魏永斌

摘要：本文对工厂过程控制系统安全管理理念和目标进行分析讨论，对控制系统安全管理措施和实施进行详细分析说明，给出了工厂过程控制系统安全管理具体建议。提出安全管理措施需要得到有效、准确的实施，并且不断加强和优化，才能从长远上确保工厂过程控制系统的安全稳定。

关键词：过程控制系统;安全管理;策略

一、概述

工厂过程控制系统承担着对工厂生产过程的实时监视和控制功能，当前技术条件下，基于市场上某种成熟的控制系统平台所构建的全数字化工厂过程控制系统一般均具有高数字化、集成化的特点，并具有可接入众多第三方仪控系统和数据链的能力，同时能够通过专用接口实现工厂控制系统向外部监管管理系统报送工厂实时过程数据的功能。本文將结合笔者在相关项目上的过程控制系统调试经验，对一种基于Ovation平台所构建的工厂过程控制系统所采取的内部、外部安全管理措施进行详细分析，并给出工厂控制系统安全管理方面的相关建议。

二、控制系统内部安全管理

2.1内部安全策略

过程控制系统内部安全管理采取的主要措施是实施严格的内部访问控制，即建立一套与工厂实际管理完全匹配的内部用户管理法，防止系统被“非法”登录或“越权”操作。

基于Ovation 3.3.1平台所构建的过程控制系统通过采用“域”的概念来实现这一内部安全管理措施。在某个域中，通过建立一个或一组域控制器对所有其他域成员进行集中的安全管理，所有域成员共享一套安全管理平台。工厂一般按照其设施或车间为单位来创建控制系统的域，其中域控制器一般均为冗余配置，域成员包括该过程控制系统内所有的分布式控制站点。

2.2内部安全配置实施

在使用Ovation 3.3.1平台构建的过程控制系统中，使用其专用的Security Manager来执行整个控制系统的安全配置和管理工作。需要执行的安全配置工作包括：

1、创建域并启用域管理员

在对某个项目的控制系统实施初始配置的过程中，一旦建立域，则系统会立即生成一个默认的域管理员权限的帐号，后续对该域的所有安全配置和管理工作均需通过域管理员来实施。

2、创建域内的组策略

创建组策略主要是对控制平台工作站的操作系统的操作规则和操作权限进行预先分组定义，以实现不同权限的用户登录工作站后，其所面对的操作系统界面和可操作功能与其权限相匹配。

3、创建和分配点安全分组

将过程控制系统数据库中的I/O点按照预定的用户角色进行分类并创建各种不同的点安全分组，在进行用户角色设置时可以绑定允许该用户操作的点安全分组，这样可以实现不同用户角色只能对其角色允许的特定系统进行操作。

4、创建系统用户角色

系统用户角色的创建是指将特定用户授权执行的控制系统操作功能进行分组，预先创建出一个个具备不同系统功能的用户角色，以用于计算机或用户帐号创建时进行选择，从而实现不同的控制系统操作授权功能。

5、创建域的全局策略

域的全局策略是适用于整个域内的所有成员，包括计算机、用户帐号的管理策略，包括默认域策略和默认域控制器策略两种配置，其中默认域策略规定了域内所有用户帐号密码的管理规则。

6、分配域内的计算机、用户权限，创建帐号密码

上述系统安全配置工作完成后，可以根据工厂实际要求创建各级用户帐号，并根据工厂实际管理要求，为各用户帐号分配与之授权相对应的组策略和系统用户角色，确保该用户只能执行授权范围内的操作，包括对操作系统和过程控制系统的操作权限以及电厂系统控制权限。

三、控制系统外部安全管理

3.1外部安全策略

控制系统外部安全管理的主要目标是防止控制系统软硬件和数据受到控制系统网络外部的入侵或破坏，以避免由此可能导致的工厂工艺控制异常。

为了实现这一目标，控制系统一般采用两种主要安全措施，一是与外部网络执行安全隔离;二是对外部访问和数据进行安全防护。

3.2外部安全管理实施

1、与外部网络的安全隔离

工厂过程控制系统集成了大量数据，并且向外部监管用户提供工厂实时数据，在与外部网络接口过程中，控制系统需要采取可靠的单项隔离措施，确保控制系统网络与外部网络的隔离。例如某工厂控制系统与外部网络的接口和采取的隔离措施如下：

a）外部接口：OPC

用途：将实时数据通过OPC协议传输给监管层的信息系统和指挥中心系统。

外部接口隔离措施：使用控制系统服务器站点作为OPC数据服务器，在OPC数据服务器与外部OPC客户端之间设置防火墙和单向隔离网闸。

b）外部接口：企业数据服务器接口

用途：将实时数据通过企业数据服务器系统传输给工厂其他设施内的非生产用监视站点。

外部接口隔离措施：使用控制系统工作站作为企业数据服务器数据源，通过单向隔离系统Waterfall TX-Waterfall RX将数据传输至企业数据服务器，再由企业数据服务器通过防火墙向外部企业数据客户端提供数据。

c）外部接口：专用应用程序接口

用途：将经过控制系统应用服务器和专用应用程序监视服务器处理后的专用应用程序计算数据传输给外部服务器。

外部接口隔离措施：使用专用应用程序监视服务器作为数据源，通过单向隔离系统Waterfall TX-Waterfall RX和防火墙将数据传输给外部服务器，同时数据再次经过局域网防火墙提供给外部。

2、对外部访问和数据的安全防护

控制系统对外部访问具有严格限制，首先，根据前文的内部授权控制措施，只有获得最高权限组策略的用户，才具备使用控制系统服务器或工作站外部数据端口;其次，工厂的控制系统一般均会规定所有外部数据只能使用光盘介质传递，只使用专用的防病毒服务器的特定光驱接口执行数据读写操作。

四、控制系统安全管理建议

上文分析可见，工厂的过程控制系统一般均会在其内部、外部执行一系列安全管理措施，针对控制系统已采取的安全管理措施，笔者建议还需注意以下几方面：

1、对控制系统用户进行授权并做好授权管理工作

工厂应该根据各自实际情况制定控制系统安全管理程序，明确各级授权用户的具体权限和授权资质要求;其次应由控制系统工程技术人员根据工厂管理程序对系统安全管理配置定期进行清查，确保安全配置与管理目标一致。

2、对控制系统外部接口单向隔离措施定期进行安全检查

对于控制系统外部接口，尤其是单向隔离措施的可用性，建议进行定期安全检查，确保单向隔离措施的可靠。

3、禁用控制系统所有不需要的外部端口

禁用工作站、服务器相关服务通讯端口，同时对工作站、服务器的外部物理端口，如USB、光驱等进行禁用，这种禁用需要非常慎重，以避免对系统正常运行产生影响。

4、定期对控制系统安装补丁

根据设计及供方要求，对工作站服务器OS补丁，控制系统补丁包括专用应用程序补丁以及防病毒系统补丁，修复系统漏洞并提升系统安全性能。

五、总结

通过本文分析可见，工厂过程控制系统一般均会在内外部安全管理方面采取一系列技术和管理措施，从而有效实现其内部用户访问控制和与外部的安全隔离的安全目标，通过这些措施也确实使控制系统的安全得到了保障。但也要注意任何为工厂过程控制系统所设计的安全管理措施都只有在得到有效、准确的实施，并且通过日常维护不断进行加强和优化，才能从长远上确保整个系统的安全和稳定。

参考文献

[1] OPC基金会.《OPC数据存取接口定义规范》

[2] 艾默生.《Managing Security in Ovation 3.3 OW330_40》