InfoPlus．21實時數據庫系統安全性探討

張繼兵

(中國石化集團四川維尼綸廠 設備管理處，重慶 401254)

隨著石油煉化企業生產規模不斷擴大，實時監控生產過程數據在企業生產管理中所起的作用越來越大，企業生產管理層對能夠及時了解和掌握生產裝置運行狀況的要求也愈加迫切。近十年來，中國石化集團四川維尼綸廠在企業信息化建設層面做了大量的基礎工作： 已建成覆蓋整個生產裝置和辦公區域，與外部Internet 網絡連接的千兆局域主干網絡；所有生產裝置控制系統已經完成DCS改造。目前，產品物料存儲罐區、水處理裝置等公用工程也完成了數據采集與監控系統(SCADA)的改造，滿足了該廠信息化建設的需要。從2006年開始，先后建成了DCS之上的實時數據庫(RTDB)系統、生產制造執行系統(MES)和企業資源計劃(ERP)系統，基本實現了企業生產管理、經營管理信息化。

由于該廠是以天然氣為主要原料，連續生產甲醇、醋酸乙烯、聚乙烯醇等主要化工產品的天然氣化工流程企業，屬于易燃、易爆、高環境污染風險的高危行業，因而生產裝置安全、穩定運行是企業賴以發展、生存的基礎。該廠RTDB是通過廠局域主干網絡，利用數據采集機直接與DCS，PLC和SCADA等過程控制系統網絡相連，因而承載基礎實時數據來源的RTDB安全問題已經成為企業網絡安全關注的焦點和重點。

1 實時數據庫系統簡介

RTDB系統是企業生產過程數據的處理和應用集成平臺，該廠RTDB采用了分布式的體系結構，RTDB服務器及相關的數采機以及C/S客戶端采用域網絡模型。RTDB系統分別設置生產過程數據的采集和存儲(InfoPlus．21Dbserver)、流程圖及上層應用軟件的安裝(Web Server)、上層應用的基礎數據存儲(Oracle Server)3臺服務器和1個主域控制器(安裝AspenTech License Manager)。主域控制器把3臺服務器和多臺數采機以及上層應用客戶端都加入到主域中統一管理，通過配置活動目錄建立相應的客戶端用戶，實現權限管理、安全管理以及網絡資源的管理。

該廠RTDB系統應用主要有： 生產裝置實時生產過程數據歷史查詢管理、過程數據報警查詢管理、歷史曲線分析管理、實驗室分析檢驗數據查詢系統、關鍵設備運行管理、班組核算及操作平穩率管理模塊、工藝臺帳管理等，構造了一個以控制生產成本為主線，以生產過程數據為基礎的生產管理信息系統。

InfoPlus．21是AspenTech公司的RTDB產品，主要包括： 在內存中存儲數據的RTDB；被稱為歸檔文件的在磁盤文件上存儲數據的歷史數據庫；InfoPlus．21 應用程序接口(API)和一組使用API服務于實時與歷史數據庫的進程。

從內存中分配、讀寫數據比在磁盤上的操作要快，為了滿足RTDB性能的需要，當前值和歷史值存儲于RTDB的記錄域中，這些記錄結構存儲在內存中。同時，為了存儲數年以上的歷史數據，使用歷史數據管理系統，傳輸帶有時間標簽的數據到磁盤的歸檔文件，歷史數據管理系統可以為1個或多個數據倉庫，每個數據倉庫包括： 1個常駐內存的隊列；1個隊列文件(當隊列溢出的時候采用)；1個歸檔任務；1個高速緩沖內存區；1個高速緩沖區的鏡像文件(每5 min存儲一次)；2個以上的歸檔文件。所有其他應用需要操作實時、歷史數據倉庫的都通過InfoPlus．21 API進行。

2 InfoPlus．21實時數據庫系統的安全現狀

InfoPlus．21的安全都是通過被稱為安全層的應用來進行控制對數據庫的訪問。InfoPlus．21的安全策略包括三個層次： 數據庫安全、記錄安全和字段安全，安全等級依次增加。每一個安全等級都是通過安全角色與用戶進行關聯的，應用軟件通過安全角色所定義的規則實現對數據庫的操作。

企業中普遍使用的InfoPlus．21安全架構是依托Aspen Local Security進行安全控制的，安全系統放在InfoPlus．21 Server上,安全數據庫保存在Microsoft Access 數據庫中。

