InfoPlus．21實(shí)時(shí)數(shù)據(jù)庫系統(tǒng)安全性探討

張繼兵

(中國石化集團(tuán)四川維尼綸廠 設(shè)備管理處，重慶 401254)

隨著石油煉化企業(yè)生產(chǎn)規(guī)模不斷擴(kuò)大，實(shí)時(shí)監(jiān)控生產(chǎn)過程數(shù)據(jù)在企業(yè)生產(chǎn)管理中所起的作用越來越大，企業(yè)生產(chǎn)管理層對(duì)能夠及時(shí)了解和掌握生產(chǎn)裝置運(yùn)行狀況的要求也愈加迫切。近十年來，中國石化集團(tuán)四川維尼綸廠在企業(yè)信息化建設(shè)層面做了大量的基礎(chǔ)工作： 已建成覆蓋整個(gè)生產(chǎn)裝置和辦公區(qū)域，與外部Internet 網(wǎng)絡(luò)連接的千兆局域主干網(wǎng)絡(luò)；所有生產(chǎn)裝置控制系統(tǒng)已經(jīng)完成DCS改造。目前，產(chǎn)品物料存儲(chǔ)罐區(qū)、水處理裝置等公用工程也完成了數(shù)據(jù)采集與監(jiān)控系統(tǒng)(SCADA)的改造，滿足了該廠信息化建設(shè)的需要。從2006年開始，先后建成了DCS之上的實(shí)時(shí)數(shù)據(jù)庫(RTDB)系統(tǒng)、生產(chǎn)制造執(zhí)行系統(tǒng)(MES)和企業(yè)資源計(jì)劃(ERP)系統(tǒng)，基本實(shí)現(xiàn)了企業(yè)生產(chǎn)管理、經(jīng)營管理信息化。

由于該廠是以天然氣為主要原料，連續(xù)生產(chǎn)甲醇、醋酸乙烯、聚乙烯醇等主要化工產(chǎn)品的天然氣化工流程企業(yè)，屬于易燃、易爆、高環(huán)境污染風(fēng)險(xiǎn)的高危行業(yè)，因而生產(chǎn)裝置安全、穩(wěn)定運(yùn)行是企業(yè)賴以發(fā)展、生存的基礎(chǔ)。該廠RTDB是通過廠局域主干網(wǎng)絡(luò)，利用數(shù)據(jù)采集機(jī)直接與DCS，PLC和SCADA等過程控制系統(tǒng)網(wǎng)絡(luò)相連，因而承載基礎(chǔ)實(shí)時(shí)數(shù)據(jù)來源的RTDB安全問題已經(jīng)成為企業(yè)網(wǎng)絡(luò)安全關(guān)注的焦點(diǎn)和重點(diǎn)。

1 實(shí)時(shí)數(shù)據(jù)庫系統(tǒng)簡介

RTDB系統(tǒng)是企業(yè)生產(chǎn)過程數(shù)據(jù)的處理和應(yīng)用集成平臺(tái)，該廠RTDB采用了分布式的體系結(jié)構(gòu)，RTDB服務(wù)器及相關(guān)的數(shù)采機(jī)以及C/S客戶端采用域網(wǎng)絡(luò)模型。RTDB系統(tǒng)分別設(shè)置生產(chǎn)過程數(shù)據(jù)的采集和存儲(chǔ)(InfoPlus．21Dbserver)、流程圖及上層應(yīng)用軟件的安裝(Web Server)、上層應(yīng)用的基礎(chǔ)數(shù)據(jù)存儲(chǔ)(Oracle Server)3臺(tái)服務(wù)器和1個(gè)主域控制器(安裝AspenTech License Manager)。主域控制器把3臺(tái)服務(wù)器和多臺(tái)數(shù)采機(jī)以及上層應(yīng)用客戶端都加入到主域中統(tǒng)一管理，通過配置活動(dòng)目錄建立相應(yīng)的客戶端用戶，實(shí)現(xiàn)權(quán)限管理、安全管理以及網(wǎng)絡(luò)資源的管理。

該廠RTDB系統(tǒng)應(yīng)用主要有： 生產(chǎn)裝置實(shí)時(shí)生產(chǎn)過程數(shù)據(jù)歷史查詢管理、過程數(shù)據(jù)報(bào)警查詢管理、歷史曲線分析管理、實(shí)驗(yàn)室分析檢驗(yàn)數(shù)據(jù)查詢系統(tǒng)、關(guān)鍵設(shè)備運(yùn)行管理、班組核算及操作平穩(wěn)率管理模塊、工藝臺(tái)帳管理等，構(gòu)造了一個(gè)以控制生產(chǎn)成本為主線，以生產(chǎn)過程數(shù)據(jù)為基礎(chǔ)的生產(chǎn)管理信息系統(tǒng)。

