（机械制造及其自动化专业论文）web环境下的mes系统信息安全的研究.pdf

摘要 本课题结合武汉理工大学机电工程学院信息化工作室的天工m e s 系统的开发 经验，从阻止系统入侵和入侵检测两个不同的角度，对该m e s 系统的信息安全隐 患及可能的其它外部威胁进行了系统的深入分析。 本文提出了w e b 环境下的m e s 系统运行的安全目标，并将m e s 系统安全目 标分解成几个可度量的子目标。设计m e s 系统软件的安全架构方案，着重讨论在 确保m e s 系统安全和高效运行的前提下，利用访问控制机制、防火墙机制以及入 侵检测机制，如何将重要数据进行加密保护和入侵防护，从而提高m e s 系统软件 的安全性能和抗攻击能力，提高m e s 系统的可用性和可靠性。根据国际信息安全 标准架构的描述和国内外信息安全系统的策略，提出了w e b 环境下m e s 系统软 件运行和维护应具有的安全策略。 本文系统地介绍了安全架构所采用的v p n 技术、w e b 服务和当前流行的软件 安全加密算法等关键技术。筛选了适合m e s 系统的高效、安全的数据加密算法并 付诸实施，并对各种加密解密算法进行了归纳和总结。 为了说明该系统安全架构的可用性和安全性，对系统安全架构的部分功能进 行模拟实现，对w e b 环境下的m e s 系统整体安全性的真实实现进行论述，并给出 数据加密解密算法的实现效果图，对入侵检测系统的功能点和m e s 系统中基于 w e b 服务的身份验证进行了实现。 论文的最后总结了本课题的工作，并对未来的研究方向作了展望。 关键字：m e s ，w e b ，安全架构，加密。 a b s t r a c t 1 1 l et h e s i sc o m b i n e dt h ed e v e l o p m e n te x p e r i e n c eo ft h et i a ng o n gm e ss o f t w a r e o fw u h a nu n i v e r s i t yo f t e c h n o l o g y ，m e c h a n i c a l a n de l e c t r o n i c e n g i n e e r i n g c o l l e g e ，t h i st h e s i sa n a l y z e dt h ei n f o r m a t i o ns e c u r i t yr i s ka n dp r o b a b l eo t h e re x t e r n a l t h r e a to ft h em e ss y s t e m i te m p h a s i z e do np r e v e n t i n gt h es y s t e mf r o mi n v a d i n ga n d i n t r u s i o nd e t e c t i o n ，n 圮t h e s i sp r e s e n t e dt h es e c u r i t yo p e r a t i o nt a r g e to fm 哐ss y s t e mi n t h ew e b e n v i r o n m e n t ，a n dd e c o m p o s e dt h es e c u r i t yt a r g e ti n t os o m em e a s u r e a b l es u b t a r g e t s t h es e c u r i t ya r c h i t e c t u r ew a sd e s i g n e dt ok e e pt h em e ss y s t e mf r o ms e c b r e i tw a s s p e c i a l l yd i s c u s s e dh o wt oe n c r y p tt h ev a l u a b l ed a t aa n dt op r e v e n tt h ei n t r u s i o n ，a n d t a k i n ga d v a n t a g eo fa c c e s sc o n t r o lm e c h a n i s m f i r e w a l lm e c h a n i s ma n di n v a s i o n d e t e c t i n gm e c h a n i s mi no r d e rt oi n s u r et h em e ss y s t e mo p e r a t es a f e l ya n de f ! f i c i e n t l y ，n l e r e b yi ti n c r e a s e ds e c u r i t ya n da b i l i t yt oc o u n t e r - a t t a c k e n h a n c e dt h eu s a b i l i t ya n d r e l i a b i l i t yo fm e ss y s t e m 1 1 1 es e c u r i t ys t r a