馬增良　辛若家

【 摘 要 】 在企業(yè)生產(chǎn)管理網(wǎng)絡(luò)互連背景下，分析了MES系統(tǒng)面臨的信息安全威脅與安全需求，基于B/S架構(gòu)設(shè)計了MES系統(tǒng)的安全架構(gòu)，描述了身份驗證、角色分配、權(quán)限管理、訪問控制、運行管理、安全審計、交互會話安全策略、Web安全策略等安全機制的實現(xiàn)技術(shù)，給出了MES系統(tǒng)運行安全的防護措施。

【 關(guān)鍵詞 】 制造執(zhí)行系統(tǒng)；信息安全；需求分析；架構(gòu)設(shè)計；安全策略

1 引言

MES（Manufacturing Execution System），即制造執(zhí)行系統(tǒng)，位于企業(yè)上層業(yè)務(wù)規(guī)劃系統(tǒng)（BPS，Business Planning System）和工業(yè)控制系統(tǒng)（PCS，Process Control System）之間，應(yīng)用于企業(yè)生產(chǎn)執(zhí)行管理，是面向車間層的生產(chǎn)技術(shù)管理信息系統(tǒng)。MES系統(tǒng)已經(jīng)成為企業(yè)信息化系統(tǒng)的重要組成部分。

隨著計算機和網(wǎng)絡(luò)技術(shù)的發(fā)展和我國信息化進程不斷推進，特別是信息化與工業(yè)化深度融合以及物聯(lián)網(wǎng)技術(shù)的快速發(fā)展，對MES系統(tǒng)的遠程接入和移動互聯(lián)應(yīng)用也提出了更多需求，尤其是集團式應(yīng)用，分布在各個地區(qū)生產(chǎn)基地MES系統(tǒng)以各種方式與互聯(lián)網(wǎng)等公共網(wǎng)絡(luò)連接，實現(xiàn)互聯(lián)和信息集成，以及企業(yè)管理者的移動辦公，因此基于Web的MES系統(tǒng)迅猛發(fā)展。圖1是基于Web的MES系統(tǒng)的典型應(yīng)用。

2 MES系統(tǒng)信息安全需求分析

MES系統(tǒng)連通企業(yè)業(yè)務(wù)管理及辦公網(wǎng)絡(luò)，集成生產(chǎn)基礎(chǔ)自動化網(wǎng)絡(luò)，構(gòu)成了企業(yè)生產(chǎn)管理網(wǎng)絡(luò)，是企業(yè)生產(chǎn)管理的關(guān)鍵設(shè)施。一旦實現(xiàn)企業(yè)生產(chǎn)網(wǎng)絡(luò)互連并接入互聯(lián)網(wǎng)，將面臨著來自互聯(lián)網(wǎng)病毒侵擾、黑客攻擊等嚴重威脅，在向工業(yè)控制系統(tǒng)擴散，不僅涉及系統(tǒng)本身的信息安全，甚至影響控制系統(tǒng)的安全運行，導(dǎo)致生產(chǎn)系統(tǒng)的癱瘓。由此，作為企業(yè)BPS和PCS之間的橋梁，MES系統(tǒng)信息安全問題日益突出，保障MES系統(tǒng)的安全穩(wěn)定可靠運行是企業(yè)信息化過程中需要充分重視的問題，需要進行風(fēng)險評估，采取適當(dāng)?shù)姆婪洞胧?/p>

MES系統(tǒng)的安全性是一個復(fù)雜的系統(tǒng)工程，包括計算機系統(tǒng)安全、網(wǎng)絡(luò)安全、數(shù)據(jù)庫系統(tǒng)安全、數(shù)據(jù)平臺系統(tǒng)安全和MES軟件的缺陷造成的安全隱患，以及用戶參與帶來的不安全因素等。

MES系統(tǒng)的信息安全主要體現(xiàn)在幾個方面：一是確保信息在需要的時間、地點和方式下可用，同時保證系統(tǒng)信息的完整性、一致性、正確性；二是保證信息在傳輸?shù)倪^程中的機密性，防止信息泄露和篡改；三是在信息存儲方面，保證系統(tǒng)運行的穩(wěn)定性和安全性，并使延遲和故障達到最小。具體可以細化為幾個安全需求。

1） 有效性需求：要求系統(tǒng)能夠持續(xù)有效的提供系統(tǒng)資源，包括系統(tǒng)業(yè)務(wù)功能和業(yè)務(wù)數(shù)據(jù)，使合法授權(quán)用戶能夠隨時隨地地利用系統(tǒng)及資源完成自己的業(yè)務(wù)工作。同時對于非法用戶的入侵能夠有效識別和拒絕。

2） 保密性需求：能夠防止竊取系統(tǒng)內(nèi)部信息，防止數(shù)據(jù)在網(wǎng)絡(luò)傳輸過程中的泄露與篡改。

3） 完整性需求：能夠保證數(shù)據(jù)的正確性、有效性，防止系統(tǒng)程序、數(shù)據(jù)的非法刪改和破壞，保證系統(tǒng)的正確運行和數(shù)據(jù)的完整性。

4） 故障恢復(fù)需求：系統(tǒng)在發(fā)生軟件或硬件故障時，能在最短時間內(nèi)迅速恢復(fù)運行，提供正常的系統(tǒng)服務(wù)。

5） 可追溯性需求：能夠隨時對系統(tǒng)狀態(tài)、用戶操作進行追溯，系統(tǒng)的關(guān)鍵執(zhí)行動作要留有記錄，合法用戶的所有操作以及非法用戶的入侵，所有行蹤都要留下證據(jù)，并且滿足不可抵賴性。

