劉松 （1972-）

    男，河北秦皇島人，1994年畢業(yè)于天津職業(yè)大學(xué)熱能工程專(zhuān)業(yè)，現任中國石油大港石化公司聚丙烯廠(chǎng)副廠(chǎng)長(cháng)，從事化工儀表自動(dòng)化領(lǐng)域的技術(shù)及管理工作。


    摘要：在化工裝置控制中，CENTUM CS3000被廣泛應用，其操作平臺為Windows XP Professional，但在其實(shí)際使用中，經(jīng)常有操作人員進(jìn)入Windows系統，進(jìn)行與生產(chǎn)無(wú)關(guān)的操作，本文提出的改進(jìn)措施，有效地提高了操作站的安全性。

    關(guān)鍵詞：CENTUM CS3000；操作站；安全

    Abstract: In chemical industry, CENTUM CS3000 system is widely applied, and its operation system is Windows XP Professional. However, in the daily usage, some operations unrelated to production are often performed by the users. In this paper, some improvement measurements are taken to ensure the safety of CS3000 system.

    Key words: CENTUM CS3000; Operator Station; Safety

    1 引言

    YOKOGAWA CENTUM CS3000集散控制系統以其直觀(guān)、先進(jìn)和高度靈活的特點(diǎn)早已成為國內大型化工裝置的主流控制系統之一，該系統提供了非常容易的與ERP、MES等上位系統進(jìn)行數據交換的開(kāi)放性接口，能夠充分滿(mǎn)足化工生產(chǎn)企業(yè)構建管理信息系統的各種需要。但是由于CS3000系統的開(kāi)放性過(guò)高、且在安全方面過(guò)于依賴(lài)Windows平臺，從而給其自身的系統安全性帶來(lái)較大隱患。為此，作者歸納了最新版本的CS3000系統在工程應用中涉及到的安全問(wèn)題的實(shí)際處理經(jīng)驗，總結了面向CS3000系統軟件組態(tài)與維護人員的具體解決方案。

    2 CS3000系統在Win-XP環(huán)境下存在的安全隱患

    截至目前，YOKOGAWA CENTUM CS3000系統的最新版本為R3.08.70，其操作系統為Windows XP Professional。與先前的版本相比，R3以上的版本增加了很多新功能，更加方便用戶(hù)使用，在系統安全性上，它延續使用了自R3版本以來(lái)的“CENTUM Desktop”環(huán)境，可禁止用戶(hù)更改Windows系統設置。但是YOKOGAWA公司未充分考慮到中國用戶(hù)的實(shí)際情況，系統安全措施做得不夠完善，未將與生產(chǎn)操作的功能徹底鎖死，給系統的安全運行帶來(lái)隱患，具體如下：

    2.1 CS3000系統提供的軟件安裝說(shuō)明（即文獻[1]）不夠明確

    CS3000雖然要求了系統安裝之后在關(guān)閉屏保以及網(wǎng)絡(luò )權限等方面的設置，但在安裝CS3000系統并以“CENTUM”用戶(hù)權限登陸后，其帳戶(hù)類(lèi)型為“受限制的帳戶(hù)”，且不能直接關(guān)閉屏保以及進(jìn)行網(wǎng)絡(luò )權限設置，Win-XP的狀態(tài)依然為10分種內不進(jìn)行操作就進(jìn)入屏幕保護的休眠狀態(tài)，并會(huì )因屏幕保護而中斷歷史數據的采集。

    2.2 CS3000系統提供的默認運行環(huán)境安全程度不高

    在安裝Windows XP Professional的進(jìn)程中，一些與控制系統無(wú)關(guān)的組件也被安裝到操作站中，即使在“CENTUM Desktop”環(huán)境下，用戶(hù)也能通過(guò)“開(kāi)始”菜單或桌面圖標方式運行與操作無(wú)關(guān)的程序，還能直接刪除操作站上的有關(guān)文件，甚至通過(guò)“網(wǎng)上鄰居”刪除相鄰操作站的文件。

    2.3 Win-XP的默認狀態(tài)不能為CS3000系統提供安全的運行環(huán)境

    Windows XP Professional安裝結束后，光驅與USB接口均處于“自動(dòng)播放”狀態(tài)，即使在“CENTUM Desktop”環(huán)境下，當放入光盤(pán)或插入移動(dòng)存儲設備時(shí)也可自動(dòng)打開(kāi)或自動(dòng)運行，極有可能將病毒帶入操作站中。此外，自Windows 95問(wèn)世以后，計算機鍵盤(pán)上增加了“Windows鍵”，Windows XP Professional平臺更是賦予了“Windows鍵”與其它鍵組合出的多種快捷方式，提高了用戶(hù)操作的便捷性，但在“CENTUM Desktop”環(huán)境下，“Windows鍵”的功能未被完全屏蔽，用戶(hù)可激活“Windows鍵”并對系統設置進(jìn)行修改。

    雖然可以通過(guò)加強對操作員工的管理而盡量避免上述破壞性事件的發(fā)生，但DCS組態(tài)與維護人員仍有必要制訂相應的技術(shù)防范措施，從根本上提高操作站的安全性。

    3 改進(jìn)措施

    針對文獻[2]、[3]中總結的CS3000系統早期版本在Windows 2000/NT/XP下提高安全性的解決方案，并通過(guò)作者在SPHERIPOL-Ⅱ工藝聚丙烯項目實(shí)施過(guò)程中的經(jīng)驗探索，總結了在Windows XP Professional下安裝R3.08.70版本CS3000系統后安全設置的快捷方法，與大家共同交流。

