基于Web的MES系統(tǒng)安全架構(gòu)設(shè)計(jì)及分析(2)
基于Web的MES系統(tǒng)安全架構(gòu)設(shè)計(jì)及分析
3.2.2基于角色的訪問控制
在對MES系統(tǒng)業(yè)務(wù)功能、業(yè)務(wù)流程及其干系人分析整理的基礎(chǔ)上,能夠抽象出系統(tǒng)的各種用戶角色,每種角色通過一組系統(tǒng)功能完成一定的業(yè)務(wù)處理,需要將這一組系統(tǒng)功能賦予該角色,使其具有完成這一業(yè)務(wù)的能力,也就形成了允許訪問控制表,包括菜單的允許訪問列表和功能的允許操作列表。
為了構(gòu)成系統(tǒng)的完全訪問邊界,需要明確禁止某類操作。因此設(shè)計(jì)了禁止訪問控制表,包括:菜單的禁止訪問列表和功能的禁止操作列表。
3.2.3用戶及權(quán)限管理
構(gòu)建了角色的訪問控制,將角色賦予用戶,用戶即具備了相應(yīng)的訪問權(quán)限。在企業(yè)的MES應(yīng)用中,每個(gè)企業(yè)用戶都具有一個(gè)系統(tǒng)訪問賬號,這個(gè)賬號是用戶身份的唯一標(biāo)識。為保證系統(tǒng)賬號的合法性,所有用戶的賬號只能由系統(tǒng)的賬號管理員進(jìn)行分配和管理。同時(shí),每個(gè)用戶在企業(yè)承擔(dān)著某個(gè)崗位的職責(zé),對應(yīng)于MES系統(tǒng)來說,這個(gè)用戶就具備著一個(gè)或者多個(gè)系統(tǒng)角色,通過角色權(quán)限的控制形成用戶的權(quán)限控制。本著最小權(quán)限的原則,應(yīng)當(dāng)合理分配和控制角色權(quán)限,并通過禁止訪問控制表限制用戶的`訪問范圍,構(gòu)成系統(tǒng)的安全訪問邊界。
3.3 安全運(yùn)行管理
多數(shù)MES系統(tǒng)都采用單一管理員(甚至是超級用戶)對系統(tǒng)進(jìn)行管理。雖然簡單易行,但卻存在巨大安全隱患。一旦管理員賬號信息泄露,其他安全措施將形同虛設(shè)。因此必須進(jìn)行系統(tǒng)權(quán)限的分割,使其相互制約,避免權(quán)限過分集中。本架構(gòu)的劃分策略:首先是用戶管理員,只負(fù)責(zé)企業(yè)用戶賬號的分配、鎖定和吊銷,用戶崗位角色的分配,以及用戶密碼的復(fù)位操作;其次是安全管理員,負(fù)責(zé)菜單與功能矩陣的維護(hù),以及角色訪問控制列表的制定。
用戶管理員和安全管理員相互制約,只有協(xié)調(diào)一致才能夠完成用戶的權(quán)限分配。同時(shí)又可以分級管理,按照分廠、車間等組織架構(gòu),或者依據(jù)業(yè)務(wù)范圍,劃分出不同層級、不同范圍的用戶管理員和安全管理員,他們只能在自己的權(quán)限范圍內(nèi)行使權(quán)力。由此形成了可集中管理也可分化管理的技術(shù)模型,企業(yè)可以依據(jù)自身規(guī)模和管理模式靈活組織設(shè)計(jì)。
3.4 系統(tǒng)安全審計(jì)
本架構(gòu)設(shè)計(jì)了完備的行為捕獲和記錄系統(tǒng),對系統(tǒng)關(guān)鍵執(zhí)行動(dòng)作留有記錄,對用戶的操作和行蹤留有日志,同時(shí)記錄了非法用戶的入侵嘗試,且滿足不可抵賴性,形成可靠證據(jù)。尤其是用戶和安全管理員的所有操作,是系統(tǒng)監(jiān)控的重點(diǎn)。企業(yè)安全審計(jì)人員可以隨時(shí)調(diào)取這些記錄,進(jìn)行審計(jì),一旦發(fā)現(xiàn)有違反安全策略的行為,即可對行為后果進(jìn)行調(diào)查,采取相應(yīng)處理措施。