隨著Web技術(shù)廣泛應(yīng)用于MES系統(tǒng)，其開放性在增加應(yīng)用靈活度的同時，也使應(yīng)用系統(tǒng)面臨著來自Internet的安全威脅。當(dāng)網(wǎng)站遭受應(yīng)用層面的攻擊時，傳統(tǒng)的入侵防御系統(tǒng)、防火墻等防御產(chǎn)品往往顯得力不從心，這就給我們提出了更多應(yīng)用層面的安全需求。

為保證MES系統(tǒng)的整體安全，需采取全方位防護，包括從設(shè)備到網(wǎng)絡(luò)、從技術(shù)到管理等各層面，而MES應(yīng)用層是安全防護的短板，本文對此設(shè)計了MES的安全架構(gòu)，來提高系統(tǒng)整體的防護效果和安全等級。

3 基于B/S架構(gòu)的MES系統(tǒng)安全架構(gòu)設(shè)計

實施MES后，企業(yè)的生產(chǎn)運作管理完全依賴于MES系統(tǒng)的正確運行。GB 17859把計算機系統(tǒng)安全保護能力劃分為五個等級，用戶自主保護級、系統(tǒng)審計保護級、安全標記保護級、結(jié)構(gòu)化保護級和訪問驗證保護級。目前我國尚沒有關(guān)于MES系統(tǒng)應(yīng)達到的安全保護等級要求的法規(guī)和標準。據(jù)調(diào)查，目前市場應(yīng)用的MES系統(tǒng)一般能夠達到第一級安全標準。為了滿足企業(yè)MES系統(tǒng)的信息安全需求，同時又要應(yīng)對系統(tǒng)業(yè)務(wù)功能的擴展，依據(jù)MES系統(tǒng)安全隱患的分析，根據(jù)國標《GB/T 20271信息安全技術(shù) 信息系統(tǒng)安全通用技術(shù)要求》和《GB 17859計算機信息系統(tǒng)安全保護等級劃分準則》第二級系統(tǒng)審計保護級的要求，設(shè)計了一套MES的安全架構(gòu)，其邏輯結(jié)構(gòu)如圖2所示。

3.1 身份驗證與訪問控制

為保證系統(tǒng)信息安全和數(shù)據(jù)完整性，采取了非法訪問假設(shè)和合法取證原則，即假設(shè)所有從客戶端發(fā)過來的請求均是非法用戶的請求，首先要對用戶身份進行驗證，對請求的各種操作，包括數(shù)據(jù)的查詢、添加、修改、刪除等操作，都要進行合法性取證，只有通過驗證的請求，才進行處理，從而最大限度地保證數(shù)據(jù)安全。本架構(gòu)設(shè)計了四個層次的驗證與防護，如圖3所示。

登錄驗證：驗證用戶名、密碼，通過驗證的才能夠進入系統(tǒng)，同時系統(tǒng)在服務(wù)器端記錄用戶的身份證明。

將數(shù)據(jù)庫的超級用戶口令封裝在服務(wù)器端軟件內(nèi)，用戶登錄時在客戶端將口令加密生成摘要，同保存在數(shù)據(jù)庫內(nèi)的摘要進行對比，完成用戶身份確認。

訪問驗證：用戶通過登錄驗證后，系統(tǒng)根據(jù)用戶的訪問控制列表，生成用戶訪問權(quán)限內(nèi)的系統(tǒng)導(dǎo)航菜單，返回給客戶端。當(dāng)用戶按照菜單提交菜單訪問請求時，系統(tǒng)再次進行訪問驗證，通過驗證的返回相應(yīng)系統(tǒng)頁面。以此防止用戶偽造權(quán)限外的菜單地址直接訪問。endprint

操作驗證：根據(jù)用戶的數(shù)據(jù)操作能力，控制生成用戶數(shù)據(jù)操作能力內(nèi)的業(yè)務(wù)操作按鈕。當(dāng)用戶提交操作請求時，系統(tǒng)再次進行操作能力驗證，防止非法操作的發(fā)生。

數(shù)據(jù)驗證：對用戶所提交操作數(shù)據(jù)進行合法性檢查，防止非法數(shù)據(jù)的侵入。

3.2 訪問控制策略

3.2.1菜單與功能矩陣

對于企業(yè)的不同業(yè)務(wù)管理流程，MES系統(tǒng)有不同的業(yè)務(wù)操作功能。為了適應(yīng)系統(tǒng)的擴展性要求，設(shè)計了動態(tài)、多級的菜單結(jié)構(gòu)，每級菜單對應(yīng)系統(tǒng)的一個業(yè)務(wù)功能或者子功能，最終對應(yīng)系統(tǒng)的一個操作界面。系統(tǒng)界面上每一種功能操作或其組合完成一種業(yè)務(wù)的處理，構(gòu)成了菜單和功能的矩陣。

3.2.2基于角色的訪問控制

在對MES系統(tǒng)業(yè)務(wù)功能、業(yè)務(wù)流程及其干系人分析整理的基礎(chǔ)上，能夠抽象出系統(tǒng)的各種用戶角色，每種角色通過一組系統(tǒng)功能完成一定的業(yè)務(wù)處理，需要將這一組系統(tǒng)功能賦予該角色，使其具有完成這一業(yè)務(wù)的能力，也就形成了允許訪問控制表，包括菜單的允許訪問列表和功能的允許操作列表。

