化工企業(yè)實(shí)時(shí)數(shù)據(jù)庫(kù)系統(tǒng)應(yīng)用及安全策略

張林(滄州大化集團(tuán)有限責(zé)任公司，河北 滄州 061000)

0 引言

隨著市場(chǎng)對(duì)化工產(chǎn)品的需求不斷提高，化工企業(yè)的生產(chǎn)規(guī)模不斷擴(kuò)大以及數(shù)字化浪潮的到來(lái)，在工業(yè)互聯(lián)網(wǎng)的推動(dòng)下，運(yùn)用數(shù)字化手段實(shí)時(shí)監(jiān)控其生產(chǎn)過(guò)程數(shù)據(jù)，不再是生產(chǎn)過(guò)程控制的專項(xiàng)，而是越來(lái)越多地轉(zhuǎn)移到了企業(yè)生產(chǎn)管理層，其所體現(xiàn)的作用也越來(lái)越大。以大型化工企業(yè)為例，在當(dāng)前的數(shù)字化轉(zhuǎn)型浪潮中，企業(yè)領(lǐng)導(dǎo)層在決策中，高度重視掌握生產(chǎn)裝置實(shí)時(shí)運(yùn)行狀況。在數(shù)字化轉(zhuǎn)型和工業(yè)互聯(lián)網(wǎng)等多重加持下，作為一個(gè)化工企業(yè)，在數(shù)字化基礎(chǔ)建設(shè)中，已實(shí)現(xiàn)全光通信網(wǎng)絡(luò)覆蓋，建立了一體化模塊機(jī)房；建設(shè)了全公司生產(chǎn)裝置集中控制的現(xiàn)代化控制中心，實(shí)現(xiàn)了智能化的巡檢系統(tǒng)和無(wú)線網(wǎng)絡(luò)覆蓋。

全公司完成了DCS系統(tǒng)、SCADA系統(tǒng)與實(shí)時(shí)數(shù)據(jù)庫(kù)系統(tǒng)(PI系統(tǒng))的全部接入工作，實(shí)現(xiàn)了全部生產(chǎn)過(guò)程數(shù)據(jù)的采集接入，建立在過(guò)程控制層之上的生產(chǎn)管控一體化系統(tǒng)，實(shí)現(xiàn)了生產(chǎn)執(zhí)行層的數(shù)字化工作。

公司生產(chǎn)是以甲苯、硝酸、氯氣為主要原料，連續(xù)生產(chǎn)，生產(chǎn)過(guò)程中有DNT、光氣參與生產(chǎn)當(dāng)中，是典型的易燃、易爆、高環(huán)境污染風(fēng)險(xiǎn)的化工流程類企業(yè)，因此作為“大腦”的生產(chǎn)管控一體化系統(tǒng)作用顯得尤為重要，而為他提供基礎(chǔ)數(shù)據(jù)的實(shí)時(shí)數(shù)據(jù)庫(kù)更是關(guān)鍵所在。

生產(chǎn)管控一體化系統(tǒng)建立在實(shí)時(shí)數(shù)據(jù)庫(kù)系統(tǒng)之上，實(shí)時(shí)數(shù)據(jù)庫(kù)系統(tǒng)硬件和網(wǎng)絡(luò)主要是依托一體化模塊機(jī)房，采用數(shù)據(jù)接口機(jī)進(jìn)行安全防護(hù)后直接與DCS、PLC 和SCADA等過(guò)程控制系統(tǒng)網(wǎng)絡(luò)相連。

近年來(lái)世界頻繁發(fā)生的工控網(wǎng)絡(luò)安全問(wèn)題，造成了巨大影響，因此作為生產(chǎn)管控一體化系統(tǒng)關(guān)鍵的實(shí)時(shí)數(shù)據(jù)庫(kù)系統(tǒng)安全已成為企業(yè)信息安全關(guān)注的重點(diǎn)。

1 實(shí)時(shí)數(shù)據(jù)庫(kù)系統(tǒng)及應(yīng)用簡(jiǎn)介

實(shí)時(shí)數(shù)據(jù)庫(kù)系統(tǒng)是基于C/S 和B/S 結(jié)構(gòu)的工廠實(shí)時(shí)數(shù)據(jù)集成、應(yīng)用平臺(tái)。公司采用的PI(Plant Information System)是由美國(guó)OSIsoft公司開發(fā)的實(shí)時(shí)數(shù)據(jù)庫(kù)平臺(tái)，作為生產(chǎn)過(guò)程控制生產(chǎn)管控系統(tǒng)連接的樞紐，在公司數(shù)字化應(yīng)用中擔(dān)當(dāng)著重要的角色[1]。

