MES系统安全架构设计

MES系统安全架构设计1引言MES(ManufacturingExecutionSystem),即制造执行系统，位于企业上层业务规划系统(BPS,BusinessPlanningSystem)和工业控制系统(PCS，ProcessControlSystem)之间，应用于企业生产执行管理，是面向车间层的生产技术管理信息系统。MES系统已经成为企业信息化系统的重要组成部分。随着计算机和网络技术的发展和我国信息化进程不断推进，特别是信息化与工业化深度融合以及物联网技术的快速发展，对MES系统的远程接入和移动互联应用也提出了更多需求，尤其是集团式应用，分布在各个地区生产基地MES系统以各种方式与互联网等公共网络连接，实现互联和信息集成，以及企业管理者的移动办公，因此基于Web的MES系统迅猛发展。图1是基于Web的MES系统的典型应用。2MES系统信息安全需求分析MES系统连通企业业务管理及办公网络，集成生产基础自动化网络，构成了企业生产管理网络，是企业生产管理的关键设施。一旦实现企业生产网络互连并接入互联网，将面临着来自互联网病毒侵扰、黑客攻击等严重威胁，在向工业控制系统扩散，不仅涉及系统本身的信息安全，甚至影响控制系统的安全运行，导致生产系统的瘫痪。由此，作为企业BPS和PCS之间的桥梁，MES系统信息安全问题日益突出，保障MES系统的安全稳定可靠运行是企业信息化过程中需要充分重视的问题，需要进行风险评估，采取适当的防范措施。MES系统的安全性是一个复杂的系统工程，包括计算机系统安全、网络安全、数据库系统安全、数据平台系统安全和MES软件的缺陷造成的安全隐患，以及用户参与带来的不安全因素等。MES系统的信息安全主要体现在几个方面：一是确保信息在需要的时间、地点和方式下可用，同时保证系统信息的完整性、一致性、正确性;二是保证信息在传输的过程中的机密性，防止信息泄露和篡改;三是在信息存储方面，保证系统运行的稳定性和安全性，并使延迟和故障达到最小。具体可以细化为几个安全需求。有效性需求：要求系统能够持续有效的提供系统资源，包括系统业务功能和业务数据，使合法授权用户能够随时随地地利用系统及资源完成自己的业务工作。同时对于非法用户的入侵能够有效识别和拒绝。保密性需求：能够防止窃取系统内部信息，防止数据在网络传输过程中的泄露与篡改。完整性需求：能够保证数据的正确性、有效性，防止系统程序、数据的非法删改和破坏，保证系统的正确运行和数据的完整性。故障恢复需求：系统在发生软件或硬件故障时，能在最短时间内迅速恢复运行，提供正常的系统服务。可追溯性需求：能够随时对系统状态、用户操作进行追溯，系统的关键执行动作要留有记录，合法用户的所有操作以及非法用户的入侵，所有行踪都要留下证据，并且满足不可抵赖性。随着Web技术广泛应用于MES系统，其开放性在增加应用灵活度的同时，也使应用系统面临着来自Internet的安全威胁。当网站遭受应用层面的攻击时，传统的入侵防御系统、防火墙等防御产品往往显得力不从心，这就给我们提出了更多应用层面的安全需求。为保证MES系统的整体安全，需采取全方位防护，包括从设备到网络、从技术到管理等各层面，而MES应用层是安全防护的短板，本文对此设计了MES的安全架构，来提高系统整体的防护效果和安全等级。3基于B/S架构的MES系统安全架构设计实施MES后，企业的生产运作管理完全依赖于MES系统的正确运行。GB17859把计算机系统安全保护能力划分为五个等级，用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级和访问验证保护级。目前我国尚没有关于MES系统应达到的安全保护等级要求的法规和标准。据调查，目前市场应用的MES系统一般能够达到第一级安全标准。为了满足企业MES系统的信息安全需求，同时又要应对系统业务功能的扩展，依据MES系统安全隐患的分析，根据国标《GB/T20271信息安全技术信息系统安全通用技术要求》和《GB17859计算机信息系统安全保护等级划分准则》第二级系统审计保护级的要求，设计了一套MES的安全架构，其逻辑结构如图2所示。身份验证与访问控制为保证系统信息安全和数据完整性，采取了非法访问假设和合法取证原则，即假设所有从客户端发过来的请求均是非法用户的请求，首先要对用户身份进行验证，对请求的各种操作，包括数据的查询、添加、修改、删除等操作，都要进行合法性取证，只有通过验证的请求，才进行处理，从而最大限度地保证数据安全。本架构设计了四个层次的验证与防护，如图3所示。登录验证：验证用户名、密码，通过验证的才能够进入系统，同时系统在服务器端记录用户的身份证明。将数据库的超级用户口令封装在服务器端软件内，用户登录时在客户端将口令加密生成摘要，同保存在数据库内的摘要进行对比，完成用户身份确认。访问验证：用户通过登录验证后，系统根据用户的访问控制列表，生成用户访问权限内的系统导航菜单，返回给客户端。当用户按照菜单提交菜单访问请求时，系统再次进行访问验证，通过验证的返回相应系统页面。以此防止用户伪造权限外的菜单地址直接访问。操作验证：根据用户的数据操作能力，控制生成用户数据操作能力内的业务操作按钮。当用户提交操作请求时，系统再次进行操作能力验证，防止非法操作的发生。数据验证：对用户所提交操作数据进行合法性检查，防止非法数据的侵入。