t e g ya b o u to p e r a t i n ga n dm a i n t a i n i n go n m e s s y s t e mi nt h ew e be n v i r o n m e n tw a sf o r m u l a t e di na c c o r d a n c ew i t ht h ed e s c r i p t i o n o fi n t e r n a t i o n a li n f o r m a t i o ns e c u r i t ys t a n d a r da n dt h es t r a t e g yo fi n f o r m a t i o ns e c u r i t y s y s t e m i nt h i st h e s i s t h ek e yt e c h n o l o g yo fas e c u r ea r c h i t e c t u r ew a sa l s op r e s e n t e d ， i n c l u d i n gv p n ，w e bs e r v i c ea n de n c r y p t i o na l g o r i t h mf o rm e ss o f t w a r es e c u r i t y t h e e n c r y p t i o na l g o r i t h m sw e r ee v a l u a t e d t om a k eo u t t h ef e a s i b i l i t ya n ds e c u r i t yo fs y s t e ms e c u r i t ya r c h i t e c t u r e ，s o m e f u n c t i o n so ft h ea r c h i t e c t u r ew e r ei m p l e m e n t e d e x a m p l e sw e r eg i v e nt os h o wt h e i m p l e m e n t a t i o no fm e ss y s t e mt o t a ls e c u r i t yi nt h ew e be n v i r o n m e n t a n dp r e s e n t a c h i e v e m e n t so fd a t ae n c r y p t i o na n dd e c r y p t i o na l g o r i t h m ，t h ei m p l e m e n t a t i o no f i n t r u s i o nd e t e c t i o ns y s t e mf u n c t i o na n da u t h e n t i c a t i o nb a s e dw e bs e r v i c ei nt h em e s s y s t e m i nt h ee n d ，t h ew o r kw a ss u m m a r i z e d ，a n dt h ef u t u r ed i r e c t i o no fr e s e a r c hp r o j e c t s w a sp r e s e n t e d k e yw o r d s ：m e s ，w e b ，s e c u r i t ya r c h i t e c t u r e ，e n c r y p t i o n 武汉理工大学硕士学位论文 第1 章绪论 1 1 m e s 系统软件的发展状况 制造执行系统( m a n u f a c t u r i n ge x e c u t i o ns y s t e m ，m e s ) 是位于企业上层生产 计划和底层工业控制之间，面向车间层的生产管理技术与实时信息系统。m e s 强 调制造计划的执行，它在计划管理层和底层控制之间架起了一座桥梁，填补了两者 之间的鸿沟。美国先进制造研究机构a m r ( a d v a n c em a n u f a c t u r i n gr e s e a r c h ) 将 m e s 定义为“位于上层的计划管理系统与底层的工业控制之间的面向车间层的管 理信息系统 ，它为操作人员、管理人员提供计划的执行、跟踪和所有资源( 人、 设备、物料、客户需求等) 的当前状态。 m e s 汇集了车间中用以管理和优化从下定单到产成品的生产活动全过程的相 关硬件或软件组件( c o m p o n e n t ) ，它控制和利用实时准确的制造信息来指导、传授、 响应并报告车间发生的各项活动，同时向企业决策支持过程提供有关生产活动的 任务评价信息。制造执行系统是针对物料需求计划( m a t e r i a lr e q u i r e m e n t s p l a n n i n g ，m r p ) 在生产管理方面的限制和不足而产生的，也是m r p 的必要补充。 