3.5 會(huì)話安全策略
HTTP是一個(gè)無狀態(tài)的協(xié)議,此協(xié)議無法維護(hù)兩個(gè)事務(wù)之間的聯(lián)系,而MES系統(tǒng)的大量應(yīng)用需要與用戶進(jìn)行交互操作,并且記錄這些交互,這就需要保持會(huì)話狀態(tài)。會(huì)話狀態(tài)通常需要在客戶端cookie中記錄用戶信息,或者是在服務(wù)器端session中記錄,但也需要在用戶請求與服務(wù)器應(yīng)用程序間傳遞一個(gè)會(huì)話ID,這些信息都會(huì)成為攻擊的對象,一旦被竊取,會(huì)話就可能被冒用,成為會(huì)話劫持,造成超越權(quán)限的訪問和數(shù)據(jù)操作。為防范此類攻擊,一方面對用戶信息、會(huì)話ID等薄弱環(huán)節(jié)采取加密措施,增加截獲難度。另一方面制定安全策略監(jiān)視會(huì)話狀態(tài),進(jìn)行會(huì)話鎖定和異常保護(hù)及報(bào)警。
會(huì)話鎖定:提供交互式會(huì)話的鎖定和解鎖能力及終止會(huì)話能力。在會(huì)話進(jìn)入非活動(dòng)周期后對終端進(jìn)行鎖定或結(jié)束會(huì)話。在用戶的靜止期超過規(guī)定的值時(shí),通過以下方式鎖定該用戶的交互式會(huì)話:(1)在顯示設(shè)備上清除或涂抹,使當(dāng)前的內(nèi)容不可讀;(2)取消會(huì)話解鎖之外的所有用戶數(shù)據(jù)的存取/顯示的任何活動(dòng);(3)在會(huì)話解鎖之前再次進(jìn)行身份鑒別。
異常保護(hù)及報(bào)警:在會(huì)話期間通過用戶請求進(jìn)行監(jiān)視分析用戶操作行為,對異常行為采取操作保護(hù)動(dòng)作,并產(chǎn)生記錄和報(bào)警,如頻繁、重復(fù)的數(shù)據(jù)操作,或者同一用戶在不同地點(diǎn)創(chuàng)建多個(gè)會(huì)話的請求等等。
3.6 Web安全防護(hù)策略
基于Web的MES系統(tǒng)遭受的典型網(wǎng)絡(luò)攻擊事件包括SQL注入、cookie破壞、會(huì)話劫持、目錄遍歷以及緩沖區(qū)溢出等,只有建立涵蓋事前、事中、事后的綜合防控體系,事前及時(shí)識別隱患和漏洞并采取修補(bǔ)措施,事中實(shí)時(shí)監(jiān)測,積極防御,早發(fā)現(xiàn),早處置,才能將風(fēng)險(xiǎn)和損失降到最小。
本架構(gòu)針對Web設(shè)計(jì)了安全防護(hù)策略,實(shí)現(xiàn)自動(dòng)化的Web漏洞檢測,以及對網(wǎng)頁被掛馬、網(wǎng)頁被篡改、網(wǎng)頁出現(xiàn)敏感信息、系統(tǒng)被拒絕服務(wù)等攻擊事件的一體化監(jiān)測預(yù)警。從而幫助企業(yè)構(gòu)建自動(dòng)化的系統(tǒng)安全監(jiān)測系統(tǒng),第一時(shí)間掌握MES應(yīng)用的安全狀況,降低系統(tǒng)安全風(fēng)險(xiǎn),增強(qiáng)安全防護(hù)等級。
4 MES系統(tǒng)運(yùn)行安全的防護(hù)措施
