張林(滄州大化集團(tuán)有限責(zé)任公司，河北 滄州 061000)

0 引言

隨著市場對化工產(chǎn)品的需求不斷提高，化工企業(yè)的生產(chǎn)規(guī)模不斷擴(kuò)大以及數(shù)字化浪潮的到來，在工業(yè)互聯(lián)網(wǎng)的推動下，運(yùn)用數(shù)字化手段實(shí)時監(jiān)控其生產(chǎn)過程數(shù)據(jù)，不再是生產(chǎn)過程控制的專項(xiàng)，而是越來越多地轉(zhuǎn)移到了企業(yè)生產(chǎn)管理層，其所體現(xiàn)的作用也越來越大。以大型化工企業(yè)為例，在當(dāng)前的數(shù)字化轉(zhuǎn)型浪潮中，企業(yè)領(lǐng)導(dǎo)層在決策中，高度重視掌握生產(chǎn)裝置實(shí)時運(yùn)行狀況。在數(shù)字化轉(zhuǎn)型和工業(yè)互聯(lián)網(wǎng)等多重加持下，作為一個化工企業(yè)，在數(shù)字化基礎(chǔ)建設(shè)中，已實(shí)現(xiàn)全光通信網(wǎng)絡(luò)覆蓋，建立了一體化模塊機(jī)房；建設(shè)了全公司生產(chǎn)裝置集中控制的現(xiàn)代化控制中心，實(shí)現(xiàn)了智能化的巡檢系統(tǒng)和無線網(wǎng)絡(luò)覆蓋。

全公司完成了DCS系統(tǒng)、SCADA系統(tǒng)與實(shí)時數(shù)據(jù)庫系統(tǒng)(PI系統(tǒng))的全部接入工作，實(shí)現(xiàn)了全部生產(chǎn)過程數(shù)據(jù)的采集接入，建立在過程控制層之上的生產(chǎn)管控一體化系統(tǒng)，實(shí)現(xiàn)了生產(chǎn)執(zhí)行層的數(shù)字化工作。

公司生產(chǎn)是以甲苯、硝酸、氯氣為主要原料，連續(xù)生產(chǎn)，生產(chǎn)過程中有DNT、光氣參與生產(chǎn)當(dāng)中，是典型的易燃、易爆、高環(huán)境污染風(fēng)險的化工流程類企業(yè)，因此作為“大腦”的生產(chǎn)管控一體化系統(tǒng)作用顯得尤為重要，而為他提供基礎(chǔ)數(shù)據(jù)的實(shí)時數(shù)據(jù)庫更是關(guān)鍵所在。

生產(chǎn)管控一體化系統(tǒng)建立在實(shí)時數(shù)據(jù)庫系統(tǒng)之上，實(shí)時數(shù)據(jù)庫系統(tǒng)硬件和網(wǎng)絡(luò)主要是依托一體化模塊機(jī)房，采用數(shù)據(jù)接口機(jī)進(jìn)行安全防護(hù)后直接與DCS、PLC 和SCADA等過程控制系統(tǒng)網(wǎng)絡(luò)相連。

近年來世界頻繁發(fā)生的工控網(wǎng)絡(luò)安全問題，造成了巨大影響，因此作為生產(chǎn)管控一體化系統(tǒng)關(guān)鍵的實(shí)時數(shù)據(jù)庫系統(tǒng)安全已成為企業(yè)信息安全關(guān)注的重點(diǎn)。

1 實(shí)時數(shù)據(jù)庫系統(tǒng)及應(yīng)用簡介

實(shí)時數(shù)據(jù)庫系統(tǒng)是基于C/S 和B/S 結(jié)構(gòu)的工廠實(shí)時數(shù)據(jù)集成、應(yīng)用平臺。公司采用的PI(Plant Information System)是由美國OSIsoft公司開發(fā)的實(shí)時數(shù)據(jù)庫平臺，作為生產(chǎn)過程控制生產(chǎn)管控系統(tǒng)連接的樞紐，在公司數(shù)字化應(yīng)用中擔(dān)當(dāng)著重要的角色[1]。