PI系統(tǒng)采用分布式結(jié)構(gòu)，可在多種不同系統(tǒng)配置下運(yùn)行。PI系統(tǒng)服務(wù)器提供數(shù)據(jù)的采集和應(yīng)用。公司的PI系統(tǒng)由一臺(tái)數(shù)據(jù)存儲(chǔ)服務(wù)器PISERVER和一臺(tái)資產(chǎn)服務(wù)器PAFSERVER構(gòu)成，并將關(guān)聯(lián)服務(wù)分布部署在其他服務(wù)器中，降低單一服務(wù)器的運(yùn)算壓力。主要應(yīng)用工具為PI-VISION、PI-ProcessBook和PI-DataLink等。

實(shí)時(shí)數(shù)據(jù)庫(kù)通過(guò)PI-SMT (PI System Management Tools)和PI System Explorer統(tǒng)一管理和組態(tài)，通過(guò)配置相應(yīng)權(quán)限進(jìn)行管理[2]。此外，因?yàn)镻I系統(tǒng)支持建立域控制器，因此也能通過(guò)域控調(diào)整用戶權(quán)限實(shí)現(xiàn)對(duì)數(shù)據(jù)權(quán)限的控制。在實(shí)際生產(chǎn)中開發(fā)的PI系統(tǒng)應(yīng)用主要有：生產(chǎn)報(bào)警釘釘分級(jí)推送、設(shè)備預(yù)警模型(圖1)、PI-VISION流程圖應(yīng)用(圖2)、工藝電子臺(tái)帳與安全環(huán)保臺(tái)賬、電子交接班日志、DCS系統(tǒng)EVENT事件KPI展示模塊等。

圖1 設(shè)備預(yù)警模型模塊

圖2 基于實(shí)時(shí)數(shù)據(jù)庫(kù)的流程圖系統(tǒng)PI-VISION模塊

在PI系統(tǒng)中數(shù)據(jù)采集和存貯保持原有的時(shí)間間隔、精度，一改其他實(shí)時(shí)數(shù)據(jù)庫(kù)產(chǎn)品用大量的歸納數(shù)據(jù)來(lái)減少數(shù)據(jù)存貯的空間的做法。

PI系統(tǒng)數(shù)據(jù)壓縮技術(shù)采用兩級(jí)，接口機(jī)完成第一級(jí)。既可以每次采集的數(shù)據(jù)都傳送到PI存儲(chǔ)服務(wù)器，也可以根據(jù)需要設(shè)置數(shù)據(jù)壓縮增量值和數(shù)據(jù)壓縮時(shí)間間隔，當(dāng)每次采集的數(shù)據(jù)變化細(xì)微或不變化時(shí)，數(shù)據(jù)就被過(guò)濾掉，不被傳送，降低通訊負(fù)荷。PI-ICU軟件能夠?qū)涌谕ㄓ嵡闆r實(shí)時(shí)監(jiān)測(cè)，通訊量情況可以由PI-ProcessBook監(jiān)控。

PI系統(tǒng)第二級(jí)數(shù)據(jù)壓縮是在服務(wù)器上完成的，當(dāng)PI服務(wù)器接收到接口機(jī)傳送過(guò)來(lái)的數(shù)據(jù)后，在保存到歷史數(shù)據(jù)庫(kù)文件中時(shí)要再一次壓縮，這樣可以有效降低數(shù)據(jù)庫(kù)存儲(chǔ)空間。

2 PI實(shí)時(shí)數(shù)據(jù)庫(kù)系統(tǒng)的安全機(jī)制及采取的措施

PI實(shí)時(shí)數(shù)據(jù)庫(kù)系統(tǒng)作為一個(gè)平臺(tái)，自身具備可靠的防護(hù)機(jī)制，主要使用工具PI-SMT實(shí)現(xiàn)。權(quán)限控制以IP地址為核心，以Identities，Users,&Group為手段，輔以自身的軟件的防火墻，授權(quán)合法用戶登錄，拒絕非授權(quán)用戶登錄。同時(shí)對(duì)Group、Users分別進(jìn)行授權(quán)，通過(guò)每個(gè)數(shù)據(jù)點(diǎn)tag來(lái)實(shí)現(xiàn)的，實(shí)現(xiàn)各個(gè)密級(jí)不同的數(shù)據(jù)查詢權(quán)限。PI系統(tǒng)管理員通過(guò)PI-SMT工具對(duì)用戶登入登出 PI服務(wù)器的情況進(jìn)行監(jiān)控，并能查詢獲知當(dāng)前登錄用戶瀏覽的情況。

2.1 實(shí)時(shí)數(shù)據(jù)庫(kù)接口機(jī)安全措施

實(shí)時(shí)數(shù)據(jù)庫(kù)接口機(jī)主要采用工控防火墻防護(hù)和接口機(jī)軟件中設(shè)置對(duì)應(yīng)的策略來(lái)保證數(shù)據(jù)安全。

