企业管理与控制网络之间的安全数据接口模型浅析

摘要：探讨了在工业企业网络的层次结构中建立管控数据接口的必要性，对接口按有无信息交换进行了分类，并针对有信息交换的接口提出了基础型和增强型两类安全的接口模型，以提高互联系统的实用性和安全性，最后把增强型模型应用到MES系统的网络框架设计中。

关键词：工业控制网络；管理网络；信息安全；数据接口模型；MES

0　引言

工业企业网络平台包括处理企业信息、决策管理的信息管理网络和处理生产现场实际测控信息的生产控制网络两个部分，信息管理网络一般处于企业中上层，用来处理大量的、变化的、多样的信息，具有高速、综合的特性；生产控制网络主要位于企业中下层，处理实时的、现场的信息，具有协议简单，安全可靠、纠错性好，成本低等特征。

在工业企业的生产控制网络中，以太网也已成为一种主要的网络技术，大量应用于生产控制网的较高层。实现生产控制网络和信息管理网络的集成可使企业实现管理与控制的一体化，逐步形成以工业控制网络为基础的企业综合自动化系统，实现生产和管理的高效率、高效益、高柔性。

本文根据实际应用情况，给出了在以太网网络层面的安全数据接口建设的建议，以实现信息化平台统一部署、统一管理的目的，提高整个企业的计算机安全防范能力。

1　工业企业网络结构

企业实现管理与控制一体化的目的是为了及时掌握和了解生产工艺各流程的运行状况及工艺参数的变化，对工艺过程进行监视与闭环控制，实现离线及在线检验、设备状态检测、生产实时状态查询，最后完成效能及工艺历史数据分析、挖掘，以修正后续的工艺标准，达到整个生产过程的闭环控制，提高生产成本控制水平，强化过程质量保障能力。

工业企业网络结构是包含设备管理、工艺管理、生产调度、过程监视、过程控制，以及工艺和关键过程能力数据挖掘、分析等诸多内容，跨越自动控制、IT两个领域的计算机系统。按实现功能的不同，可将工业企业的网络结构自下而上分成五个层次(参见表1)

第一层：工业生产过程区，产生或接受系统的输入、输出(I/O)信号，这些信号来自于如检测仪表、执行装置、电器设备及就地控制装置等。第二层：直接管理区，实现连续控制调节和顺序控制、设备检测和系统测试、进行过程数据采集、转换等。第三层：过程管理区，实现过程作业操作、生产报表打印、装置协调、优化控制、报警信息处理等。第四层：生产管理区，规划生产产品结构和规模、作业计划、产品监视、产品报告等。第五层：经营管理区，市场和用户分析、计划和制造协调、合同控制等。

2　管控接口类型

随着工业企业业务的不断扩展和机构的整合，信息化建设步伐也在不断加快，各种支持业务及生产的新系统和网络不断出现，而这些系统无论是生产过程控制方面还是弱电方面均需要在企业的网络内运行。管理应用系统与生产控制网络系统之间的无缝连接，是实现工业企业的企业管理与生产控制的一体化的首要任务。

网络结构层次中的第四层和第五层的功能是由计算机信息技术实现的，这两层建立连接，就需要建立接口，并提出安全建设指导性要求，使生产、管理等网络及系统的安全策略保持一致，以保障整个企业网络的安全运行。根据是否有信息交换，可将管控系统之间的接口类型分为以下两类：有信息交换的接口和无信息交换的接口。

2.1有信息交换的接口

管理网承载着ERP、OA等信息系统，生产控制网承载着生产控制、物流高架库等系统。办公终端和生产网之间没有直接的连接，但由于工作的需要，办公人员需要通过办公终端访问生产网的信息，反之亦然，所以管理网和生产网之间需要实现数据互访。

其中数据互访分为两种情况：①两网服务器之间的数据交换，如IVIES服务器和ERP、PDM服务器之间的状态数据和计划数据的同步和交换；②一网终端和另一网服务器之间的数据交换，如相关人员从办公室的终端上了解生产控制系统的生产状态信息等。

2.2无信息交换接口

工业企业的部分系统与管理网相连，但没有数据交换，仅借用管理网来完成自身系统的数据传输，此类接口属无信息交换接口，如弱电系统中的IP电话、视频监控等系统。由于这些系统要占用管理网一定的资源，为了保证管理网正常的运转，要做好这些系统和管理网之间的边界控制和流量控制。