MES系統(tǒng)的運(yùn)行安全不能僅僅依靠MES自身的安全設(shè)計(jì),需要根據(jù)企業(yè)對MES的技術(shù)經(jīng)濟(jì)要求,綜合考慮信息安全技術(shù)和安全管理與防護(hù)措施。
在物理安全層面,建立MES系統(tǒng)安全運(yùn)行相適應(yīng)的安全環(huán)境,包括機(jī)房安全防護(hù)、設(shè)備安全可用、存儲介質(zhì)安全等。
數(shù)據(jù)庫系統(tǒng)的安全至關(guān)重要,需要對數(shù)據(jù)依據(jù)其敏感性進(jìn)行分類進(jìn)行不同強(qiáng)度的加密,防止敏感信息泄露。同時(shí)數(shù)據(jù)庫要制定有備份和容災(zāi)措施,數(shù)據(jù)庫管理人員定時(shí)對系統(tǒng)進(jìn)行備份,防止系統(tǒng)數(shù)據(jù)損壞和丟失。一旦在系統(tǒng)崩潰或癱瘓的情況下,可利用備份數(shù)據(jù)迅速將系統(tǒng)恢復(fù)起來。
在運(yùn)行安全方面,通過安全風(fēng)險(xiǎn)分析與評估,制定系統(tǒng)安全運(yùn)行策略,建立安全檢測與監(jiān)控機(jī)制,加強(qiáng)安全審計(jì)和系統(tǒng)邊界安全防護(hù),采用防火墻、安全認(rèn)證、入侵檢測等措施來阻止攻擊,綜合運(yùn)用數(shù)據(jù)加密和VPN等技術(shù),對包括計(jì)算機(jī)病毒在內(nèi)的惡意代碼進(jìn)行必要的安全防護(hù),確保網(wǎng)絡(luò)傳輸?shù)陌踩蟆_\(yùn)用入侵檢測技術(shù),主動(dòng)保護(hù)MES系統(tǒng)免受攻擊,為MES系統(tǒng)提供了實(shí)時(shí)保護(hù),是防火墻之后的第二道安全閘門。
依據(jù)國家計(jì)算機(jī)應(yīng)急響應(yīng)中心發(fā)布的數(shù)據(jù),信息系統(tǒng)安全問題中的95%是可以通過科學(xué)的信息安全管理措施來避免。因此,加強(qiáng)信息安全意識,制定有效的安全運(yùn)維策略是保障信息安全的重要基礎(chǔ),已經(jīng)成為企業(yè)管理的一個(gè)重要組成部分。
;mes生產(chǎn)執(zhí)行系統(tǒng)中的報(bào)工是什么意思?
MES可以為企業(yè)提供包括制造數(shù)據(jù)管理、計(jì)劃排程管理、生產(chǎn)調(diào)度管理、庫存管理、質(zhì)量管理、人力資源管理、工作中心\/設(shè)備管理、工具工裝管理、采購管理、成本管理、項(xiàng)目看板管理、生產(chǎn)過程控制、底層數(shù)據(jù)集成分析、上層數(shù)據(jù)集成分解等管理模塊,為企業(yè)打造一個(gè)扎實(shí)、可靠、全面、可行的制造協(xié)同管理平臺。MES的系統(tǒng)特點(diǎn)...
如何實(shí)現(xiàn)OA,ERP和MES系統(tǒng)整合
基于工作流的ERP系統(tǒng),可以通過流程的再定義,靈活地將應(yīng)用系統(tǒng)的功能連線在一起,快速完成企業(yè)BPR和ERP系統(tǒng)的搭建。 綜上所述,工作流管理技術(shù)是解決業(yè)務(wù)過程整合的重要手段,它與ERP或其他管理資訊系統(tǒng)的整合,將實(shí)現(xiàn)業(yè)務(wù)流程的管理、控制和過程的自動(dòng)化,使企業(yè)領(lǐng)導(dǎo)與業(yè)務(wù)系統(tǒng)真正整合,實(shí)現(xiàn)企業(yè)業(yè)務(wù)流程的重構(gòu)。 MES與ERP...
