APP下载

化工企业实时数据库系统应用及安全策略

2023-03-10张林沧州大化集团有限责任公司河北沧州061000

化工管理 2023年4期
关键词:数据库系统工控服务器

张林(沧州大化集团有限责任公司,河北 沧州 061000)

0 引言

随着市场对化工产品的需求不断提高,化工企业的生产规模不断扩大以及数字化浪潮的到来,在工业互联网的推动下,运用数字化手段实时监控其生产过程数据,不再是生产过程控制的专项,而是越来越多地转移到了企业生产管理层,其所体现的作用也越来越大。以大型化工企业为例,在当前的数字化转型浪潮中,企业领导层在决策中,高度重视掌握生产装置实时运行状况。在数字化转型和工业互联网等多重加持下,作为一个化工企业,在数字化基础建设中,已实现全光通信网络覆盖,建立了一体化模块机房;建设了全公司生产装置集中控制的现代化控制中心,实现了智能化的巡检系统和无线网络覆盖。

全公司完成了DCS系统、SCADA系统与实时数据库系统(PI系统)的全部接入工作,实现了全部生产过程数据的采集接入,建立在过程控制层之上的生产管控一体化系统,实现了生产执行层的数字化工作。

公司生产是以甲苯、硝酸、氯气为主要原料,连续生产,生产过程中有DNT、光气参与生产当中,是典型的易燃、易爆、高环境污染风险的化工流程类企业,因此作为“大脑”的生产管控一体化系统作用显得尤为重要,而为他提供基础数据的实时数据库更是关键所在。

生产管控一体化系统建立在实时数据库系统之上,实时数据库系统硬件和网络主要是依托一体化模块机房,采用数据接口机进行安全防护后直接与DCS、PLC 和SCADA等过程控制系统网络相连。

近年来世界频繁发生的工控网络安全问题,造成了巨大影响,因此作为生产管控一体化系统关键的实时数据库系统安全已成为企业信息安全关注的重点。

1 实时数据库系统及应用简介

实时数据库系统是基于C/S 和B/S 结构的工厂实时数据集成、应用平台。公司采用的PI(Plant Information System)是由美国OSIsoft公司开发的实时数据库平台,作为生产过程控制生产管控系统连接的枢纽,在公司数字化应用中担当着重要的角色[1]。

PI系统采用分布式结构,可在多种不同系统配置下运行。PI系统服务器提供数据的采集和应用。公司的PI系统由一台数据存储服务器PISERVER和一台资产服务器PAFSERVER构成,并将关联服务分布部署在其他服务器中,降低单一服务器的运算压力。主要应用工具为PI-VISION、PI-ProcessBook和PI-DataLink等。

实时数据库通过PI-SMT (PI System Management Tools)和PI System Explorer统一管理和组态,通过配置相应权限进行管理[2]。此外,因为PI系统支持建立域控制器,因此也能通过域控调整用户权限实现对数据权限的控制。在实际生产中开发的PI系统应用主要有:生产报警钉钉分级推送、设备预警模型(图1)、PI-VISION流程图应用(图2)、工艺电子台帐与安全环保台账、电子交接班日志、DCS系统EVENT事件KPI展示模块等。

图1 设备预警模型模块

图2 基于实时数据库的流程图系统PI-VISION模块

在PI系统中数据采集和存贮保持原有的时间间隔、精度,一改其他实时数据库产品用大量的归纳数据来减少数据存贮的空间的做法。

PI系统数据压缩技术采用两级,接口机完成第一级。既可以每次采集的数据都传送到PI存储服务器,也可以根据需要设置数据压缩增量值和数据压缩时间间隔,当每次采集的数据变化细微或不变化时,数据就被过滤掉,不被传送,降低通讯负荷。PI-ICU软件能够对接口通讯情况实时监测,通讯量情况可以由PI-ProcessBook监控。

PI系统第二级数据压缩是在服务器上完成的,当PI服务器接收到接口机传送过来的数据后,在保存到历史数据库文件中时要再一次压缩,这样可以有效降低数据库存储空间。

2 PI实时数据库系统的安全机制及采取的措施

PI实时数据库系统作为一个平台,自身具备可靠的防护机制,主要使用工具PI-SMT实现。权限控制以IP地址为核心,以Identities,Users,&Group为手段,辅以自身的软件的防火墙,授权合法用户登录,拒绝非授权用户登录。同时对Group、Users分别进行授权,通过每个数据点tag来实现的,实现各个密级不同的数据查询权限。PI系统管理员通过PI-SMT工具对用户登入登出 PI服务器的情况进行监控,并能查询获知当前登录用户浏览的情况。

2.1 实时数据库接口机安全措施

实时数据库接口机主要采用工控防火墙防护和接口机软件中设置对应的策略来保证数据安全。

公司的PI系统的数据采集转发是通过OPC(DA、HAD、A&E)协议进行的;数据链路是PI数据接口机与DCS/PLC 、SCADA等工业控制系统OPC Server相连接进行数据传输。

