张继兵

(中国石化集团四川维尼纶厂 设备管理处，重庆 401254)

随着石油炼化企业生产规模不断扩大，实时监控生产过程数据在企业生产管理中所起的作用越来越大，企业生产管理层对能够及时了解和掌握生产装置运行状况的要求也愈加迫切。近十年来，中国石化集团四川维尼纶厂在企业信息化建设层面做了大量的基础工作： 已建成覆盖整个生产装置和办公区域，与外部Internet 网络连接的千兆局域主干网络；所有生产装置控制系统已经完成DCS改造。目前，产品物料存储罐区、水处理装置等公用工程也完成了数据采集与监控系统(SCADA)的改造，满足了该厂信息化建设的需要。从2006年开始，先后建成了DCS之上的实时数据库(RTDB)系统、生产制造执行系统(MES)和企业资源计划(ERP)系统，基本实现了企业生产管理、经营管理信息化。

由于该厂是以天然气为主要原料，连续生产甲醇、醋酸乙烯、聚乙烯醇等主要化工产品的天然气化工流程企业，属于易燃、易爆、高环境污染风险的高危行业，因而生产装置安全、稳定运行是企业赖以发展、生存的基础。该厂RTDB是通过厂局域主干网络，利用数据采集机直接与DCS，PLC和SCADA等过程控制系统网络相连，因而承载基础实时数据来源的RTDB安全问题已经成为企业网络安全关注的焦点和重点。

1 实时数据库系统简介

RTDB系统是企业生产过程数据的处理和应用集成平台，该厂RTDB采用了分布式的体系结构，RTDB服务器及相关的数采机以及C/S客户端采用域网络模型。RTDB系统分别设置生产过程数据的采集和存储(InfoPlus．21Dbserver)、流程图及上层应用软件的安装(Web Server)、上层应用的基础数据存储(Oracle Server)3台服务器和1个主域控制器(安装AspenTech License Manager)。主域控制器把3台服务器和多台数采机以及上层应用客户端都加入到主域中统一管理，通过配置活动目录建立相应的客户端用户，实现权限管理、安全管理以及网络资源的管理。

该厂RTDB系统应用主要有： 生产装置实时生产过程数据历史查询管理、过程数据报警查询管理、历史曲线分析管理、实验室分析检验数据查询系统、关键设备运行管理、班组核算及操作平稳率管理模块、工艺台帐管理等，构造了一个以控制生产成本为主线，以生产过程数据为基础的生产管理信息系统。

InfoPlus．21是AspenTech公司的RTDB产品，主要包括： 在内存中存储数据的RTDB；被称为归档文件的在磁盘文件上存储数据的历史数据库；InfoPlus．21 应用程序接口(API)和一组使用API服务于实时与历史数据库的进程。

从内存中分配、读写数据比在磁盘上的操作要快，为了满足RTDB性能的需要，当前值和历史值存储于RTDB的记录域中，这些记录结构存储在内存中。同时，为了存储数年以上的历史数据，使用历史数据管理系统，传输带有时间标签的数据到磁盘的归档文件，历史数据管理系统可以为1个或多个数据仓库，每个数据仓库包括： 1个常驻内存的队列；1个队列文件(当队列溢出的时候采用)；1个归档任务；1个高速缓冲内存区；1个高速缓冲区的镜像文件(每5 min存储一次)；2个以上的归档文件。所有其他应用需要操作实时、历史数据仓库的都通过InfoPlus．21 API进行。

2 InfoPlus．21实时数据库系统的安全现状

InfoPlus．21的安全都是通过被称为安全层的应用来进行控制对数据库的访问。InfoPlus．21的安全策略包括三个层次： 数据库安全、记录安全和字段安全，安全等级依次增加。每一个安全等级都是通过安全角色与用户进行关联的，应用软件通过安全角色所定义的规则实现对数据库的操作。

企业中普遍使用的InfoPlus．21安全架构是依托Aspen Local Security进行安全控制的，安全系统放在InfoPlus．21 Server上,安全数据库保存在Microsoft Access 数据库中。

2．1 实时数据库的安全策略及不足

更多的安全意味着管理复杂度的增加，在企业没有整体安全设计的前提下，又要实现各系统数据的共享，安全策略不被大多数人采纳；又因为RTDB处于后台，只有管理员才能进行相关操作，所以目前的RTDB安全策略均未被完全启用，只是采用防病毒、用户审计、密码策略等进行保护，其他应用系统也是通过无安全设置的ODBC接口读取RTDB数据。

