化工企業(yè)實時數(shù)據(jù)庫系統(tǒng)應(yīng)用及安全策略

隨著市場對化工產(chǎn)品的需求不斷提高，化工企業(yè)的生產(chǎn)規(guī)模不斷擴大以及數(shù)字化浪潮的到來，在工業(yè)互聯(lián)網(wǎng)的推動下，運用數(shù)字化手段實時監(jiān)控其生產(chǎn)過程數(shù)據(jù)，不再是生產(chǎn)過程控制的專項，而是越來越多地轉(zhuǎn)移到了企業(yè)生產(chǎn)管理層，其所體現(xiàn)的作用也越來越大。以大型化工企業(yè)為例，在當(dāng)前的數(shù)字化轉(zhuǎn)型浪潮中，企業(yè)領(lǐng)導(dǎo)層在決策中，高度重視掌握生產(chǎn)裝置實時運行狀況。在數(shù)字化轉(zhuǎn)型和工業(yè)互聯(lián)網(wǎng)等多重加持下，作為一個化工企業(yè)，在數(shù)字化基礎(chǔ)建設(shè)中，已實現(xiàn)全光通信網(wǎng)絡(luò)覆蓋，建立了一體化模塊機房；建設(shè)了全公司生產(chǎn)裝置集中控制的現(xiàn)代化控制中心，實現(xiàn)了智能化的巡檢系統(tǒng)和無線網(wǎng)絡(luò)覆蓋。全公司完成了DCS系統(tǒng)、SCADA系統(tǒng)與實時數(shù)據(jù)庫系統(tǒng)(PI系統(tǒng))的全部接入工作，實現(xiàn)了全部生產(chǎn)過程數(shù)據(jù)的采集接入，建立在過程控制層之上的生產(chǎn)管控一體化系統(tǒng)，實現(xiàn)了生產(chǎn)執(zhí)行層的數(shù)字化工作。公司生產(chǎn)是以甲苯、硝酸、氯氣為主要原料，連續(xù)生產(chǎn)，生產(chǎn)過程中有DNT、光氣參與生產(chǎn)當(dāng)中，是典型的易燃、易爆、高環(huán)境污染風(fēng)險的化工流程類企業(yè)，因此作為“大腦”的生產(chǎn)管控一體化系統(tǒng)作用顯得尤為重要，而為他提供基礎(chǔ)數(shù)據(jù)的實時數(shù)據(jù)庫更是關(guān)鍵所在。生產(chǎn)管控一體化系統(tǒng)建立在實時數(shù)據(jù)庫系統(tǒng)之上，實時數(shù)據(jù)庫系統(tǒng)硬件和網(wǎng)絡(luò)主要是依托一體化模塊機房，采用數(shù)據(jù)接口機進行安全防護后直接與DCS、PLC和SCADA等過程控制系統(tǒng)網(wǎng)絡(luò)相連。近年來世界頻繁發(fā)生的工控網(wǎng)絡(luò)安全問題，造成了巨大影響，因此作為生產(chǎn)管控一體化系統(tǒng)關(guān)鍵的實時數(shù)據(jù)庫系統(tǒng)安全已成為企業(yè)信息安全關(guān)注的重點。1實時數(shù)據(jù)庫系統(tǒng)及應(yīng)用簡介實時數(shù)據(jù)庫系統(tǒng)是基于C/S和B/S結(jié)構(gòu)的工廠實時數(shù)據(jù)集成、應(yīng)用平臺。公司采用的PI(PlantInformationSystem)是由美國OSIsoft公司開發(fā)的實時數(shù)據(jù)庫平臺，作為生產(chǎn)過程控制生產(chǎn)管控系統(tǒng)連接的樞紐，在公司數(shù)字化應(yīng)用中擔(dān)當(dāng)著重要的角色[1]。PI系統(tǒng)采用分布式結(jié)構(gòu)，可在多種不同系統(tǒng)配置下運行。PI系統(tǒng)服務(wù)器提供數(shù)據(jù)的采集和應(yīng)用。公司的PI系統(tǒng)由一臺數(shù)據(jù)存儲服務(wù)器PISERVER和一臺資產(chǎn)服務(wù)器PAFSERVER構(gòu)成，并將關(guān)聯(lián)服務(wù)分布部署在其他服務(wù)器中，降低單一服務(wù)器的運算壓力。主要應(yīng)用工具為PI-VISION、PI-ProcessBook和PI-DataLink等。實時數(shù)據(jù)庫通過PI-SMT(PISystemManagementTools)和PISystemExplorer統(tǒng)一管理和組態(tài)，通過配置相應(yīng)權(quán)限進行管理[2]。此外，因為PI系統(tǒng)支持建立域控制器，因此也能通過域控調(diào)整用戶權(quán)限實現(xiàn)對數(shù)據(jù)權(quán)限的控制。