    3.1 關(guān)閉“CENTUM”用戶(hù)權限下的屏幕保護、休眠和自動(dòng)關(guān)機功能

    在“管理員”權限下打開(kāi)“控制面板”的“用戶(hù)帳戶(hù)”圖標，將“CENTUM”的帳戶(hù)類(lèi)型由“受限制的帳戶(hù)”修改為“計算機管理員”。注銷(xiāo)后，再用“CENTUM”帳戶(hù)登陸，文獻［1］的要求關(guān)閉屏幕保護、去掉自動(dòng)關(guān)機、不啟用休眠、按下關(guān)機按鈕時(shí)不采取任何措施。修改完畢后，再次注銷(xiāo)后，回到“管理員”權限下，將“CENTUM”的帳戶(hù)類(lèi)型改回“受限制的帳戶(hù)”。

    3.2 屏蔽“CENTUM”用戶(hù)權限下由任務(wù)欄圖標進(jìn)入硬盤(pán)目錄的途徑

    在“管理員”權限下點(diǎn)擊“開(kāi)始”—“運行”，在“打開(kāi)”指令欄中輸入”gpedit.msc”，進(jìn)入“組策略”編輯器。打開(kāi)“用戶(hù)配置”—“管理模板”—“任務(wù)欄和開(kāi)始菜單”，雙擊右側倒數第三個(gè)選項“隱藏通知區域”，將其狀態(tài)修改為“已啟用”。重新進(jìn)入“CENTUM Desktop”環(huán)境后，任務(wù)欄圖標消失，無(wú)法由該處進(jìn)入硬盤(pán)目錄。

    3.3 隱藏“CENTUM”用戶(hù)權限下開(kāi)始菜單中影響系統安全的無(wú)關(guān)組件

    在“HIS Utility”中將環(huán)境設置為“CENTUM Desktop”并登陸一次后，在路徑c:\cs3000\his\save下會(huì )生成一個(gè)“hisdty”目錄，該目錄下有“CENTUM Desktop”環(huán)境下的開(kāi)始菜單的程序及快捷方式。注銷(xiāo)后，回到“管理員”權限下，將這些快捷方式刪除或剪切至其它目錄。重新進(jìn)入“CENTUM Desktop”環(huán)境后，開(kāi)始菜單中影響系統安全的無(wú)關(guān)組件即可消失。

    3.4 取消“CENTUM”用戶(hù)權限下光驅與USB接口的自動(dòng)播放功能

    在“管理員”權限下點(diǎn)擊“開(kāi)始”—“運行”，在“打開(kāi)”指令欄中輸入“gpedit.msc”，進(jìn)入“組策略”編輯器。打開(kāi)“計算機配置”—“管理模板”—“系統”，雙擊右側倒數第六個(gè)選項“關(guān)閉自動(dòng)播放”，將其狀態(tài)修改為“已啟用”，并適用于“所有驅動(dòng)器”。重新進(jìn)入“CENTUM Desktop”環(huán)境后，自動(dòng)播放功能即可取消。

    3.5 禁用鍵盤(pán)上的“Windows鍵”

    在“管理員”權限下點(diǎn)擊“開(kāi)始”—“運行”，在“打開(kāi)”指令欄中輸入“REGEDIT”， 進(jìn)入“注冊表”編輯器。在路徑[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]下新建DWORD值，命名名稱(chēng)為“NoWinKeys”，并將數據數值寫(xiě)為“1”。重新啟動(dòng)操作站后，鍵盤(pán)上的“Windows鍵”即被禁用。

    3.6 去除USB接口的存儲設備接入功能

    在“管理員”權限下點(diǎn)擊“開(kāi)始”—“運行”，在“打開(kāi)”指令欄中輸入“REGEDIT”， 進(jìn)入“注冊表”編輯器。在路徑[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlset\Services\USBSTOR]右側有名稱(chēng)為“Start”的設定項，將其數據由“0x00000003(3)”修改為“0x00000004(4)”，操作站USB接口的存儲設備接入功能即被去除。

    4 結束語(yǔ)

    上述方案，杜絕了在“CENTUM Desktop”環(huán)境下，進(jìn)行與生產(chǎn)運行無(wú)關(guān)的操作，DCS維護人員很容易就可對操作站進(jìn)行設置，且不影響系統運行的穩定性。

    當前，Windows XP Professional已成為DCS和PLC操作站的主流運行環(huán)境，由于Windows本身具有開(kāi)放、通用和易用的特點(diǎn)，很多操作人員都對其有著(zhù)較深的了解，在這種現狀下，DCS維護人員不僅要掌握組態(tài)技能，還應熟悉Windows的設置方法，對操作站進(jìn)行必要的設置，實(shí)現系統運行的本質(zhì)安全。

    參考文獻：

    [1] CS3000 Installation IM33Q01C10-01E，YOKOGAWA公司技術(shù)手冊[M].

    [2] 梁根東，杜中東，戴金祥. CS3000操作站安全性的提高方法[J]，石油化工自動(dòng)化，2004(03).

    [3] 朱敬宇. CS3000系統安全性的解決方案[J]. 石油化工自動(dòng)化，2008(04).

                                                           信息來(lái)源：自動(dòng)化博覽