2．2 实时数据库接口安全策略及不足

该厂RTDB接口是通过数据采集机双以太网卡与DCS/PLC工业控制系统OPC Server的以太网卡相连接，使用OPC通信方式进行数据传输。数采机与OPC Server中间增加了商业防火墙进行隔离防护，防止局域主干网络的病毒以及外网的攻击。

因OPC通信基于微软的DCOM技术，在进行数据通信时其端口从1024～65535动态使用，对于工业通信网络中的OPC动态端口的通信模式，普通的商业防火墙无法对动态端口进行隔离防护，而OPC客户端可以轻易对OPC Server数据项进行读写，一旦黑客对客户端电脑取得控制权，就可以直接对DCS，PLC工业控制系统进行数据改写和控制，生产装置将面临很大的安全风险。

2．3 实时数据库应用层安全策略及不足

该厂RTDB系统的上层主要应用与InfoPlus．21 RTDB紧密结合，这些应用数据是支撑MES及ERP系统应用的基础数据，有部分数据需要设置不同的保密要求。通过与关系数据库的结合，使用Web平台统一控制登录实现安全的管理，对登录的人员进行角色划分，对每个角色具备的操作、数据访问、审核等功能进行定制，从而在应用层面保证实时数据库的安全。其中生产装置监控由于RTDB的安全没有完全启用，因而存在工艺流程图页面权限控制不能分级的缺点，无法对关键保密工艺流程数据做到可控。

3 实时数据库系统安全性的完善

针对该厂RTDB系统的现状，对于如何强化、完善和改进目前的安全架构，笔者从工业网络安全、工业防火墙安全和上层应用安全机制等方面提出了解决方案。

3．1 安全架构

RTDB系统与其他系统最大的不同是需要直接与生产控制系统的设备交互数据，从而产生了对控制系统的安全访问隐患。

对于RTDB系统的安全架构，采用基于DMZ(Demilitarized Zone)设计的网络架构是值得推荐的，即利用防火墙构建非军事化区域，起到安全隔离缓冲的作用。DMZ中的服务器在企业管理网和下层控制网间形成隔离区，企业管理网中机器只能访问DMZ中的机器，控制网区域中的机器只能和DMZ中的RTDB服务器通信。企业信息网区域中的机器不能和控制网区域中机器通信。控制网区域中数据采集可以驻留在工程师站，也可以驻留在单独的数采机器上，如图1所示。

图1 RTDB系统安全网络构架示意

同时将RTDB系统所有机器都加入目录(AD)进行管理，采用此种架构符合企业通用IT安全架构，方便对RTDB系统服务器进行病毒更新、系统更新操作管理，同时也满足控制网区域的安全。

3．2 过程数据采集接口网络安全

在与控制网接触最紧密的RTDB接口部分，除了采用数采机双网卡模式外，进一步提升防火墙的性能和改用新的通信接口是较为可行的安全架构。

3．2．1采用工业防火墙技术

工业防火墙是利用已知的工业专有通信协议(例如OPC，Modbus等)，建立防护规则。工业防火墙能够拦阻任何不符合OPC标准格式的DCE/RPC 访问；对OPC通信权限进行管理，OPC协议深度检查，并管控通信安全；只在所跟踪的TCP端口有需要时，防火墙才短暂地打开；过滤2个区域网络间的通信，网络故障将被控制在最初发生的区域内，而不会影响到其他部分。

在DCS/PLC控制网络和数采网络中间增加工业防火墙，将现有网络结构中的局域主干网络和工业控制网络进行安全防护隔离，并在数采网络增加1台服务器对防火墙进行集中管理，对网络异常状况进行实时监控，并可进行历史查询及智能分析。

3．2．2采用OPC UA技术

由于OPC通信的稳定性、便利性和易维护性，越来越多的企业在建设RTDB系统时要求DCS，PLC厂家提供OPC接口。OPC通信标准的核心是互通性和标准化问题。传统的OPC技术在控制级别方面很好地解决了不同硬件设备间互通信的问题，这在企业层面的通信标准化是同样需要的。OPC统一架构OPC UA之前的访问规范都是基于微软的COM/DCOM技术，这会给新增层面的通信带来巨大的困难，OPC通信的安全瓶颈就在于动态端口无法进行管控，OPC基金会发布了最新的数据通信统一方法——OPC UA。

