化工企業實時數據庫系統應用及安全策略

張林(滄州大化集團有限責任公司，河北 滄州 061000)

0 引言

隨著市場對化工產品的需求不斷提高，化工企業的生產規模不斷擴大以及數字化浪潮的到來，在工業互聯網的推動下，運用數字化手段實時監控其生產過程數據，不再是生產過程控制的專項，而是越來越多地轉移到了企業生產管理層，其所體現的作用也越來越大。以大型化工企業為例，在當前的數字化轉型浪潮中，企業領導層在決策中，高度重視掌握生產裝置實時運行狀況。在數字化轉型和工業互聯網等多重加持下，作為一個化工企業，在數字化基礎建設中，已實現全光通信網絡覆蓋，建立了一體化模塊機房；建設了全公司生產裝置集中控制的現代化控制中心，實現了智能化的巡檢系統和無線網絡覆蓋。

全公司完成了DCS系統、SCADA系統與實時數據庫系統(PI系統)的全部接入工作，實現了全部生產過程數據的采集接入，建立在過程控制層之上的生產管控一體化系統，實現了生產執行層的數字化工作。

公司生產是以甲苯、硝酸、氯氣為主要原料，連續生產，生產過程中有DNT、光氣參與生產當中，是典型的易燃、易爆、高環境污染風險的化工流程類企業，因此作為“大腦”的生產管控一體化系統作用顯得尤為重要，而為他提供基礎數據的實時數據庫更是關鍵所在。

生產管控一體化系統建立在實時數據庫系統之上，實時數據庫系統硬件和網絡主要是依托一體化模塊機房，采用數據接口機進行安全防護后直接與DCS、PLC 和SCADA等過程控制系統網絡相連。

近年來世界頻繁發生的工控網絡安全問題，造成了巨大影響，因此作為生產管控一體化系統關鍵的實時數據庫系統安全已成為企業信息安全關注的重點。

1 實時數據庫系統及應用簡介

實時數據庫系統是基于C/S 和B/S 結構的工廠實時數據集成、應用平臺。公司采用的PI(Plant Information System)是由美國OSIsoft公司開發的實時數據庫平臺，作為生產過程控制生產管控系統連接的樞紐，在公司數字化應用中擔當著重要的角色[1]。

PI系統采用分布式結構，可在多種不同系統配置下運行。PI系統服務器提供數據的采集和應用。公司的PI系統由一臺數據存儲服務器PISERVER和一臺資產服務器PAFSERVER構成，并將關聯服務分布部署在其他服務器中，降低單一服務器的運算壓力。主要應用工具為PI-VISION、PI-ProcessBook和PI-DataLink等。

實時數據庫通過PI-SMT (PI System Management Tools)和PI System Explorer統一管理和組態，通過配置相應權限進行管理[2]。此外，因為PI系統支持建立域控制器，因此也能通過域控調整用戶權限實現對數據權限的控制。在實際生產中開發的PI系統應用主要有：生產報警釘釘分級推送、設備預警模型(圖1)、PI-VISION流程圖應用(圖2)、工藝電子臺帳與安全環保臺賬、電子交接班日志、DCS系統EVENT事件KPI展示模塊等。

圖1 設備預警模型模塊

圖2 基于實時數據庫的流程圖系統PI-VISION模塊

在PI系統中數據采集和存貯保持原有的時間間隔、精度，一改其他實時數據庫產品用大量的歸納數據來減少數據存貯的空間的做法。

PI系統數據壓縮技術采用兩級，接口機完成第一級。既可以每次采集的數據都傳送到PI存儲服務器，也可以根據需要設置數據壓縮增量值和數據壓縮時間間隔，當每次采集的數據變化細微或不變化時，數據就被過濾掉，不被傳送，降低通訊負荷。PI-ICU軟件能夠對接口通訊情況實時監測，通訊量情況可以由PI-ProcessBook監控。

PI系統第二級數據壓縮是在服務器上完成的，當PI服務器接收到接口機傳送過來的數據后，在保存到歷史數據庫文件中時要再一次壓縮，這樣可以有效降低數據庫存儲空間。

2 PI實時數據庫系統的安全機制及采取的措施

PI實時數據庫系統作為一個平臺，自身具備可靠的防護機制，主要使用工具PI-SMT實現。權限控制以IP地址為核心，以Identities，Users,&Group為手段，輔以自身的軟件的防火墻，授權合法用戶登錄，拒絕非授權用戶登錄。同時對Group、Users分別進行授權，通過每個數據點tag來實現的，實現各個密級不同的數據查詢權限。PI系統管理員通過PI-SMT工具對用戶登入登出 PI服務器的情況進行監控，并能查詢獲知當前登錄用戶瀏覽的情況。

2.1 實時數據庫接口機安全措施

實時數據庫接口機主要采用工控防火墻防護和接口機軟件中設置對應的策略來保證數據安全。

公司的PI系統的數據采集轉發是通過OPC(DA、HAD、A&E)協議進行的；數據鏈路是PI數據接口機與DCS/PLC 、SCADA等工業控制系統OPC Server相連接進行數據傳輸。

