当前位置:首页 > CENTUM CS3000在当前情况下的安全性的解决方1
CENTUM CS3000在当前情况下的安全性的解决方案
横和电机公司推出最新的CENTUM CS3000系统,版本为R3.08,操作站系统采用为Windows XP Professional.。由于横和电机公司推出的安全策略并不符合中国的具体情况,而且现在通过USB设备传播的病毒更加广泛。为此提出改进措施,有效地提高了操作站的安全性。
但正由于其过于开放,一方面由于移动设备的大量使用,二方面现炼厂都要求压缩投资成本,经常要求工程师站(EWS)在平时也可以作为操作站给操作人员使用,从而给系统的安全性带来了很大的威胁。维护工程师的CS3000安全性安装问题的原理分析及成功解决方案。
1、CS3000系统存在的安全问题
而随着横河电机发布最新的CENTUM CS 3000系统版本为R3.08,其操作站的操作系统也改为Windows XP Professional。与以前的版本相比,版本R3.08增加了很多功能,更方便用户的使用。在系统安全性上,它延续了使用“Centum Desktop”桌面环境,可禁止用户更改Windows系统设置。但由于中国与欧美国情的不同,并未将与生产操作无关的功能进行完全封闭。
在实际使用中,笔者就发现下面几个问题:
第一、由于炼厂为了压缩投资成本,设计中要求在平时将工程师站(EWS)也作为操作站给操作人员进行操作,而工程师站(EWS)即使在“Centum Desktop”桌面环境中,在CENTUM账户下也能进入CS3000系统的任何组态工具中。
第二、由于现在移动设备增加,U盘的大量运用,经常发现操作工利用U盘在操作站上运行游戏程序及听歌曲等,最危害大的是将通过U盘传播的病毒带入操作系统中。
第三、在安装WINDOWS XP Professional操作系统过程中,一些Windows组件也会安装到系统中来,而在“Centum Desktop”桌面环境中,在CENTUM账户下也能使用这些程序(比如游戏、通讯薄、Windows Media Player、Internet Explorer等)。从而操作人员可以通过这些游戏,进入系统删除和修改操作站上的有关文件。
第四、在WINDOWS XP Professional 操作系统中,由于DCS维护人员未按相关要求进行安装,也会影响到CS3000系统的正常运行,如在文献[2]中明确指出应取消屏幕保护程序,由于WINDOWS XP Professional操作系统中是缺省有屏幕保护,若DCS维护人员在相关操作上没有取消屏幕,会破化趋势数据的采集等等。综上所述,以上的这些问题将会严重地影响了操作站的安全,从而不利于生产操作。
虽然可以通过加强对操作人员的管理,可以防止严重的破坏事件发生。但从DCS维护人员的角度来看,必须制定一个详细的步骤,提高操作站及工程师战本身的安全性,限制操作工的权限。
解决方案
1、 如有打印机则安装打印机,及其他设备驱动程序安装,包括USB接口键盘驱动程序(为了以后禁用未经允许的USB设备做准备,在安装完USB设备以后,插后的位置就不要发生改变)。
2、 以Administrator用户登录,取消屏保;设置电源工作模式,将休眠,高级里面的按键将SLEEP等取消。
3、 将USB自动运行关闭,使用组策略来进行设置。开始->运行->Gpedit.msc->计算机配置->管理模版->系统->关闭自动播放->设置已启动->选择所有驱动器。
4、 在WindowsXP中禁用未经允许的USB接口。开始->运行->Regedit,找到
“HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\UsbStor”主键,双击名为“Start”的DWORD值,将“数值数据”改为4(注:设为2时表示自动,设为3时表示手动(这是默认设置),设为4则为停用)。修改后,当用户将未经允许的USB存储设备连接到计算机时,该设备将无法运行。
5、 检查程序菜单中是否有Windows操作系统附带的Windows组件,如:游戏、通讯薄、Windows Media Player、Internet Explorer等等,如有则进入控制面板->增加/删除程序->添加/删除Windows组件,将相关组件删除即可。
6、 重新启动机器,在Administrator用户登录,将CENTUM添加管理员权限;在用CENTUM登录,将屏保设置为无,设置电源工作模式,将休眠,高级里面的按键将SLEEP等取消。将音量图标去掉(右键->打开音频属性),输入法图标去掉(点右键->设置->首选项->语言栏)。然后注销,在用Administrator登录,将CENTUM管理员权限去掉。
