企業(yè)管理與控制網(wǎng)絡(luò)之間的安全數(shù)據(jù)接口模型淺析

摘要：探討了在工業(yè)企業(yè)網(wǎng)絡(luò)的層次結(jié)構(gòu)中建立管控?cái)?shù)據(jù)接口的必要性，對(duì)接口按有無(wú)信息交換進(jìn)行了分類，并針對(duì)有信息交換的接口提出了基礎(chǔ)型和增強(qiáng)型兩類安全的接口模型，以提高互聯(lián)系統(tǒng)的實(shí)用性和安全性，最后把增強(qiáng)型模型應(yīng)用到MES系統(tǒng)的網(wǎng)絡(luò)框架設(shè)計(jì)中。

關(guān)鍵詞：工業(yè)控制網(wǎng)絡(luò)；管理網(wǎng)絡(luò)；信息安全；數(shù)據(jù)接口模型；MES

0 引言

工業(yè)企業(yè)網(wǎng)絡(luò)平臺(tái)包括處理企業(yè)信息、決策管理的信息管理網(wǎng)絡(luò)和處理生產(chǎn)現(xiàn)場(chǎng)實(shí)際測(cè)控信息的生產(chǎn)控制網(wǎng)絡(luò)兩個(gè)部分，信息管理網(wǎng)絡(luò)一般處于企業(yè)中上層，用來(lái)處理大量的、變化的、多樣的信息，具有高速、綜合的特性；生產(chǎn)控制網(wǎng)絡(luò)主要位于企業(yè)中下層，處理實(shí)時(shí)的、現(xiàn)場(chǎng)的信息，具有協(xié)議簡(jiǎn)單，安全可靠、糾錯(cuò)性好，成本低等特征。

在工業(yè)企業(yè)的生產(chǎn)控制網(wǎng)絡(luò)中，以太網(wǎng)也已成為一種主要的網(wǎng)絡(luò)技術(shù)，大量應(yīng)用于生產(chǎn)控制網(wǎng)的較高層。實(shí)現(xiàn)生產(chǎn)控制網(wǎng)絡(luò)和信息管理網(wǎng)絡(luò)的集成可使企業(yè)實(shí)現(xiàn)管理與控制的一體化，逐步形成以工業(yè)控制網(wǎng)絡(luò)為基礎(chǔ)的企業(yè)綜合自動(dòng)化系統(tǒng)，實(shí)現(xiàn)生產(chǎn)和管理的高效率、高效益、高柔性。

本文根據(jù)實(shí)際應(yīng)用情況，給出了在以太網(wǎng)網(wǎng)絡(luò)層面的安全數(shù)據(jù)接口建設(shè)的建議，以實(shí)現(xiàn)信息化平臺(tái)統(tǒng)一部署、統(tǒng)一管理的目的，提高整個(gè)企業(yè)的計(jì)算機(jī)安全防范能力。

1 工業(yè)企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)

企業(yè)實(shí)現(xiàn)管理與控制一體化的目的是為了及時(shí)掌握和了解生產(chǎn)工藝各流程的運(yùn)行狀況及工藝參數(shù)的變化，對(duì)工藝過程進(jìn)行監(jiān)視與閉環(huán)控制，實(shí)現(xiàn)離線及在線檢驗(yàn)、設(shè)備狀態(tài)檢測(cè)、生產(chǎn)實(shí)時(shí)狀態(tài)查詢，最后完成效能及工藝歷史數(shù)據(jù)分析、挖掘，以修正后續(xù)的工藝標(biāo)準(zhǔn)，達(dá)到整個(gè)生產(chǎn)過程的閉環(huán)控制，提高生產(chǎn)成本控制水平，強(qiáng)化過程質(zhì)量保障能力。

工業(yè)企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)是包含設(shè)備管理、工藝管理、生產(chǎn)調(diào)度、過程監(jiān)視、過程控制，以及工藝和關(guān)鍵過程能力數(shù)據(jù)挖掘、分析等諸多內(nèi)容，跨越自動(dòng)控制、IT兩個(gè)領(lǐng)域的計(jì)算機(jī)系統(tǒng)。按實(shí)現(xiàn)功能的不同，可將工業(yè)企業(yè)的網(wǎng)絡(luò)結(jié)構(gòu)自下而上分成五個(gè)層次(參見表1)