因OPC是一种利用微软的COM/DCOM技术来达成自动化控制的协定,数据通信端口从1024到65535之间动态使用,而化工生产中工业网络设备类型丰富,多数采用私有协议进行通讯,传统的防火墙针工控协议的识别相对较弱,并且无法隔离防护动态端口,一旦非授权用户获得OPC客户端电脑控制权,就可以直接对DCS/PLC、SCADA等一系列工业控制系统通过OPC Server进行数据读、写操作,其后果严重,尤其是大中型危化企业一旦被攻击得手,会直接威胁到生产的安全,并对生态环境造成破坏。

工控防火墙运用了工控协议匹配算法和多年持续积累的工业协议特征库等多项核心技术,建立防护规则。提供了多种为工控安全设计的专用功能,本身预置百种常见工业协议,支持OPC、Modbus TCP、MMS、S7、EIP、DNP3、IEC104等常用工业协议的深度过滤解析,工业网络流量学习,工业威胁检测,工业协议自定义等功能。

工控防火墙部署范围很宽,可以部署在在工业网络的边界位置,也可以部署在控制层的边界可对数据采集进行安全过滤;也可以部署在设备层的边界可对不同的设备进行逻辑隔离;也可以部署在特殊的关键工业设备前,如SIS系统,起到对关键设备进行隔离保护的作用。目前所使用的防护主要是:在接口机与OPC Server 中间增加了工控防火墙进行隔离防护,仅通过OPC协议,其他全部过滤;有效的防止主干网络的病毒以及外网各种的攻击(图3)。

接口机软件中设置对应的策略主要是在接口机的配置中,仅使用只读接口,不配置读写接口,使数据无法写入,从而避免外界对于控制系统的数据写入。

2.2 安全架构设置

实时数据库系统作为底层数据基础,直接与现场控制层的控制系统连接,并进行数据的交互,如果未对通过边界进入生产域的数据进行深层次的过滤,就会存在非授权访问、恶意攻击等安全风险。

因此对于实时数据库系统的安全架构,在建设伊始,就采用了基于DMZ (demilitarized zone)设计的网络架构,通过工业防火墙实现集团与过程控制网的逻辑隔离,DMZ 中的服务器在企业管理层和现场控制层之间形成隔离区,针对来自集团的数据流量进行传统+工业过滤分析、攻击检测、恶意代码检测,阻断来自集团网络的攻击行为,降低了风险。此种架构的流行,得益于其既符合企业通用IT网络安全架构,又可以将PI 系统各个服务器纳入到病毒防护的服务器集群中,便于进行操作系统补丁更新、杀毒软件引擎和病毒库升级以及划分安全区域管理。

图3 网络安全架构

2.3 权限的安全设定

作为化工企业,其生产过程指标数据是企业核心的机密,因此指标数据的安全是企业的重中之重。同时为满足《中华人民共和国网络安全法》和GB/T 22239—2019 《信息安全技术 网络安全等级保护基本要求》要求,企业应用也做进一步的安全提升。以计算机等级保护二级标准为例,系统应用安全须满足以下安全要求:安全区域边界访问控制、网络流量检测、主机安全防护、全面的日志审计分析、安全管理中心等,结合PI系统的各种安全机制,在整个实时数据库平台上部署如下安全措施:(1)创建角色:管理员(piadmins)、总经理、总工、部长、工程师与操作员角色,并分别与其所使用计算机IP地址进行绑定;(2)采用用Security划分数据点表和数据分级安全机制,将每个数据点Tag分为Point Security和Data Security两种方式进行控制,未经管理员授权,数据点名或数据不能显示;(3)数据查看范围由生产部门领导审批后的装置确定,普通用户只能读取指定记录的数据;(4)采用了Firewall过滤机制,进行过滤;(5)采用PI系统工具对客户端用户登录 PI服务器的情况和查询数据点情况进行监控。

3 结语

随着我国企业数字化转型工作的逐步深入和两化融合在化工行业中加速发展,化工企业在通过数字化手段迅速提高自身核心竞争力,提升生产效率的同时,也为企业带来了各种数字化安全问题,如系统终端平台安全防护弱点,系统配置和软件安全漏洞、工控协议安全问题、私有协议的安全问题、以及隐藏的后门和未知漏洞、TCP/IP自身的安全问题,用户权限控制的接入,网络安全边界防护以及内部非法人员,密钥管理等等各种信息安全的风险和漏洞,他们的出现无一例外,都会对企业的实时数据库造成巨大的威胁,因此作为企业的生产管理系统的核心—实时数据库系统也要随着安全技术的发展,不断地提升安全性能,形成集采集、加工一体化安全数据平台系统,多级联动机制,形成多维度、可视化、全局化管理能力,使化工企业的数字化工作再上一个新的台阶。

猜你喜欢

数据库系统工控服务器
通信控制服务器(CCS)维护终端的设计与实现
微细铣削工艺数据库系统设计与开发
江苏省ETC数据库系统改造升级方案探讨
工控速派 一个工控技术服务的江湖
工控速浱 一个工控技术服务的江湖
中国服务器市场份额出炉
得形忘意的服务器标准
实时数据库系统数据安全采集方案
热点追踪 工控安全低调而不失重要
计算机网络安全服务器入侵与防御