InfoPlus．21是AspenTech公司的RTDB產(chǎn)品，主要包括： 在內(nèi)存中存儲(chǔ)數(shù)據(jù)的RTDB；被稱為歸檔文件的在磁盤文件上存儲(chǔ)數(shù)據(jù)的歷史數(shù)據(jù)庫；InfoPlus．21 應(yīng)用程序接口(API)和一組使用API服務(wù)于實(shí)時(shí)與歷史數(shù)據(jù)庫的進(jìn)程。

從內(nèi)存中分配、讀寫數(shù)據(jù)比在磁盤上的操作要快，為了滿足RTDB性能的需要，當(dāng)前值和歷史值存儲(chǔ)于RTDB的記錄域中，這些記錄結(jié)構(gòu)存儲(chǔ)在內(nèi)存中。同時(shí)，為了存儲(chǔ)數(shù)年以上的歷史數(shù)據(jù)，使用歷史數(shù)據(jù)管理系統(tǒng)，傳輸帶有時(shí)間標(biāo)簽的數(shù)據(jù)到磁盤的歸檔文件，歷史數(shù)據(jù)管理系統(tǒng)可以為1個(gè)或多個(gè)數(shù)據(jù)倉庫，每個(gè)數(shù)據(jù)倉庫包括： 1個(gè)常駐內(nèi)存的隊(duì)列；1個(gè)隊(duì)列文件(當(dāng)隊(duì)列溢出的時(shí)候采用)；1個(gè)歸檔任務(wù)；1個(gè)高速緩沖內(nèi)存區(qū)；1個(gè)高速緩沖區(qū)的鏡像文件(每5 min存儲(chǔ)一次)；2個(gè)以上的歸檔文件。所有其他應(yīng)用需要操作實(shí)時(shí)、歷史數(shù)據(jù)倉庫的都通過InfoPlus．21 API進(jìn)行。

2 InfoPlus．21實(shí)時(shí)數(shù)據(jù)庫系統(tǒng)的安全現(xiàn)狀

InfoPlus．21的安全都是通過被稱為安全層的應(yīng)用來進(jìn)行控制對(duì)數(shù)據(jù)庫的訪問。InfoPlus．21的安全策略包括三個(gè)層次： 數(shù)據(jù)庫安全、記錄安全和字段安全，安全等級(jí)依次增加。每一個(gè)安全等級(jí)都是通過安全角色與用戶進(jìn)行關(guān)聯(lián)的，應(yīng)用軟件通過安全角色所定義的規(guī)則實(shí)現(xiàn)對(duì)數(shù)據(jù)庫的操作。

企業(yè)中普遍使用的InfoPlus．21安全架構(gòu)是依托Aspen Local Security進(jìn)行安全控制的，安全系統(tǒng)放在InfoPlus．21 Server上,安全數(shù)據(jù)庫保存在Microsoft Access 數(shù)據(jù)庫中。

2．1 實(shí)時(shí)數(shù)據(jù)庫的安全策略及不足

更多的安全意味著管理復(fù)雜度的增加，在企業(yè)沒有整體安全設(shè)計(jì)的前提下，又要實(shí)現(xiàn)各系統(tǒng)數(shù)據(jù)的共享，安全策略不被大多數(shù)人采納；又因?yàn)镽TDB處于后臺(tái)，只有管理員才能進(jìn)行相關(guān)操作，所以目前的RTDB安全策略均未被完全啟用，只是采用防病毒、用戶審計(jì)、密碼策略等進(jìn)行保護(hù)，其他應(yīng)用系統(tǒng)也是通過無安全設(shè)置的ODBC接口讀取RTDB數(shù)據(jù)。

2．2 實(shí)時(shí)數(shù)據(jù)庫接口安全策略及不足

該廠RTDB接口是通過數(shù)據(jù)采集機(jī)雙以太網(wǎng)卡與DCS/PLC工業(yè)控制系統(tǒng)OPC Server的以太網(wǎng)卡相連接，使用OPC通信方式進(jìn)行數(shù)據(jù)傳輸。數(shù)采機(jī)與OPC Server中間增加了商業(yè)防火墻進(jìn)行隔離防護(hù)，防止局域主干網(wǎng)絡(luò)的病毒以及外網(wǎng)的攻擊。

