CENTUM CS3000在当前情况下的安全性的解决方案

横和电机公司推出最新的CENTUM CS3000系统，版本为R3.08，操作站系统采用为Windows XP Professional.。由于横和电机公司推出的安全策略并不符合中国的具体情况，而且现在通过USB设备传播的病毒更加广泛。为此提出改进措施，有效地提高了操作站的安全性。

但正由于其过于开放，一方面由于移动设备的大量使用，二方面现炼厂都要求压缩投资成本，经常要求工程师站（EWS）在平时也可以作为操作站给操作人员使用，从而给系统的安全性带来了很大的威胁。维护工程师的CS3000安全性安装问题的原理分析及成功解决方案。

1、CS3000系统存在的安全问题

而随着横河电机发布最新的CENTUM CS 3000系统版本为R3.08，其操作站的操作系统也改为Windows XP Professional。与以前的版本相比，版本R3.08增加了很多功能，更方便用户的使用。在系统安全性上，它延续了使用“Centum Desktop”桌面环境，可禁止用户更改Windows系统设置。但由于中国与欧美国情的不同，并未将与生产操作无关的功能进行完全封闭。

在实际使用中，笔者就发现下面几个问题：

第一、由于炼厂为了压缩投资成本，设计中要求在平时将工程师站（EWS）也作为操作站给操作人员进行操作，而工程师站（EWS）即使在“Centum Desktop”桌面环境中，在CENTUM账户下也能进入CS3000系统的任何组态工具中。

第二、由于现在移动设备增加，U盘的大量运用，经常发现操作工利用U盘在操作站上运行游戏程序及听歌曲等，最危害大的是将通过U盘传播的病毒带入操作系统中。

第三、在安装WINDOWS XP Professional操作系统过程中，一些Windows组件也会安装到系统中来，而在“Centum Desktop”桌面环境中，在CENTUM账户下也能使用这些程序（比如游戏、通讯薄、Windows Media Player、Internet Explorer等）。从而操作人员可以通过这些游戏，进入系统删除和修改操作站上的有关文件。

第四、在WINDOWS XP Professional 操作系统中，由于DCS维护人员未按相关要求进行安装，也会影响到CS3000系统的正常运行，如在文献[2]中明确指出应取消屏幕保护程序，由于WINDOWS XP Professional操作系统中是缺省有屏幕保护，若DCS维护人员在相关操作上没有取消屏幕，会破化趋势数据的采集等等。综上所述，以上的这些问题将会严重地影响了操作站的安全，从而不利于生产操作。

虽然可以通过加强对操作人员的管理，可以防止严重的破坏事件发生。但从DCS维护人员的角度来看，必须制定一个详细的步骤，提高操作站及工程师战本身的安全性，限制操作工的权限。

 解决方案

1、 如有打印机则安装打印机，及其他设备驱动程序安装，包括USB接口键盘驱动程序（为了以后禁用未经允许的USB设备做准备，在安装完USB设备以后，插后的位置就不要发生改变）。

2、 以Administrator用户登录，取消屏保；设置电源工作模式，将休眠，高级里面的按键将SLEEP等取消。

3、 将USB自动运行关闭，使用组策略来进行设置。开始－＞运行－＞Gpedit.msc－＞计算机配置－＞管理模版－＞系统－＞关闭自动播放－＞设置已启动－＞选择所有驱动器。

4、 在WindowsXP中禁用未经允许的USB接口。开始－＞运行－＞Regedit，找到“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStor”主键，双击名为“Start”的DWORD值，将“数值数据”改为4（注：设为2时表示自动，设为3时表示手动(这是默认设置)，设为4则为停用）。修改后，当用户将未经允许的USB存储设备连接到计算机时，该设备将无法运行。

5、 检查程序菜单中是否有Windows操作系统附带的Windows组件，如：游戏、通讯薄、Windows Media Player、Internet Explorer等等，如有则进入控制面板－＞增加/删除程序－＞添加/删除Windows组件，将相关组件删除即可。

6、 重新启动机器，在Administrator用户登录，将CENTUM添加管理员权限；在用CENTUM登录，将屏保设置为无，设置电源工作模式，将休眠，高级里面的按键将SLEEP等取消。将音量图标去掉(右键－＞打开音频属性)，输入法图标去掉（点右键－＞设置－＞首选项－＞语言栏)。然后注销，在用Administrator登录，将CENTUM管理员权限去掉。