m e s 系统和m r p 系统是相互依存的，两者并不矛盾：m e s 为m r p 的应用提供强 有力的支持和功能补充，而将m e s 与m r p 集成在一起则是实现m e s 的关键， m e s 通过与m r p 的集成为自身的功能扩展和提高提供了可能性。 m e s 的发展瞄。经历如下几个阶段： ( 1 ) 专用m e s 阶段。也称p o i n tm e s p m e s 。从7 0 年代开始，其主要功 能是对某个单一的生产问题( 如制造周期启发竞争力、在制品库存过大、产品质量 得不到保证、设备利用率低、缺乏过程控制等) 提供相应软件系统，是自成一体的 系统。 专用m e s 优点是对特定的问题，能提供最恰当的解决方法，容易实现。其不 足之处是信息的集成和共享不够。 ( 2 ) 传统m e s 阶段。也称t r a d i t i o n a lm e s - t m e s 。传统m e s 是在信息 控制技术第一阶段上发展起来的信息系统，隐含较大的风险，比如过程的微小变 化就可能导致系统不能正常运行，系统稳定性差。具体表现是通用性差、可集成 性弱、缺乏互造作性、重构能力差、敏捷性( 应变能力) 差。 ( 3 ) 可集成m e s 阶段。也称i n t e g r a t a b l em e s _ i _ m e s 。主要发生在8 0 一9 0 年代，提供一套集成的应用软件来同时解决多个不同的生产问题。具有丰富的应 用功能，统一的逻辑数据库，单一的车间产品及过程模型等优点成为m e s 产品的 武汉理工大学硕士学位论文 主流。 可集成m e s 优点是功能丰富，整体性强，在一定的范围内实现信息集成和共 享。其不足之处是依赖于特定的车间环境，模块化、开发性、可重构性差，缺乏 柔性，难以适应敏捷制造环境的要求。一般采用基于c o r b a ( c o m m o no b j e c t r e q u e s tb r o k e ra r c h i t e c t u r e ) 规范的分布式对象技术建立m e s 框架。 t m e s 中每个系统都有各自的处理逻辑、数据库、数据模型和通信机制。又 因为m e s 应用常常是要满足关键任务的系统，系统就很难随技术的更新而进行升 级。为了实现与外部系统的集成，往往采用应用编程接口( a p p l i c a t i o np r o g r a m m i n g i n t e r f a c e ：a p i ) 技术，联机分析处理( o n - l i n ea n a l y t i c a lp r o c e s s i n g ：o l a p ) 技术和 相应的通信机制，这些技术在某种意义上说，也是m e s 功能的核心部分。其中， 外部应用系统的调用和插入使用a p i 的方式，而应用电子数据交换( e l e c t r o n i cd a t a i n t e r c h a n g e ：e d i ) 和外部环境进行数据交换，这使得整个系统重构性能弱，很难 随业务过程的变化而进行功能配置和动态改变。为了解决t - m e s 的不足，i - m e s 逐渐成为研究的热点。 可集成m e s 通过将面向对象技术，消息机制和组件技术应用到系统开发中， 通过采用高效的基础框架既大大增强了系统的集成性和适应性，又能满足关键事 物的处理。如图1 1 所示为n i i i p s m a r t 协会为整个m e s 应用领域提出的一个 分布式对象和信息交换模型，代表了发展中m e s 的技术模型。在图1 1 中可看出， 在面向对象的应用中，每个对象都使用自身具有的功能和方法来操作数据，分别 完成系统的各种功能。而其它功能如工作流管理、产品数据管理、知识管理等都 从功能逻辑中分离出来。通过对象请求代理( 如c o r b a ，c o m d c o m ) 可使不同 软件商的对象相互交换信息和进行互操作。其优点是能实现客户化、可重构、可 扩展，能方便实现不同厂商的集成和遗产系统的集成，是目前m e s 的发展方向。 ( 4 ) 智能第二代解决方案阶段。也称m a n u f a c t u r i n ge x e c u t i o ns o l u t i o n i i - - ( m e s i i ) 。其核心目标是通过更精确的过程状态和更完整的数据记录以获得更 多的数据来更方便地进行生产管理，它通过分布在设备中的智能来保证生产的自 动化。m e s 与e r p 能智能地连结和断开，控制系统具有人工智能。 在工厂自动化( f a c t o r ya u t o m a t i o n ：f a ) 方面，我国的制造业企业往往强调物 流自动化，如自动化生产设备、自动化检测仪器、自动化物流运输存储设备等等。 虽然它们能取代不少人工劳动并解决了一些生产瓶颈，但由于缺少相应的信息集 成系统，这些系统不能充分发挥其功效而形成所谓的“自动化孤岛 。制造业水平 的提高，不单是采用设备自动化，提高生产管理信息系统的效率显得更为重要。 在我国，m r p 、m i s 已逐渐趋于成熟与普及，而面向制造执行层的m e s 软件在开 发与应用方面还比较薄弱。我国对车间层、单元层的研究大都着重于控制模型的 2 武汉理工大学硕士学位论文 研究，很少站在i v i e s 这一角度从应用出发来研究并开发面向制造过程的集成化管 理和控制软件。 