第一層：工業(yè)生產(chǎn)過程區(qū)，產(chǎn)生或接受系統(tǒng)的輸入、輸出(I/O)信號(hào)，這些信號(hào)來(lái)自于如檢測(cè)儀表、執(zhí)行裝置、電器設(shè)備及就地控制裝置等。第二層：直接管理區(qū)，實(shí)現(xiàn)連續(xù)控制調(diào)節(jié)和順序控制、設(shè)備檢測(cè)和系統(tǒng)測(cè)試、進(jìn)行過程數(shù)據(jù)采集、轉(zhuǎn)換等。第三層：過程管理區(qū)，實(shí)現(xiàn)過程作業(yè)操作、生產(chǎn)報(bào)表打印、裝置協(xié)調(diào)、優(yōu)化控制、報(bào)警信息處理等。第四層：生產(chǎn)管理區(qū)，規(guī)劃生產(chǎn)產(chǎn)品結(jié)構(gòu)和規(guī)模、作業(yè)計(jì)劃、產(chǎn)品監(jiān)視、產(chǎn)品報(bào)告等。第五層：經(jīng)營(yíng)管理區(qū)，市場(chǎng)和用戶分析、計(jì)劃和制造協(xié)調(diào)、合同控制等。

2 管控接口類型

隨著工業(yè)企業(yè)業(yè)務(wù)的不斷擴(kuò)展和機(jī)構(gòu)的整合，信息化建設(shè)步伐也在不斷加快，各種支持業(yè)務(wù)及生產(chǎn)的新系統(tǒng)和網(wǎng)絡(luò)不斷出現(xiàn)，而這些系統(tǒng)無(wú)論是生產(chǎn)過程控制方面還是弱電方面均需要在企業(yè)的網(wǎng)絡(luò)內(nèi)運(yùn)行。管理應(yīng)用系統(tǒng)與生產(chǎn)控制網(wǎng)絡(luò)系統(tǒng)之間的無(wú)縫連接，是實(shí)現(xiàn)工業(yè)企業(yè)的企業(yè)管理與生產(chǎn)控制的一體化的首要任務(wù)。

網(wǎng)絡(luò)結(jié)構(gòu)層次中的第四層和第五層的功能是由計(jì)算機(jī)信息技術(shù)實(shí)現(xiàn)的，這兩層建立連接，就需要建立接口，并提出安全建設(shè)指導(dǎo)性要求，使生產(chǎn)、管理等網(wǎng)絡(luò)及系統(tǒng)的安全策略保持一致，以保障整個(gè)企業(yè)網(wǎng)絡(luò)的安全運(yùn)行。根據(jù)是否有信息交換，可將管控系統(tǒng)之間的接口類型分為以下兩類：有信息交換的接口和無(wú)信息交換的接口。

2.1有信息交換的接口

管理網(wǎng)承載著ERP、OA等信息系統(tǒng)，生產(chǎn)控制網(wǎng)承載著生產(chǎn)控制、物流高架庫(kù)等系統(tǒng)。辦公終端和生產(chǎn)網(wǎng)之間沒有直接的連接，但由于工作的需要，辦公人員需要通過辦公終端訪問生產(chǎn)網(wǎng)的信息，反之亦然，所以管理網(wǎng)和生產(chǎn)網(wǎng)之間需要實(shí)現(xiàn)數(shù)據(jù)互訪。

其中數(shù)據(jù)互訪分為兩種情況：①兩網(wǎng)服務(wù)器之間的數(shù)據(jù)交換，如IVIES服務(wù)器和ERP、PDM服務(wù)器之間的狀態(tài)數(shù)據(jù)和計(jì)劃數(shù)據(jù)的同步和交換；②一網(wǎng)終端和另一網(wǎng)服務(wù)器之間的數(shù)據(jù)交換，如相關(guān)人員從辦公室的終端上了解生產(chǎn)控制系統(tǒng)的生產(chǎn)狀態(tài)信息等。

2.2無(wú)信息交換接口

工業(yè)企業(yè)的部分系統(tǒng)與管理網(wǎng)相連，但沒有數(shù)據(jù)交換，僅借用管理網(wǎng)來(lái)完成自身系統(tǒng)的數(shù)據(jù)傳輸，此類接口屬無(wú)信息交換接口，如弱電系統(tǒng)中的IP電話、視頻監(jiān)控等系統(tǒng)。由于這些系統(tǒng)要占用管理網(wǎng)一定的資源，為了保證管理網(wǎng)正常的運(yùn)轉(zhuǎn)，要做好這些系統(tǒng)和管理網(wǎng)之間的邊界控制和流量控制。

