|
|
|
使用實時數據庫系統可以將生產過程中的實時數據實現集中和共享。比如紫金橋實時數據庫系統就可以把廠內各車間的數據集中在一起,然后通過網絡發布的形式把實時生產數據發布到Internet網上,這樣在任何可以連結到實時數據庫服務器的地方,只要打開標準的IE瀏覽器并輸入網址,即可觀看到實時的生產情況。
這種系統運行模式我們稱為B/S結構,即客戶端無須安裝任何軟件,只須有IE6.0瀏覽器即可。但是由于這種模式會把實時數據庫服務器暴露在以太網上,而且實時數據庫又往往通過一系列的驅動采集程序從生產現場DCS系統或其他控制站中直接采集數據,所以網絡安全問題就顯得十分的重要,否則網絡病毒或黑客就會通過以太網侵入到生產系統中。
下圖是某大型生產系統的連接示意圖,管理人員通過本廠主頁進入系統,即可察看到各車間的生產畫面,可以瀏覽實時數據、察看報警、和歷史記錄。
在本大型生產系統中數采計算機通過網絡OPC接口從控制系統中采集數據,然后數據匯總到實時數據庫中,最后通過數據庫發布到整個廠內局域網。在制定本方案的時候一定要考慮到怎樣才能把局域網、生產網和控制系統隔離開來,從而保證控制系統的安全。從此原則著手制訂了如下的連接方案:
在每一套裝置處放置一臺微機進行數據采集,在每一臺數采機上都配置雙網卡,其中一塊網卡聯入生產網,另一塊聯結生產控制系統。同時實時數據庫服務器也配置雙網卡,一塊聯結生產網,另一塊和廠局域網相連。這樣由于有雙網卡的隔離,就把把局域網、生產網和控制系統隔離開來。這樣從硬件層面來說可以避免局域網內的計算機對控制系統直接進行攻擊。
數采計算機和服務器上采取安裝網絡防護軟件和實時殺毒軟件來提供最內層的保護。比如可以按裝Norton 網絡特警程序,此程序既可以防護網絡同時也可以時實的查殺病毒,一舉兩得。同時該軟件是Symmantec公司的產品,值的信賴。對于網絡防護方面,該軟件可以設置“信任”和“限制”連接,只要我們把控制系統工程師站加入信任連接中,同時選擇“除非特別聲明否則全部禁止”選擇項,那么和其他的所有計算機的連接都將會被完全禁止掉。這樣一來從軟件層面來說,可以杜絕病毒入侵到生產調度網,同時也加強了數采計算機的抗攻擊能力。
網絡管理上,將數采計算機與實時數據庫服務器分配在一個連續的網段內,然后通過使用子網掩碼設置,使的只有這些子網掩碼沒有過濾的計算機才可以相互訪問,這樣又從另一個層面上保證了服務器和數采機系統的安全性。所以采取了這種措施以后,又可以進一步的降低數采機被攻擊的概率。
在操作系統的設置方面,可以采取如下的方法來進一步的增強系統的安全性。我們知道網絡病毒入侵計算機的途徑只有攻擊計算機的特定端口,當端口存在漏洞時,它們才可以借此漏洞侵入計算機系統。所以我們只要把實時數據庫系統不使用的端口統統封閉,就可以完全不用擔心病毒從這些端口入侵了。
在計算機管理上,數采計算機和服務器只能作為專用設備,不允許維護人員外的其它人員使用,防止由于人員拷貝文件而引起的病毒入侵。為了達到此目的,必須給每一臺數采計算機和服務器設置用戶密碼,嚴格限制能進入該計算機系統的人員數量。
使用以上的方法就可以比較好的保護計算機,從而使整個系統的安全運行得到有力的保證。
由于很多人沒有使用過操作系統的封閉端口的功能,下面簡單的介紹一下如何在Windows系統中封閉無用的端口的方法。
打開IP地址設置對話框,如下圖所示:
在上圖的IP地址設置對話框中,點擊“高級”按鈕,彈出高級設置對話框如下所示:
選擇“選項”頁,選擇“TCP/IP 篩選”項,點擊“屬性”按鈕,彈出端口過濾對話框,如下圖所示:
在本對話框中即可設置允許打開的端口。點擊“確定”按鈕,完成端口的配置。此時系統將提示重起計算機,選擇重新啟動計算機即可。
|
|
狀 態:
離線
公司簡介
產品目錄
|
|
|
公司名稱:
|
紫金橋軟件技術有限公司
|
| 聯 系 人: |
李磊
|
| 電 話: |
0459-8151391-808
|
| 傳 真: |
0459-8151391-804 |
| 地 址: |
大慶市高新區服務外包產業園C-1座817室 |
| 郵 編: |
163316 |
| 主 頁: |
|
|
|
|
|