因OPC通信基于微軟的DCOM技術(shù)，在進(jìn)行數(shù)據(jù)通信時(shí)其端口從1024～65535動(dòng)態(tài)使用，對(duì)于工業(yè)通信網(wǎng)絡(luò)中的OPC動(dòng)態(tài)端口的通信模式，普通的商業(yè)防火墻無法對(duì)動(dòng)態(tài)端口進(jìn)行隔離防護(hù)，而OPC客戶端可以輕易對(duì)OPC Server數(shù)據(jù)項(xiàng)進(jìn)行讀寫，一旦黑客對(duì)客戶端電腦取得控制權(quán)，就可以直接對(duì)DCS，PLC工業(yè)控制系統(tǒng)進(jìn)行數(shù)據(jù)改寫和控制，生產(chǎn)裝置將面臨很大的安全風(fēng)險(xiǎn)。

2．3 實(shí)時(shí)數(shù)據(jù)庫應(yīng)用層安全策略及不足

該廠RTDB系統(tǒng)的上層主要應(yīng)用與InfoPlus．21 RTDB緊密結(jié)合，這些應(yīng)用數(shù)據(jù)是支撐MES及ERP系統(tǒng)應(yīng)用的基礎(chǔ)數(shù)據(jù)，有部分?jǐn)?shù)據(jù)需要設(shè)置不同的保密要求。通過與關(guān)系數(shù)據(jù)庫的結(jié)合，使用Web平臺(tái)統(tǒng)一控制登錄實(shí)現(xiàn)安全的管理，對(duì)登錄的人員進(jìn)行角色劃分，對(duì)每個(gè)角色具備的操作、數(shù)據(jù)訪問、審核等功能進(jìn)行定制，從而在應(yīng)用層面保證實(shí)時(shí)數(shù)據(jù)庫的安全。其中生產(chǎn)裝置監(jiān)控由于RTDB的安全沒有完全啟用，因而存在工藝流程圖頁面權(quán)限控制不能分級(jí)的缺點(diǎn)，無法對(duì)關(guān)鍵保密工藝流程數(shù)據(jù)做到可控。

3 實(shí)時(shí)數(shù)據(jù)庫系統(tǒng)安全性的完善

針對(duì)該廠RTDB系統(tǒng)的現(xiàn)狀，對(duì)于如何強(qiáng)化、完善和改進(jìn)目前的安全架構(gòu)，筆者從工業(yè)網(wǎng)絡(luò)安全、工業(yè)防火墻安全和上層應(yīng)用安全機(jī)制等方面提出了解決方案。

3．1 安全架構(gòu)

RTDB系統(tǒng)與其他系統(tǒng)最大的不同是需要直接與生產(chǎn)控制系統(tǒng)的設(shè)備交互數(shù)據(jù)，從而產(chǎn)生了對(duì)控制系統(tǒng)的安全訪問隱患。

對(duì)于RTDB系統(tǒng)的安全架構(gòu)，采用基于DMZ(Demilitarized Zone)設(shè)計(jì)的網(wǎng)絡(luò)架構(gòu)是值得推薦的，即利用防火墻構(gòu)建非軍事化區(qū)域，起到安全隔離緩沖的作用。DMZ中的服務(wù)器在企業(yè)管理網(wǎng)和下層控制網(wǎng)間形成隔離區(qū)，企業(yè)管理網(wǎng)中機(jī)器只能訪問DMZ中的機(jī)器，控制網(wǎng)區(qū)域中的機(jī)器只能和DMZ中的RTDB服務(wù)器通信。企業(yè)信息網(wǎng)區(qū)域中的機(jī)器不能和控制網(wǎng)區(qū)域中機(jī)器通信?？刂凭W(wǎng)區(qū)域中數(shù)據(jù)采集可以駐留在工程師站，也可以駐留在單獨(dú)的數(shù)采機(jī)器上，如圖1所示。

圖1 RTDB系統(tǒng)安全網(wǎng)絡(luò)構(gòu)架示意

同時(shí)將RTDB系統(tǒng)所有機(jī)器都加入目錄(AD)進(jìn)行管理，采用此種架構(gòu)符合企業(yè)通用IT安全架構(gòu)，方便對(duì)RTDB系統(tǒng)服務(wù)器進(jìn)行病毒更新、系統(tǒng)更新操作管理，同時(shí)也滿足控制網(wǎng)區(qū)域的安全。

3．2 過程數(shù)據(jù)采集接口網(wǎng)絡(luò)安全

在與控制網(wǎng)接觸最緊密的RTDB接口部分，除了采用數(shù)采機(jī)雙網(wǎng)卡模式外，進(jìn)一步提升防火墻的性能和改用新的通信接口是較為可行的安全架構(gòu)。

