MES系統安全架構設計

我們都知道，MES系統的資訊保安直接關係到企業的正常生產和管理，下面yjbys小編為大家準備了與MES系統安全架構設計的文章，歡迎閱讀。

　　1 引言

MES(Manufacturing Execution System)，即製造執行系統，位於企業上層業務規劃系統(BPS，Business Planning System)和工業控制系統(PCS，Process Control System)之間，應用於企業生產執行管理，是面向車間層的生產技術管理資訊系統。MES系統已經成為企業資訊化系統的重要組成部分。

隨著計算機和網路技術的發展和我國資訊化程序不斷推進，特別是資訊化與工業化深度融合以及物聯網技術的快速發展，對MES系統的遠端接入和移動互聯應用也提出了更多需求，尤其是集團式應用，分佈在各個地區生產基地MES系統以各種方式與網際網路等公共網路連線，實現互聯和資訊整合，以及企業管理者的移動辦公，因此基於Web的MES系統迅猛發展。圖1是基於Web的MES系統的典型應用。

　　2 MES系統資訊保安需求分析

MES系統連通企業業務管理及辦公網路，整合生產基礎自動化網路，構成了企業生產管理網路，是企業生產管理的關鍵設施。一旦實現企業生產網路互連並接入網際網路，將面臨著來自網際網路病毒侵擾、黑客攻擊等嚴重威脅，在向工業控制系統擴散，不僅涉及系統本身的資訊保安，甚至影響控制系統的安全執行，導致生產系統的癱瘓。由此，作為企業BPS和PCS之間的橋樑，MES系統資訊保安問題日益突出，保障MES系統的安全穩定可靠執行是企業資訊化過程中需要充分重視的問題，需要進行風險評估，採取適當的防範措施。

MES系統的安全性是一個複雜的系統工程，包括計算機系統安全、網路安全、資料庫系統安全、資料平臺系統安全和MES軟體的缺陷造成的安全隱患，以及使用者參與帶來的不安全因素等。

MES系統的資訊保安主要體現在幾個方面：一是確保資訊在需要的時間、地點和方式下可用，同時保證系統資訊的完整性、一致性、正確性;二是保證資訊在傳輸的過程中的機密性，防止資訊洩露和篡改;三是在資訊儲存方面，保證系統執行的穩定性和安全性，並使延遲和故障達到最小。具體可以細化為幾個安全需求。

1) 有效性需求：要求系統能夠持續有效的提供系統資源，包括系統業務功能和業務資料，使合法授權使用者能夠隨時隨地地利用系統及資源完成自己的業務工作。同時對於非法使用者的入侵能夠有效識別和拒絕。

2) 保密性需求：能夠防止竊取系統內部資訊，防止資料在網路傳輸過程中的洩露與篡改。

3) 完整性需求：能夠保證資料的正確性、有效性，防止系統程式、資料的非法刪改和破壞，保證系統的正確執行和資料的完整性。

4) 故障恢復需求：系統在發生軟體或硬體故障時，能在最短時間內迅速恢復執行，提供正常的系統服務。

5) 可追溯性需求：能夠隨時對系統狀態、使用者操作進行追溯，系統的關鍵執行動作要留有記錄，合法使用者的所有操作以及非法使用者的入侵，所有行蹤都要留下證據，並且滿足不可抵賴性。

隨著Web技術廣泛應用於MES系統，其開放性在增加應用靈活度的同時，也使應用系統面臨著來自Internet的安全威脅。當網站遭受應用層面的攻擊時，傳統的入侵防禦系統、防火牆等防禦產品往往顯得力不從心，這就給我們提出了更多應用層面的安全需求。

為保證MES系統的整體安全，需採取全方位防護，包括從裝置到網路、從技術到管理等各層面，而MES應用層是安全防護的短板，本文對此設計了MES的安全架構，來提高系統整體的防護效果和安全等級。

　　3 基於B/S架構的MES系統安全架構設計

實施MES後，企業的生產運作管理完全依賴於MES系統的正確執行。GB 17859把計算機系統安全保護能力劃分為五個等級，使用者自主保護級、系統審計保護級、安全標記保護級、結構化保護級和訪問驗證保護級。目前我國尚沒有關於MES系統應達到的安全保護等級要求的法規和標準。據調查，目前市場應用的MES系統一般能夠達到第一級安全標準。為了滿足企業MES系統的資訊保安需求，同時又要應對系統業務功能的擴充套件，依據MES系統安全隱患的分析，根據國標《GB/T 20271資訊保安技術 資訊系統安全通用技術要求》和《GB 17859計算機資訊系統安全保護等級劃分準則》第二級系統審計保護級的要求，設計了一套MES的安全架構，其邏輯結構如圖2所示。