為了構(gòu)成系統(tǒng)的完全訪問邊界，需要明確禁止某類操作。因此設(shè)計了禁止訪問控制表，包括：菜單的禁止訪問列表和功能的禁止操作列表。

3.2.3用戶及權(quán)限管理

構(gòu)建了角色的訪問控制，將角色賦予用戶，用戶即具備了相應(yīng)的訪問權(quán)限。在企業(yè)的MES應(yīng)用中，每個企業(yè)用戶都具有一個系統(tǒng)訪問賬號，這個賬號是用戶身份的唯一標識。為保證系統(tǒng)賬號的合法性，所有用戶的賬號只能由系統(tǒng)的賬號管理員進行分配和管理。同時，每個用戶在企業(yè)承擔(dān)著某個崗位的職責(zé)，對應(yīng)于MES系統(tǒng)來說，這個用戶就具備著一個或者多個系統(tǒng)角色，通過角色權(quán)限的控制形成用戶的權(quán)限控制。本著最小權(quán)限的原則，應(yīng)當(dāng)合理分配和控制角色權(quán)限，并通過禁止訪問控制表限制用戶的訪問范圍，構(gòu)成系統(tǒng)的安全訪問邊界。

3.3 安全運行管理

多數(shù)MES系統(tǒng)都采用單一管理員（甚至是超級用戶）對系統(tǒng)進行管理。雖然簡單易行，但卻存在巨大安全隱患。一旦管理員賬號信息泄露，其他安全措施將形同虛設(shè)。因此必須進行系統(tǒng)權(quán)限的分割，使其相互制約，避免權(quán)限過分集中。本架構(gòu)的劃分策略：首先是用戶管理員，只負責(zé)企業(yè)用戶賬號的分配、鎖定和吊銷，用戶崗位角色的分配，以及用戶密碼的復(fù)位操作；其次是安全管理員，負責(zé)菜單與功能矩陣的維護，以及角色訪問控制列表的制定。

用戶管理員和安全管理員相互制約，只有協(xié)調(diào)一致才能夠完成用戶的權(quán)限分配。同時又可以分級管理，按照分廠、車間等組織架構(gòu)，或者依據(jù)業(yè)務(wù)范圍，劃分出不同層級、不同范圍的用戶管理員和安全管理員，他們只能在自己的權(quán)限范圍內(nèi)行使權(quán)力。由此形成了可集中管理也可分化管理的技術(shù)模型，企業(yè)可以依據(jù)自身規(guī)模和管理模式靈活組織設(shè)計。

3.4 系統(tǒng)安全審計

本架構(gòu)設(shè)計了完備的行為捕獲和記錄系統(tǒng)，對系統(tǒng)關(guān)鍵執(zhí)行動作留有記錄，對用戶的操作和行蹤留有日志，同時記錄了非法用戶的入侵嘗試，且滿足不可抵賴性，形成可靠證據(jù)。尤其是用戶和安全管理員的所有操作，是系統(tǒng)監(jiān)控的重點。企業(yè)安全審計人員可以隨時調(diào)取這些記錄，進行審計，一旦發(fā)現(xiàn)有違反安全策略的行為，即可對行為后果進行調(diào)查，采取相應(yīng)處理措施。

3.5 會話安全策略

HTTP是一個無狀態(tài)的協(xié)議，此協(xié)議無法維護兩個事務(wù)之間的聯(lián)系，而MES系統(tǒng)的大量應(yīng)用需要與用戶進行交互操作，并且記錄這些交互，這就需要保持會話狀態(tài)。會話狀態(tài)通常需要在客戶端cookie中記錄用戶信息，或者是在服務(wù)器端session中記錄，但也需要在用戶請求與服務(wù)器應(yīng)用程序間傳遞一個會話ID，這些信息都會成為攻擊的對象，一旦被竊取，會話就可能被冒用，成為會話劫持，造成超越權(quán)限的訪問和數(shù)據(jù)操作。為防范此類攻擊，一方面對用戶信息、會話ID等薄弱環(huán)節(jié)采取加密措施，增加截獲難度。另一方面制定安全策略監(jiān)視會話狀態(tài)，進行會話鎖定和異常保護及報警。

會話鎖定：提供交互式會話的鎖定和解鎖能力及終止會話能力。在會話進入非活動周期后對終端進行鎖定或結(jié)束會話。在用戶的靜止期超過規(guī)定的值時，通過以下方式鎖定該用戶的交互式會話：（1）在顯示設(shè)備上清除或涂抹，使當(dāng)前的內(nèi)容不可讀；（2）取消會話解鎖之外的所有用戶數(shù)據(jù)的存取/顯示的任何活動；（3）在會話解鎖之前再次進行身份鑒別。

異常保護及報警：在會話期間通過用戶請求進行監(jiān)視分析用戶操作行為，對異常行為采取操作保護動作，并產(chǎn)生記錄和報警，如頻繁、重復(fù)的數(shù)據(jù)操作，或者同一用戶在不同地點創(chuàng)建多個會話的請求等等。

3.6 Web安全防護策略

基于Web的MES系統(tǒng)遭受的典型網(wǎng)絡(luò)攻擊事件包括SQL注入、cookie破壞、會話劫持、目錄遍歷以及緩沖區(qū)溢出等，只有建立涵蓋事前、事中、事后的綜合防控體系，事前及時識別隱患和漏洞并采取修補措施，事中實時監(jiān)測，積極防御，早發(fā)現(xiàn)，早處置，才能將風(fēng)險和損失降到最小。

本架構(gòu)針對Web設(shè)計了安全防護策略，實現(xiàn)自動化的Web漏洞檢測，以及對網(wǎng)頁被掛馬、網(wǎng)頁被篡改、網(wǎng)頁出現(xiàn)敏感信息、系統(tǒng)被拒絕服務(wù)等攻擊事件的一體化監(jiān)測預(yù)警。從而幫助企業(yè)構(gòu)建自動化的系統(tǒng)安全監(jiān)測系統(tǒng)，第一時間掌握MES應(yīng)用的安全狀況，降低系統(tǒng)安全風(fēng)險，增強安全防護等級。