2．1 實時數據庫的安全策略及不足

更多的安全意味著管理復雜度的增加，在企業沒有整體安全設計的前提下，又要實現各系統數據的共享，安全策略不被大多數人采納；又因為RTDB處于后臺，只有管理員才能進行相關操作，所以目前的RTDB安全策略均未被完全啟用，只是采用防病毒、用戶審計、密碼策略等進行保護，其他應用系統也是通過無安全設置的ODBC接口讀取RTDB數據。

2．2 實時數據庫接口安全策略及不足

該廠RTDB接口是通過數據采集機雙以太網卡與DCS/PLC工業控制系統OPC Server的以太網卡相連接，使用OPC通信方式進行數據傳輸。數采機與OPC Server中間增加了商業防火墻進行隔離防護，防止局域主干網絡的病毒以及外網的攻擊。

因OPC通信基于微軟的DCOM技術，在進行數據通信時其端口從1024～65535動態使用，對于工業通信網絡中的OPC動態端口的通信模式，普通的商業防火墻無法對動態端口進行隔離防護，而OPC客戶端可以輕易對OPC Server數據項進行讀寫，一旦黑客對客戶端電腦取得控制權，就可以直接對DCS，PLC工業控制系統進行數據改寫和控制，生產裝置將面臨很大的安全風險。

2．3 實時數據庫應用層安全策略及不足

該廠RTDB系統的上層主要應用與InfoPlus．21 RTDB緊密結合，這些應用數據是支撐MES及ERP系統應用的基礎數據，有部分數據需要設置不同的保密要求。通過與關系數據庫的結合，使用Web平臺統一控制登錄實現安全的管理，對登錄的人員進行角色劃分，對每個角色具備的操作、數據訪問、審核等功能進行定制，從而在應用層面保證實時數據庫的安全。其中生產裝置監控由于RTDB的安全沒有完全啟用，因而存在工藝流程圖頁面權限控制不能分級的缺點，無法對關鍵保密工藝流程數據做到可控。

3 實時數據庫系統安全性的完善

針對該廠RTDB系統的現狀，對于如何強化、完善和改進目前的安全架構，筆者從工業網絡安全、工業防火墻安全和上層應用安全機制等方面提出了解決方案。

3．1 安全架構

RTDB系統與其他系統最大的不同是需要直接與生產控制系統的設備交互數據，從而產生了對控制系統的安全訪問隱患。

對于RTDB系統的安全架構，采用基于DMZ(Demilitarized Zone)設計的網絡架構是值得推薦的，即利用防火墻構建非軍事化區域，起到安全隔離緩沖的作用。DMZ中的服務器在企業管理網和下層控制網間形成隔離區，企業管理網中機器只能訪問DMZ中的機器，控制網區域中的機器只能和DMZ中的RTDB服務器通信。企業信息網區域中的機器不能和控制網區域中機器通信。控制網區域中數據采集可以駐留在工程師站，也可以駐留在單獨的數采機器上，如圖1所示。

圖1 RTDB系統安全網絡構架示意

同時將RTDB系統所有機器都加入目錄(AD)進行管理，采用此種架構符合企業通用IT安全架構，方便對RTDB系統服務器進行病毒更新、系統更新操作管理，同時也滿足控制網區域的安全。

3．2 過程數據采集接口網絡安全

在與控制網接觸最緊密的RTDB接口部分，除了采用數采機雙網卡模式外，進一步提升防火墻的性能和改用新的通信接口是較為可行的安全架構。

3．2．1采用工業防火墻技術

工業防火墻是利用已知的工業專有通信協議(例如OPC，Modbus等)，建立防護規則。工業防火墻能夠攔阻任何不符合OPC標準格式的DCE/RPC 訪問；對OPC通信權限進行管理，OPC協議深度檢查，并管控通信安全；只在所跟蹤的TCP端口有需要時，防火墻才短暫地打開；過濾2個區域網絡間的通信，網絡故障將被控制在最初發生的區域內，而不會影響到其他部分。

在DCS/PLC控制網絡和數采網絡中間增加工業防火墻，將現有網絡結構中的局域主干網絡和工業控制網絡進行安全防護隔離，并在數采網絡增加1臺服務器對防火墻進行集中管理，對網絡異常狀況進行實時監控，并可進行歷史查詢及智能分析。

3．2．2采用OPC UA技術

由于OPC通信的穩定性、便利性和易維護性，越來越多的企業在建設RTDB系統時要求DCS，PLC廠家提供OPC接口。OPC通信標準的核心是互通性和標準化問題。傳統的OPC技術在控制級別方面很好地解決了不同硬件設備間互通信的問題，這在企業層面的通信標準化是同樣需要的。OPC統一架構OPC UA之前的訪問規范都是基于微軟的COM/DCOM技術，這會給新增層面的通信帶來巨大的困難，OPC通信的安全瓶頸就在于動態端口無法進行管控，OPC基金會發布了最新的數據通信統一方法——OPC UA。