(1)在網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)時(shí)，應(yīng)滿足其對(duì)帶寬的要求，且不要影響管理網(wǎng)業(yè)務(wù)高峰期對(duì)帶寬的需要；

(2)把該類網(wǎng)絡(luò)劃分單獨(dú)的子網(wǎng)或網(wǎng)段，并按照方便管理和控制的原則為各子網(wǎng)、網(wǎng)段分配地址段；

(3)按照對(duì)業(yè)務(wù)服務(wù)的重要次序來(lái)指定帶寬分配優(yōu)先級(jí)別，保證在網(wǎng)絡(luò)發(fā)生擁堵的時(shí)候優(yōu)先保護(hù)重要業(yè)務(wù)。

3 有信息交換接口的安全建設(shè)指南

該類系統(tǒng)可采用在交換設(shè)備上建立VLAN并通過ACL控制后進(jìn)行數(shù)據(jù)交換。這種方式簡(jiǎn)捷易用，但安全性較差。為了使數(shù)據(jù)交換更安全，按實(shí)際需求，采用兩種安全級(jí)別的數(shù)據(jù)接口方式：基礎(chǔ)級(jí)和增強(qiáng)級(jí)，作為工業(yè)企業(yè)安全保障體系的一部分?；A(chǔ)級(jí)滿足與管理網(wǎng)連接的一般要求；增強(qiáng)級(jí)是在基礎(chǔ)級(jí)上增加了實(shí)時(shí)緩沖交換和更高嚴(yán)格的安全防護(hù)措施。

3.1接口模型

3.1.1基礎(chǔ)級(jí)基礎(chǔ)級(jí)接口模型要求建立接口區(qū)，在接口區(qū)內(nèi)通過邊界訪問控制設(shè)備對(duì)管理網(wǎng)和生產(chǎn)網(wǎng)進(jìn)行連接，并在訪問過程中對(duì)訪問行為進(jìn)行身份鑒別和安全審計(jì)，對(duì)資源進(jìn)行訪問控制，對(duì)通信的數(shù)據(jù)流進(jìn)行安全檢查等。具體連接方式如圖1所示。

網(wǎng)絡(luò)之間使用UTM綜合網(wǎng)關(guān)連接，對(duì)訪問進(jìn)行控制和惡意代碼防范，部署身份鑒別系統(tǒng)對(duì)訪問行為進(jìn)行身份鑒別，部署入侵檢測(cè)系統(tǒng)對(duì)通信內(nèi)容進(jìn)行實(shí)時(shí)檢測(cè)，部署安全審計(jì)系統(tǒng)對(duì)訪問行為進(jìn)行安全審計(jì)。

3.1.2增強(qiáng)級(jí)

增強(qiáng)級(jí)在基礎(chǔ)級(jí)上增加了實(shí)時(shí)緩沖交換和更強(qiáng)安全防護(hù)措施。這種接口方式采用前置服務(wù)器來(lái)進(jìn)行數(shù)據(jù)交換，避免了兩網(wǎng)直接連接互訪，提高了安全能力。具體連接方式如圖2所示。

模型設(shè)有一個(gè)數(shù)據(jù)接口區(qū)，進(jìn)行信息交換。接口區(qū)使用UTM綜合網(wǎng)關(guān)連接生產(chǎn)網(wǎng)和管理網(wǎng)。區(qū)內(nèi)沒有前置服務(wù)器，需要交換的數(shù)據(jù)實(shí)時(shí)同步到前置服務(wù)器上，等待被訪問。工作過程如圖3所示。

(1)當(dāng)生產(chǎn)網(wǎng)終端需要訪問管理網(wǎng)的信息時(shí)，管理網(wǎng)的服務(wù)器把數(shù)據(jù)傳遞到信息交換區(qū)的管理網(wǎng)前置服務(wù)器上，生產(chǎn)網(wǎng)終端再到管理網(wǎng)前置服務(wù)器上去訪問。

(2)當(dāng)管理網(wǎng)終端需要訪問生產(chǎn)網(wǎng)的信息時(shí)，生產(chǎn)阿的服務(wù)器把數(shù)據(jù)傳遞到信息交換區(qū)的生產(chǎn)網(wǎng)前置服務(wù)器上，管理網(wǎng)終端再到生產(chǎn)網(wǎng)前置服務(wù)器上去訪問。