圆圈 图1 1 可集成m e s 框架 目前，我国许多高等院校、科研院所都在从事这方面的研究与应用开发上工 作。在并行、敏捷、网络化、可重构等一些先进思想引入，以及面向对象、构件、 代理等设计技术方面，取得了不少有益的成果。但是，在软件的商品化、成果的 推广应用方面还存在很大的差距。此外，国内还没有自主开发的很成熟且得到广 泛应用的m e s 软件。即使有所谓的车间层控制( s h o pf l o o rc o n t r o l ：s f c ) ，也多数 是收集相关资料再通过批处理方式录入而已，其功能十分有限。随着企业信息化 应用水平的不断提高，企业逐渐认识到实现企业计划层与车间执行层的双向信息 流交互，通过连续信息流来实现企业信息全集成，是提高企业敏捷性的一个重要 因素。 因此，通过m e s 来实现企业信息的全集成，形成实时的e r p 、m e s 、s f c 是 提高企业整体管理水平的关键，这对企业制造业整体水平的提升具有重要意义。 我国在m e s 的理论研究以及实际应用方面，需要进一步加大力量。 1 2 砸s 系统软件面临的安全问题 近年来，我国信息化进程不断推进，计算机互联网络全面进入社会各个生产 领域，信息的应用与共享日益广泛。世界范围的信息革命激发了人类历史上最活 跃的生产力，尤其是面向制造行业的m e s 系统在许多大型行业、企业组织中得到 了真正而广泛的应用。与此同时，信息的安全问题1 8 1 也日渐突出，情况也越来越 复杂。从大的方面来说，信息安全问题已威胁到国家的政治、经济、军事、文化、 3 武汉理工大学硕士学位论文 意识形态等领域，因此很早就有人提出了“信息战 的概念并将信息武器列为继 原子武器、生物武器、化学武器之后的第四大武器；从小的方面来说，信息安全 问题也涉及到人们能否保护个人隐私。 而计算机的联网使用对数据造成了新的安全威胁。由于在网络上存在着电子 窃听，而分布式计算机的特征是一个个分立的计算机通过一些媒介互相通讯，如 局域网一般都是广播式的，每个用户都可以收到发向任何用户的信息。当内部网 络与国际互连网相连接时，由于国际互连网的开放性、国际性与无安全管理性， 对内部网络形成严重的安全威胁。如果系统内部局域网络与系统外部网络之间不 采取一定的安全防护措施，内部网络容易受到来自外部网络入侵者的攻击。 随着各企业对其m e s 系统不断增长的依赖性，m e s 系统的脆弱性日益暴露， 由于系统重要数据的丢失和损坏，数据在传输的过程中产生泄漏，造成不可挽回 的损失，由于m e s 系统遭受攻击使得其运转受负面影响事件不断出现，m e s 系统 安全管理已经成为行业、企业管理越来越关键的部分。 当前m e s 系统数据的访问机制主要为：依靠操作系统的权限和口令、m e s 系统的口令、用户在m e s 系统中的角色以及m e s 电子仓库的访问权限机制，来 层层控制对数据的访问。除了以上的控制机制外，还会启动一个重要数据的访问 审批流程，通过在m e s 系统内执行一个电子化的数据访问审批流程，经过审批通 过授权方可访问有关数据。这些机制和策略随着计算机技术的发展，变得越来越 不安全，特别是传统的用户名加口令的登录方式，已经不能保证系统软件和内部 数据的安全性。 一方面m e s 系统的安全保密技术的研究落后于m e s 技术本身的发展，另一 方面m e s 系统的安全问题似乎还未引起人们应有的重视，商品化的m e s 软件仍 存在令人担忧的安全保密漏洞。从总体上看，在m e s 领域我国信息安全产品技术 含量非常有限，并且都局限在一些简单应用层面，尤其涉及到一些高技术要求、 大行业安全应用的信息安全产品寥寥无几。 目前国内绝大部分m e s 的安全机制中并没有运用密码机制。在工作站和服务 器之间传输的数据也没有实现安全加密传输。部分m e s 系统实现了m e s 系统的 口令加密，但也仅限于传统的加密方式。有些研究者在综合目前普遍应用的各种 安全机制的基础上，提出一些针对m e s 系统的有价值的网络安全模型，但很少有 人从软件工程的角度，从软件开发、软件使用和维护这个系统的全面的角度，对 m e s 系统软件的安全架构、运行策略和安全机制等进行深入研究，对m e s 系统软 件网络的安全模型研究的也不多。而这几个方面正是本课题的研究所要进行的工 作。 4 武汉理工大学硕士学位论文 1 3 论文研究意义 根据上面对m e s 软件系统面临的种种安全问题，本课题将对m e s 的信息安 全的研究就显得格外的重要。鉴于网络系统的复杂性和地域上的广泛性，今后可 能会有更多的安全问题暴露出来。随着互联网经济的飞速发展，以往的修补措施 已经不能从根本上解决问题。从技术上，要在以往的分散封堵已经发现的安全漏 洞为目的的研究基础上，把网络与信息安全视为一个整体，从各个方面开展大力 度的研究。 因此本课题的研究将对制造业的信息化建设产生影响，具有一定的实用价值。 它将为新一代的w e b 环境下的m e s 系统软件开发提供架构模型参照，为今后的 m e s 系统开发、使用和维护提供策略和保障，使m e s 系统软件在运行中更加稳定、 高效、安全和可靠。 