(1)在网络规划设计时，应满足其对带宽的要求，且不要影响管理网业务高峰期对带宽的需要；

(2)把该类网络划分单独的子网或网段，并按照方便管理和控制的原则为各子网、网段分配地址段；

(3)按照对业务服务的重要次序来指定带宽分配优先级别，保证在网络发生拥堵的时候优先保护重要业务。

3　有信息交换接口的安全建设指南

该类系统可采用在交换设备上建立VLAN并通过ACL控制后进行数据交换。这种方式简捷易用，但安全性较差。为了使数据交换更安全，按实际需求，采用两种安全级别的数据接口方式：基础级和增强级，作为工业企业安全保障体系的一部分。基础级满足与管理网连接的一般要求；增强级是在基础级上增加了实时缓冲交换和更格的安全防护措施。

3.1接口模型

3.1.1基础级基础级接口模型要求建立接口区，在接口区内通过边界访问控制设备对管理网和生产网进行连接，并在访问过程中对访问行为进行身份鉴别和安全审计，对资源进行访问控制，对通信的数据流进行安全检查等。具体连接方式如图1所示。

网络之间使用UTM综合网关连接，对访问进行控制和恶意代码防范，部署身份鉴别系统对访问行为进行身份鉴别，部署入侵检测系统对通信内容进行实时检测，部署安全审计系统对访问行为进行安全审计。

3.1.2增强级

增强级在基础级上增加了实时缓冲交换和更强安全防护措施。这种接口方式采用前置服务器来进行数据交换，避免了两网直接连接互访，提高了安全能力。具体连接方式如图2所示。

模型设有一个数据接口区，进行信息交换。接口区使用UTM综合网关连接生产网和管理网。区内没有前置服务器，需要交换的数据实时同步到前置服务器上，等待被访问。工作过程如图3所示。

(1)当生产网终端需要访问管理网的信息时，管理网的服务器把数据传递到信息交换区的管理网前置服务器上，生产网终端再到管理网前置服务器上去访问。

(2)当管理网终端需要访问生产网的信息时，生产阿的服务器把数据传递到信息交换区的生产网前置服务器上，管理网终端再到生产网前置服务器上去访问。

(3)当生产网和管理网的服务器之间需要交换数据时，通过UTM综合网关的访问控制措施后，可以进行数据交换。

3.2模型的安全要求

基础级接口主要从身份鉴别、访问控制、安全审计、入侵防范、恶意代码等方面对接口进行防护和监控。这些系统作为管理网的安全子系统，其管理、控制、升级通过管理网的相关服务器来完成。

4　接口模型的应用

MES(Manufacturing Execution System)系统是工业企业生产指挥中的一个非常重要的信息化平台，它结合各类生产控制系统，以及工业企业在建的PDM、ERP系统，实现与周边系统的协调联动。MES的优化目标是，整个生产过程能收集生产过程中大量的实时数据，能及时处理实时事件；具有同时与经营管理层和生产管理层保持双向通信的能力，能从上、下两层接收相应数据并反馈处理结果和生产指令。

MES横跨生产控制与企业管理网络，传统连通也带来了网络安全的威胁。如何将这种威胁降到最低，甚至消除，是MES在功能设计和网络设计上需要重点解决的问题。

图4中模型是在工业企业的网络结构基础上，结合管控安全接口模型，由浙江中烟提出的一种安全解决方案：在企业管理与生产控制网络区域之间划出一个缓冲区，为接口区，同时，把数据库服务器前置服务器、入侵检测和安全审计设备部署在该区。针对MES系统的特殊性，模型中把经营管理区分为两层，即MES层和与MES相关的企业级应用系统层(WMS／ERP／PDM等)。这两层应用是平行的，并无上下之分，只是从应用角度使层次和功能更为清晰。

模型把工控网络和管理网络协调到一个架构下，其拓扑框架不但能适应不同系统的逻辑关系，还能满足不同系统协同工作的要求，实现了整体最优。

5　结束语

工业控制网络的体系结构正向着高性能、全开放的网络体系发展，本文通过对管理与控制网络之间的安全数据接口模型的研究和其可能受到威胁的分析，根据工业企业的实际情况，建立了两种安全需求的数据接口模型，并在MES系统的框架设计中得到了有效的应用。根据安全需求配置策略，模型可以保护管理网络和控制网络的信息机密性、系统的可用性和数据的完整性，从而保障工业控制网络和管理网络基础设施的安全。