7、 进入HIS Utility，将Desktop设置为CENTUM Desktop。AUTO LOGO选择为CENTUM登录。在将开始菜单改为CENTUM Desktop。重启机器（注：此时开始启动了“Centum Desktop” 桌面环境）。

8、 用CENTUM用户进入系统，将HIS Utility中的Startup(for CENTUM)选中下面的选项。

9、 对于工程师站，因为安装了SYSTEM VIEWER等CS3000组态软件，在“Centum Desktop”桌面环境中，在CENTUM账户下还是可以操作SYSTEM VIEWER等CS3000组态软件。参考以前的解决方案，发现很多都是使用对文件和目录赋予NTFS权限来进行限制，但是操作步骤繁杂，而且由于CS3000系统在CENTUM用户下，是通过启动目录来调用CENTUM HIS程序,而如果稍一不注意，没有分配给CENTUM用户对“C:\Documents and Settings\All Users\「开始」菜单\启动”目录的访问权限，就会导致CS3000在CENTUM用户下不能自启动。笔者通过摸索，找到更简单的办法，在Administrator用户下，即进入C:\Documents and Settings\All Users\「开始」菜单\程序，将YOKOGAWA CENTUM文件夹发送至桌面快捷方式，然后再将YOKOGAWA CENTUM文件夹设置为隐藏属性，同时将文件夹选项中的查看将隐藏文件全部显示（主要是为了在Administrator用户下，也可以调用CENTUM系统组态程序）。即更简单解决该问题。

10、 在使用过程中，笔者还发现在工程师站（EWS）上只要操作级别为工程师级别，无论是采用软件方式（使用密码），还是钥匙开关方式（使用工程师钥匙），即使在CENTUM用户下都能从CS3000系统菜单中进入组态画面，并且还可以随意进行关键操作如停FCS，HIS及改变重要参数等。由于CENTUM用户下，操作人员知道了班长或工程师级别密码，就能任意修改密码，造成密码管理困难，最重要的是可能会造成极大的不安全因素。参考文献[6]，我们采用的方法是由DCS维护人员设置一个很长很复杂的密码，不告诉任何人，而如需操作级别切换，则使用钥匙开关方式，就能较好的解决这一个问题。

注：由于CENTUM CS 3000使用了“Centum Desktop”桌面环境，笔者在摸索过程中发现，任何对安全策略的改变，都需要重新更新“Centum Desktop” 桌面环境的缓存，具体步骤为1、用Administrator用户登录，进入HIS Utility，将Desktop设置为Windows Standard，确定后，重启机器。2、在用CENTUM登录，然后注销，用Administrator用户登录，进入HIS Utility，将Desktop设置为CENTUM Desktop，确定后，重启机器。则将“Centum Desktop” 桌面环境的缓存更新完毕。

经过上述步骤，DCS维护工程师很容易就可以对操作站及工程师站进行维护。在CENTUM用户下，操作人员再也不能进入Windows系统进行非法操作。而对于工程师站，DCS维护工程师在使用Administrator用户登录后，很方便的对CS3000组态和Windows XP系统进行维护；操作级别的切换也仅仅为使用钥匙方能切换；同时在计算机已安装了USB设备不受影响下，禁止非法的USB设备对系统的操作。至此，完整地解决了现阶段CENTUM CS3000在Windows XP Professional操作系统上的安全性问题，并且经过2套系统的实施和将近一年的运行，系统运行安全、稳定、且便于工程师的组态和维护，得到了肯定，由此证明上述步骤和改进措施是成功的。

目前很多DCS，FCS和PLC操作站都是使用PC机，采用Windows XP 操作系统。由于Windows系统本身具有开放、通用和易用的特点，同时通过USB设备传播病毒越来越广泛，很多操作人员对Windows系统都有着很深的了解，因此他们经常试图进入系统，进行一些与生产无关的操作。在这种情况下，要求DCS维护人员不仅要掌握DCS组态技术，还需要深入掌握Windows系统，充分利用好提供的相关工具，做好必要的安全防范。