1 4 论文研究内容 本课题的研究针对国内现有m e s 系统软件产品，在研究天工m e s 系统软件 的基础上，运用软件工程u u 的方法和观点，首先提出系统的安全目标，结合安全 目标，从数据加密防护和阻止系统入侵两个不同的角度，在对m e s 系统安全隐患 进行全面剖析的基础上，将系统安全目标分解和可度量化，设计出当前软硬件环 境下的安全的m e s 系统软件架构。运用密码学知识，将加密解密算法应用到m e s 系统的数据中，提出m e s 系统运行的安全策略。提高m e s 系统软件的安全性能 和抗攻击能力。 m e s 系统的运行需要硬件、安全的体系架构和软件技术作支撑，机制作保障， 需要用户的参与和维护，各部分相辅相成，缺一不可。因此m e s 系统的安全性问 题是一个系统工程，应该从全面的、系统的观点来分析。 课题的研究涉及到计算机硬件、网络及其安全设备、网络协议、操作系统、 防火墙技术、数据库管理系统、m e s 应用软件，以及系统运行策略和运行管理制 度等方面。 本课题通过对现有m e s 系统软件的深入研究，针对w e b 环境下m e s 系统软 件瞄1 的发展，以武汉理工大学机电工程学院信息化工作室自主开发的天工i v i e s 系 统软件和密码学等技术为背景，设计出安全的m e s 系统软件架构，并提出了安全 目标和运行策略。目前已经完成的研究工作包括以下几个方面： ( 1 ) 基于企业对m e s 系统安全方面的需求，设计出m e s 系统软件的安全架 构。在全面分析m e s 系统软件的安全隐患和威胁之后，运用密码学等相关技术， 设计出m e s 系统软件的网络安全模型和入侵检测系统，并对模型的功能和实现过 5 武汉理工大学硕士学位论文 程进行描述。 ( 2 ) 提出m e s 系统运行的安全目标。参照国内外相关信息安全标准，归纳 m e s 系统的安全运行策略。筛选适合m e s 系统的安全、高效的数据加密算法并进 行实现，并对适合m e s 系统软件的各种加密解密算法进行归纳和对比。 ( 3 ) 对安全的m e s 系统软件架构的部分功能进行模拟实现。在假想的m e s 网络运行环境下，对入侵检测控制功能点和m e s 系统中基于w e b 服务的身份验 证进行实现。 6 武汉理工大学硕士学位论文 第2 章m e s 系统软件安全体系 2 1 i v i e s 系统概述 m e s 作为生产管理系统m 。，是连接企业上层计划系统与底层设备控制系统之 间的桥梁。现在市场上有很多不同的m e s 模块系统，生产企业还有一些长久以来 一直使用，但由于提出更高要求后，不能完全使用的遗留模块与系统，如何充分 利用已经存在的这些资源，避免重复开发，将会极大地提高软件的开发效率和质 量，节省不必要的开支。并且，当今的制造模式尤其是敏捷制造模式要求m e s 具 有足够的配置灵活性，能够将各个模块系统进行集成并协同工作。为此，本章主 要是建立基于b s 架构的可集成m e s 框架，以满足当今生产制造模式对m e s 的 要求。 m e s 能通过信息的传递对从生产命令下发到产品完成的整个生产过程进行优 化管理。当工厂中有实时事件发生时，m e s 能及时对这些事件做出反应、报告， 并用当前的准确数据对它们进行约束和处理。这种对状态变化的迅速响应使m e s 能够减少企业内部那些没有附加值的活动，有效地指导工厂的生产运作过程，同 时提高了工厂及时交货能力，改善了物料的流通性能，提高了生产回报率。m e s 还能通过双向直接通讯在企业内部和整个产品供应链中提供有关生产行为的关键 信息。在m e s 的定义中特别强调了三个方面的问题。它主要包括m e s 的优化目 标是整个生产过程；m e s 需要收集生产过程中大量的实时数据，并且对实时事件 能及时进行处理；m e s 需要同时与计划层和控制层保持双向通信能力，从上下两 层接收相应数据并反馈处理结果和生产指令。 为建立适合于w e b 环境下的m e s 系统，必须要遵循以下几个基本原则： ( 1 ) 实时性原则。 m e s 系统作为面向车间的实时信息系统，它要求把车间所有的信息能实时反 映出来，必须是实时的、动态的。每次计划的生成，都必须收集底层的实时信息 和车间中与计划有关的动态信息。要求能够在一个统一的平台下，能实时反映车 间现场的加工状况。 ( 2 ) 信息集成性原则。 m e s 系统汇集了车间中用以管理和优化从下订单到产成品的生产活动全过 程，它充分利用车间的各种生产资源、生产技术方法和丰富的实时现场信息快速、 低成本地制造出高质量的产品，其生产活动涉及到车间的方方面面。这要求它能 对各方面的信息进行统一管理。因此，所构建的系统应具有高度的信息集成性。 7 武汉理工大学硕士学位论文 信息集成可分为横向集成和纵向集成。横向集成为m e s 中各功能模块间的信息 集成，它们彼此之间不能各行其是，否则会变成一个个的“信息孤岛 。所有信 息要求在各功能模块中充分地共享。纵向集成为m e s 系统与上层如e r p 系统、 下层控制系统之间的信息集成1 。m e s 系统从底层采集实时数据，经过综合的运 算分析，然后为上层系统提供服务，起到承上启下的作用，车间实事信息置于m e s 系统平台下，以供其它系统在需要的时候进行调用。 ( 3 ) 高效性原则。 制造企业实际生产的任务是十分繁重的，也许会同时对上百甚至上千个工件 同时进行计划、控制。