PI系統(tǒng)采用分布式結(jié)構(gòu)，可在多種不同系統(tǒng)配置下運(yùn)行。PI系統(tǒng)服務(wù)器提供數(shù)據(jù)的采集和應(yīng)用。公司的PI系統(tǒng)由一臺數(shù)據(jù)存儲服務(wù)器PISERVER和一臺資產(chǎn)服務(wù)器PAFSERVER構(gòu)成，并將關(guān)聯(lián)服務(wù)分布部署在其他服務(wù)器中，降低單一服務(wù)器的運(yùn)算壓力。主要應(yīng)用工具為PI-VISION、PI-ProcessBook和PI-DataLink等。

實(shí)時數(shù)據(jù)庫通過PI-SMT (PI System Management Tools)和PI System Explorer統(tǒng)一管理和組態(tài)，通過配置相應(yīng)權(quán)限進(jìn)行管理[2]。此外，因?yàn)镻I系統(tǒng)支持建立域控制器，因此也能通過域控調(diào)整用戶權(quán)限實(shí)現(xiàn)對數(shù)據(jù)權(quán)限的控制。在實(shí)際生產(chǎn)中開發(fā)的PI系統(tǒng)應(yīng)用主要有：生產(chǎn)報警釘釘分級推送、設(shè)備預(yù)警模型(圖1)、PI-VISION流程圖應(yīng)用(圖2)、工藝電子臺帳與安全環(huán)保臺賬、電子交接班日志、DCS系統(tǒng)EVENT事件KPI展示模塊等。

圖1 設(shè)備預(yù)警模型模塊

圖2 基于實(shí)時數(shù)據(jù)庫的流程圖系統(tǒng)PI-VISION模塊

在PI系統(tǒng)中數(shù)據(jù)采集和存貯保持原有的時間間隔、精度，一改其他實(shí)時數(shù)據(jù)庫產(chǎn)品用大量的歸納數(shù)據(jù)來減少數(shù)據(jù)存貯的空間的做法。

PI系統(tǒng)數(shù)據(jù)壓縮技術(shù)采用兩級，接口機(jī)完成第一級。既可以每次采集的數(shù)據(jù)都傳送到PI存儲服務(wù)器，也可以根據(jù)需要設(shè)置數(shù)據(jù)壓縮增量值和數(shù)據(jù)壓縮時間間隔，當(dāng)每次采集的數(shù)據(jù)變化細(xì)微或不變化時，數(shù)據(jù)就被過濾掉，不被傳送，降低通訊負(fù)荷。PI-ICU軟件能夠?qū)涌谕ㄓ嵡闆r實(shí)時監(jiān)測，通訊量情況可以由PI-ProcessBook監(jiān)控。

PI系統(tǒng)第二級數(shù)據(jù)壓縮是在服務(wù)器上完成的，當(dāng)PI服務(wù)器接收到接口機(jī)傳送過來的數(shù)據(jù)后，在保存到歷史數(shù)據(jù)庫文件中時要再一次壓縮，這樣可以有效降低數(shù)據(jù)庫存儲空間。

2 PI實(shí)時數(shù)據(jù)庫系統(tǒng)的安全機(jī)制及采取的措施

PI實(shí)時數(shù)據(jù)庫系統(tǒng)作為一個平臺，自身具備可靠的防護(hù)機(jī)制，主要使用工具PI-SMT實(shí)現(xiàn)。權(quán)限控制以IP地址為核心，以Identities，Users,&Group為手段，輔以自身的軟件的防火墻，授權(quán)合法用戶登錄，拒絕非授權(quán)用戶登錄。同時對Group、Users分別進(jìn)行授權(quán)，通過每個數(shù)據(jù)點(diǎn)tag來實(shí)現(xiàn)的，實(shí)現(xiàn)各個密級不同的數(shù)據(jù)查詢權(quán)限。PI系統(tǒng)管理員通過PI-SMT工具對用戶登入登出 PI服務(wù)器的情況進(jìn)行監(jiān)控，并能查詢獲知當(dāng)前登錄用戶瀏覽的情況。

2.1 實(shí)時數(shù)據(jù)庫接口機(jī)安全措施

實(shí)時數(shù)據(jù)庫接口機(jī)主要采用工控防火墻防護(hù)和接口機(jī)軟件中設(shè)置對應(yīng)的策略來保證數(shù)據(jù)安全。