...想做mes執(zhí)行制造系統(tǒng),請問有什么公司推薦的_mes生產(chǎn)制造執(zhí)行系統(tǒng)
用友U8供應(yīng)鏈管理是用友ERP-U8平臺的一個(gè)基礎(chǔ)應(yīng)用,包括合同管理、售前分析、銷售管理、出口管理、采購管理、委外管理、庫存管理、存貨管理、質(zhì)量管理、WEB業(yè)務(wù)和進(jìn)口管理,通過U8供應(yīng)鏈管理幫助企業(yè)實(shí)現(xiàn)銷售、生產(chǎn)、采購、財(cái)務(wù)部門的高效協(xié)同,逐步消除管理瓶頸,建立競爭優(yōu)勢。7、Infor Infor供應(yīng)鏈管理(SCM)...
26.SAP MII應(yīng)用分析(01)什么是SAP MII?
SAP MII的核心特點(diǎn)包括集成和智能。集成方面,SAP MII具備各種標(biāo)準(zhǔn)的連接方式,提供了對各種制造系統(tǒng)數(shù)據(jù)的集成,包括ERP系統(tǒng)、MES系統(tǒng)、設(shè)備控制層系統(tǒng)等。同時(shí),它支持各種行業(yè)標(biāo)準(zhǔn)的連接方式,如JDBC、OLEDB、Web Services\/SOAP、XML、OPC-DA and OPC-HDA。向上無縫集成SAP ERP,與SAP ERP可以無縫集成,...
系統(tǒng)員崗位職責(zé)
任職要求:系統(tǒng)員需具備全日制統(tǒng)招本科及以上學(xué)歷,專業(yè)應(yīng)為計(jì)算機(jī)、軟件工程等。系統(tǒng)員應(yīng)擁有IT模塊管理經(jīng)驗(yàn),具體包括但不限于:Oracle\/Java\/Web編程與B\/S架構(gòu)、數(shù)據(jù)庫SQL查詢語言等相關(guān)模塊的2年以上編程經(jīng)驗(yàn);ERP、MES、DMS、SOA、BOM、PLM等系統(tǒng)的2年以上運(yùn)維經(jīng)驗(yàn);以及網(wǎng)絡(luò)安全相關(guān)技術(shù)、服務(wù)器架構(gòu)及...
SOLIDWORKS 研發(fā)管理平臺如何實(shí)現(xiàn)PLM與ERP、MES的集成
4.2 SOLIDWORKS研發(fā)管理平臺集成MES MES系統(tǒng)關(guān)注研發(fā)設(shè)計(jì)的生產(chǎn)后端,通過前段PLM系統(tǒng)及ERP系統(tǒng)提供的信息和數(shù)據(jù)進(jìn)行車間執(zhí)行信息編排、裝配信息管理等。PLM系統(tǒng)集成MES主要涉及基礎(chǔ)圖紙、BOM信息、車間溝通反饋等方面。集成BOM和基礎(chǔ)圖紙信息,確保車間領(lǐng)料及裝配過程中使用的信息準(zhǔn)確無誤,從而實(shí)現(xiàn)生產(chǎn)排程的高效...
軟件開發(fā)有哪些
2、電腦 企業(yè)管理軟件,如:如MES系統(tǒng)軟件、OA系統(tǒng)軟件、CRM系統(tǒng)軟件、HR系統(tǒng)軟件、ERP系統(tǒng)軟件合同。二、從設(shè)計(jì)領(lǐng)域劃分,包括以下領(lǐng)域:1、 桌面程序:Java、C++、C#、VB、C均可。2、網(wǎng)站服務(wù)器端開發(fā):JSP(Java語法)、PHP、ASP(C#語法)、Web App框架等 3、網(wǎng)站客戶端:HTML、CSS、Javascript、...
低代碼究竟是什么
低代碼開發(fā)平臺還加快并簡化了應(yīng)用程序、云端、本地?cái)?shù)據(jù)庫以及記錄系統(tǒng)的集成。因此,低代碼開發(fā)平臺可以實(shí)現(xiàn)企業(yè)數(shù)字化對應(yīng)用需求分析、界面設(shè)計(jì)、開發(fā)、交付和管理,并且使之具備快速、敏捷以及連續(xù)的特性。企業(yè)生存的關(guān)鍵取決于產(chǎn)品與業(yè)務(wù)能力,低代碼平臺為了讓企業(yè)更輕松的應(yīng)對由業(yè)務(wù)部門發(fā)起的大量需求,...