對于RTDB的過程數據采集接口而言，OPC UA在原有的客戶端/服務器間增加了1個代理層，該代理層基于TCP/IP指定端口進行通信，且可以跨局域網、廣域網甚至因特網進行OPC通信，這時使用通用防火墻即可很好地進行通信控制，既實現了數據的采集，又保證了控制系統的安全，如圖2所示。

圖2 OPC UA安全構架示意

3．3 應用安全的解決方案

在當今IT發展進程中，隨著企業應用的深化，數據的安全日益重要。為滿足計算機等級安全保護的要求，企業應用也需要做進一步的安全提升。以計算機等級保護二級標準為例，系統應用安全須滿足以下安全要求： 身份鑒別、訪問控制、安全審計、通信完整性、通信保密性、軟件容錯、資源控制，因而需要在整個RTDB平臺上啟用如下安全機制：

1) 創建管理員、工程師與一般用戶角色，并分別與微軟AD用戶進行綁定。

2) 啟用RTDB安全，管理員進行數據庫管理和所有操作，工程師允許進行數據的更新、修改，一般用戶只能讀取數據。

3) 啟用RTDB記錄安全，指定的工程師可以進行指定記錄的增刪改，一般用戶只能讀取指定記錄的數據。

4) 啟用RTDB字段安全，指定的工程師可以訪問指定記錄的指定字段。

5) 啟用RTDB的審計功能，結合關系數據庫，對RTDB所有操作進行記錄。

6) 啟用RTDB數據源的安全選項。

7) 啟用RTDB接口的安全選項，使用用戶和IP地址限制進行控制。

8) Web平臺上啟用AD用戶登錄驗證，除了控制應用所能使用的功能外，只要涉及實時數據庫的訪問都受實時數據庫三級安全策略的限制。

9) 啟用Web應用平臺用戶的訪問時間、訪問資源、密碼策略、日志審計。

系統最終實現如下目標： 登錄Web的用戶權限受控；登錄RTDB的用戶權限受控；登錄各服務器的用戶權限受控。

4 結束語

隨著生產型企業信息化帶動產業化的進程發展，企業通過信息化在迅速提高企業核心競爭力的同時，企業安全、穩定、長周期生產所受到來自網絡的安全威脅也越來越嚴重，因而企業對控制網絡的安全要求越來越嚴格。安全沒有上限，合適的安全策略總是企業永遠追求的目標。企業的RTDB系統也要隨著網絡安全技術的發展，不斷地提升安全性能，消除來自網絡安全的威脅，只有在系統的各個環節、各個鏈路都做到了安全，整個系統才是安全的。

參考文獻：

[1] 馬國華． 實時數據庫及其管理系統[J]．自動化博覽，2002(05)： 7-8．

[2] 王克庭，黃嘉珀． 石油化工生產實時信息系統與實時數據庫[J]．石油規劃設計，1999(05)： 37-38．

[3] 胡劍波． 基于實時數據庫的高級數據應用技術研究[J]．計算機工程與應用，2003(32)： 36-41．

[4] RAMAKRISHNAN R．數據庫管理系統原理與設計[M]．周立柱,張志強，譯．北京： 清華大學出版社，2004．

[5] 周東球．先進控制軟件系統實時數據庫的設計[J]．自動化博覽,2002(07)： 3-20．

[6] 開金宇，鄭華，莫林．基于以太網的工業數據實時數據采集系統[J]．計算機應用與軟件，2005，22(增刊1)： 8-39．

[7] 闞宏進，劉希云，李翠運．基于VC++工控組態軟件實時數據庫系統的設計[J]．甘肅工業大學學報，2001，27(04)： 73-76．

[8] QUAZI N A，SUAN V V．Maintaining Secureity and Timeliness in Real-Time Database System[J]．The Journal of Systems and Software，2002 (61)： 15-29．

[9] KAM Y L，CHAN E, HEI W L， et al． Concurrency Control Strategies for Ordered Data Broadcast in Mobile Computing Systems[J]．Inf Syst，2004，29(03)： 207-234．

[10] JAYANT R．Haritsa K R R G．The Prompt Real-Time Commit Protocol[J]．IEEE Transactions on Parallel and Distributed Systems， 2000， 11(02)： 160-181．