公司的PI系統(tǒng)的數(shù)據(jù)采集轉(zhuǎn)發(fā)是通過OPC(DA、HAD、A&E)協(xié)議進(jìn)行的；數(shù)據(jù)鏈路是PI數(shù)據(jù)接口機(jī)與DCS/PLC 、SCADA等工業(yè)控制系統(tǒng)OPC Server相連接進(jìn)行數(shù)據(jù)傳輸。

因OPC是一種利用微軟的COM/DCOM技術(shù)來達(dá)成自動化控制的協(xié)定，數(shù)據(jù)通信端口從1024到65535之間動態(tài)使用，而化工生產(chǎn)中工業(yè)網(wǎng)絡(luò)設(shè)備類型豐富，多數(shù)采用私有協(xié)議進(jìn)行通訊，傳統(tǒng)的防火墻針工控協(xié)議的識別相對較弱，并且無法隔離防護(hù)動態(tài)端口，一旦非授權(quán)用戶獲得OPC客戶端電腦控制權(quán)，就可以直接對DCS/PLC、SCADA等一系列工業(yè)控制系統(tǒng)通過OPC Server進(jìn)行數(shù)據(jù)讀、寫操作，其后果嚴(yán)重，尤其是大中型?；髽I(yè)一旦被攻擊得手，會直接威脅到生產(chǎn)的安全，并對生態(tài)環(huán)境造成破壞。

工控防火墻運(yùn)用了工控協(xié)議匹配算法和多年持續(xù)積累的工業(yè)協(xié)議特征庫等多項(xiàng)核心技術(shù)，建立防護(hù)規(guī)則。提供了多種為工控安全設(shè)計(jì)的專用功能，本身預(yù)置百種常見工業(yè)協(xié)議，支持OPC、Modbus TCP、MMS、S7、EIP、DNP3、IEC104等常用工業(yè)協(xié)議的深度過濾解析，工業(yè)網(wǎng)絡(luò)流量學(xué)習(xí)，工業(yè)威脅檢測，工業(yè)協(xié)議自定義等功能。

工控防火墻部署范圍很寬，可以部署在在工業(yè)網(wǎng)絡(luò)的邊界位置，也可以部署在控制層的邊界可對數(shù)據(jù)采集進(jìn)行安全過濾；也可以部署在設(shè)備層的邊界可對不同的設(shè)備進(jìn)行邏輯隔離；也可以部署在特殊的關(guān)鍵工業(yè)設(shè)備前，如SIS系統(tǒng)，起到對關(guān)鍵設(shè)備進(jìn)行隔離保護(hù)的作用。目前所使用的防護(hù)主要是：在接口機(jī)與OPC Server 中間增加了工控防火墻進(jìn)行隔離防護(hù)，僅通過OPC協(xié)議，其他全部過濾；有效的防止主干網(wǎng)絡(luò)的病毒以及外網(wǎng)各種的攻擊(圖3)。

接口機(jī)軟件中設(shè)置對應(yīng)的策略主要是在接口機(jī)的配置中，僅使用只讀接口，不配置讀寫接口，使數(shù)據(jù)無法寫入，從而避免外界對于控制系統(tǒng)的數(shù)據(jù)寫入。

2.2 安全架構(gòu)設(shè)置

實(shí)時數(shù)據(jù)庫系統(tǒng)作為底層數(shù)據(jù)基礎(chǔ)，直接與現(xiàn)場控制層的控制系統(tǒng)連接，并進(jìn)行數(shù)據(jù)的交互，如果未對通過邊界進(jìn)入生產(chǎn)域的數(shù)據(jù)進(jìn)行深層次的過濾，就會存在非授權(quán)訪問、惡意攻擊等安全風(fēng)險。