要实现科学、高效的管理，这就要求m e s 系统应具备能 处理大规模作业计划问题的能力，能快速生成合理、优化的作业计划，并能对车 间发生的异常情况给出有效的指导。 m e s 系统从任务发出到成品产出的整个过程中，扮演生产活动最佳化的“信 息传递者 的角色，它必然要具有面向车间所有生产活动的各种功能，同时也为 其它信息系统提供服务，这就决定了m e s 系统的结构必须满足三个方面。主要 包括m e s 系统应该是一个分布式的计算机系统；m e s 系统能够与企业的其它制 造信息系统相联接，提供高效的企业信息管理功能；m e s 系统以生产信息为核心， 为企业各种决策提供直接的支持。 图2 1 为m e s 系统结构体系h 1 。m e s 系统应该是一个基于统一软硬件平台 的实时的管理信息系统，以计算机终端作为各职能部门实现m e s 系统功能的载 体，采用工业上的相关设备作为车间内各生产区域功能站的主要构件，通过对各 个生产单元的数据收集和反馈，组成覆盖全车间、满足闭环生产管理需要的开放 式以太网络。在各功能模块的横向联系当中，以数据库服务器作为核心，对大量 数据进行存储、对比、分析，提供各种数据、报表和图形，在m e s 系统平台下实 现生产现场信息的监控。m e s 系统的主要功能模块川有： ( 1 ) 资源配置和状态跟踪。它对所有的生产资料进行管理，包括机器、工具、 劳动技能、材料等，使其井然有序，随时可以投入运转。同时记录资源的各种历 史信息，以保证生产设备的配置，并对设备的实时状态信息进行跟踪。 ( 2 ) 工序细节调度哺1 。它是根据生产单元的优先级、属性、特征，对生产工 序进行优化，使生产资源配置的变化降到最低。 ( 3 ) 生产计划和调度。它是制定生产计划，并以任务、工单、批次、订单等 形式下发给各生产单元。可以根据生产实绩实时调整原始计划，产生新的调度信 息。 ( 4 ) 文档控制。它是对所有与生产单元有关的资料进行管理，包括工作指令、 图纸、配方、标准操作流程、设计变更、产品记录等，并进行历史数据的存储。 8 武汉理j = 人学硕七学位论文 图2 1 s 系统结构体系 ( 5 ) 数据采集和获取。它实时采集生产数据，记录生产单元的各种参数并 保存在相应的表格和记录中。数据可以由人工录入和从设备中自动采集。该功能 需向外提供一个接口，以便其他应用可以通过它获得生产实时数据。 ( 6 ) 质量管理。它是提供生产的实时分析，保证严格的产品质量控制。能够 发现潜在的质量问题，对出现的质量问题进行诊断、分析，并提出改进方法。 ( 7 ) 维护管理。它是跟踪并指导生产，以维护设备和工具。对突发问题做出 快速响应，建立历史事件和故障记录数据库，协助完成故障诊断。 ( 8 ) 人力资源管理。它是记录员工的考勤以及专业技能，提供员工的实时状 况记录，同时与资源配置功能交互，以产生最优配置。 ( 9 ) 过程管理。它是对生产过程进行监视，自动纠正或提示操作人员纠正生 产中的纰漏，提供报警管理以及i v i e s 系统与智能设备“的接口。 本文主要研究的是m e s 系统的信息安全方面的问题，包括用户权限管理，数 据在传输过程中的加密解密算法的研究以及密钥在传输中的协商问题和数据库中 的数据保密性和访问控制等问题。 2 2i v i e s 系统软件安全架构的网络要求 i v i e s 系统的安全性问题是一个复杂的系统工程，包括计算机硬件安全、操作 系统安全、网络及其安全设备、数据库系统安全和i v i e s 软件的缺陷遣成的安全隐 患，以及用户参与带来的不安全因素等等。下面将从技术和非技术两方面来处理 武汉理工大学硕士学位论文 系统的安全性问题。 在技术方面，依据m e s 系统安全隐患的分析，结合m e s 系统软件的安全目 标，设计出有针对性的防范安全隐患的软件架构。通过分析安全的m e s 系统软件 架构网络要求一们，重点论述如何保护m e s 软件的安全性、保护连接的安全性、保 护数据库内数据的安全性，并通过防火墙、安全认证和系统入侵检测来阻止攻击。 在非技术方面，通过制定一系列与安全架构相适应的安全运行策略和安全机 制，来保障m e s 系统的安全性。 为实现系统的安全目标，基于对安全隐患的分析，综合运用加密技术和v p n ( 虚 拟专用网) 等技术，可以得出m e s 系统软件架构的网络要求。在分布式的m e s 系 统中，企业内部组网时，为提高网络的使用效率，可以架设高速的内部专用局域 网，并配置域控制器，建立域可以把机构中的不同的部门区分开来，可以将域以 外的用户隔离开来，并可以控制网络用户的访问。为了方便和其它的域及用户互 联，可以采用委托来建立相对安全的网络系统。而对于外网( i n t e m e t ) ，由于是不安 全的互联网，采用v p n 技术，建立安全的虚拟专用网。 在内网和外网之间设置有硬件防火墙和v p n 网关，用来阻止来自外网的非法 攻击。为防止因m e s 系统数据库内磁盘的物理损坏，采用双机阵列容灾，并且还 要在第三方安全的存储器上备份数据库。便于在灾难发生时，快速恢复系统。 所有的客户端，域控制服务器和数据库服务器上均装有软件防火墙和防毒软 件，并定制统一的安全策略。确保服务器端操作系统u 刮和数据库管理系统是足够 安全的，且是很难侵入的。