今日頭條
官方微信
官方抖音
案例頻道
劉松 (1972-)
男,河北秦皇島人,1994年畢業于天津職業大學熱能工程專業,現任中國石油大港石化公司聚丙烯廠副廠長,從事化工儀表自動化領域的技術及管理工作。
摘要:在化工裝置控制中,CENTUM CS3000被廣泛應用,其操作平臺為Windows XP Professional,但在其實際使用中,經常有操作人員進入Windows系統,進行與生產無關的操作,本文提出的改進措施,有效地提高了操作站的安全性。
關鍵詞:CENTUM CS3000;操作站;安全
Abstract: In chemical industry, CENTUM CS3000 system is widely applied, and its operation system is Windows XP Professional. However, in the daily usage, some operations unrelated to production are often performed by the users. In this paper, some improvement measurements are taken to ensure the safety of CS3000 system.
Key words: CENTUM CS3000; Operator Station; Safety
1 引言
YOKOGAWA CENTUM CS3000集散控制系統以其直觀、先進和高度靈活的特點早已成為國內大型化工裝置的主流控制系統之一,該系統提供了非常容易的與ERP、MES等上位系統進行數據交換的開放性接口,能夠充分滿足化工生產企業構建管理信息系統的各種需要。但是由于CS3000系統的開放性過高、且在安全方面過于依賴Windows平臺,從而給其自身的系統安全性帶來較大隱患。為此,作者歸納了最新版本的CS3000系統在工程應用中涉及到的安全問題的實際處理經驗,總結了面向CS3000系統軟件組態與維護人員的具體解決方案。
2 CS3000系統在Win-XP環境下存在的安全隱患
截至目前,YOKOGAWA CENTUM CS3000系統的最新版本為R3.08.70,其操作系統為Windows XP Professional。與先前的版本相比,R3以上的版本增加了很多新功能,更加方便用戶使用,在系統安全性上,它延續使用了自R3版本以來的“CENTUM Desktop”環境,可禁止用戶更改Windows系統設置。但是YOKOGAWA公司未充分考慮到中國用戶的實際情況,系統安全措施做得不夠完善,未將與生產操作的功能徹底鎖死,給系統的安全運行帶來隱患,具體如下:
2.1 CS3000系統提供的軟件安裝說明(即文獻[1])不夠明確
CS3000雖然要求了系統安裝之后在關閉屏保以及網絡權限等方面的設置,但在安裝CS3000系統并以“CENTUM”用戶權限登陸后,其帳戶類型為“受限制的帳戶”,且不能直接關閉屏保以及進行網絡權限設置,Win-XP的狀態依然為10分種內不進行操作就進入屏幕保護的休眠狀態,并會因屏幕保護而中斷歷史數據的采集。
2.2 CS3000系統提供的默認運行環境安全程度不高
在安裝Windows XP Professional的進程中,一些與控制系統無關的組件也被安裝到操作站中,即使在“CENTUM Desktop”環境下,用戶也能通過“開始”菜單或桌面圖標方式運行與操作無關的程序,還能直接刪除操作站上的有關文件,甚至通過“網上鄰居”刪除相鄰操作站的文件。
2.3 Win-XP的默認狀態不能為CS3000系統提供安全的運行環境
Windows XP Professional安裝結束后,光驅與USB接口均處于“自動播放”狀態,即使在“CENTUM Desktop”環境下,當放入光盤或插入移動存儲設備時也可自動打開或自動運行,極有可能將病毒帶入操作站中。此外,自Windows 95問世以后,計算機鍵盤上增加了“Windows鍵”,Windows XP Professional平臺更是賦予了“Windows鍵”與其它鍵組合出的多種快捷方式,提高了用戶操作的便捷性,但在“CENTUM Desktop”環境下,“Windows鍵”的功能未被完全屏蔽,用戶可激活“Windows鍵”并對系統設置進行修改。
雖然可以通過加強對操作員工的管理而盡量避免上述破壞性事件的發生,但DCS組態與維護人員仍有必要制訂相應的技術防范措施,從根本上提高操作站的安全性。
