今日頭條
官方微信
官方抖音
案例頻道
劉松 (1972-)
男,河北秦皇島人,1994年畢業(yè)于天津職業(yè)大學(xué)熱能工程專業(yè),現(xiàn)任中國(guó)石油大港石化公司聚丙烯廠副廠長(zhǎng),從事化工儀表自動(dòng)化領(lǐng)域的技術(shù)及管理工作。
摘要:在化工裝置控制中,CENTUM CS3000被廣泛應(yīng)用,其操作平臺(tái)為Windows XP Professional,但在其實(shí)際使用中,經(jīng)常有操作人員進(jìn)入Windows系統(tǒng),進(jìn)行與生產(chǎn)無關(guān)的操作,本文提出的改進(jìn)措施,有效地提高了操作站的安全性。
關(guān)鍵詞:CENTUM CS3000;操作站;安全
Abstract: In chemical industry, CENTUM CS3000 system is widely applied, and its operation system is Windows XP Professional. However, in the daily usage, some operations unrelated to production are often performed by the users. In this paper, some improvement measurements are taken to ensure the safety of CS3000 system.
Key words: CENTUM CS3000; Operator Station; Safety
1 引言
YOKOGAWA CENTUM CS3000集散控制系統(tǒng)以其直觀、先進(jìn)和高度靈活的特點(diǎn)早已成為國(guó)內(nèi)大型化工裝置的主流控制系統(tǒng)之一,該系統(tǒng)提供了非常容易的與ERP、MES等上位系統(tǒng)進(jìn)行數(shù)據(jù)交換的開放性接口,能夠充分滿足化工生產(chǎn)企業(yè)構(gòu)建管理信息系統(tǒng)的各種需要。但是由于CS3000系統(tǒng)的開放性過高、且在安全方面過于依賴Windows平臺(tái),從而給其自身的系統(tǒng)安全性帶來較大隱患。為此,作者歸納了最新版本的CS3000系統(tǒng)在工程應(yīng)用中涉及到的安全問題的實(shí)際處理經(jīng)驗(yàn),總結(jié)了面向CS3000系統(tǒng)軟件組態(tài)與維護(hù)人員的具體解決方案。
2 CS3000系統(tǒng)在Win-XP環(huán)境下存在的安全隱患
截至目前,YOKOGAWA CENTUM CS3000系統(tǒng)的最新版本為R3.08.70,其操作系統(tǒng)為Windows XP Professional。與先前的版本相比,R3以上的版本增加了很多新功能,更加方便用戶使用,在系統(tǒng)安全性上,它延續(xù)使用了自R3版本以來的“CENTUM Desktop”環(huán)境,可禁止用戶更改Windows系統(tǒng)設(shè)置。但是YOKOGAWA公司未充分考慮到中國(guó)用戶的實(shí)際情況,系統(tǒng)安全措施做得不夠完善,未將與生產(chǎn)操作的功能徹底鎖死,給系統(tǒng)的安全運(yùn)行帶來隱患,具體如下:
2.1 CS3000系統(tǒng)提供的軟件安裝說明(即文獻(xiàn)[1])不夠明確
CS3000雖然要求了系統(tǒng)安裝之后在關(guān)閉屏保以及網(wǎng)絡(luò)權(quán)限等方面的設(shè)置,但在安裝CS3000系統(tǒng)并以“CENTUM”用戶權(quán)限登陸后,其帳戶類型為“受限制的帳戶”,且不能直接關(guān)閉屏保以及進(jìn)行網(wǎng)絡(luò)權(quán)限設(shè)置,Win-XP的狀態(tài)依然為10分種內(nèi)不進(jìn)行操作就進(jìn)入屏幕保護(hù)的休眠狀態(tài),并會(huì)因屏幕保護(hù)而中斷歷史數(shù)據(jù)的采集。