3．2．1采用工業(yè)防火墻技術(shù)

工業(yè)防火墻是利用已知的工業(yè)專有通信協(xié)議(例如OPC，Modbus等)，建立防護(hù)規(guī)則。工業(yè)防火墻能夠攔阻任何不符合OPC標(biāo)準(zhǔn)格式的DCE/RPC 訪問；對(duì)OPC通信權(quán)限進(jìn)行管理，OPC協(xié)議深度檢查，并管控通信安全；只在所跟蹤的TCP端口有需要時(shí)，防火墻才短暫地打開；過濾2個(gè)區(qū)域網(wǎng)絡(luò)間的通信，網(wǎng)絡(luò)故障將被控制在最初發(fā)生的區(qū)域內(nèi)，而不會(huì)影響到其他部分。

在DCS/PLC控制網(wǎng)絡(luò)和數(shù)采網(wǎng)絡(luò)中間增加工業(yè)防火墻，將現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)中的局域主干網(wǎng)絡(luò)和工業(yè)控制網(wǎng)絡(luò)進(jìn)行安全防護(hù)隔離，并在數(shù)采網(wǎng)絡(luò)增加1臺(tái)服務(wù)器對(duì)防火墻進(jìn)行集中管理，對(duì)網(wǎng)絡(luò)異常狀況進(jìn)行實(shí)時(shí)監(jiān)控，并可進(jìn)行歷史查詢及智能分析。

3．2．2采用OPC UA技術(shù)

由于OPC通信的穩(wěn)定性、便利性和易維護(hù)性，越來越多的企業(yè)在建設(shè)RTDB系統(tǒng)時(shí)要求DCS，PLC廠家提供OPC接口。OPC通信標(biāo)準(zhǔn)的核心是互通性和標(biāo)準(zhǔn)化問題。傳統(tǒng)的OPC技術(shù)在控制級(jí)別方面很好地解決了不同硬件設(shè)備間互通信的問題，這在企業(yè)層面的通信標(biāo)準(zhǔn)化是同樣需要的。OPC統(tǒng)一架構(gòu)OPC UA之前的訪問規(guī)范都是基于微軟的COM/DCOM技術(shù)，這會(huì)給新增層面的通信帶來巨大的困難，OPC通信的安全瓶頸就在于動(dòng)態(tài)端口無法進(jìn)行管控，OPC基金會(huì)發(fā)布了最新的數(shù)據(jù)通信統(tǒng)一方法——OPC UA。

對(duì)于RTDB的過程數(shù)據(jù)采集接口而言，OPC UA在原有的客戶端/服務(wù)器間增加了1個(gè)代理層，該代理層基于TCP/IP指定端口進(jìn)行通信，且可以跨局域網(wǎng)、廣域網(wǎng)甚至因特網(wǎng)進(jìn)行OPC通信，這時(shí)使用通用防火墻即可很好地進(jìn)行通信控制，既實(shí)現(xiàn)了數(shù)據(jù)的采集，又保證了控制系統(tǒng)的安全，如圖2所示。

圖2 OPC UA安全構(gòu)架示意

3．3 應(yīng)用安全的解決方案

在當(dāng)今IT發(fā)展進(jìn)程中，隨著企業(yè)應(yīng)用的深化，數(shù)據(jù)的安全日益重要。為滿足計(jì)算機(jī)等級(jí)安全保護(hù)的要求，企業(yè)應(yīng)用也需要做進(jìn)一步的安全提升。以計(jì)算機(jī)等級(jí)保護(hù)二級(jí)標(biāo)準(zhǔn)為例，系統(tǒng)應(yīng)用安全須滿足以下安全要求： 身份鑒別、訪問控制、安全審計(jì)、通信完整性、通信保密性、軟件容錯(cuò)、資源控制，因而需要在整個(gè)RTDB平臺(tái)上啟用如下安全機(jī)制：

1) 創(chuàng)建管理員、工程師與一般用戶角色，并分別與微軟AD用戶進(jìn)行綁定。

2) 啟用RTDB安全，管理員進(jìn)行數(shù)據(jù)庫管理和所有操作，工程師允許進(jìn)行數(shù)據(jù)的更新、修改，一般用戶只能讀取數(shù)據(jù)。

