技术频道

紫金桥实时数据库结合网闸构建安全实时信息平台

前言

  随着计算机技术和通讯技术的飞速发展,我们的社会已经进入信息时代。我们每天不必等邮递员将报纸投递到我们信箱中,就可以通过互联网搜索引擎Google、百度等查阅每天世界各地发生的重大事件及我们关注的各种信息。只要我们愿意,我们可以通过人人网、Facebook、MySpace等网站寻找老朋友,结交新朋友;分享自己的生活,关注朋友的近况。这种快速的信息获取我交流方式,在不断改变我们的生活方式的同时,也促使我们生产方式和管理理念变化。现在我们的企业可以将总部和研发部门设在一些技术、交通和信息相对发达的地区,方便我们技术革新、产品推广和信息获取;可以将企业的生产部门设在离生产所需原材料较近的地区,节省降低生产成本。而这种生产与经营分离,不同部门或分公司分布在不同省市甚至不同国家的公司也变的越来越普及。在这种多部门跨地区企业中,经营管理者希望他们在没有身处生产第一线时,在总部的生产分析会上,在出差的旅途上,也能及时了解生产情况。他们希望当客户需要额外订购一批产品时,他们能够知道生产装置是否有足够的生产能力,生产所需的原材料能否满足额外要求。当生产可能发生重大事故时,在他们手机上可以提前得到预警通知,从而避免重大事故的发生。这种远程监控管理模式,在MES(制造执行系统),SIS(厂级信息监控系统),EMS(能源管理系统)等系统中已经得到广泛应用。在这里我们不是想讨论如何获取这些信息,如何对这些信息加工存储,而要讨论的是在获取这些信息时,生产监控过程的安全问题。而前面叙述的内容也主要是要说明远程生产监控的必需性和重要性,我们不能因为有安全问题而因噎废食,而应该积极解决问题。那么我们要讨论的安全问题又是什么呢?那就我们将一座生产厂或一个企业的控制系统与生产管理系统组成一个信息管理时,可能引起的控制系统安全问题。

安全问题

  在早期的生产企业管理中,企业的管理系统与生产控制系统是相互独立。每套生产控制系统都是一个信息孤岛,系统生成的信息只能在系统内部使用,同样对系统下达的任何操作指令也是在系统内部完成。在现代化的生产企业中,通过构建MES、SIS、EMS等系统,利用计算机和通讯技术将生产管理系统与生产控制系统有机地结合起来,从而保证信息获取的准确性和及时性。而这种结合最初是基于开发的、双向的通讯技术平台来实现的。而这种开放的、双向应用平台随着应用区域(全厂、全市、全国……)和传送载体(城域网、因特网、移动网)拓展,而信息的安全性就变的越来越凸出了。虽然我们可以利用一些防火墙技术,将我们系统应用分为信任区和非信任区,对来自于非信任区内的访问和操作加以严格控制。但由于受到系统构建者、系统使用者和外部入侵等因素的影响,使这种旧式防御方式难以发挥应有的效用,从而存在生产控制系统被非法操控的可能性。这种非法入侵,当入侵者是恐怖主义者或敌对势力时,并且通过管理系统可以对生产控制系统直接操控时,入侵产生的后果是不可以想象的。那么如何解决这一问题呢?

解决方法

  通过对于MES、SIS、EMS等应用系统的分析,在这些应用中在信息的传输方向上,由控制系统传送到这些系统中数据要求数据准确度比较高,实效性比较强,数据量非常大;而反方向的数据多为计划性调度数据或生产工艺条件改变型数据,实效性比较弱,数据量也比较小。因此根据这一数据传送特点,我们在生产控制系统与管理系统建立一种特殊的数据通道。在这个通道上控制系统中的数据可以按着我们的需求传送给管理系统,而管理系统中的数据不可以或只在严格受限的条件下传送给控制系统。
  要想实现这一点,首先我们要从物理上(设备)确保这一目标的实现。这种物理上的改变首先要保证我们前期的设备(如:已经建立的以太网)投入得以有效利用,后期拓展费用不会太高。当前实现这目标常用的设备就是网闸。网闸通常由内外两个处理单元和隔离与交换单元组成,信息在网闸两端传送是由两个处理单元独立完成的。在信息产生端,只有满足此端接收策略的信息,才能被放置到隔离与交换单元中;在网闸的另一端,放置在隔离与交换单元中信息也只有满足本端的传送策略条件下,信息才能被传送真正的目标系统中。这种机制确保了即使网闸的对外端口受到攻击,被恶意控制了,只要传送的信息不满足内部转发策略,也不能传送目标系统中。
  在使用网闸这一物理设备后,信息传送物理特性得了有效保证,但又产生了一个新的问题,那就是系统间应用信息会话问题。因为在原有体系结构中,控制系统与MES、SIS、EMS等管理系统之间的会话机制通常是双向的,不受约束的,因此在使用网闸同时也要求系统之间在软件层能够提供对网闸的支持。紫金桥实时数据库网闸数据传器和网闸数据接收驱动正是为解决这一问题开发的。

数据传送器和网闸数据接收驱动

  紫金桥实时数据库通常作为MES、SIS、EMS系统与生产控制系统之间的数据交换和处理平台。在使用网闸时,在网闸的对内端(被保护端)首先要增加一台紫金桥前置机,在前置数据采机上除了安装紫金桥数据采集软件外,还要安装紫金桥网闸数据传送器。紫金桥数据采集软件首先由控制系统上获取数据,再通过网闸数据传送器经网闸(按着网闸策略要求)传送给外部(应用端)紫金桥实时数据库服务器。在实时数据库服务器上通过专用的网闸数据接收驱动接收信息包,提取数据信息,并将数据存储或更新到紫金桥实数据库中。基于紫金桥实时数据库构建成的MES、SIS和EMS等系统,在使用网闸时系统架构图如下所示:

小结

  正确、高效的管理模式是现代化企业生存、发展,增强企业竞争力的必需要条件。准确高效地获取生产实时信息是高效管理一种重要体现。在享受现代科学技术发展带给我们的便利性时,尤其是享受信息获取和信息传送的简易性时,我们一定要提高我们防范意识。因为这种便利性和简易性往往是对等,在方便了你的同时也方便你的敌人。希望紫金桥产品在为您提供高效的信息获取途径时,也能保证您的生产装置的安稳运行。

文章版权归西部工控xbgk所有,未经许可不得转载。