7、 进入HIS Utility,将Desktop设置为CENTUM Desktop。AUTO LOGO选择为CENTUM登录。在将开始菜单改为CENTUM Desktop。重启机器(注:此时开始启动了“Centum Desktop” 桌面环境)。
8、 用CENTUM用户进入系统,将HIS Utility中的Startup(for CENTUM)选中下面的选项。 9、 对于工程师站,因为安装了SYSTEM VIEWER等CS3000组态软件,在“Centum Desktop”桌面环境中,在CENTUM账户下还是可以操作SYSTEM VIEWER等CS3000组态软件。参考以前的解决方案,发现很多都是使用对文件和目录赋予NTFS权限来进行限制,但是操作步骤繁杂,而且由于CS3000系统在CENTUM用户下,是通过启动目录来调用CENTUM HIS程序,而如果稍一不注意,没有分配给CENTUM用户对“C:\\Documents and Settings\\All Users\\「开始」菜单\\启动”目录的访问权限,就会导致CS3000在CENTUM用户下不能自启动。笔者通过摸索,找到更简单的办法,在Administrator用户下,即进入C:\\Documents and Settings\\All Users\\「开始」菜单\\程序,将YOKOGAWA CENTUM文件夹发送至桌面快捷方式,然后再将YOKOGAWA CENTUM文件夹设置为隐藏属性,同时将文件夹选项中的查看将隐藏文件全部显示(主要是为了在Administrator用户下,也可以调用CENTUM系统组态程序)。即更简单解决该问题。
10、 在使用过程中,笔者还发现在工程师站(EWS)上只要操作级别为工程师级别,无论是采用软件方式(使用密码),还是钥匙开关方式(使用工程师钥匙),即使在CENTUM用户下都能从CS3000系统菜单中进入组态画面,并且还可以随意进行关键操作如停FCS,HIS及改变重要参数等。由于CENTUM用户下,操作人员知道了班长或工程师级别密码,就能任意修改密码,造成密码管理困难,最重要的是可能会造成极大的不安全因素。参考文献[6],我们采用的方法是由DCS维护人员设置一个很长很复杂的密码,不告诉任何人,而如需操作级别切换,则使用钥匙开关方式,就能较好的解决这一个问题。
注:由于CENTUM CS 3000使用了“Centum Desktop”桌面环境,笔者在摸索过程中发现,任何对安全策略的改变,都需要重新更新“Centum Desktop” 桌面环境的缓存,具体步骤为1、用Administrator用户登录,进入HIS Utility,将Desktop设置为Windows Standard,确定后,重启机器。2、在用CENTUM登录,然后注销,用Administrator用户登录,进入HIS Utility,将Desktop设置为CENTUM Desktop,确定后,重启机器。则将“Centum Desktop” 桌面环境的缓存更新完毕。
经过上述步骤,DCS维护工程师很容易就可以对操作站及工程师站进行维护。在CENTUM用户下,操作人员再也不能进入Windows系统进行非法操作。而对于工程师站,DCS维护工程师在使用
Administrator用户登录后,很方便的对CS3000组态和Windows XP系统进行维护;操作级别的切换也仅仅为使用钥匙方能切换;同时在计算机已安装了USB设备不受影响下,禁止非法的USB设备对系统的操作。至此,完整地解决了现阶段CENTUM CS3000在Windows XP Professional操作系统上的安全性问题,并且经过2套系统的实施和将近一年的运行,系统运行安全、稳定、且便于工程师的组态和维护,得到了肯定,由此证明上述步骤和改进措施是成功的。
目前很多DCS,FCS和PLC操作站都是使用PC机,采用Windows XP 操作系统。由于Windows系统本身具有开放、通用和易用的特点,同时通过USB设备传播病毒越来越广泛,很多操作人员对Windows系统都有着很深的了解,因此他们经常试图进入系统,进行一些与生产无关的操作。在这种情况下,要求DCS维护人员不仅要掌握DCS组态技术,还需要深入掌握Windows系统,充分利用好提供的相关工具,做好必要的安全防范。
本文作者:...共分享92篇相关文档