对于RTDB的过程数据采集接口而言，OPC UA在原有的客户端/服务器间增加了1个代理层，该代理层基于TCP/IP指定端口进行通信，且可以跨局域网、广域网甚至因特网进行OPC通信，这时使用通用防火墙即可很好地进行通信控制，既实现了数据的采集，又保证了控制系统的安全，如图2所示。

图2 OPC UA安全构架示意

3．3 应用安全的解决方案

在当今IT发展进程中，随着企业应用的深化，数据的安全日益重要。为满足计算机等级安全保护的要求，企业应用也需要做进一步的安全提升。以计算机等级保护二级标准为例，系统应用安全须满足以下安全要求： 身份鉴别、访问控制、安全审计、通信完整性、通信保密性、软件容错、资源控制，因而需要在整个RTDB平台上启用如下安全机制：

1) 创建管理员、工程师与一般用户角色，并分别与微软AD用户进行绑定。

2) 启用RTDB安全，管理员进行数据库管理和所有操作，工程师允许进行数据的更新、修改，一般用户只能读取数据。

3) 启用RTDB记录安全，指定的工程师可以进行指定记录的增删改，一般用户只能读取指定记录的数据。

4) 启用RTDB字段安全，指定的工程师可以访问指定记录的指定字段。

5) 启用RTDB的审计功能，结合关系数据库，对RTDB所有操作进行记录。

6) 启用RTDB数据源的安全选项。

7) 启用RTDB接口的安全选项，使用用户和IP地址限制进行控制。

8) Web平台上启用AD用户登录验证，除了控制应用所能使用的功能外，只要涉及实时数据库的访问都受实时数据库三级安全策略的限制。

9) 启用Web应用平台用户的访问时间、访问资源、密码策略、日志审计。

系统最终实现如下目标： 登录Web的用户权限受控；登录RTDB的用户权限受控；登录各服务器的用户权限受控。

4 结束语

随着生产型企业信息化带动产业化的进程发展，企业通过信息化在迅速提高企业核心竞争力的同时，企业安全、稳定、长周期生产所受到来自网络的安全威胁也越来越严重，因而企业对控制网络的安全要求越来越严格。安全没有上限，合适的安全策略总是企业永远追求的目标。企业的RTDB系统也要随着网络安全技术的发展，不断地提升安全性能，消除来自网络安全的威胁，只有在系统的各个环节、各个链路都做到了安全，整个系统才是安全的。

参考文献：

[1] 马国华． 实时数据库及其管理系统[J]．自动化博览，2002(05)： 7-8．

[2] 王克庭，黄嘉珀． 石油化工生产实时信息系统与实时数据库[J]．石油规划设计，1999(05)： 37-38．

[3] 胡剑波． 基于实时数据库的高级数据应用技术研究[J]．计算机工程与应用，2003(32)： 36-41．

[4] RAMAKRISHNAN R．数据库管理系统原理与设计[M]．周立柱,张志强，译．北京： 清华大学出版社，2004．

[5] 周东球．先进控制软件系统实时数据库的设计[J]．自动化博览,2002(07)： 3-20．

[6] 开金宇，郑华，莫林．基于以太网的工业数据实时数据采集系统[J]．计算机应用与软件，2005，22(增刊1)： 8-39．

[7] 阚宏进，刘希云，李翠运．基于VC++工控组态软件实时数据库系统的设计[J]．甘肃工业大学学报，2001，27(04)： 73-76．

[8] QUAZI N A，SUAN V V．Maintaining Secureity and Timeliness in Real-Time Database System[J]．The Journal of Systems and Software，2002 (61)： 15-29．

[9] KAM Y L，CHAN E, HEI W L， et al． Concurrency Control Strategies for Ordered Data Broadcast in Mobile Computing Systems[J]．Inf Syst，2004，29(03)： 207-234．

[10] JAYANT R．Haritsa K R R G．The Prompt Real-Time Commit Protocol[J]．IEEE Transactions on Parallel and Distributed Systems， 2000， 11(02)： 160-181．