(tǒng)附帶的Windows組件,如:游戲、通訊薄、Windows Media Player、Internet Explorer等等,如有則進(jìn)入控制面板->增加/刪除程序->添加/刪除Windows組件,將相關(guān)組件刪除即可。
6、 重新啟動(dòng)機(jī)器,在Administrator用戶登錄,將CENTUM添加管理員權(quán)限;在用CENTUM登錄,將屏保設(shè)置為無(wú),設(shè)置電源工作模式,將休眠,高級(jí)里面的按鍵將SLEEP等取消。將音量圖標(biāo)去掉(右鍵->打開音頻屬性),輸入法圖標(biāo)去掉(點(diǎn)右鍵->設(shè)置->首選項(xiàng)->語(yǔ)言欄)。然后注銷,在用Administrator登錄,將CENTUM管理員權(quán)限去掉。
7、 進(jìn)入HIS Utility,將Desktop設(shè)置為CENTUM Desktop。AUTO LOGO選擇為CENTUM登錄。在將開始菜單改為CENTUM Desktop。重啟機(jī)器(注:此時(shí)開始啟動(dòng)了“Centum Desktop” 桌面環(huán)境)。
8、 用CENTUM用戶進(jìn)入系統(tǒng),將HIS Utility中的Startup(for CENTUM)選中下面的選項(xiàng)。
9、 對(duì)于工程師站,因?yàn)榘惭b了SYSTEM VIEWER等CS3000組態(tài)軟件,在“Centum Desktop”桌面環(huán)境中,在CENTUM賬戶下還是可以操作SYSTEM VIEWER等CS3000組態(tài)軟件。參考以前的解決方案,發(fā)現(xiàn)很多都是使用對(duì)文件和目錄賦予NTFS權(quán)限來(lái)進(jìn)行限制,但是操作步驟繁雜,而且由于CS3000系統(tǒng)在CENTUM用戶下,是通過(guò)啟動(dòng)目錄來(lái)調(diào)用CENTUM HIS程序,而如果稍一不注意,沒(méi)有分配給CENTUM用戶對(duì)“C:\Documents and Settings\All Users\「開始」菜單\啟動(dòng)”目錄的訪問(wèn)權(quán)限,就會(huì)導(dǎo)致CS3000在CENTUM用戶下不能自啟動(dòng)。筆者通過(guò)摸索,找到更簡(jiǎn)單的辦法,在Administrator用戶下,即進(jìn)入C:\Documents and Settings\All Users\「開始」菜單\程序,將YOKOGAWA CENTUM文件夾發(fā)送至桌面快捷方式,然后再將YOKOGAWA CENTUM文件夾設(shè)置為隱藏屬性,同時(shí)將文件夾選項(xiàng)中的查看將隱藏文件全部顯示(主要是為了在Administrator用戶下,也可以調(diào)用CENTUM系統(tǒng)組態(tài)程序)。即更簡(jiǎn)單解決該問(wèn)題。
10、 在使用過(guò)程中,筆者還發(fā)現(xiàn)在工程師站(EWS)上只要操作級(jí)別為工程師級(jí)別,無(wú)論是采用軟件方式(使用密碼),還是鑰匙開關(guān)方式(使用工程師鑰匙),即使在CENTUM用戶下都能從CS3000系統(tǒng)菜單中進(jìn)入組態(tài)畫面,并且還可以隨意進(jìn)行關(guān)鍵操作如停FCS,HIS及改變重要參數(shù)等。由于CENTUM用戶下,操作人員知道了班長(zhǎng)或工程師級(jí)別密碼,就能任意修改密碼,造成密碼管理困難,最重要的是可能會(huì)造成極大的不安全因素。參考文獻(xiàn)[6],我們采用的方法是由DCS維護(hù)人員設(shè)置一個(gè)很長(zhǎng)很復(fù)雜的密碼,不告訴任何人,而如需操作級(jí)別切換,則使用鑰匙開關(guān)方式,就能較好的解決這一個(gè)問(wèn)題。
注:由于CENTUM CS 3000使用了“Centum Desktop”桌面環(huán)境,筆者在摸索過(guò)程中發(fā)現(xiàn),任何對(duì)安全策略的改變,都需要重新更新“Centum Desktop” 桌面環(huán)境的緩存,具體步驟為1、用Administrator用戶登錄,進(jìn)入HIS Utility,將Desktop設(shè)置為Windows Standard,確定后,重啟機(jī)器。2、在用CENTUM登錄,然后注銷,用Administrator用戶登錄,進(jìn)入HIS Utility,將Desktop設(shè)置為CENTUM Desktop,確定后,重啟機(jī)器。則將“Centum Desktop” 桌面環(huán)境的緩存更新完畢。
經(jīng)過(guò)上述步驟,DCS維護(hù)工程師很容易就可以對(duì)操作站及工程師站進(jìn)行維護(hù)。在CENTUM用戶下,操作人員再也不能進(jìn)入Windows系統(tǒng)進(jìn)行非法操作。而對(duì)于工程師站,DCS維護(hù)工程師在使用Administrator用戶登錄后,很方便的對(duì)CS3000組態(tài)和Windows XP系統(tǒng)進(jìn)行維護(hù);操作級(jí)別的切換也僅僅為使用鑰匙方能切換;同時(shí)在計(jì)算機(jī)已安裝了USB設(shè)備不受影響下,禁止非法的USB設(shè)備對(duì)系統(tǒng)的操作。至此,完整地解決了現(xiàn)階段CENTUM CS3000在Windows XP Professional操作系統(tǒng)上的安全性問(wèn)題,并且經(jīng)過(guò)2套系統(tǒng)的實(shí)施和將近一年的運(yùn)行,系統(tǒng)運(yùn)行安全、穩(wěn)定、且便于工程師的組態(tài)和維護(hù),得到了肯定,由此證明上述步驟和改進(jìn)措施是成功的。
目前很多DCS,FCS和PLC操作站都是使用PC機(jī),采用Windows XP 操作系統(tǒng)。由于Windows系統(tǒng)本身具有開放、通用和易用的特點(diǎn),同時(shí)通過(guò)USB設(shè)備傳播病毒越來(lái)越廣泛,很多操作人員對(duì)Windows系統(tǒng)都有著很深的了解,因此他們經(jīng)常試圖進(jìn)入系統(tǒng),進(jìn)行一些與生產(chǎn)無(wú)關(guān)的操作。在這種情況下,要求DCS維護(hù)人員不僅要掌握DCS組態(tài)技術(shù),還需要深入掌握Windows系統(tǒng),充分利用好提供的相關(guān)工具,做好必要的安全防范。
