工控實時資料庫的安全為什麼是重中之重？

工業控制系統應用於超過80%的關鍵基礎設施(如鐵路、城市軌道交通、供排水、郵電通訊等)，工業控制網路的安全關係到國計民生的穩定。但工控系統安全與互聯網安全或者辦公網的安全又有很大的不同。那麼就資料庫而言，工控系統中的資料庫有什麼特別之處呢?為何要特別提出?請繼續閱讀。

工控系統中的資料庫類型

工控系統中存在不同類型的資料庫，其中主要分為實時資料庫、內存資料庫、關係型資料庫。目前國內外比較流行的實時資料庫有AspenTech Infoplus.21、HoneyWell Uniformance、PHD、OSI PI和北京三維天地SuperInfo等。典型的內存資料庫產品：Oracle TimesTen 、Altibase、eXtremeDB關係型資料庫比較多的使用oracle;sql server等。

關係資料庫、實時資料庫與內存資料庫相比，有如下差別：

實時資料庫的作用

實時資料庫是一個用於實時製造過程的資料庫系統，它採集生產現場控制系統的實時生產數據(如各種工藝參數)，進行管理和存儲。它在工廠控制層(如DCS, PLC)和管理信息系統之間建立了實時的數據連接，同時也可以作為先進控制、優化、過程管理、動態模擬、ERP等軟體的支持平台。實時資料庫一般都支持C/S結構，即客戶端/伺服器結構，現在各個廠家的實時資料庫也都開始支持基於B/S，即瀏覽器/伺服器的架構。

實時資料庫具有數據壓縮的特性，數據壓縮及還原的演算法直接影響到資料庫的性能和存儲容量。實時資料庫又具有事件驅動、時間驅動和數據驅動的特性，可以依據不同的時間和事件觸發一個特定的動作，如執行一段程序、觸發一個報警事件等。部分資料庫具備Store&Forward的功能，即在數據採集端與資料庫伺服器發生通信故障時，採集上來的數據將會被自動存儲在數據採集站的硬碟中，待網路恢復正常時再進行數據的傳送，這樣可以保證歷史數據的完整性。

總體來說實時資料庫有如下主要特點：

1) 時間約束

2) 事務調度

3) 數據存儲

4) 數據在線壓縮

5)實時和工業控制系統交互

實時資料庫面臨的挑戰

實時資料庫採集生產現場控制系統的實時生產數據(如各種工藝參數)，進行管理和存儲，若出現錯誤，可能會導致工業生產線的中斷，其重要性不言而喻。因此，工業系統下核心資料庫面臨著更多的風險和挑戰：

• 通訊協議漏洞：OPC Classis協議(OPC DA，OPC HAD和OPC A&E)是基於微軟DCOM協議，DCOM協議極易受到攻擊，並且OPC通信協議採用不固定的動態埠，通信過程中可能會用到1024-65535中的任一埠，這樣會導致使用傳統基於埠或IP地址的IT防火牆無法確保安全性。

• 應用軟體漏洞：由於應用軟體多種多樣，很難形成統一的防護規範以應對安全問題;另外當軟體面向網路應用時，就必須開放其網路埠。因此常規的IT防火牆等安全設備很難保障其安全性。一旦通過這些漏洞獲取污水處理廠、天然氣管道等核心數據時，後果不堪設想。

• OPC Server以及實時資料庫無操作許可權管理：工程環境中，不同角色的用戶需要對每個OPC數據項的添加、瀏覽、讀/寫定義不同的許可權，而目前防護方式做不到深度檢查。

• 內部工作人員威脅：內部工作人員是最難的攻擊向量，因為它需要通過組織信任以實施許可權濫用。一些不滿、失望或急需用錢的員工可能採取這類措施對企業進行攻擊安全事件。

• 無法追溯：對一些內部員工的操作不能快速的記錄、存儲、分析，做不到事後追溯。

• 非法對資料庫訪問許可權授權：某些人沒有資料庫的寫許可權，通過非法授權，對重要數據隨意獲取、更改，破壞。

• 黑客攻擊：網路中總是存在各種安全漏洞，因此黑客的攻擊行為是威脅數據安全的一大隱患。黑客攻擊網路的目的通常是擾亂系統正常運行或者竊取重要的商業機密。

實時資料庫安全防護策略

實時資料庫的安全防護除滿足各行業的等級保護基本要求之外，還必須要根據環境的不同制定完善的安全防護策略。

(1)異常數據的監控

通過對異常數據的監控，實時發現通過軟體漏洞、協議漏洞方式進入的網路數據，並根據事件風險級別進行不同方式的告警，以便安全人員第一時間進行威脅的處理。

(2)使用許可權的監控

許可權的濫用是目前眾多攻擊方式之一。通過對核心數據內容的監控，即使有合法許可權進行訪問也會在第一時間進行報警，讓安全人員進行事件的確認。可根據不同單位的不同環境調整安全策略，可考慮不同安全條件的組合如：時間、行為、工具等。

(3)對第三方工具的監控

實時資料庫本身有自己的客戶端工具，通過客戶端工具可直接進行資料庫的操作和運維。針對第三方工具的監控可在授權和非授權環境下進行有效發現，如發現非授權的工具對資料庫進行直連，進而進行威脅告警。對於第三方工具的監控，不僅要發現工具連接行為，還要對工具操作內容進行監控。

(4)運維人員的監控

運維人員包含了內部人員和外部人員。外部人員涉及有系統或是設備等第三方運維者。對於非企業內部的人員在企業環境中進行的資料庫操作或是信息的獲取是重點監控之一。通過對異常數據、使用工具等行為進行報警，保證數據的安全性。

(5)事件回溯電子取證

通過對已發生事件的現場回放進行電子取證，其中包含了事件的幾大要素：事件發生的時間、地點、機器名、賬號、工具等信息。

工控數據安全方案的部署，最重要的一點是不能對生產過程造成影響，而由於工控系統的資源冗餘度很低， 工控數據安全的解決方案要考慮到資源佔用的問題， 考慮實際應用問題。