4 MES系統(tǒng)運行安全的防護措施

MES系統(tǒng)的運行安全不能僅僅依靠MES自身的安全設(shè)計，需要根據(jù)企業(yè)對MES的技術(shù)經(jīng)濟要求，綜合考慮信息安全技術(shù)和安全管理與防護措施。

在物理安全層面，建立MES系統(tǒng)安全運行相適應(yīng)的安全環(huán)境，包括機房安全防護、設(shè)備安全可用、存儲介質(zhì)安全等。

數(shù)據(jù)庫系統(tǒng)的安全至關(guān)重要，需要對數(shù)據(jù)依據(jù)其敏感性進行分類進行不同強度的加密，防止敏感信息泄露。同時數(shù)據(jù)庫要制定有備份和容災(zāi)措施，數(shù)據(jù)庫管理人員定時對系統(tǒng)進行備份，防止系統(tǒng)數(shù)據(jù)損壞和丟失。一旦在系統(tǒng)崩潰或癱瘓的情況下，可利用備份數(shù)據(jù)迅速將系統(tǒng)恢復(fù)起來。

在運行安全方面，通過安全風(fēng)險分析與評估，制定系統(tǒng)安全運行策略，建立安全檢測與監(jiān)控機制，加強安全審計和系統(tǒng)邊界安全防護，采用防火墻、安全認證、入侵檢測等措施來阻止攻擊，綜合運用數(shù)據(jù)加密和VPN等技術(shù)，對包括計算機病毒在內(nèi)的惡意代碼進行必要的安全防護，確保網(wǎng)絡(luò)傳輸?shù)陌踩?。運用入侵檢測技術(shù)，主動保護MES系統(tǒng)免受攻擊，為MES系統(tǒng)提供了實時保護，是防火墻之后的第二道安全閘門。

依據(jù)國家計算機應(yīng)急響應(yīng)中心發(fā)布的數(shù)據(jù)，信息系統(tǒng)安全問題中的95%是可以通過科學(xué)的信息安全管理措施來避免。因此，加強信息安全意識，制定有效的安全運維策略是保障信息安全的重要基礎(chǔ)，已經(jīng)成為企業(yè)管理的一個重要組成部分。

5 結(jié)束語

MES系統(tǒng)的信息安全直接關(guān)系到企業(yè)的正常生產(chǎn)和管理。本文對基于Web環(huán)境的MES系統(tǒng)的安全體系進行了分析，設(shè)計了系統(tǒng)的安全架構(gòu)，基于該架構(gòu)開發(fā)的SciMES產(chǎn)品，已經(jīng)成功應(yīng)用到了多個工業(yè)企業(yè)，持續(xù)為企業(yè)提供著安全、穩(wěn)定、可靠的信息化服務(wù)。

參考文獻

[1] 王欣. Web應(yīng)用系統(tǒng)安全檢測關(guān)鍵技術(shù)研究[D].2011.

[2] 朱仲穎.基于ASP.NET的Web應(yīng)用的安全解決方案研究及實現(xiàn)[D].2006.

[3] GB/T 20271-2006，信息安全技術(shù).信息系統(tǒng)安全通用技術(shù)要求.

[4] 徐兵，謝仕義.Web應(yīng)用程序會話安全模塊的設(shè)計[J].計算機工程，2008，34（19）：176-178.

基金項目：

本文得到中國科學(xué)院重點部署項目（項目編號：KGZD-EW-302）的資助。

作者簡介：

馬增良（1963-），男，山東人，研究員，計算機技術(shù)與應(yīng)用專業(yè)，主要從事企業(yè)自動化與信息化技術(shù)研究與應(yīng)用，負責(zé)包括863計劃、發(fā)改委產(chǎn)業(yè)化專項等多項項目；主要研究方向：實時系統(tǒng)、MES、RFID、綜合自動化。

辛若家（1979-），男，碩士學(xué)歷，畢業(yè)于中國石油大學(xué)（北京），機械電子工程專業(yè)，主要從事企業(yè)信息化系統(tǒng)研發(fā)，負責(zé)系統(tǒng)規(guī)劃、架構(gòu)設(shè)計和研發(fā)管理。endprint

操作驗證：根據(jù)用戶的數(shù)據(jù)操作能力，控制生成用戶數(shù)據(jù)操作能力內(nèi)的業(yè)務(wù)操作按鈕。當(dāng)用戶提交操作請求時，系統(tǒng)再次進行操作能力驗證，防止非法操作的發(fā)生。

數(shù)據(jù)驗證：對用戶所提交操作數(shù)據(jù)進行合法性檢查，防止非法數(shù)據(jù)的侵入。

3.2 訪問控制策略

3.2.1菜單與功能矩陣

對于企業(yè)的不同業(yè)務(wù)管理流程，MES系統(tǒng)有不同的業(yè)務(wù)操作功能。為了適應(yīng)系統(tǒng)的擴展性要求，設(shè)計了動態(tài)、多級的菜單結(jié)構(gòu)，每級菜單對應(yīng)系統(tǒng)的一個業(yè)務(wù)功能或者子功能，最終對應(yīng)系統(tǒng)的一個操作界面。系統(tǒng)界面上每一種功能操作或其組合完成一種業(yè)務(wù)的處理，構(gòu)成了菜單和功能的矩陣。