2.2 CS3000系統(tǒng)提供的默認(rèn)運(yùn)行環(huán)境安全程度不高
在安裝Windows XP Professional的進(jìn)程中,一些與控制系統(tǒng)無關(guān)的組件也被安裝到操作站中,即使在“CENTUM Desktop”環(huán)境下,用戶也能通過“開始”菜單或桌面圖標(biāo)方式運(yùn)行與操作無關(guān)的程序,還能直接刪除操作站上的有關(guān)文件,甚至通過“網(wǎng)上鄰居”刪除相鄰操作站的文件。
2.3 Win-XP的默認(rèn)狀態(tài)不能為CS3000系統(tǒng)提供安全的運(yùn)行環(huán)境
Windows XP Professional安裝結(jié)束后,光驅(qū)與USB接口均處于“自動(dòng)播放”狀態(tài),即使在“CENTUM Desktop”環(huán)境下,當(dāng)放入光盤或插入移動(dòng)存儲(chǔ)設(shè)備時(shí)也可自動(dòng)打開或自動(dòng)運(yùn)行,極有可能將病毒帶入操作站中。此外,自Windows 95問世以后,計(jì)算機(jī)鍵盤上增加了“Windows鍵”,Windows XP Professional平臺(tái)更是賦予了“Windows鍵”與其它鍵組合出的多種快捷方式,提高了用戶操作的便捷性,但在“CENTUM Desktop”環(huán)境下,“Windows鍵”的功能未被完全屏蔽,用戶可激活“Windows鍵”并對(duì)系統(tǒng)設(shè)置進(jìn)行修改。
雖然可以通過加強(qiáng)對(duì)操作員工的管理而盡量避免上述破壞性事件的發(fā)生,但DCS組態(tài)與維護(hù)人員仍有必要制訂相應(yīng)的技術(shù)防范措施,從根本上提高操作站的安全性。
3 改進(jìn)措施
針對(duì)文獻(xiàn)[2]、[3]中總結(jié)的CS3000系統(tǒng)早期版本在Windows 2000/NT/XP下提高安全性的解決方案,并通過作者在SPHERIPOL-Ⅱ工藝聚丙烯項(xiàng)目實(shí)施過程中的經(jīng)驗(yàn)探索,總結(jié)了在Windows XP Professional下安裝R3.08.70版本CS3000系統(tǒng)后安全設(shè)置的快捷方法,與大家共同交流。
3.1 關(guān)閉“CENTUM”用戶權(quán)限下的屏幕保護(hù)、休眠和自動(dòng)關(guān)機(jī)功能
在“管理員”權(quán)限下打開“控制面板”的“用戶帳戶”圖標(biāo),將“CENTUM”的帳戶類型由“受限制的帳戶”修改為“計(jì)算機(jī)管理員”。注銷后,再用“CENTUM”帳戶登陸,文獻(xiàn)[1]的要求關(guān)閉屏幕保護(hù)、去掉自動(dòng)關(guān)機(jī)、不啟用休眠、按下關(guān)機(jī)按鈕時(shí)不采取任何措施。修改完畢后,再次注銷后,回到“管理員”權(quán)限下,將“CENTUM”的帳戶類型改回“受限制的帳戶”。
3.2 屏蔽“CENTUM”用戶權(quán)限下由任務(wù)欄圖標(biāo)進(jìn)入硬盤目錄的途徑
在“管理員”權(quán)限下點(diǎn)擊“開始”—“運(yùn)行”,在“打開”指令欄中輸入”gpedit.msc”,進(jìn)入“組策略”編輯器。打開“用戶配置”—“管理模板”—“任務(wù)欄和開始菜單”,雙擊右側(cè)倒數(shù)第三個(gè)選項(xiàng)“隱藏通知區(qū)域”,將其狀態(tài)修改為“已啟用”。重新進(jìn)入“CENTUM Desktop”環(huán)境后,任務(wù)欄圖標(biāo)消失,無法由該處進(jìn)入硬盤目錄。
3.3 隱藏“CENTUM”用戶權(quán)限下開始菜單中影響系統(tǒng)安全的無關(guān)組件