因OPC是一種利用微軟的COM/DCOM技術來達成自動化控制的協定，數據通信端口從1024到65535之間動態使用，而化工生產中工業網絡設備類型豐富，多數采用私有協議進行通訊，傳統的防火墻針工控協議的識別相對較弱，并且無法隔離防護動態端口，一旦非授權用戶獲得OPC客戶端電腦控制權，就可以直接對DCS/PLC、SCADA等一系列工業控制系統通過OPC Server進行數據讀、寫操作，其后果嚴重，尤其是大中型危化企業一旦被攻擊得手，會直接威脅到生產的安全，并對生態環境造成破壞。

工控防火墻運用了工控協議匹配算法和多年持續積累的工業協議特征庫等多項核心技術，建立防護規則。提供了多種為工控安全設計的專用功能，本身預置百種常見工業協議，支持OPC、Modbus TCP、MMS、S7、EIP、DNP3、IEC104等常用工業協議的深度過濾解析，工業網絡流量學習，工業威脅檢測，工業協議自定義等功能。

工控防火墻部署范圍很寬，可以部署在在工業網絡的邊界位置，也可以部署在控制層的邊界可對數據采集進行安全過濾；也可以部署在設備層的邊界可對不同的設備進行邏輯隔離；也可以部署在特殊的關鍵工業設備前，如SIS系統，起到對關鍵設備進行隔離保護的作用。目前所使用的防護主要是：在接口機與OPC Server 中間增加了工控防火墻進行隔離防護，僅通過OPC協議，其他全部過濾；有效的防止主干網絡的病毒以及外網各種的攻擊(圖3)。

接口機軟件中設置對應的策略主要是在接口機的配置中，僅使用只讀接口，不配置讀寫接口，使數據無法寫入，從而避免外界對于控制系統的數據寫入。

2.2 安全架構設置

實時數據庫系統作為底層數據基礎，直接與現場控制層的控制系統連接，并進行數據的交互，如果未對通過邊界進入生產域的數據進行深層次的過濾，就會存在非授權訪問、惡意攻擊等安全風險。

因此對于實時數據庫系統的安全架構，在建設伊始，就采用了基于DMZ (demilitarized zone)設計的網絡架構，通過工業防火墻實現集團與過程控制網的邏輯隔離，DMZ 中的服務器在企業管理層和現場控制層之間形成隔離區，針對來自集團的數據流量進行傳統+工業過濾分析、攻擊檢測、惡意代碼檢測，阻斷來自集團網絡的攻擊行為，降低了風險。此種架構的流行，得益于其既符合企業通用IT網絡安全架構，又可以將PI 系統各個服務器納入到病毒防護的服務器集群中，便于進行操作系統補丁更新、殺毒軟件引擎和病毒庫升級以及劃分安全區域管理。

圖3 網絡安全架構

2.3 權限的安全設定

作為化工企業，其生產過程指標數據是企業核心的機密，因此指標數據的安全是企業的重中之重。同時為滿足《中華人民共和國網絡安全法》和GB/T 22239—2019 《信息安全技術 網絡安全等級保護基本要求》要求，企業應用也做進一步的安全提升。以計算機等級保護二級標準為例，系統應用安全須滿足以下安全要求：安全區域邊界訪問控制、網絡流量檢測、主機安全防護、全面的日志審計分析、安全管理中心等，結合PI系統的各種安全機制，在整個實時數據庫平臺上部署如下安全措施：(1)創建角色：管理員(piadmins)、總經理、總工、部長、工程師與操作員角色，并分別與其所使用計算機IP地址進行綁定；(2)采用用Security劃分數據點表和數據分級安全機制，將每個數據點Tag分為Point Security和Data Security兩種方式進行控制，未經管理員授權，數據點名或數據不能顯示；(3)數據查看范圍由生產部門領導審批后的裝置確定，普通用戶只能讀取指定記錄的數據；(4)采用了Firewall過濾機制，進行過濾；(5)采用PI系統工具對客戶端用戶登錄 PI服務器的情況和查詢數據點情況進行監控。

3 結語

隨著我國企業數字化轉型工作的逐步深入和兩化融合在化工行業中加速發展，化工企業在通過數字化手段迅速提高自身核心競爭力，提升生產效率的同時，也為企業帶來了各種數字化安全問題，如系統終端平臺安全防護弱點，系統配置和軟件安全漏洞、工控協議安全問題、私有協議的安全問題、以及隱藏的后門和未知漏洞、TCP/IP自身的安全問題，用戶權限控制的接入，網絡安全邊界防護以及內部非法人員，密鑰管理等等各種信息安全的風險和漏洞，他們的出現無一例外，都會對企業的實時數據庫造成巨大的威脅，因此作為企業的生產管理系統的核心—實時數據庫系統也要隨著安全技術的發展，不斷地提升安全性能，形成集采集、加工一體化安全數據平臺系統，多級聯動機制，形成多維度、可視化、全局化管理能力，使化工企業的數字化工作再上一個新的臺階。