公司的PI系統(tǒng)的數(shù)據(jù)采集轉(zhuǎn)發(fā)是通過(guò)OPC(DA、HAD、A&E)協(xié)議進(jìn)行的；數(shù)據(jù)鏈路是PI數(shù)據(jù)接口機(jī)與DCS/PLC 、SCADA等工業(yè)控制系統(tǒng)OPC Server相連接進(jìn)行數(shù)據(jù)傳輸。

因OPC是一種利用微軟的COM/DCOM技術(shù)來(lái)達(dá)成自動(dòng)化控制的協(xié)定，數(shù)據(jù)通信端口從1024到65535之間動(dòng)態(tài)使用，而化工生產(chǎn)中工業(yè)網(wǎng)絡(luò)設(shè)備類型豐富，多數(shù)采用私有協(xié)議進(jìn)行通訊，傳統(tǒng)的防火墻針工控協(xié)議的識(shí)別相對(duì)較弱，并且無(wú)法隔離防護(hù)動(dòng)態(tài)端口，一旦非授權(quán)用戶獲得OPC客戶端電腦控制權(quán)，就可以直接對(duì)DCS/PLC、SCADA等一系列工業(yè)控制系統(tǒng)通過(guò)OPC Server進(jìn)行數(shù)據(jù)讀、寫操作，其后果嚴(yán)重，尤其是大中型危化企業(yè)一旦被攻擊得手，會(huì)直接威脅到生產(chǎn)的安全，并對(duì)生態(tài)環(huán)境造成破壞。

工控防火墻運(yùn)用了工控協(xié)議匹配算法和多年持續(xù)積累的工業(yè)協(xié)議特征庫(kù)等多項(xiàng)核心技術(shù)，建立防護(hù)規(guī)則。提供了多種為工控安全設(shè)計(jì)的專用功能，本身預(yù)置百種常見工業(yè)協(xié)議，支持OPC、Modbus TCP、MMS、S7、EIP、DNP3、IEC104等常用工業(yè)協(xié)議的深度過(guò)濾解析，工業(yè)網(wǎng)絡(luò)流量學(xué)習(xí)，工業(yè)威脅檢測(cè)，工業(yè)協(xié)議自定義等功能。

工控防火墻部署范圍很寬，可以部署在在工業(yè)網(wǎng)絡(luò)的邊界位置，也可以部署在控制層的邊界可對(duì)數(shù)據(jù)采集進(jìn)行安全過(guò)濾；也可以部署在設(shè)備層的邊界可對(duì)不同的設(shè)備進(jìn)行邏輯隔離；也可以部署在特殊的關(guān)鍵工業(yè)設(shè)備前，如SIS系統(tǒng)，起到對(duì)關(guān)鍵設(shè)備進(jìn)行隔離保護(hù)的作用。目前所使用的防護(hù)主要是：在接口機(jī)與OPC Server 中間增加了工控防火墻進(jìn)行隔離防護(hù)，僅通過(guò)OPC協(xié)議，其他全部過(guò)濾；有效的防止主干網(wǎng)絡(luò)的病毒以及外網(wǎng)各種的攻擊(圖3)。

接口機(jī)軟件中設(shè)置對(duì)應(yīng)的策略主要是在接口機(jī)的配置中，僅使用只讀接口，不配置讀寫接口，使數(shù)據(jù)無(wú)法寫入，從而避免外界對(duì)于控制系統(tǒng)的數(shù)據(jù)寫入。

2.2 安全架構(gòu)設(shè)置

實(shí)時(shí)數(shù)據(jù)庫(kù)系統(tǒng)作為底層數(shù)據(jù)基礎(chǔ)，直接與現(xiàn)場(chǎng)控制層的控制系統(tǒng)連接，并進(jìn)行數(shù)據(jù)的交互，如果未對(duì)通過(guò)邊界進(jìn)入生產(chǎn)域的數(shù)據(jù)進(jìn)行深層次的過(guò)濾，就會(huì)存在非授權(quán)訪問(wèn)、惡意攻擊等安全風(fēng)險(xiǎn)。

