紫金桥实时数据库系统在网络发布方面的安全处理
使用实时数据库系统可以将生产过程中的实时数据实现集中和共享。比如紫金桥实时数据库系统就可以把厂内各车间的数据集中在一起,然后通过网络发布的形式把实时生产数据发布到Internet网上,这样在任何可以连结到实时数据库服务器的地方,只要打开标准的IE浏览器并输入网址,即可观看到实时的生产情况。
这种系统运行模式我们称为B/S结构,即客户端无须安装任何软件,只须有IE6.0浏览器即可。但是由于这种模式会把实时数据库服务器暴露在以太网上,而且实时数据库又往往通过一系列的驱动采集程序从生产现场DCS系统或其他控制站中直接采集数据,所以网络安全问题就显得十分的重要,否则网络病毒或黑客就会通过以太网侵入到生产系统中。
下图是某大型生产系统的连接示意图,管理人员通过本厂主页进入系统,即可察看到各车间的生产画面,可以浏览实时数据、察看报警、和历史记录。
在本大型生产系统中数采计算机通过网络OPC接口从控制系统中采集数据,然后数据汇总到实时数据库中,最后通过数据库发布到整个厂内局域网。在制定本方案的时候一定要考虑到怎样才能把局域网、生产网和控制系统隔离开来,从而保证控制系统的安全。从此原则着手制订了如下的连接方案:
在每一套装置处放置一台微机进行数据采集,在每一台数采机上都配置双网卡,其中一块网卡联入生产网,另一块联结生产控制系统。同时实时数据库服务器也配置双网卡,一块联结生产网,另一块和厂局域网相连。这样由于有双网卡的隔离,就把把局域网、生产网和控制系统隔离开来。这样从硬件层面来说可以避免局域网内的计算机对控制系统直接进行攻击。
数采计算机和服务器上采取安装网络防护软件和实时杀毒软件来提供最内层的保护。比如可以按装Norton 网络特警程序,此程序既可以防护网络同时也可以时实的查杀病毒,一举两得。同时该软件是Symmantec公司的产品,值的信赖。对于网络防护方面,该软件可以设置“信任”和“限制”连接,只要我们把控制系统工程师站加入信任连接中,同时选择“除非特别声明否则全部禁止”选择项,那么和其他的所有计算机的连接都将会被完全禁止掉。这样一来从软件层面来说,可以杜绝病毒入侵到生产调度网,同时也加强了数采计算机的抗攻击能力。
网络管理上,将数采计算机与实时数据库服务器分配在一个连续的网段内,然后通过使用子网掩码设置,使的只有这些子网掩码没有过滤的计算机才可以相互访问,这样又从另一个层面上保证了服务器和数采机系统的安全性。所以采取了这种措施以后,又可以进一步的降低数采机被攻击的概率。
在操作系统的设置方面,可以采取如下的方法来进一步的增强系统的安全性。我们知道网络病毒入侵计算机的途径只有攻击计算机的特定端口,当端口存在漏洞时,它们才可以借此漏洞侵入计算机系统。所以我们只要把实时数据库系统不使用的端口统统封闭,就可以完全不用担心病毒从这些端口入侵了。
在计算机管理上,数采计算机和服务器只能作为专用设备,不允许维护人员外的其它人员使用,防止由于人员拷贝文件而引起的病毒入侵。为了达到此目的,必须给每一台数采计算机和服务器设置用户密码,严格限制能进入该计算机系统的人员数量。
使用以上的方法就可以比较好的保护计算机,从而使整个系统的安全运行得到有力的保证。
由于很多人没有使用过操作系统的封闭端口的功能,下面简单的介绍一下如何在Windows系统中封闭无用的端口的方法。
打开IP地址设置对话框,如下图所示:
在上图的IP地址设置对话框中,点击“高级”按钮,弹出高级设置对话框如下所示:
选择“选项”页,选择“TCP/IP 筛选”项,点击“属性”按钮,弹出端口过滤对话框,如下图所示:
在本对话框中即可设置允许打开的端口。点击“确定”按钮,完成端口的配置。此时系统将提示重起计算机,选择重新启动计算机即可。
这种系统运行模式我们称为B/S结构,即客户端无须安装任何软件,只须有IE6.0浏览器即可。但是由于这种模式会把实时数据库服务器暴露在以太网上,而且实时数据库又往往通过一系列的驱动采集程序从生产现场DCS系统或其他控制站中直接采集数据,所以网络安全问题就显得十分的重要,否则网络病毒或黑客就会通过以太网侵入到生产系统中。
下图是某大型生产系统的连接示意图,管理人员通过本厂主页进入系统,即可察看到各车间的生产画面,可以浏览实时数据、察看报警、和历史记录。
在本大型生产系统中数采计算机通过网络OPC接口从控制系统中采集数据,然后数据汇总到实时数据库中,最后通过数据库发布到整个厂内局域网。在制定本方案的时候一定要考虑到怎样才能把局域网、生产网和控制系统隔离开来,从而保证控制系统的安全。从此原则着手制订了如下的连接方案:
在每一套装置处放置一台微机进行数据采集,在每一台数采机上都配置双网卡,其中一块网卡联入生产网,另一块联结生产控制系统。同时实时数据库服务器也配置双网卡,一块联结生产网,另一块和厂局域网相连。这样由于有双网卡的隔离,就把把局域网、生产网和控制系统隔离开来。这样从硬件层面来说可以避免局域网内的计算机对控制系统直接进行攻击。
数采计算机和服务器上采取安装网络防护软件和实时杀毒软件来提供最内层的保护。比如可以按装Norton 网络特警程序,此程序既可以防护网络同时也可以时实的查杀病毒,一举两得。同时该软件是Symmantec公司的产品,值的信赖。对于网络防护方面,该软件可以设置“信任”和“限制”连接,只要我们把控制系统工程师站加入信任连接中,同时选择“除非特别声明否则全部禁止”选择项,那么和其他的所有计算机的连接都将会被完全禁止掉。这样一来从软件层面来说,可以杜绝病毒入侵到生产调度网,同时也加强了数采计算机的抗攻击能力。
网络管理上,将数采计算机与实时数据库服务器分配在一个连续的网段内,然后通过使用子网掩码设置,使的只有这些子网掩码没有过滤的计算机才可以相互访问,这样又从另一个层面上保证了服务器和数采机系统的安全性。所以采取了这种措施以后,又可以进一步的降低数采机被攻击的概率。
在操作系统的设置方面,可以采取如下的方法来进一步的增强系统的安全性。我们知道网络病毒入侵计算机的途径只有攻击计算机的特定端口,当端口存在漏洞时,它们才可以借此漏洞侵入计算机系统。所以我们只要把实时数据库系统不使用的端口统统封闭,就可以完全不用担心病毒从这些端口入侵了。
在计算机管理上,数采计算机和服务器只能作为专用设备,不允许维护人员外的其它人员使用,防止由于人员拷贝文件而引起的病毒入侵。为了达到此目的,必须给每一台数采计算机和服务器设置用户密码,严格限制能进入该计算机系统的人员数量。
使用以上的方法就可以比较好的保护计算机,从而使整个系统的安全运行得到有力的保证。
由于很多人没有使用过操作系统的封闭端口的功能,下面简单的介绍一下如何在Windows系统中封闭无用的端口的方法。
打开IP地址设置对话框,如下图所示:
在上图的IP地址设置对话框中,点击“高级”按钮,弹出高级设置对话框如下所示:
选择“选项”页,选择“TCP/IP 筛选”项,点击“属性”按钮,弹出端口过滤对话框,如下图所示:
在本对话框中即可设置允许打开的端口。点击“确定”按钮,完成端口的配置。此时系统将提示重起计算机,选择重新启动计算机即可。
文章版权归西部工控xbgk所有,未经许可不得转载。