因此對于實(shí)時數(shù)據(jù)庫系統(tǒng)的安全架構(gòu)，在建設(shè)伊始，就采用了基于DMZ (demilitarized zone)設(shè)計(jì)的網(wǎng)絡(luò)架構(gòu)，通過工業(yè)防火墻實(shí)現(xiàn)集團(tuán)與過程控制網(wǎng)的邏輯隔離，DMZ 中的服務(wù)器在企業(yè)管理層和現(xiàn)場控制層之間形成隔離區(qū)，針對來自集團(tuán)的數(shù)據(jù)流量進(jìn)行傳統(tǒng)+工業(yè)過濾分析、攻擊檢測、惡意代碼檢測，阻斷來自集團(tuán)網(wǎng)絡(luò)的攻擊行為，降低了風(fēng)險。此種架構(gòu)的流行，得益于其既符合企業(yè)通用IT網(wǎng)絡(luò)安全架構(gòu)，又可以將PI 系統(tǒng)各個服務(wù)器納入到病毒防護(hù)的服務(wù)器集群中，便于進(jìn)行操作系統(tǒng)補(bǔ)丁更新、殺毒軟件引擎和病毒庫升級以及劃分安全區(qū)域管理。

圖3 網(wǎng)絡(luò)安全架構(gòu)

2.3 權(quán)限的安全設(shè)定

作為化工企業(yè)，其生產(chǎn)過程指標(biāo)數(shù)據(jù)是企業(yè)核心的機(jī)密，因此指標(biāo)數(shù)據(jù)的安全是企業(yè)的重中之重。同時為滿足《中華人民共和國網(wǎng)絡(luò)安全法》和GB/T 22239—2019 《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)基本要求》要求，企業(yè)應(yīng)用也做進(jìn)一步的安全提升。以計(jì)算機(jī)等級保護(hù)二級標(biāo)準(zhǔn)為例，系統(tǒng)應(yīng)用安全須滿足以下安全要求：安全區(qū)域邊界訪問控制、網(wǎng)絡(luò)流量檢測、主機(jī)安全防護(hù)、全面的日志審計(jì)分析、安全管理中心等，結(jié)合PI系統(tǒng)的各種安全機(jī)制，在整個實(shí)時數(shù)據(jù)庫平臺上部署如下安全措施：(1)創(chuàng)建角色：管理員(piadmins)、總經(jīng)理、總工、部長、工程師與操作員角色，并分別與其所使用計(jì)算機(jī)IP地址進(jìn)行綁定；(2)采用用Security劃分?jǐn)?shù)據(jù)點(diǎn)表和數(shù)據(jù)分級安全機(jī)制，將每個數(shù)據(jù)點(diǎn)Tag分為Point Security和Data Security兩種方式進(jìn)行控制，未經(jīng)管理員授權(quán)，數(shù)據(jù)點(diǎn)名或數(shù)據(jù)不能顯示；(3)數(shù)據(jù)查看范圍由生產(chǎn)部門領(lǐng)導(dǎo)審批后的裝置確定，普通用戶只能讀取指定記錄的數(shù)據(jù)；(4)采用了Firewall過濾機(jī)制，進(jìn)行過濾；(5)采用PI系統(tǒng)工具對客戶端用戶登錄 PI服務(wù)器的情況和查詢數(shù)據(jù)點(diǎn)情況進(jìn)行監(jiān)控。

3 結(jié)語

隨著我國企業(yè)數(shù)字化轉(zhuǎn)型工作的逐步深入和兩化融合在化工行業(yè)中加速發(fā)展，化工企業(yè)在通過數(shù)字化手段迅速提高自身核心競爭力，提升生產(chǎn)效率的同時，也為企業(yè)帶來了各種數(shù)字化安全問題，如系統(tǒng)終端平臺安全防護(hù)弱點(diǎn)，系統(tǒng)配置和軟件安全漏洞、工控協(xié)議安全問題、私有協(xié)議的安全問題、以及隱藏的后門和未知漏洞、TCP/IP自身的安全問題，用戶權(quán)限控制的接入，網(wǎng)絡(luò)安全邊界防護(hù)以及內(nèi)部非法人員，密鑰管理等等各種信息安全的風(fēng)險和漏洞，他們的出現(xiàn)無一例外，都會對企業(yè)的實(shí)時數(shù)據(jù)庫造成巨大的威脅，因此作為企業(yè)的生產(chǎn)管理系統(tǒng)的核心—實(shí)時數(shù)據(jù)庫系統(tǒng)也要隨著安全技術(shù)的發(fā)展，不斷地提升安全性能，形成集采集、加工一體化安全數(shù)據(jù)平臺系統(tǒng)，多級聯(lián)動機(jī)制，形成多維度、可視化、全局化管理能力，使化工企業(yè)的數(shù)字化工作再上一個新的臺階。