之所以要这样，是因为一旦服务器被成功入侵，m e s 系统整个系统也将没有任何安全可言了，入侵者可能会利用管理员的口令和系统 的内置的解密算法来解密密文数据。 为适应机密数据加密和解密的需要，在客户端软件和服务器端软件均内置了多 种加密和解密算法，因此为了安全起见，应用软件都要经过加壳处理，使源程序 文件代码失去本来的面目，从而保护程序不被非法修改和反编译。 在客户端配置接口驱动时将数据库的超级用户口令替换为普通的明文，而将数 据库的超级用户口令封装在服务器端软件内，用户登录时在客户端将口令加密生 成摘要，同保存在数据库内的摘要进行对比，完成用户身份确认。 随着计算机数据库系统的广泛应用，数据库的保护u 刨也变得越来越重要。对 于数据库系统来说，威胁主要来自：非法访问数据库信息：恶意破坏数据库或未 经授权非法修改数据库数据；用户通过网络进行数据库访问时受到各种攻击，如 搭线窃听等；对数据库的不正确访问而引起数据库数据的错误。对抗这些威胁， 仅仅采用操作系统和网络中的保护是不够的。它涉及的范围更广，除了对计算机、 外部设备、联机网络和通信设备进行物理保护外，还要采取软件保护技术，防止 l o 武汉理工大学硕士学位论文 非法运行系统软件、应用程序和用户专用软件；采取访问控制和加密技术，防止 非法访问或盗用机密数据；对非法访问进行记录和跟踪，同时要保证数据的完整 性和一致性等。 数据库内的数据依据其技术含量和价值估算进行分类，按照不同类别进行不 同强度的加密，不重要的数据也可以不进行加密处理。但用户的口令经加密生成 密文摘要保存在数据库内。为安全起见，加密后的数据在合法用户获得后，统一 在客户端进行解密，以防止机密数据泄露。 2 3 脏s 系统软件中几种安全技术 2 3 1 访问控制机制 访问控制机制可以限制对关键资源的访问，防止非法用户进入系统及合法用 户对系统资源的非法使用。为了达到这个目标，访问控制常以用户身份认证为前 提。在此基础上，实施访问控制策略来控制和规范合法用户在系统中的行为。访 问控制规定了主体对客体访问的限制，并在身份识别的基础上，根据身份对提出 资源访问的请求加以控制。它是对信息系统资源进行保护的重要措施。 目前主流的访问控制技术有：自主访问控$ 1 j ( d a c ) 、强制访问控s u ( m a c ) 、基 于角色的访问控$ 1 j ( r b a c ) 。 自主访问控制d a c ( d i s c r e t i o n a r ya c c e s sc o n t r 0 1 ) 是在确认主体身份及所属组 的基础上，根据访问者的身份和授权来决定访问模式，对访问进行限定的一种控 制策略。其自主性为用户提供了极大的灵活性。d a c 最大的缺陷是它建立在用户 本身能够保证客体的可信性的假设基础上的，而这个假设通常不能成立。 强制访问控制m a c ( m a n d a t o r ya c c e s sc o n t r 0 1 ) 通过比较主体与客体的安全属 性来决定是否允许主体访问客体，安全属性是由系统自动或由安全管理员分配给 每个实体( 主体和客体) 的，它不能被任意更改。强制访问控制的实质是根据安全等 级的划分，以某些需要的参量确定系统内所有实体的安全等级，并予以标识。在 访问发生时，系统根据如下判断准则进行判定：只有当主体的密级高于或等于客 体的密级时，访问才是允许的，否则将拒绝。强制性和限制性是m a c 的突出特点。 自主访问控制和强制访问控制，都是由主体和访问权限直接发生关系，主要 针对用户个人授予权限。大型应用系统的访问用户往往种类繁多、数量巨大、并 且动态变化，使得权限管理负担巨大且易出错。 随着网络的迅速发展，对访问控制服务提出了更高的要求，以上两种访问控 制技术很难满足实际需求。基于角色的访问控制r b a c ( r o l e b a s e da c c e s sc o n t r 0 1 ) 引起了学术界和工业界的广泛关注，成为研究热点。 武汉理工大学硕士学位论文 r b a c 的基本思想如图2 2 所示。 图2 2r b a c 模型图 如图2 2 所示，r b a c 引入角色这个中介，将权限和角色相关联，通过给用 户分配适当的角色以授予用户权限，实现了用户和访问权限的逻辑分离，这样的 授权管理比起针对个体的授权来说，可操作性和可管理性都要强得多，非常适合 大型多用户管理信息系统的授权管理。 2 3 2 防火墙机制 防火墙u 副是软硬件的结合体，是网络中的一个安全监视点，设立在内部网络 和外部网络之间，从而控制、检测内部网络和外部网络之间流进、流出的数据包， 达到保护内部网络的目的。用专业术语说，防火墙就是一个由多个部件组成的集 合或系统，设立在一个可信任内部网络和外部网络之间，对流过的数据包进行控 制、检测，加强安全和审计功能。防火墙可以用单独的硬件设备组成，也可以由 路由器中的软件模块组成。防火墙大都和路由器一起使用，以便于同i n t e m e t 相连， 决定哪些i p 地址可以进入内部网络，哪些i p 地址禁止进入内部网络。 防火墙给m e s 系统提供了很好的安全保障，其主要作用有如下几个方面： ( 1 ) 拒绝未经授权的非法用户( 如黑客、入侵者、间谍及其他一切网络犯罪者) 进入内部网络，保护内部网络资源的安全性。 ( 2 ) 防火墙作为内部网络的安全监视点，可以纪录所有通过它的访问，并且 提供统计数据，提供对非法入侵的报警和日志审计功能。 ( 3 ) 保护网络中脆弱的服务，防火墙可以允许内部网络中的一部分主机被外 部网络访问，例如受保护网络中的电子邮件、f t p 、w w w 服务器等；内部网络中 的其他主机，防火墙都不允许外部网络访问。 ( 4 ) 防火墙可以作为部署网络地址转换( n e t w o r ka d d r e s st r a n s l a t o r ，n a t ) 的 逻辑地址，可以用来缓解地址空间不足的问题，也可以用来隐藏内部网络的结构。 防火墙可以提高网络的安全性。同时，防火墙也有缺陷和不足。防火墙的不 足主要表现在以下几个方面： ( 1 ) 限制有用的网络服务。防火墙为了提供被保护网络的安全性，限制和关 闭了许多很有用的但存在缺陷的网络服务。 ( 2 ) 防火墙不能防范通过防火墙以外的其他途径进行的攻击。例如，一个内 部网络用户通过拨号上网，绕过防火墙，直接通过点对点协议( p o i n tt op o i n t p r o t o c o l ，p p p ) 或串行线路网际协议( s e r i a ll i n ei n t e m e tp r o t o c o l ，s l i p ) 和i n t e r n e t 1 2 武汉理工大学硕士学位论文 建立连接，这就为各种攻击提供了一个可能的攻击后门。 ( 3 ) 防火墙无法防护内部网络用户的攻击，目前商用的防火墙都只提供对外 部网络用户攻击的防护。 ( 4 ) 防火墙不能防范数据驱动型的攻击。数据驱动型的攻击从表面看是无害 的数据被邮寄或复制到当地的主机上，但是一旦主机运行就开始攻击。 ( 5 ) 防火墙不能防止已感染病毒的软件或文件的传送。现在的病毒种类、压 缩格式、加密手段等太多，用户不能期望防火墙都能进行检查。 2 3 3 入侵检测机制 入侵检测技术瞄( i n t r u s i o nd e t e c t i v es y s t e m ，i d s ) 是一种主动保护网络资源免 受攻击的安全技术，为m e s 系统提供了实时保护，被称为防火墙之后的第二道安 全闸门。在m e s 系统软件安全架构的网络要求中，还需要在m e s 数据库服务器 上安装设置有入侵检测系统，其主要工作原理就像一个防盗报警装置。当报警检 测到其配置的违背情况时，它就会激活报警。 入侵检测系统是一个基于异常事件的统计的i d s ，它驻留在数据库服务器上， 并监视该系统上的活动。监视的内容主要包括预定义事件的系统日志、数据库内 的数据等。 入侵检测系统副在安装配置时，就设置好了所需的检测和响应级别。i d s 处 在工作状态时，收集系统日志和一些实时的系统访问数据，并对数据的改动进行 分析，将分析结果和设定好的入侵模式对照，判断入侵攻击是否发生。如果发生 入侵攻击，则依据事先设定好的响应模式，对异常的系统行为做出报警和一些控 制，从而主动防止入侵。例如：当发现有用户多次申请认证失败后，入侵检测系 统将依据登录失败的次数，判断入侵企图，并强行断开该用户的连接，冻结其账 号，并报警。 除了数据库系统的日志外，i d s 还拥有其自己的日志文件，当入侵者成功修 改了系统日志，并企图掩盖其作案痕迹时，入侵检测系统可以对入侵攻击提供独 立的证据。 入侵检测系统除了能对入侵进行检测外，还能对合法用户的不当操作进行“虚 假 的报警。从这一点上看，可以保护系统的安全性。入侵检测系统还能对不当 操作进行迅速重视，系统管理员在得到这个“虚假 的报警之后，把它作为可以 接受的行为加以消除，并把它作为下一次安全培训的案例。 2 4 砸s 系统的安全目标 我们可以将m e s 系统的安全目标定义为：在m e s 系统软件的生命周期内， 1 3 武汉理工大学硕士学位论文 确保数据在需要的时间、地点和方式下可用，并使延迟和故障达到最小；同时保 证系统数据的完整性、一致性、正确性和安全性，并保证数据在传输的过程中的 机密性，防止数据泄露。可以将此目标加以分解，应该包括以下几个可度量的子 目标： ( 1 ) 有效性目标。要求系统资源可以持续有效的正常使用，而且授权用户可 以随时随地利用系统和资源：在受到攻击时，应能具备一定的抗攻击性。 ( 2 ) 保密性目标。防止系统内的机密和绝密数据的非法泄漏，防止数据在传 输的过程中泄漏。 ( 3 ) 完整性目标。防止系统软件( 程序) 与数据被非法删改和破坏，保证系统 数据的正确性、完整性和一致性，避免产生歧义。 ( 4 ) 自我恢复性目标。系统在发生故障或系统崩溃时，能在最短的时间内将 系统快速恢复运作。 ( 5 ) 可追溯性目标。合法用户在系统进行的操作和非法用户入侵系统的行踪 都要进行纪录，保证操作的可追溯性。 在制定系统安全策略时可以参考下列标准及安全模式： ( 1 ) i s 0 1 7 7 9 9 b s 7 7 9 9 国际信息安全标准构架的描述。 ( 2 ) n i s t 安全模式。包括下述文件： s p8 0 0 - 12 ：c o m p u t e rs e c u r i t yh a n d b o o k s p8 0 0 14 ：g e n e r a l l ya c c