論企業(yè)架構(gòu)的重要性
企業(yè)架構(gòu)可以分為兩大部分即業(yè)務(wù)架構(gòu)和IT架構(gòu)。 業(yè)務(wù)架構(gòu): 是把企業(yè)的業(yè)務(wù)戰(zhàn)略轉(zhuǎn)化為日常運(yùn)作的渠道,業(yè)務(wù)戰(zhàn)略決定業(yè)務(wù)架構(gòu),它包括業(yè)務(wù)的運(yùn)營模式、流程體系、組織結(jié)構(gòu)、地域分布等內(nèi)容。 IT架構(gòu): 指導(dǎo)IT投資和設(shè)計(jì)決策的IT框架,是建立企業(yè)信息系統(tǒng)的綜合藍(lán)圖,包括數(shù)據(jù)架構(gòu)、應(yīng)用架構(gòu)和技術(shù)架構(gòu)三部分。 業(yè)務(wù)架構(gòu)相當(dāng)于企...
區(qū)塊鏈智慧能源系統(tǒng)是什么
EMS在系統(tǒng)規(guī)劃、架構(gòu)設(shè)計(jì)、功能配置和應(yīng)用集成等方面全面反映能源系統(tǒng)本質(zhì)的管理特征,根據(jù)效益最大化的原則配置能源管理要素,通過能源管理系統(tǒng)的計(jì)劃編制、實(shí)績分析、質(zhì)量管理、平衡預(yù)測、能耗評價(jià)等技術(shù)手段對能源生產(chǎn)過程和消耗過程進(jìn)行管理評價(jià)。 4、與ERP或MES系統(tǒng)的無縫集成能源管理 能源管理系統(tǒng)的基礎(chǔ)管理任務(wù)之一是實(shí)...
相關(guān)評說:
白山市有益: ______ (1)客戶端層 這一層直接與用戶交互,J2EE支持多種客戶端,它既可以是通過Internet訪問的Web瀏覽器客戶端,也可以是通過企業(yè)Intranet運(yùn)行的瘦客戶端. (2)Web層 這一...
白山市有益: ______ 網(wǎng)絡(luò)信息系統(tǒng)安全體系結(jié)構(gòu)是由硬件網(wǎng)絡(luò)、通信軟件以及操作系統(tǒng)構(gòu)成的,對于一個(gè)系統(tǒng)而言,首先要以硬件電路等物理設(shè)備為載體,然后才能運(yùn) 行載體上的功能程序. 通過使用路由器、集線器、交換機(jī)、網(wǎng)線等網(wǎng)絡(luò)設(shè)備,用戶可以搭建自己所需要的通信網(wǎng)絡(luò),對于小范圍的無線局域網(wǎng)而言,人們可以使用這 些設(shè)備搭建用戶需要的通信網(wǎng)絡(luò),最簡單的防護(hù)方式是對無線路由器設(shè)置相應(yīng)的指令來防止非法用戶的入侵,這種防護(hù)措施可以作為一種通信協(xié)議保護(hù),目前廣泛采 用WPA2加密協(xié)議實(shí)現(xiàn)協(xié)議加密,用戶只有通過使用密匙才能對路由器進(jìn)行訪問,通常可以講驅(qū)動(dòng)程序看作為操作系統(tǒng)的一部分,經(jīng)過注冊表注冊后,相應(yīng)的網(wǎng)絡(luò) 通信驅(qū)動(dòng)接口才能被通信應(yīng)用程序所調(diào)用.