3.2.2基于角色的訪問控制

在對MES系統(tǒng)業(yè)務(wù)功能、業(yè)務(wù)流程及其干系人分析整理的基礎(chǔ)上，能夠抽象出系統(tǒng)的各種用戶角色，每種角色通過一組系統(tǒng)功能完成一定的業(yè)務(wù)處理，需要將這一組系統(tǒng)功能賦予該角色，使其具有完成這一業(yè)務(wù)的能力，也就形成了允許訪問控制表，包括菜單的允許訪問列表和功能的允許操作列表。

為了構(gòu)成系統(tǒng)的完全訪問邊界，需要明確禁止某類操作。因此設(shè)計了禁止訪問控制表，包括：菜單的禁止訪問列表和功能的禁止操作列表。

3.2.3用戶及權(quán)限管理

構(gòu)建了角色的訪問控制，將角色賦予用戶，用戶即具備了相應(yīng)的訪問權(quán)限。在企業(yè)的MES應(yīng)用中，每個企業(yè)用戶都具有一個系統(tǒng)訪問賬號，這個賬號是用戶身份的唯一標識。為保證系統(tǒng)賬號的合法性，所有用戶的賬號只能由系統(tǒng)的賬號管理員進行分配和管理。同時，每個用戶在企業(yè)承擔(dān)著某個崗位的職責(zé)，對應(yīng)于MES系統(tǒng)來說，這個用戶就具備著一個或者多個系統(tǒng)角色，通過角色權(quán)限的控制形成用戶的權(quán)限控制。本著最小權(quán)限的原則，應(yīng)當(dāng)合理分配和控制角色權(quán)限，并通過禁止訪問控制表限制用戶的訪問范圍，構(gòu)成系統(tǒng)的安全訪問邊界。

3.3 安全運行管理

多數(shù)MES系統(tǒng)都采用單一管理員（甚至是超級用戶）對系統(tǒng)進行管理。雖然簡單易行，但卻存在巨大安全隱患。一旦管理員賬號信息泄露，其他安全措施將形同虛設(shè)。因此必須進行系統(tǒng)權(quán)限的分割，使其相互制約，避免權(quán)限過分集中。本架構(gòu)的劃分策略：首先是用戶管理員，只負責(zé)企業(yè)用戶賬號的分配、鎖定和吊銷，用戶崗位角色的分配，以及用戶密碼的復(fù)位操作；其次是安全管理員，負責(zé)菜單與功能矩陣的維護，以及角色訪問控制列表的制定。

用戶管理員和安全管理員相互制約，只有協(xié)調(diào)一致才能夠完成用戶的權(quán)限分配。同時又可以分級管理，按照分廠、車間等組織架構(gòu)，或者依據(jù)業(yè)務(wù)范圍，劃分出不同層級、不同范圍的用戶管理員和安全管理員，他們只能在自己的權(quán)限范圍內(nèi)行使權(quán)力。由此形成了可集中管理也可分化管理的技術(shù)模型，企業(yè)可以依據(jù)自身規(guī)模和管理模式靈活組織設(shè)計。

3.4 系統(tǒng)安全審計

本架構(gòu)設(shè)計了完備的行為捕獲和記錄系統(tǒng)，對系統(tǒng)關(guān)鍵執(zhí)行動作留有記錄，對用戶的操作和行蹤留有日志，同時記錄了非法用戶的入侵嘗試，且滿足不可抵賴性，形成可靠證據(jù)。尤其是用戶和安全管理員的所有操作，是系統(tǒng)監(jiān)控的重點。企業(yè)安全審計人員可以隨時調(diào)取這些記錄，進行審計，一旦發(fā)現(xiàn)有違反安全策略的行為，即可對行為后果進行調(diào)查，采取相應(yīng)處理措施。

3.5 會話安全策略

HTTP是一個無狀態(tài)的協(xié)議，此協(xié)議無法維護兩個事務(wù)之間的聯(lián)系，而MES系統(tǒng)的大量應(yīng)用需要與用戶進行交互操作，并且記錄這些交互，這就需要保持會話狀態(tài)。會話狀態(tài)通常需要在客戶端cookie中記錄用戶信息，或者是在服務(wù)器端session中記錄，但也需要在用戶請求與服務(wù)器應(yīng)用程序間傳遞一個會話ID，這些信息都會成為攻擊的對象，一旦被竊取，會話就可能被冒用，成為會話劫持，造成超越權(quán)限的訪問和數(shù)據(jù)操作。為防范此類攻擊，一方面對用戶信息、會話ID等薄弱環(huán)節(jié)采取加密措施，增加截獲難度。另一方面制定安全策略監(jiān)視會話狀態(tài)，進行會話鎖定和異常保護及報警。

會話鎖定：提供交互式會話的鎖定和解鎖能力及終止會話能力。在會話進入非活動周期后對終端進行鎖定或結(jié)束會話。在用戶的靜止期超過規(guī)定的值時，通過以下方式鎖定該用戶的交互式會話：（1）在顯示設(shè)備上清除或涂抹，使當(dāng)前的內(nèi)容不可讀；（2）取消會話解鎖之外的所有用戶數(shù)據(jù)的存取/顯示的任何活動；（3）在會話解鎖之前再次進行身份鑒別。

異常保護及報警：在會話期間通過用戶請求進行監(jiān)視分析用戶操作行為，對異常行為采取操作保護動作，并產(chǎn)生記錄和報警，如頻繁、重復(fù)的數(shù)據(jù)操作，或者同一用戶在不同地點創(chuàng)建多個會話的請求等等。

3.6 Web安全防護策略

基于Web的MES系統(tǒng)遭受的典型網(wǎng)絡(luò)攻擊事件包括SQL注入、cookie破壞、會話劫持、目錄遍歷以及緩沖區(qū)溢出等，只有建立涵蓋事前、事中、事后的綜合防控體系，事前及時識別隱患和漏洞并采取修補措施，事中實時監(jiān)測，積極防御，早發(fā)現(xiàn)，早處置，才能將風(fēng)險和損失降到最小。