3.1 身份驗證與訪問控制

為保證系統資訊保安和資料完整性，採取了非法訪問假設和合法取證原則，即假設所有從客戶端發過來的請求均是非法使用者的請求，首先要對使用者身份進行驗證，對請求的各種操作，包括資料的查詢、新增、修改、刪除等操作，都要進行合法性取證，只有通過驗證的請求，才進行處理，從而最大限度地保證資料安全。本架構設計了四個層次的驗證與防護，如圖3所示。

登入驗證：驗證使用者名稱、密碼，通過驗證的才能夠進入系統，同時系統在伺服器端記錄使用者的身份證明。

將資料庫的超級使用者口令封裝在伺服器端軟體內，使用者登入時在客戶端將口令加密生成摘要，同儲存在資料庫內的摘要進行對比，完成使用者身份確認。

訪問驗證：使用者通過登入驗證後，系統根據使用者的訪問控制列表，生成使用者訪問許可權內的系統導航選單，返回給客戶端。當用戶按照選單提交選單訪問請求時，系統再次進行訪問驗證，通過驗證的返回相應系統頁面。以此防止使用者偽造許可權外的選單地址直接訪問。

操作驗證：根據使用者的資料操作能力，控制生成使用者資料操作能力內的業務操作按鈕。當用戶提交操作請求時，系統再次進行操作能力驗證，防止非法操作的發生。

資料驗證：對使用者所提交操作資料進行合法性檢查，防止非法資料的侵入。

3.2 訪問控制策略

3.2.1選單與功能矩陣

對於企業的不同業務管理流程，MES系統有不同的業務操作功能。為了適應系統的擴充套件性要求，設計了動態、多級的選單結構，每級選單對應系統的一個業務功能或者子功能，最終對應系統的一個操作介面。系統介面上每一種功能操作或其組合完成一種業務的處理，構成了選單和功能的矩陣。

3.2.2基於角色的訪問控制

在對MES系統業務功能、業務流程及其干係人分析整理的基礎上，能夠抽象出系統的各種使用者角色，每種角色通過一組系統功能完成一定的業務處理，需要將這一組系統功能賦予該角色，使其具有完成這一業務的能力，也就形成了允許訪問控制表，包括選單的允許訪問列表和功能的允許操作列表。

為了構成系統的完全訪問邊界，需要明確禁止某類操作。因此設計了禁止訪問控制表，包括：選單的禁止訪問列表和功能的禁止操作列表。

3.2.3使用者及許可權管理

構建了角色的訪問控制，將角色賦予使用者，使用者即具備了相應的訪問許可權。在企業的MES應用中，每個企業使用者都具有一個系統訪問賬號，這個賬號是使用者身份的唯一標識。為保證系統賬號的合法性，所有使用者的賬號只能由系統的賬號管理員進行分配和管理。同時，每個使用者在企業承擔著某個崗位的職責，對應於MES系統來說，這個使用者就具備著一個或者多個系統角色，通過角色許可權的控制形成使用者的許可權控制。本著最小許可權的原則，應當合理分配和控制角色許可權，並通過禁止訪問控制表限制使用者的訪問範圍，構成系統的安全訪問邊界。

3.3 安全執行管理

多數MES系統都採用單一管理員(甚至是超級使用者)對系統進行管理。雖然簡單易行，但卻存在巨大安全隱患。一旦管理員賬號資訊洩露，其他安全措施將形同虛設。因此必須進行系統許可權的分割，使其相互制約，避免許可權過分集中。本架構的劃分策略：首先是使用者管理員，只負責企業使用者賬號的分配、鎖定和吊銷，使用者崗位角色的分配，以及使用者密碼的復位操作;其次是安全管理員，負責選單與功能矩陣的維護，以及角色訪問控制列表的制定。

使用者管理員和安全管理員相互制約，只有協調一致才能夠完成使用者的`許可權分配。同時又可以分級管理，按照分廠、車間等組織架構，或者依據業務範圍，劃分出不同層級、不同範圍的使用者管理員和安全管理員，他們只能在自己的許可權範圍內行使權力。由此形成了可集中管理也可分化管理的技術模型，企業可以依據自身規模和管理模式靈活組織設計。

