摘要:横河CS3000系统在化工生产企业中得到了广泛应用,为企业生产活动提供了科学精准的控制,其对系统安全性的要求也非常高。对此,无论是从硬件结构、系统组态配置,还是人员的操作权限都应进行合理的设计和规范,本文将着重对该操作站的安全性能进行改善提高。
关键词:CS3000系统;安全性;研究;使用
引言 CS3000集散控制系统目前已经成为国内大型化工装置的主流控制系统,该设备具有直观、灵敏的特点,与ERP、MES系统之间也设立了开放性的数据接口,能够很好的满足化工类企业信息化的使用需要。化工企业的诸如催化裂化、加氢裂化、乙烯厂的生产装置上采用小型计算机和DCS系统进行数据的综合处理,取得了明显的经济效益。基于安全的考虑,对不同岗位的操作权限进行独立的监视,对一些重要的仪表和参数的设置权限也会加以特别的管理控制,最大程度的保障系统性能安全。但是,由于CS3000集散控制系统的系统开放程度较高,对windows操作平台的依赖性较大,也带来了巨大的安全隐患,需要对其存在的安全风险及时加以识别和处理,防患于未然。
一、CS3000操作系统配置
横河CS3000操作系统是一个真正结构开放的系统,具有很好的开放性和可扩展性,方便构成极大规模的系统[1],主要由如下元件构成:(1)操作站(HIS),主要用于运行操作和监视,实现对系统运行工作的宏观掌控;(2)现场控制器(FCS),主要用于过程处理信号的输入输出(I/O),完成逻辑运算、顺序控制、批量控制、模拟量调节等控制运算功能;(3)工程师(ENG),主要用于实现对调试仿真、组态设计以及操作监视;(4)ESB总线用于控制站内,用以实现本地I/O节点与中央主控制器FCU之间的数据传输与交互,是实时化的通讯总线系统;(5)ER总线,作为另一种双重化实时通讯总线,主要用于站内本地与远程I/O节点之间的数据传输与交互;(6)通讯网关(ACG),用于将DCS上位机的以太网与系统控制总线进行连接的网关;(7)Vnet/IP控制总线,用于操作信息交换及监视的实时化网络控制。
横河CS3000操作系统一般使用V网和Ethernet这两种网络系统,V网的网络速度较快,通信速度可达到10Mbps,是连接FCS和其他站点的控制总线。Ethernet主要用来连接HIS和ENG、上位系统,以及不同操作站(HIS)之间的信息系统LAN,通过Ethernet的使用,可以有效缓解V网的压力,用于系统内部的数据采集以及等值化操作。
二.CS3000操作系统的安全隐患分析
1.Win-XP系统的默认设置问题
在Windows XP操作系统安装以后,光驱与USB接口一般会呈现“自动播放”的状态,即使系统处于“CENTUM Desktop”桌面运行的条件下,放置于移动存储设备或者光驱内的文件内容也会自动运行或者打开,极易发生将外界的病毒传播至CS3000系统操作站中的现象[3]。在现有的Windows XP操作系统平台下,键盘上的“Windows键”更是可以与其他键组合出很多快捷方式,为用户的操作工作提供了极大的便利。但是,在“CENTUM Desktop”桌面运行条件下,“Windows键”等快捷热键的功能理应得到屏蔽,但事实是CS3000系统操作站并未能有效做好这一点,用户仍然可以激活“Windows键”并修改设置系统内容。
2.默认运行环境的安全度不高
随着Windows系统的不断升级,横河CS3000操作站的系统也进行了及时的调整,新版本软件无论是在系统的功能还是性能都有了很大提升,更加方便于用户的操作和使用。
期刊文章分类查询,尽在期刊图书馆在Windows XP系统软件的安装过程中,一些与系统功能组件无关的组件也被安装到操作站中。新版本的CS3000系统提供了“CENTUM Desktop”桌面环境,并有效控制了用户对WINDOWS系统设置的更改,但该系统并未结合中国的具体情况将一些无关的操作功能锁死,在系统使用过程中也经常发生工作人员进行美术画图以及玩桌面游戏等现象,还发生过一起卸载CS系统软件的案例,甚至操作人员可以通过网上邻居实现对操作站的控制,进行软件和文件的卸载或删除,给CS3000操作站的正常运行带来了严重的安全隐患[2]。虽然CS3000操作站要求系统安装以后关闭网络权限以及屏保的设置,但以“CENTUM”登录以后,相关的权限功能并未能够得到有效地控制,Windows XP操作系统依然会设置10分钟不操作就进入休眠状态,进而中断对历史数据的采集工作。
三.CS3000操作系统的安全性改进与提高
1.对CENTUM用户的操作设置
为了对CENTUM用户的操作进行更加合理的设置,针对这类用户在系统设置时还需要做好如下工作:关闭该类用户权限下的屏幕保护、休眠和关机功能,修改完毕后回到“管理员”权限下将CENTUM用户设置为“受限制账户”;屏蔽该类用户由图标进入硬盘存储系统的途径,将该类用户下影响系统安全的无关组件加以隐藏,同时将USB接口和光驱的自动播放功能加以取消。在“管理员”操作权限下运行“注册表”编辑器,禁用键盘上的“Windows键”,并除去操作站USB接口存储设备的接入功能。
2.WINDOWS的“组策略”和注册表的修改
仔细阅读了解Windows“组策略”的功能作用,对桌面环境的各种组件、用户禁止程序和相关桌面图标进行定义,设置好计算机、软件和用户策略,这也是用户和计算机定义以及资源管理和程序控制的主要工具[4]。通过“组策略”的设置可以提高系统的安全性,但却容易锁住所有的用户,给操作维护工作带来不便,为此只需要限定CENTUM的操作权限,通过修改注册表并将相关内容移植到CENTUM用户目录下,对于不同的操作站,操作注册表文件中CENTUM用户对应的sid值即可。
3.开始菜单中快捷方式的屏蔽
通过上述针对注册表的修改和设置,可以对操作人员的操作权限进行很好的设置,但在任务栏“程序”菜单中还存在很多快捷方式,其功能却没有必要对所有操作人员进行开放。由于所有的菜单设置都体现在文件夹“Documents and Setting”中,对此直接修改资源管理器中的文件夹属性,将CENTUM用户在“安全”标签中加以删除,就可以屏蔽此类操作人员对该菜单的操作权限。CENTUM用户下的操作人员再次打开时,便会发现该文件系统下的内容都是空的。
结束语:在实际生产过程中,Windows XP已经成为CS3000操作站的主流运营环境,由于其系统开放性特征导致其在运行过程中还存在一些安全隐患,本文在介绍CS3000操作系统配置的基础上,针对其存在的安全隐患进行探讨,并针对性的提出相应的改进建议,旨在抛砖引玉,为相关实践工作提供些许借鉴和参考,以便促进相关研究和实践工作的更好开展。
参考文献:
[1]杨坤.横河CS3000 系统的安全策略[J].铜业工程,2012,6:48-51.
[2]刘松.CS3000系统操作站安全性的改进与提高[J].自动化博览,2010,10:62-63.
[3]朱建东.CS3000控制系统通讯故障分析[J].冶金动力,2010,4:82-84.
[4]辛文举.横河CS3000与GE90-30PLC之间的通讯[J].可编程控制器与工厂自动化,2012,7:68-71.
论文作者:时国红
论文发表刊物:《电力设备》2019年第1期
论文发表时间:2019/6/21
标签:操作论文; 系统论文; 用户论文; 功能论文; 权限论文; 总线论文; 安全性论文; 《电力设备》2019年第1期论文;