本架構(gòu)針對Web設(shè)計了安全防護策略，實現(xiàn)自動化的Web漏洞檢測，以及對網(wǎng)頁被掛馬、網(wǎng)頁被篡改、網(wǎng)頁出現(xiàn)敏感信息、系統(tǒng)被拒絕服務(wù)等攻擊事件的一體化監(jiān)測預(yù)警。從而幫助企業(yè)構(gòu)建自動化的系統(tǒng)安全監(jiān)測系統(tǒng)，第一時間掌握MES應(yīng)用的安全狀況，降低系統(tǒng)安全風(fēng)險，增強安全防護等級。

4 MES系統(tǒng)運行安全的防護措施

MES系統(tǒng)的運行安全不能僅僅依靠MES自身的安全設(shè)計，需要根據(jù)企業(yè)對MES的技術(shù)經(jīng)濟要求，綜合考慮信息安全技術(shù)和安全管理與防護措施。

在物理安全層面，建立MES系統(tǒng)安全運行相適應(yīng)的安全環(huán)境，包括機房安全防護、設(shè)備安全可用、存儲介質(zhì)安全等。

數(shù)據(jù)庫系統(tǒng)的安全至關(guān)重要，需要對數(shù)據(jù)依據(jù)其敏感性進行分類進行不同強度的加密，防止敏感信息泄露。同時數(shù)據(jù)庫要制定有備份和容災(zāi)措施，數(shù)據(jù)庫管理人員定時對系統(tǒng)進行備份，防止系統(tǒng)數(shù)據(jù)損壞和丟失。一旦在系統(tǒng)崩潰或癱瘓的情況下，可利用備份數(shù)據(jù)迅速將系統(tǒng)恢復(fù)起來。

在運行安全方面，通過安全風(fēng)險分析與評估，制定系統(tǒng)安全運行策略，建立安全檢測與監(jiān)控機制，加強安全審計和系統(tǒng)邊界安全防護，采用防火墻、安全認證、入侵檢測等措施來阻止攻擊，綜合運用數(shù)據(jù)加密和VPN等技術(shù)，對包括計算機病毒在內(nèi)的惡意代碼進行必要的安全防護，確保網(wǎng)絡(luò)傳輸?shù)陌踩?。運用入侵檢測技術(shù)，主動保護MES系統(tǒng)免受攻擊，為MES系統(tǒng)提供了實時保護，是防火墻之后的第二道安全閘門。

依據(jù)國家計算機應(yīng)急響應(yīng)中心發(fā)布的數(shù)據(jù)，信息系統(tǒng)安全問題中的95%是可以通過科學(xué)的信息安全管理措施來避免。因此，加強信息安全意識，制定有效的安全運維策略是保障信息安全的重要基礎(chǔ)，已經(jīng)成為企業(yè)管理的一個重要組成部分。

5 結(jié)束語

MES系統(tǒng)的信息安全直接關(guān)系到企業(yè)的正常生產(chǎn)和管理。本文對基于Web環(huán)境的MES系統(tǒng)的安全體系進行了分析，設(shè)計了系統(tǒng)的安全架構(gòu)，基于該架構(gòu)開發(fā)的SciMES產(chǎn)品，已經(jīng)成功應(yīng)用到了多個工業(yè)企業(yè)，持續(xù)為企業(yè)提供著安全、穩(wěn)定、可靠的信息化服務(wù)。

參考文獻

[1] 王欣. Web應(yīng)用系統(tǒng)安全檢測關(guān)鍵技術(shù)研究[D].2011.

[2] 朱仲穎.基于ASP.NET的Web應(yīng)用的安全解決方案研究及實現(xiàn)[D].2006.

[3] GB/T 20271-2006，信息安全技術(shù).信息系統(tǒng)安全通用技術(shù)要求.

[4] 徐兵，謝仕義.Web應(yīng)用程序會話安全模塊的設(shè)計[J].計算機工程，2008，34（19）：176-178.

基金項目：

本文得到中國科學(xué)院重點部署項目（項目編號：KGZD-EW-302）的資助。

作者簡介：

馬增良（1963-），男，山東人，研究員，計算機技術(shù)與應(yīng)用專業(yè)，主要從事企業(yè)自動化與信息化技術(shù)研究與應(yīng)用，負責(zé)包括863計劃、發(fā)改委產(chǎn)業(yè)化專項等多項項目；主要研究方向：實時系統(tǒng)、MES、RFID、綜合自動化。

辛若家（1979-），男，碩士學(xué)歷，畢業(yè)于中國石油大學(xué)（北京），機械電子工程專業(yè)，主要從事企業(yè)信息化系統(tǒng)研發(fā)，負責(zé)系統(tǒng)規(guī)劃、架構(gòu)設(shè)計和研發(fā)管理。endprint

操作驗證：根據(jù)用戶的數(shù)據(jù)操作能力，控制生成用戶數(shù)據(jù)操作能力內(nèi)的業(yè)務(wù)操作按鈕。當(dāng)用戶提交操作請求時，系統(tǒng)再次進行操作能力驗證，防止非法操作的發(fā)生。