访问控制策略3.2.1菜单与功能矩阵对于企业的不同业务管理流程，MES系统有不同的业务操作功能。为了适应系统的扩展性要求，设计了动态、多级的菜单结构，每级菜单对应系统的一个业务功能或者子功能，最终对应系统的一个操作界面。系统界面上每一种功能操作或其组合完成一种业务的处理，构成了菜单和功能的矩阵。基于角色的访问控制在对MES系统业务功能、业务流程及其干系人分析整理的基础上，能够抽象出系统的各种用户角色，每种角色通过一组系统功能完成一定的业务处理，需要将这一组系统功能赋予该角色，使其具有完成这一业务的能力，也就形成了允许访问控制表，包括菜单的允许访问列表和功能的允许操作列表。为了构成系统的完全访问边界，需要明确禁止某类操作。因此设计了禁止访问控制表，包括：菜单的禁止访问列表和功能的禁止操作列表。3.2.3用户及权限管理构建了角色的访问控制，将角色赋予用户，用户即具备了相应的访问权限。在企业的MES应用中，每个企业用户都具有一个系统访问账号，这个账号是用户身份的唯一标识。为保证系统账号的合法性，所有用户的账号只能由系统的账号管理员进行分配和管理。同时，每个用户在企业承担着某个岗位的职责，对应于MES系统来说，这个用户就具备着一个或者多个系统角色，通过角色权限的控制形成用户的权限控制。本着最小权限的原则，应当合理分配和控制角色权限，并通过禁止访问控制表限制用户的访问范围，构成系统的安全访问边界。安全运行管理多数MES系统都采用单一管理员(甚至是超级用户)对系统进行管理。虽然简单易行，但却存在巨大安全隐患。一旦管理员账号信息泄露，其他安全措施将形同虚设。因此必须进行系统权限的分割，使其相互制约，避免权限过分集中。本架构的划分策略：首先是用户管理员，只负责企业用户账号的分配、锁定和吊销，用户岗位角色的分配，以及用户密码的复位操作;其次是安全管理员，负责菜单与功能矩阵的维护，以及角色访问控制列表的制定。用户管理员和安全管理员相互制约，只有协调一致才能够完成用户的权限分配。同时又可以分级管理，按照分厂、车间等组织架构，或者依据业务范围，划分出不同层级、不同范围的用户管理员和安全管理员，他们只能在自己的权限范围内行使权力。由此形成了可集中管理也可分化管理的'技术模型，企业可以依据自身规模和管理模式灵活组织设计。系统安全审计本架构设计了完备的行为捕获和记录系统，对系统关键执行动作留有记录，对用户的操作和行踪留有日志，同时记录了非法用户的入侵尝试，且满足不可抵赖性，形成可靠证据。尤其是用户和安全管理员的所有操作，是系统监控的重点。企业安全审计人员可以随时调取这些记录，进行审计，一旦发现有违反安全策略的行为，即可对行为后果进行调查，采取相应处理措施。会话安全策略HTTP是一个无状态的协议，此协议无法维护两个事务之间的联系，而MES系统的大量应用需要与用户进行交互操作，并且记录这些交互，这就需要保持会话状态。会话状态通常需要在客户端cookie中记录用户信息，或者是在服务器端session中记录，但也需要在用户请求与服务器应用程序间传递一个会话ID,这些信息都会成为攻击的对象，一旦被窃取，会话就可能被冒用，成为会话劫持，造成超越权限的访问和数据操作。为防范此类攻击，一方面对用户信息、会话ID等薄弱环节采取加密措施，增加截获难度。另一方面制定安全策略监视会话状态，进行会话锁定和异常保护及报警。会话锁定：提供交互式会话的锁定和解锁能力及终止会话能力。在会话进入非活动周期后对终端进行锁定或结束会话。在用户的静止期超过规定的值时，通过以下方式锁定该用户的交互式会话：(1)在显示设备上清除或涂抹，使当前的内容不可读;(2)取消会话解锁之外的所有用户数据的存取/显示的任何活动;(3)在会话解锁之前再次进行身份鉴别。异常保护及报警：在会话期间通过用户请求进行监视分析用户操作行为，对异常行为采取操作保护动作，并产生记录和报警，如频繁、重复的数据操作，或者同一用户在不同地点创建多个会话的请求等等。Web安全防护策略基于Web的MES系统遭受的典型网络攻击事件包括SQL注入、cookie破坏、会话劫持、目录遍历以及缓冲区溢出等，只有建立涵盖事前、事中、事后的综合防控体系，事前及时识别隐患和漏洞并采取修补措施，事中实时监测，积极防御，早发现，早处置，才能将风险和损失降到最小。本架构针对Web设计了安全防护策略，实现自动化的Web漏洞检测，以及对网页被挂马、网页被篡改、网页出现敏感信息、系统被拒绝服务等攻击事件的一体化监测预警。从而帮助企业构建自动化的系统安全监测系统，第一时间掌握MES应用的安全状况，降低系统安全风险，增强安全防护等级。4MES系统运行安全的防护措施MES系统的运行安全不能仅仅依靠MES自身的安全设计，需要根据企业对MES的技术经济要求，综合考虑信息安全技术和安全管理与防护措施。在物理安全层面，建立MES系统安全运行相适应的安全环境，包括机房安全防护、设备安全可用、存储介质安全等。数据库系统的安全至关重要，需要对数据依据其敏感性进行分类进行不同强度的加密，防止敏感信息泄露。同时数据库要制定有备份和容灾措施，数据库管理人员定时对系统进行备份，防止系统数据损坏和丢失。一旦在系统崩溃或瘫痪的情况下，可利用备份数据迅速将系统恢复起来。在运行安全方面，通过安全风险分析与评估，制定系统安全运行策略，建立安全检测与监控机制，加强安全审计和系统边界安全防护，采用防火