在“HIS Utility”中將環(huán)境設(shè)置為“CENTUM Desktop”并登陸一次后,在路徑c:\cs3000\his\save下會(huì)生成一個(gè)“hisdty”目錄,該目錄下有“CENTUM Desktop”環(huán)境下的開始菜單的程序及快捷方式。注銷后,回到“管理員”權(quán)限下,將這些快捷方式刪除或剪切至其它目錄。重新進(jìn)入“CENTUM Desktop”環(huán)境后,開始菜單中影響系統(tǒng)安全的無關(guān)組件即可消失。
3.4 取消“CENTUM”用戶權(quán)限下光驅(qū)與USB接口的自動(dòng)播放功能
在“管理員”權(quán)限下點(diǎn)擊“開始”—“運(yùn)行”,在“打開”指令欄中輸入“gpedit.msc”,進(jìn)入“組策略”編輯器。打開“計(jì)算機(jī)配置”—“管理模板”—“系統(tǒng)”,雙擊右側(cè)倒數(shù)第六個(gè)選項(xiàng)“關(guān)閉自動(dòng)播放”,將其狀態(tài)修改為“已啟用”,并適用于“所有驅(qū)動(dòng)器”。重新進(jìn)入“CENTUM Desktop”環(huán)境后,自動(dòng)播放功能即可取消。
3.5 禁用鍵盤上的“Windows鍵”
在“管理員”權(quán)限下點(diǎn)擊“開始”—“運(yùn)行”,在“打開”指令欄中輸入“REGEDIT”, 進(jìn)入“注冊(cè)表”編輯器。在路徑[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]下新建DWORD值,命名名稱為“NoWinKeys”,并將數(shù)據(jù)數(shù)值寫為“1”。重新啟動(dòng)操作站后,鍵盤上的“Windows鍵”即被禁用。
3.6 去除USB接口的存儲(chǔ)設(shè)備接入功能
在“管理員”權(quán)限下點(diǎn)擊“開始”—“運(yùn)行”,在“打開”指令欄中輸入“REGEDIT”, 進(jìn)入“注冊(cè)表”編輯器。在路徑[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlset\Services\USBSTOR]右側(cè)有名稱為“Start”的設(shè)定項(xiàng),將其數(shù)據(jù)由“0x00000003(3)”修改為“0x00000004(4)”,操作站USB接口的存儲(chǔ)設(shè)備接入功能即被去除。
4 結(jié)束語
上述方案,杜絕了在“CENTUM Desktop”環(huán)境下,進(jìn)行與生產(chǎn)運(yùn)行無關(guān)的操作,DCS維護(hù)人員很容易就可對(duì)操作站進(jìn)行設(shè)置,且不影響系統(tǒng)運(yùn)行的穩(wěn)定性。
當(dāng)前,Windows XP Professional已成為DCS和PLC操作站的主流運(yùn)行環(huán)境,由于Windows本身具有開放、通用和易用的特點(diǎn),很多操作人員都對(duì)其有著較深的了解,在這種現(xiàn)狀下,DCS維護(hù)人員不僅要掌握組態(tài)技能,還應(yīng)熟悉Windows的設(shè)置方法,對(duì)操作站進(jìn)行必要的設(shè)置,實(shí)現(xiàn)系統(tǒng)運(yùn)行的本質(zhì)安全。
參考文獻(xiàn):
[1] CS3000 Installation IM33Q01C10-01E,YOKOGAWA公司技術(shù)手冊(cè)[M].
[2] 梁根東,杜中東,戴金祥. CS3000操作站安全性的提高方法[J],石油化工自動(dòng)化,2004(03).
[3] 朱敬宇. CS3000系統(tǒng)安全性的解決方案[J]. 石油化工自動(dòng)化,2008(04).
信息來源:自動(dòng)化博覽
北京市公安局海淀分局備案號(hào):11010802023656號(hào)