數(shù)據(jù)驗證：對用戶所提交操作數(shù)據(jù)進行合法性檢查，防止非法數(shù)據(jù)的侵入。

3.2 訪問控制策略

3.2.1菜單與功能矩陣

對于企業(yè)的不同業(yè)務(wù)管理流程，MES系統(tǒng)有不同的業(yè)務(wù)操作功能。為了適應(yīng)系統(tǒng)的擴展性要求，設(shè)計了動態(tài)、多級的菜單結(jié)構(gòu)，每級菜單對應(yīng)系統(tǒng)的一個業(yè)務(wù)功能或者子功能，最終對應(yīng)系統(tǒng)的一個操作界面。系統(tǒng)界面上每一種功能操作或其組合完成一種業(yè)務(wù)的處理，構(gòu)成了菜單和功能的矩陣。

3.2.2基于角色的訪問控制

在對MES系統(tǒng)業(yè)務(wù)功能、業(yè)務(wù)流程及其干系人分析整理的基礎(chǔ)上，能夠抽象出系統(tǒng)的各種用戶角色，每種角色通過一組系統(tǒng)功能完成一定的業(yè)務(wù)處理，需要將這一組系統(tǒng)功能賦予該角色，使其具有完成這一業(yè)務(wù)的能力，也就形成了允許訪問控制表，包括菜單的允許訪問列表和功能的允許操作列表。

為了構(gòu)成系統(tǒng)的完全訪問邊界，需要明確禁止某類操作。因此設(shè)計了禁止訪問控制表，包括：菜單的禁止訪問列表和功能的禁止操作列表。

3.2.3用戶及權(quán)限管理

構(gòu)建了角色的訪問控制，將角色賦予用戶，用戶即具備了相應(yīng)的訪問權(quán)限。在企業(yè)的MES應(yīng)用中，每個企業(yè)用戶都具有一個系統(tǒng)訪問賬號，這個賬號是用戶身份的唯一標識。為保證系統(tǒng)賬號的合法性，所有用戶的賬號只能由系統(tǒng)的賬號管理員進行分配和管理。同時，每個用戶在企業(yè)承擔(dān)著某個崗位的職責(zé)，對應(yīng)于MES系統(tǒng)來說，這個用戶就具備著一個或者多個系統(tǒng)角色，通過角色權(quán)限的控制形成用戶的權(quán)限控制。本著最小權(quán)限的原則，應(yīng)當(dāng)合理分配和控制角色權(quán)限，并通過禁止訪問控制表限制用戶的訪問范圍，構(gòu)成系統(tǒng)的安全訪問邊界。

3.3 安全運行管理

多數(shù)MES系統(tǒng)都采用單一管理員（甚至是超級用戶）對系統(tǒng)進行管理。雖然簡單易行，但卻存在巨大安全隱患。一旦管理員賬號信息泄露，其他安全措施將形同虛設(shè)。因此必須進行系統(tǒng)權(quán)限的分割，使其相互制約，避免權(quán)限過分集中。本架構(gòu)的劃分策略：首先是用戶管理員，只負責(zé)企業(yè)用戶賬號的分配、鎖定和吊銷，用戶崗位角色的分配，以及用戶密碼的復(fù)位操作；其次是安全管理員，負責(zé)菜單與功能矩陣的維護，以及角色訪問控制列表的制定。

用戶管理員和安全管理員相互制約，只有協(xié)調(diào)一致才能夠完成用戶的權(quán)限分配。同時又可以分級管理，按照分廠、車間等組織架構(gòu)，或者依據(jù)業(yè)務(wù)范圍，劃分出不同層級、不同范圍的用戶管理員和安全管理員，他們只能在自己的權(quán)限范圍內(nèi)行使權(quán)力。由此形成了可集中管理也可分化管理的技術(shù)模型，企業(yè)可以依據(jù)自身規(guī)模和管理模式靈活組織設(shè)計。

3.4 系統(tǒng)安全審計

本架構(gòu)設(shè)計了完備的行為捕獲和記錄系統(tǒng)，對系統(tǒng)關(guān)鍵執(zhí)行動作留有記錄，對用戶的操作和行蹤留有日志，同時記錄了非法用戶的入侵嘗試，且滿足不可抵賴性，形成可靠證據(jù)。尤其是用戶和安全管理員的所有操作，是系統(tǒng)監(jiān)控的重點。企業(yè)安全審計人員可以隨時調(diào)取這些記錄，進行審計，一旦發(fā)現(xiàn)有違反安全策略的行為，即可對行為后果進行調(diào)查，采取相應(yīng)處理措施。

3.5 會話安全策略

HTTP是一個無狀態(tài)的協(xié)議，此協(xié)議無法維護兩個事務(wù)之間的聯(lián)系，而MES系統(tǒng)的大量應(yīng)用需要與用戶進行交互操作，并且記錄這些交互，這就需要保持會話狀態(tài)。會話狀態(tài)通常需要在客戶端cookie中記錄用戶信息，或者是在服務(wù)器端session中記錄，但也需要在用戶請求與服務(wù)器應(yīng)用程序間傳遞一個會話ID，這些信息都會成為攻擊的對象，一旦被竊取，會話就可能被冒用，成為會話劫持，造成超越權(quán)限的訪問和數(shù)據(jù)操作。為防范此類攻擊，一方面對用戶信息、會話ID等薄弱環(huán)節(jié)采取加密措施，增加截獲難度。另一方面制定安全策略監(jiān)視會話狀態(tài)，進行會話鎖定和異常保護及報警。

會話鎖定：提供交互式會話的鎖定和解鎖能力及終止會話能力。在會話進入非活動周期后對終端進行鎖定或結(jié)束會話。在用戶的靜止期超過規(guī)定的值時，通過以下方式鎖定該用戶的交互式會話：（1）在顯示設(shè)備上清除或涂抹，使當(dāng)前的內(nèi)容不可讀；（2）取消會話解鎖之外的所有用戶數(shù)據(jù)的存取/顯示的任何活動；（3）在會話解鎖之前再次進行身份鑒別。