3) 啟用RTDB記錄安全，指定的工程師可以進(jìn)行指定記錄的增刪改，一般用戶只能讀取指定記錄的數(shù)據(jù)。

4) 啟用RTDB字段安全，指定的工程師可以訪問指定記錄的指定字段。

5) 啟用RTDB的審計(jì)功能，結(jié)合關(guān)系數(shù)據(jù)庫，對(duì)RTDB所有操作進(jìn)行記錄。

6) 啟用RTDB數(shù)據(jù)源的安全選項(xiàng)。

7) 啟用RTDB接口的安全選項(xiàng)，使用用戶和IP地址限制進(jìn)行控制。

8) Web平臺(tái)上啟用AD用戶登錄驗(yàn)證，除了控制應(yīng)用所能使用的功能外，只要涉及實(shí)時(shí)數(shù)據(jù)庫的訪問都受實(shí)時(shí)數(shù)據(jù)庫三級(jí)安全策略的限制。

9) 啟用Web應(yīng)用平臺(tái)用戶的訪問時(shí)間、訪問資源、密碼策略、日志審計(jì)。

系統(tǒng)最終實(shí)現(xiàn)如下目標(biāo)： 登錄Web的用戶權(quán)限受控；登錄RTDB的用戶權(quán)限受控；登錄各服務(wù)器的用戶權(quán)限受控。

4 結(jié)束語

隨著生產(chǎn)型企業(yè)信息化帶動(dòng)產(chǎn)業(yè)化的進(jìn)程發(fā)展，企業(yè)通過信息化在迅速提高企業(yè)核心競(jìng)爭(zhēng)力的同時(shí)，企業(yè)安全、穩(wěn)定、長周期生產(chǎn)所受到來自網(wǎng)絡(luò)的安全威脅也越來越嚴(yán)重，因而企業(yè)對(duì)控制網(wǎng)絡(luò)的安全要求越來越嚴(yán)格。安全沒有上限，合適的安全策略總是企業(yè)永遠(yuǎn)追求的目標(biāo)。企業(yè)的RTDB系統(tǒng)也要隨著網(wǎng)絡(luò)安全技術(shù)的發(fā)展，不斷地提升安全性能，消除來自網(wǎng)絡(luò)安全的威脅，只有在系統(tǒng)的各個(gè)環(huán)節(jié)、各個(gè)鏈路都做到了安全，整個(gè)系統(tǒng)才是安全的。

參考文獻(xiàn)：

[1] 馬國華． 實(shí)時(shí)數(shù)據(jù)庫及其管理系統(tǒng)[J]．自動(dòng)化博覽，2002(05)： 7-8．

[2] 王克庭，黃嘉珀． 石油化工生產(chǎn)實(shí)時(shí)信息系統(tǒng)與實(shí)時(shí)數(shù)據(jù)庫[J]．石油規(guī)劃設(shè)計(jì)，1999(05)： 37-38．

[3] 胡劍波． 基于實(shí)時(shí)數(shù)據(jù)庫的高級(jí)數(shù)據(jù)應(yīng)用技術(shù)研究[J]．計(jì)算機(jī)工程與應(yīng)用，2003(32)： 36-41．

[4] RAMAKRISHNAN R．?dāng)?shù)據(jù)庫管理系統(tǒng)原理與設(shè)計(jì)[M]．周立柱,張志強(qiáng)，譯．北京： 清華大學(xué)出版社，2004．

[5] 周東球．先進(jìn)控制軟件系統(tǒng)實(shí)時(shí)數(shù)據(jù)庫的設(shè)計(jì)[J]．自動(dòng)化博覽,2002(07)： 3-20．

[6] 開金宇，鄭華，莫林．基于以太網(wǎng)的工業(yè)數(shù)據(jù)實(shí)時(shí)數(shù)據(jù)采集系統(tǒng)[J]．計(jì)算機(jī)應(yīng)用與軟件，2005，22(增刊1)： 8-39．

[7] 闞宏進(jìn)，劉希云，李翠運(yùn)．基于VC++工控組態(tài)軟件實(shí)時(shí)數(shù)據(jù)庫系統(tǒng)的設(shè)計(jì)[J]．甘肅工業(yè)大學(xué)學(xué)報(bào)，2001，27(04)： 73-76．

[8] QUAZI N A，SUAN V V．Maintaining Secureity and Timeliness in Real-Time Database System[J]．The Journal of Systems and Software，2002 (61)： 15-29．

[9] KAM Y L，CHAN E, HEI W L， et al． Concurrency Control Strategies for Ordered Data Broadcast in Mobile Computing Systems[J]．Inf Syst，2004，29(03)： 207-234．

[10] JAYANT R．Haritsa K R R G．The Prompt Real-Time Commit Protocol[J]．IEEE Transactions on Parallel and Distributed Systems， 2000， 11(02)： 160-181．