炼化企业MES系统信息安全的分析与应用.docxVIP

PAGE 1 PAGE 1 炼化企业MES系统信息安全的分析与应用 3.3网络通讯协议分析。TCP／IP协议是目前最常用的一种通信协议。TCP／IP具有很强的敏捷性，支持任意规模的网络，企业网络中TCP／IP协议在与掌握网的数据交换中被普遍采用。TCMP协议簇最初设计的应用环境是内部网络，假设网络中各节点是相互信任的。它只考虑了互通互联和资源共享需求，未考虑也无法解决来自网络中的大量安全问题。  首先它缺乏对用户身份的鉴别。由于TCP／IP使用IP地址作为网络节点的唯一标识，但实际在口地址的使用和管理中存在不少问题，使得IP地址简单暴露、易伪造和更改，这就为网络安全留下了隐患；其次在邛层上缺乏对路由协议的安全认证机制，缺乏路由信息的鉴别与保护，因此通过互联网，利用路由信息任意修改网络传输路径，可误导网络分组传输。  四、MES网络安全策略  随着石化企业MES的快速发展，信息网与掌握网的融合给MES建设带来新的思索，那就是不能再将掌握网络与MES割裂开来。掌握网络已经成为MES的一部分，MES系统建设要从全局考虑，进行网络结构优化，安全策略部署等措施，做到信息网与掌握网通讯可控，区域隔离、实时报警，既满意数据通讯需求又保证工业掌握网络安全稳定运行。  4.1MES网络架构设计。兰州石化MES项目于2006年10月启动，项目分为两期，至2008年实施完成并成功上线运行。项目充分考虑了两网融合的实际需要及安全需求，对网络基础进行了新的设计，制定了局域网设计方案。该架构设计将网络结构划分为三个区域，从上至下是办公区、生产区、掌握区。其中办公区是企业的办公网络，主要部署了基于网络应用的办公自动化系统，生产运行系统，生产视频监控系统，ERP等等。  生产区是为MES系统搭建的生产专网，它是一条独立于办公网的物理链路。其网络节点是的无人机交互的计算机，仅部署MES系统服务器、BUFFER机。在生产网和办公网之间通过部署防火墙，实现由生产网至办公网的单向访问。防火墙配置相应安全策略，允许MES服务器、BuFFER机访问部分办公网资源，如防病毒和补丁程序网站等。掌握区为掌握系统所在的掌握网络。  4.2安全防护网关。在生产区与掌握区进行数据交换的设备间，部署安全防护网关。通过建立通讯许可机制、通讯协议检测，实现生产网与掌握网间可信的数据交换和网络隔离，确保MES等系统与掌握系统的通信安全，保障掌握网安全稳定运行。通过统一的监控平台，实时监测生产网与掌握网的数据通讯、网关运行状态、运行参数，准时更新安全策略。  4.3网络节点安全策略。对Windows操作系统中的账户、口令、认证授权、协议安全、补丁与防护软件等多个方面进行安全策略的部署。其中在补丁与防护软件方面，安装赛门铁克杀毒软件，通过定制扫描策略，定期进行病毒扫描，做到准时检测病毒，削减计算机中毒概率；通过集成安装补丁分发系统，为Buffer机准时推送最新的Windows安全漏洞补丁程序。在协议安全方面进行TCP／IP筛选，开放业务所需的TCP、UDP端口和口协议。  五、结论  MES系统在生产运行，生产统计管理中取得了良好的应用效果，越来越多的企业通过MES进行生产管理，它的安全性也受到前所未有的关注。石化行业的信息安全问题直接影响到其它行业的安全、稳定运行，同时也影响着企业信息化的实现进程。维护好网络安全，确保企业生产的稳定牢靠，采取安全、牢靠的防护措施是石化企业信息安全不可忽视的组成部分。