異常保護及報警：在會話期間通過用戶請求進行監(jiān)視分析用戶操作行為，對異常行為采取操作保護動作，并產(chǎn)生記錄和報警，如頻繁、重復(fù)的數(shù)據(jù)操作，或者同一用戶在不同地點創(chuàng)建多個會話的請求等等。

3.6 Web安全防護策略

基于Web的MES系統(tǒng)遭受的典型網(wǎng)絡(luò)攻擊事件包括SQL注入、cookie破壞、會話劫持、目錄遍歷以及緩沖區(qū)溢出等，只有建立涵蓋事前、事中、事后的綜合防控體系，事前及時識別隱患和漏洞并采取修補措施，事中實時監(jiān)測，積極防御，早發(fā)現(xiàn)，早處置，才能將風(fēng)險和損失降到最小。

本架構(gòu)針對Web設(shè)計了安全防護策略，實現(xiàn)自動化的Web漏洞檢測，以及對網(wǎng)頁被掛馬、網(wǎng)頁被篡改、網(wǎng)頁出現(xiàn)敏感信息、系統(tǒng)被拒絕服務(wù)等攻擊事件的一體化監(jiān)測預(yù)警。從而幫助企業(yè)構(gòu)建自動化的系統(tǒng)安全監(jiān)測系統(tǒng)，第一時間掌握MES應(yīng)用的安全狀況，降低系統(tǒng)安全風(fēng)險，增強安全防護等級。

4 MES系統(tǒng)運行安全的防護措施

MES系統(tǒng)的運行安全不能僅僅依靠MES自身的安全設(shè)計，需要根據(jù)企業(yè)對MES的技術(shù)經(jīng)濟要求，綜合考慮信息安全技術(shù)和安全管理與防護措施。

在物理安全層面，建立MES系統(tǒng)安全運行相適應(yīng)的安全環(huán)境，包括機房安全防護、設(shè)備安全可用、存儲介質(zhì)安全等。

數(shù)據(jù)庫系統(tǒng)的安全至關(guān)重要，需要對數(shù)據(jù)依據(jù)其敏感性進行分類進行不同強度的加密，防止敏感信息泄露。同時數(shù)據(jù)庫要制定有備份和容災(zāi)措施，數(shù)據(jù)庫管理人員定時對系統(tǒng)進行備份，防止系統(tǒng)數(shù)據(jù)損壞和丟失。一旦在系統(tǒng)崩潰或癱瘓的情況下，可利用備份數(shù)據(jù)迅速將系統(tǒng)恢復(fù)起來。

在運行安全方面，通過安全風(fēng)險分析與評估，制定系統(tǒng)安全運行策略，建立安全檢測與監(jiān)控機制，加強安全審計和系統(tǒng)邊界安全防護，采用防火墻、安全認證、入侵檢測等措施來阻止攻擊，綜合運用數(shù)據(jù)加密和VPN等技術(shù)，對包括計算機病毒在內(nèi)的惡意代碼進行必要的安全防護，確保網(wǎng)絡(luò)傳輸?shù)陌踩?。運用入侵檢測技術(shù)，主動保護MES系統(tǒng)免受攻擊，為MES系統(tǒng)提供了實時保護，是防火墻之后的第二道安全閘門。

依據(jù)國家計算機應(yīng)急響應(yīng)中心發(fā)布的數(shù)據(jù)，信息系統(tǒng)安全問題中的95%是可以通過科學(xué)的信息安全管理措施來避免。因此，加強信息安全意識，制定有效的安全運維策略是保障信息安全的重要基礎(chǔ)，已經(jīng)成為企業(yè)管理的一個重要組成部分。

5 結(jié)束語

MES系統(tǒng)的信息安全直接關(guān)系到企業(yè)的正常生產(chǎn)和管理。本文對基于Web環(huán)境的MES系統(tǒng)的安全體系進行了分析，設(shè)計了系統(tǒng)的安全架構(gòu)，基于該架構(gòu)開發(fā)的SciMES產(chǎn)品，已經(jīng)成功應(yīng)用到了多個工業(yè)企業(yè)，持續(xù)為企業(yè)提供著安全、穩(wěn)定、可靠的信息化服務(wù)。

參考文獻

[1] 王欣. Web應(yīng)用系統(tǒng)安全檢測關(guān)鍵技術(shù)研究[D].2011.

[2] 朱仲穎.基于ASP.NET的Web應(yīng)用的安全解決方案研究及實現(xiàn)[D].2006.

[3] GB/T 20271-2006，信息安全技術(shù).信息系統(tǒng)安全通用技術(shù)要求.

[4] 徐兵，謝仕義.Web應(yīng)用程序會話安全模塊的設(shè)計[J].計算機工程，2008，34（19）：176-178.

基金項目：

本文得到中國科學(xué)院重點部署項目（項目編號：KGZD-EW-302）的資助。

作者簡介：

馬增良（1963-），男，山東人，研究員，計算機技術(shù)與應(yīng)用專業(yè)，主要從事企業(yè)自動化與信息化技術(shù)研究與應(yīng)用，負責(zé)包括863計劃、發(fā)改委產(chǎn)業(yè)化專項等多項項目；主要研究方向：實時系統(tǒng)、MES、RFID、綜合自動化。

辛若家（1979-），男，碩士學(xué)歷，畢業(yè)于中國石油大學(xué)（北京），機械電子工程專業(yè)，主要從事企業(yè)信息化系統(tǒng)研發(fā)，負責(zé)系統(tǒng)規(guī)劃、架構(gòu)設(shè)計和研發(fā)管理。endprint