3 改進措施
針對文獻[2]、[3]中總結的CS3000系統早期版本在Windows 2000/NT/XP下提高安全性的解決方案,并通過作者在SPHERIPOL-Ⅱ工藝聚丙烯項目實施過程中的經驗探索,總結了在Windows XP Professional下安裝R3.08.70版本CS3000系統后安全設置的快捷方法,與大家共同交流。
3.1 關閉“CENTUM”用戶權限下的屏幕保護、休眠和自動關機功能
在“管理員”權限下打開“控制面板”的“用戶帳戶”圖標,將“CENTUM”的帳戶類型由“受限制的帳戶”修改為“計算機管理員”。注銷后,再用“CENTUM”帳戶登陸,文獻[1]的要求關閉屏幕保護、去掉自動關機、不啟用休眠、按下關機按鈕時不采取任何措施。修改完畢后,再次注銷后,回到“管理員”權限下,將“CENTUM”的帳戶類型改回“受限制的帳戶”。
3.2 屏蔽“CENTUM”用戶權限下由任務欄圖標進入硬盤目錄的途徑
在“管理員”權限下點擊“開始”—“運行”,在“打開”指令欄中輸入”gpedit.msc”,進入“組策略”編輯器。打開“用戶配置”—“管理模板”—“任務欄和開始菜單”,雙擊右側倒數第三個選項“隱藏通知區域”,將其狀態修改為“已啟用”。重新進入“CENTUM Desktop”環境后,任務欄圖標消失,無法由該處進入硬盤目錄。
3.3 隱藏“CENTUM”用戶權限下開始菜單中影響系統安全的無關組件
在“HIS Utility”中將環境設置為“CENTUM Desktop”并登陸一次后,在路徑c:\cs3000\his\save下會生成一個“hisdty”目錄,該目錄下有“CENTUM Desktop”環境下的開始菜單的程序及快捷方式。注銷后,回到“管理員”權限下,將這些快捷方式刪除或剪切至其它目錄。重新進入“CENTUM Desktop”環境后,開始菜單中影響系統安全的無關組件即可消失。
3.4 取消“CENTUM”用戶權限下光驅與USB接口的自動播放功能
在“管理員”權限下點擊“開始”—“運行”,在“打開”指令欄中輸入“gpedit.msc”,進入“組策略”編輯器。打開“計算機配置”—“管理模板”—“系統”,雙擊右側倒數第六個選項“關閉自動播放”,將其狀態修改為“已啟用”,并適用于“所有驅動器”。重新進入“CENTUM Desktop”環境后,自動播放功能即可取消。
3.5 禁用鍵盤上的“Windows鍵”
在“管理員”權限下點擊“開始”—“運行”,在“打開”指令欄中輸入“REGEDIT”, 進入“注冊表”編輯器。在路徑[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]下新建DWORD值,命名名稱為“NoWinKeys”,并將數據數值寫為“1”。重新啟動操作站后,鍵盤上的“Windows鍵”即被禁用。
3.6 去除USB接口的存儲設備接入功能
在“管理員”權限下點擊“開始”—“運行”,在“打開”指令欄中輸入“REGEDIT”, 進入“注冊表”編輯器。在路徑[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlset\Services\USBSTOR]右側有名稱為“Start”的設定項,將其數據由“0x00000003(3)”修改為“0x00000004(4)”,操作站USB接口的存儲設備接入功能即被去除。
4 結束語
上述方案,杜絕了在“CENTUM Desktop”環境下,進行與生產運行無關的操作,DCS維護人員很容易就可對操作站進行設置,且不影響系統運行的穩定性。
當前,Windows XP Professional已成為DCS和PLC操作站的主流運行環境,由于Windows本身具有開放、通用和易用的特點,很多操作人員都對其有著較深的了解,在這種現狀下,DCS維護人員不僅要掌握組態技能,還應熟悉Windows的設置方法,對操作站進行必要的設置,實現系統運行的本質安全。
參考文獻:
[1] CS3000 Installation IM33Q01C10-01E,YOKOGAWA公司技術手冊[M].
[2] 梁根東,杜中東,戴金祥. CS3000操作站安全性的提高方法[J],石油化工自動化,2004(03).
[3] 朱敬宇. CS3000系統安全性的解決方案[J]. 石油化工自動化,2008(04).
信息來源:自動化博覽
北京市公安局海淀分局備案號:11010802023656號