白山市有益: ______ 在應(yīng)用于方面,國內(nèi)的MES系統(tǒng)顯著領(lǐng)先于發(fā)達(dá)國家.中國大部分生產(chǎn)企業(yè)還過度倚賴人力展開生產(chǎn),因此搜集原始、可信的,數(shù)據(jù)化信息非常困難.而且生產(chǎn)企業(yè)的信息系統(tǒng)都是由許多獨(dú)立國家的子系統(tǒng)構(gòu)成,基于事務(wù)處理的子系統(tǒng)和許多基于實(shí)時(shí)操作者的工廠子系統(tǒng),構(gòu)建難度非常高、相容性比較低. MES是生產(chǎn)繼續(xù)執(zhí)行與掌控管理系統(tǒng),由于生產(chǎn)過程及過程控制對象的復(fù)雜性和專有性,使得MES系統(tǒng)形態(tài)有比較大的差異,應(yīng)用于模式也有可能幾乎有所不同,這些因素客觀上造成MES產(chǎn)品與服務(wù)市場的多樣性.但是由于MES的多樣性、復(fù)雜性、特殊性以及特定行業(yè)的必須性,MES在國內(nèi)市場已經(jīng)經(jīng)常出現(xiàn)較小的市場需求.
白山市有益: ______ 摘要 Web頁面是所有互聯(lián)網(wǎng)應(yīng)用的主要界面和入口,各行業(yè)信息化過程中的應(yīng)用幾乎都架設(shè)在平臺上,關(guān)鍵業(yè)務(wù)也通過Web應(yīng)用程序來實(shí)現(xiàn),應(yīng)用程序的安全性變得越來越重要.運(yùn)用范圍 在一個(gè)復(fù)雜的混合性架構(gòu)中可以發(fā)揮多種不同的功能.其涉及范圍極廣,從在最新的云技術(shù)上運(yùn)行的面向服務(wù)的方案,到較老的多層應(yīng)用程序,再到準(zhǔn)許客戶訪問大型主機(jī)上老應(yīng)用程序的入口,都有其應(yīng)用.保證安全性1. 從軟件開發(fā)的開始階段,需求定義和應(yīng)用程序的設(shè)計(jì)就應(yīng)當(dāng)考慮安全需求以及功能需求和商業(yè)需要.2. 開發(fā)人員自身必須接受關(guān)于安全編碼技術(shù)的培訓(xùn),以確保在應(yīng)用程序的設(shè)計(jì)期間,并不 會(huì)帶來安全漏洞.
白山市有益: ______ 所謂MIS(管理信息系統(tǒng)--Management Information System)系統(tǒng),主要指的是進(jìn)行日常事物操作的系統(tǒng).這種系統(tǒng)主要用于管理需要的記錄,并對記錄數(shù)據(jù)進(jìn)行相關(guān)處理.MIS系統(tǒng)通常用于系統(tǒng)決策,例如,可以利用MIS系統(tǒng)找出目前迫切需要...
白山市有益: ______ 一個(gè)有效的NAC(網(wǎng)絡(luò)訪問控制)方案,應(yīng)該可以提供一個(gè)可信任網(wǎng)絡(luò)架構(gòu),這個(gè)架構(gòu)對威脅具有免疫性,以及恰當(dāng)使用的可控制性并能夠?yàn)樗杏脩舯Wo(hù)數(shù)據(jù)和完整性....
白山市有益: ______ MES什么是MES制造執(zhí)行管理系統(tǒng)(MES)是企業(yè)CIMS信息集成的紐帶,是實(shí)施企業(yè)敏捷制造戰(zhàn)略和實(shí)現(xiàn)車間生產(chǎn)敏捷化的基本技術(shù)手段.本文介紹了MES的概念、功能模型,以及MES與ERP及現(xiàn)場自動(dòng)化系統(tǒng)之間的關(guān)系...
白山市有益: ______ ERP的中文名稱為企業(yè)資源計(jì)劃(Enterprise Resource Planning).ERP是一個(gè)對企業(yè)資源進(jìn)行有效共享與利用的系統(tǒng).通過信息系統(tǒng)對信息進(jìn)行充分整理、有效傳遞,使企業(yè)的資源在購、存、產(chǎn)、銷、人、財(cái)、物等各個(gè)方面能夠得到合理地...
白山市有益: ______ SOA,面向服務(wù)的體系架構(gòu)(Service-Oriented Architecture)是一個(gè)組件模型,它將應(yīng)用程序的不同功能單元(稱為服務(wù))通過這些服務(wù)之間定義良好的接口和契約聯(lián)系起...