在實際生產(chǎn)中開發(fā)的PI系統(tǒng)應(yīng)用主要有：生產(chǎn)報警釘釘分級推送、設(shè)備預(yù)警模型(圖1)、PI-VISION流程圖應(yīng)用(圖2)、工藝電子臺帳與安全環(huán)保臺賬、電子交接班日志、DCS系統(tǒng)EVENT事件KPI展示模塊等。圖1設(shè)備預(yù)警模型模塊圖2基于實時數(shù)據(jù)庫的流程圖系統(tǒng)PI-VISION模塊在PI系統(tǒng)中數(shù)據(jù)采集和存貯保持原有的時間間隔、精度，一改其他實時數(shù)據(jù)庫產(chǎn)品用大量的歸納數(shù)據(jù)來減少數(shù)據(jù)存貯的空間的做法。PI系統(tǒng)數(shù)據(jù)壓縮技術(shù)采用兩級，接口機完成第一級。既可以每次采集的數(shù)據(jù)都傳送到PI存儲服務(wù)器，也可以根據(jù)需要設(shè)置數(shù)據(jù)壓縮增量值和數(shù)據(jù)壓縮時間間隔，當(dāng)每次采集的數(shù)據(jù)變化細微或不變化時，數(shù)據(jù)就被過濾掉，不被傳送，降低通訊負(fù)荷。PI-ICU軟件能夠?qū)涌谕ㄓ嵡闆r實時監(jiān)測，通訊量情況可以由PI-ProcessBook監(jiān)控。PI系統(tǒng)第二級數(shù)據(jù)壓縮是在服務(wù)器上完成的，當(dāng)PI服務(wù)器接收到接口機傳送過來的數(shù)據(jù)后，在保存到歷史數(shù)據(jù)庫文件中時要再一次壓縮，這樣可以有效降低數(shù)據(jù)庫存儲空間。2PI實時數(shù)據(jù)庫系統(tǒng)的安全機制及采取的措施PI實時數(shù)據(jù)庫系統(tǒng)作為一個平臺，自身具備可靠的防護機制，主要使用工具PI-SMT實現(xiàn)。權(quán)限控制以IP地址為核心，以Identities，Users,&Group為手段，輔以自身的軟件的防火墻，授權(quán)合法用戶登錄，拒絕非授權(quán)用戶登錄。同時對Group、Users分別進行授權(quán)，通過每個數(shù)據(jù)點tag來實現(xiàn)的，實現(xiàn)各個密級不同的數(shù)據(jù)查詢權(quán)限。PI系統(tǒng)管理員通過PI-SMT工具對用戶登入登出PI服務(wù)器的情況進行監(jiān)控，并能查詢獲知當(dāng)前登錄用戶瀏覽的情況。2.1實時數(shù)據(jù)庫接口機安全措施實時數(shù)據(jù)庫接口機主要采用工控防火墻防護和接口機軟件中設(shè)置對應(yīng)的策略來保證數(shù)據(jù)安全。公司的PI系統(tǒng)的數(shù)據(jù)采集轉(zhuǎn)發(fā)是通過OPC(DA、HAD、A&E)協(xié)議進行的；數(shù)據(jù)鏈路是PI數(shù)據(jù)接口機與DCS/PLC、SCADA等工業(yè)控制系統(tǒng)OPCServer相連接進行數(shù)據(jù)傳輸。因OPC是一種利用微軟的COM/DCOM技術(shù)來達成自動化控制的協(xié)定，數(shù)據(jù)通信端口從1024到65535之間動態(tài)使用，而化工生產(chǎn)中工業(yè)網(wǎng)絡(luò)設(shè)備類型豐富，多數(shù)采用私有協(xié)議進行通訊，傳統(tǒng)的防火墻針工控協(xié)議的識別相對較弱，并且無法隔離防護動態(tài)端口，一旦非授權(quán)用戶獲得OPC客戶端電腦控制權(quán)，就可以直接對DCS/PLC、SCADA等一系列工業(yè)控制系統(tǒng)通過OPCServer進行數(shù)據(jù)讀、寫操作，其后果嚴(yán)重，尤其是大中型?；髽I(yè)一旦被攻擊得手，會直接威脅到生產(chǎn)的安全，并對生態(tài)環(huán)境造成破壞。工控防火墻運用了工控協(xié)議匹配算法和多年持續(xù)積累的工業(yè)協(xié)議特征庫等多項核心技術(shù)，建立防護規(guī)則。提供了多種為工控安全設(shè)計的專用功能，本身預(yù)置百種常見工業(yè)協(xié)議，支持OPC、ModbusTCP、MMS、S7、EIP、DNP3、IEC104等常用工業(yè)協(xié)議的深度過濾解析，工業(yè)網(wǎng)絡(luò)流量學(xué)習(xí)，工業(yè)威脅檢測，工業(yè)協(xié)議自定義等功能。