因此對(duì)于實(shí)時(shí)數(shù)據(jù)庫(kù)系統(tǒng)的安全架構(gòu)，在建設(shè)伊始，就采用了基于DMZ (demilitarized zone)設(shè)計(jì)的網(wǎng)絡(luò)架構(gòu)，通過(guò)工業(yè)防火墻實(shí)現(xiàn)集團(tuán)與過(guò)程控制網(wǎng)的邏輯隔離，DMZ 中的服務(wù)器在企業(yè)管理層和現(xiàn)場(chǎng)控制層之間形成隔離區(qū)，針對(duì)來(lái)自集團(tuán)的數(shù)據(jù)流量進(jìn)行傳統(tǒng)+工業(yè)過(guò)濾分析、攻擊檢測(cè)、惡意代碼檢測(cè)，阻斷來(lái)自集團(tuán)網(wǎng)絡(luò)的攻擊行為，降低了風(fēng)險(xiǎn)。此種架構(gòu)的流行，得益于其既符合企業(yè)通用IT網(wǎng)絡(luò)安全架構(gòu)，又可以將PI 系統(tǒng)各個(gè)服務(wù)器納入到病毒防護(hù)的服務(wù)器集群中，便于進(jìn)行操作系統(tǒng)補(bǔ)丁更新、殺毒軟件引擎和病毒庫(kù)升級(jí)以及劃分安全區(qū)域管理。

圖3 網(wǎng)絡(luò)安全架構(gòu)

2.3 權(quán)限的安全設(shè)定

作為化工企業(yè)，其生產(chǎn)過(guò)程指標(biāo)數(shù)據(jù)是企業(yè)核心的機(jī)密，因此指標(biāo)數(shù)據(jù)的安全是企業(yè)的重中之重。同時(shí)為滿足《中華人民共和國(guó)網(wǎng)絡(luò)安全法》和GB/T 22239—2019 《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》要求，企業(yè)應(yīng)用也做進(jìn)一步的安全提升。以計(jì)算機(jī)等級(jí)保護(hù)二級(jí)標(biāo)準(zhǔn)為例，系統(tǒng)應(yīng)用安全須滿足以下安全要求：安全區(qū)域邊界訪問(wèn)控制、網(wǎng)絡(luò)流量檢測(cè)、主機(jī)安全防護(hù)、全面的日志審計(jì)分析、安全管理中心等，結(jié)合PI系統(tǒng)的各種安全機(jī)制，在整個(gè)實(shí)時(shí)數(shù)據(jù)庫(kù)平臺(tái)上部署如下安全措施：(1)創(chuàng)建角色：管理員(piadmins)、總經(jīng)理、總工、部長(zhǎng)、工程師與操作員角色，并分別與其所使用計(jì)算機(jī)IP地址進(jìn)行綁定；(2)采用用Security劃分?jǐn)?shù)據(jù)點(diǎn)表和數(shù)據(jù)分級(jí)安全機(jī)制，將每個(gè)數(shù)據(jù)點(diǎn)Tag分為Point Security和Data Security兩種方式進(jìn)行控制，未經(jīng)管理員授權(quán)，數(shù)據(jù)點(diǎn)名或數(shù)據(jù)不能顯示；(3)數(shù)據(jù)查看范圍由生產(chǎn)部門領(lǐng)導(dǎo)審批后的裝置確定，普通用戶只能讀取指定記錄的數(shù)據(jù)；(4)采用了Firewall過(guò)濾機(jī)制，進(jìn)行過(guò)濾；(5)采用PI系統(tǒng)工具對(duì)客戶端用戶登錄 PI服務(wù)器的情況和查詢數(shù)據(jù)點(diǎn)情況進(jìn)行監(jiān)控。

3 結(jié)語(yǔ)

隨著我國(guó)企業(yè)數(shù)字化轉(zhuǎn)型工作的逐步深入和兩化融合在化工行業(yè)中加速發(fā)展，化工企業(yè)在通過(guò)數(shù)字化手段迅速提高自身核心競(jìng)爭(zhēng)力，提升生產(chǎn)效率的同時(shí)，也為企業(yè)帶來(lái)了各種數(shù)字化安全問(wèn)題，如系統(tǒng)終端平臺(tái)安全防護(hù)弱點(diǎn)，系統(tǒng)配置和軟件安全漏洞、工控協(xié)議安全問(wèn)題、私有協(xié)議的安全問(wèn)題、以及隱藏的后門和未知漏洞、TCP/IP自身的安全問(wèn)題，用戶權(quán)限控制的接入，網(wǎng)絡(luò)安全邊界防護(hù)以及內(nèi)部非法人員，密鑰管理等等各種信息安全的風(fēng)險(xiǎn)和漏洞，他們的出現(xiàn)無(wú)一例外，都會(huì)對(duì)企業(yè)的實(shí)時(shí)數(shù)據(jù)庫(kù)造成巨大的威脅，因此作為企業(yè)的生產(chǎn)管理系統(tǒng)的核心—實(shí)時(shí)數(shù)據(jù)庫(kù)系統(tǒng)也要隨著安全技術(shù)的發(fā)展，不斷地提升安全性能，形成集采集、加工一體化安全數(shù)據(jù)平臺(tái)系統(tǒng)，多級(jí)聯(lián)動(dòng)機(jī)制，形成多維度、可視化、全局化管理能力，使化工企業(yè)的數(shù)字化工作再上一個(gè)新的臺(tái)階。