3.4 系統安全審計

本架構設計了完備的行為捕獲和記錄系統，對系統關鍵執行動作留有記錄，對使用者的操作和行蹤留有日誌，同時記錄了非法使用者的入侵嘗試，且滿足不可抵賴性，形成可靠證據。尤其是使用者和安全管理員的所有操作，是系統監控的重點。企業安全審計人員可以隨時調取這些記錄，進行審計，一旦發現有違反安全策略的行為，即可對行為後果進行調查，採取相應處理措施。

3.5 會話安全策略

HTTP是一個無狀態的協議，此協議無法維護兩個事務之間的聯絡，而MES系統的大量應用需要與使用者進行互動操作，並且記錄這些互動，這就需要保持會話狀態。會話狀態通常需要在客戶端cookie中記錄使用者資訊，或者是在伺服器端session中記錄，但也需要在使用者請求與伺服器應用程式間傳遞一個會話ID，這些資訊都會成為攻擊的物件，一旦被竊取，會話就可能被冒用，成為會話劫持，造成超越許可權的訪問和資料操作。為防範此類攻擊，一方面對使用者資訊、會話ID等薄弱環節採取加密措施，增加截獲難度。另一方面制定安全策略監視會話狀態，進行會話鎖定和異常保護及報警。

會話鎖定：提供互動式會話的鎖定和解鎖能力及終止會話能力。在會話進入非活動週期後對終端進行鎖定或結束會話。在使用者的靜止期超過規定的值時，通過以下方式鎖定該使用者的互動式會話：(1)在顯示裝置上清除或塗抹，使當前的內容不可讀;(2)取消會話解鎖之外的所有使用者資料的存取/顯示的任何活動;(3)在會話解鎖之前再次進行身份鑑別。

異常保護及報警：在會話期間通過使用者請求進行監視分析使用者操作行為，對異常行為採取操作保護動作，併產生記錄和報警，如頻繁、重複的資料操作，或者同一使用者在不同地點建立多個會話的請求等等。

3.6 Web安全防護策略

基於Web的MES系統遭受的典型網路攻擊事件包括SQL注入、cookie破壞、會話劫持、目錄遍歷以及緩衝區溢位等，只有建立涵蓋事前、事中、事後的綜合防控體系，事前及時識別隱患和漏洞並採取修補措施，事中實時監測，積極防禦，早發現，早處置，才能將風險和損失降到最小。

本架構針對Web設計了安全防護策略，實現自動化的Web漏洞檢測，以及對網頁被掛馬、網頁被篡改、網頁出現敏感資訊、系統被拒絕服務等攻擊事件的一體化監測預警。從而幫助企業構建自動化的系統安全監測系統，第一時間掌握MES應用的安全狀況，降低系統安全風險，增強安全防護等級。

　　4 MES系統執行安全的防護措施

MES系統的執行安全不能僅僅依靠MES自身的安全設計，需要根據企業對MES的技術經濟要求，綜合考慮資訊保安技術和安全管理與防護措施。

在物理安全層面，建立MES系統安全執行相適應的安全環境，包括機房安全防護、裝置安全可用、儲存介質安全等。

資料庫系統的安全至關重要，需要對資料依據其敏感性進行分類進行不同強度的加密，防止敏感資訊洩露。同時資料庫要制定有備份和容災措施，資料庫管理人員定時對系統進行備份，防止系統資料損壞和丟失。一旦在系統崩潰或癱瘓的情況下，可利用備份資料迅速將系統恢復起來。

在執行安全方面，通過安全風險分析與評估，制定系統安全執行策略，建立安全檢測與監控機制，加強安全審計和系統邊界安全防護，採用防火牆、安全認證、入侵檢測等措施來阻止攻擊，綜合運用資料加密和VPN等技術，對包括計算機病毒在內的惡意程式碼進行必要的安全防護，確保網路傳輸的安全要求。運用入侵檢測技術，主動保護MES系統免受攻擊，為MES系統提供了實時保護，是防火牆之後的第二道安全閘門。

依據國家計算機應急響應中心釋出的資料，資訊系統安全問題中的95%是可以通過科學的資訊保安管理措施來避免。因此，加強資訊保安意識，制定有效的安全運維策略是保障資訊保安的重要基礎，已經成為企業管理的一個重要組成部分。