(3)當(dāng)生產(chǎn)網(wǎng)和管理網(wǎng)的服務(wù)器之間需要交換數(shù)據(jù)時(shí)，通過UTM綜合網(wǎng)關(guān)的訪問控制措施后，可以進(jìn)行數(shù)據(jù)交換。

3.2模型的安全要求

基礎(chǔ)級(jí)接口主要從身份鑒別、訪問控制、安全審計(jì)、入侵防范、惡意代碼等方面對(duì)接口進(jìn)行防護(hù)和監(jiān)控。這些系統(tǒng)作為管理網(wǎng)的安全子系統(tǒng)，其管理、控制、升級(jí)通過管理網(wǎng)的相關(guān)服務(wù)器來(lái)完成。

4 接口模型的應(yīng)用

MES(Manufacturing Execution System)系統(tǒng)是工業(yè)企業(yè)生產(chǎn)指揮中的一個(gè)非常重要的信息化平臺(tái)，它結(jié)合各類生產(chǎn)控制系統(tǒng)，以及工業(yè)企業(yè)在建的PDM、ERP系統(tǒng)，實(shí)現(xiàn)與周邊系統(tǒng)的協(xié)調(diào)聯(lián)動(dòng)。MES的優(yōu)化目標(biāo)是，整個(gè)生產(chǎn)過程能收集生產(chǎn)過程中大量的實(shí)時(shí)數(shù)據(jù)，能及時(shí)處理實(shí)時(shí)事件；具有同時(shí)與經(jīng)營(yíng)管理層和生產(chǎn)管理層保持雙向通信的能力，能從上、下兩層接收相應(yīng)數(shù)據(jù)并反饋處理結(jié)果和生產(chǎn)指令。

MES橫跨生產(chǎn)控制與企業(yè)管理網(wǎng)絡(luò)，傳統(tǒng)連通也帶來(lái)了網(wǎng)絡(luò)安全的威脅。如何將這種威脅降到最低，甚至消除，是MES在功能設(shè)計(jì)和網(wǎng)絡(luò)設(shè)計(jì)上需要重點(diǎn)解決的問題。

圖4中模型是在工業(yè)企業(yè)的網(wǎng)絡(luò)結(jié)構(gòu)基礎(chǔ)上，結(jié)合管控安全接口模型，由浙江中煙提出的一種安全解決方案：在企業(yè)管理與生產(chǎn)控制網(wǎng)絡(luò)區(qū)域之間劃出一個(gè)緩沖區(qū)，為接口區(qū)，同時(shí)，把數(shù)據(jù)庫(kù)服務(wù)器前置服務(wù)器、入侵檢測(cè)和安全審計(jì)設(shè)備部署在該區(qū)。針對(duì)MES系統(tǒng)的特殊性，模型中把經(jīng)營(yíng)管理區(qū)分為兩層，即MES層和與MES相關(guān)的企業(yè)級(jí)應(yīng)用系統(tǒng)層(WMS／ERP／PDM等)。這兩層應(yīng)用是平行的，并無(wú)上下之分，只是從應(yīng)用角度使層次和功能更為清晰。

模型把工控網(wǎng)絡(luò)和管理網(wǎng)絡(luò)協(xié)調(diào)到一個(gè)架構(gòu)下，其拓?fù)淇蚣懿坏苓m應(yīng)不同系統(tǒng)的邏輯關(guān)系，還能滿足不同系統(tǒng)協(xié)同工作的要求，實(shí)現(xiàn)了整體最優(yōu)。

5 結(jié)束語(yǔ)

工業(yè)控制網(wǎng)絡(luò)的體系結(jié)構(gòu)正向著高性能、全開放的網(wǎng)絡(luò)體系發(fā)展，本文通過對(duì)管理與控制網(wǎng)絡(luò)之間的安全數(shù)據(jù)接口模型的研究和其可能受到威脅的分析，根據(jù)工業(yè)企業(yè)的實(shí)際情況，建立了兩種安全需求的數(shù)據(jù)接口模型，并在MES系統(tǒng)的框架設(shè)計(jì)中得到了有效的應(yīng)用。根據(jù)安全需求配置策略，模型可以保護(hù)管理網(wǎng)絡(luò)和控制網(wǎng)絡(luò)的信息機(jī)密性、系統(tǒng)的可用性和數(shù)據(jù)的完整性，從而保障工業(yè)控制網(wǎng)絡(luò)和管理網(wǎng)絡(luò)基礎(chǔ)設(shè)施的安全。