工控防火墻部署范圍很寬，可以部署在在工業(yè)網(wǎng)絡(luò)的邊界位置，也可以部署在控制層的邊界可對數(shù)據(jù)采集進行安全過濾；也可以部署在設(shè)備層的邊界可對不同的設(shè)備進行邏輯隔離；也可以部署在特殊的關(guān)鍵工業(yè)設(shè)備前，如SIS系統(tǒng)，起到對關(guān)鍵設(shè)備進行隔離保護的作用。目前所使用的防護主要是：在接口機與OPCServer中間增加了工控防火墻進行隔離防護，僅通過OPC協(xié)議，其他全部過濾；有效的防止主干網(wǎng)絡(luò)的病毒以及外網(wǎng)各種的攻擊(圖3)。接口機軟件中設(shè)置對應(yīng)的策略主要是在接口機的配置中，僅使用只讀接口，不配置讀寫接口，使數(shù)據(jù)無法寫入，從而避免外界對于控制系統(tǒng)的數(shù)據(jù)寫入。2.2安全架構(gòu)設(shè)置實時數(shù)據(jù)庫系統(tǒng)作為底層數(shù)據(jù)基礎(chǔ)，直接與現(xiàn)場控制層的控制系統(tǒng)連接，并進行數(shù)據(jù)的交互，如果未對通過邊界進入生產(chǎn)域的數(shù)據(jù)進行深層次的過濾，就會存在非授權(quán)訪問、惡意攻擊等安全風(fēng)險。因此對于實時數(shù)據(jù)庫系統(tǒng)的安全架構(gòu)，在建設(shè)伊始，就采用了基于DMZ(demilitarizedzone)設(shè)計的網(wǎng)絡(luò)架構(gòu)，通過工業(yè)防火墻實現(xiàn)集團與過程控制網(wǎng)的邏輯隔離，DMZ中的服務(wù)器在企業(yè)管理層和現(xiàn)場控制層之間形成隔離區(qū)，針對來自集團的數(shù)據(jù)流量進行傳統(tǒng)+工業(yè)過濾分析、攻擊檢測、惡意代碼檢測，阻斷來自集團網(wǎng)絡(luò)的攻擊行為，降低了風(fēng)險。此種架構(gòu)的流行，得益于其既符合企業(yè)通用IT網(wǎng)絡(luò)安全架構(gòu)，又可以將PI系統(tǒng)各個服務(wù)器納入到病毒防護的服務(wù)器集群中，便于進行操作系統(tǒng)補丁更新、殺毒軟件引擎和病毒庫升級以及劃分安全區(qū)域管理。圖3網(wǎng)絡(luò)安全架構(gòu)2.3權(quán)限的安全設(shè)定作為化工企業(yè)，其生產(chǎn)過程指標(biāo)數(shù)據(jù)是企業(yè)核心的機密，因此指標(biāo)數(shù)據(jù)的安全是企業(yè)的重中之重。同時為滿足《中華人民共和國網(wǎng)絡(luò)安全法》和GB/T22239—2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求》要求，企業(yè)應(yīng)用也做進一步的安全提升。以計算機等級保護二級標(biāo)準(zhǔn)為例，系統(tǒng)應(yīng)用安全須滿足以下安全要求：安全區(qū)域邊界訪問控制、網(wǎng)絡(luò)流量檢測、主機安全防護、全面的日志審計分析、安全管理中心等，結(jié)合PI系統(tǒng)的各種安全機制，在整個實時數(shù)據(jù)庫平臺上部署如下安全措施：(1)創(chuàng)建角色：管理員(piadmins)、總經(jīng)理、總工、部長、工程師與操作員角色，并分別與其所使用計算機IP地址進行綁定；(2)采用用Security劃分?jǐn)?shù)據(jù)點表和數(shù)據(jù)分級安全機制，將每個數(shù)據(jù)點Tag分為PointSecurity和DataSecurity兩種方式進行控制，未經(jīng)管理員授權(quán)，數(shù)據(jù)點名或數(shù)據(jù)不能顯示；(3)數(shù)據(jù)查看范圍由生產(chǎn)部門領(lǐng)導(dǎo)審批后的裝置確定，普通用戶只能讀取指定記錄的數(shù)據(jù)；(4)采用了Firewall過濾機制，進行過濾；(5)采用PI系統(tǒng)工具對客戶端用戶登錄PI服務(wù)器的情況和查詢數(shù)據(jù)點情況進行監(jiān)控。3結(jié)語隨著我國企業(yè)數(shù)字化轉(zhuǎn)型工作的逐步深入和兩化融合在化工行業(yè)中加速發(fā)展，化工企業(yè)在通過數(shù)字化手段迅速提高自身核心競爭力，提升生產(chǎn)效率的同時，也為企業(yè)帶來了各種數(shù)字化安全問題，如系統(tǒng)終端平臺安全防護弱點，系統(tǒng)配置和軟件安全漏洞、工控協(xié)議安全問題、私有協(xié)議的安全問題、以及隱藏的后門和未知漏洞、TCP/IP自身的安全