谁来捍卫钢铁企业MES的安全？

在钢铁企业的信息化系统架构中，MES上承ERP，下接生产过程控制系统，在生产组织中发挥着枢纽的作用。为此，MES系统的安全性，乃至数据库安全成为信息化工作重点。利用数据库安全审计工具，我们可以做到对MES系统中核心数据库全方位的安全保护。

钢铁企业车间级制造执行系统MES（Manufacturing Execution System）在整个生产过程中起着承上启下的作用——企业内部物流的控制与管理、生产过程成本的控制与管理等生产管理活动都在MES层完成。它接收ERP的生产计划、成本指针、能源计划等信息，并结合生产实际将这些计划下达给生产过程系统；根据生产现场实际，回馈生产完成信息和统计数据；对生产中的紧急事件，如设备故障、紧急订单等进行处理，保证正常的生产秩序。

MES系统在钢铁企业的生产组织中的重要地位使得MES系统的安全等级要求非常高。而在MES系统中，数据库系统作为整个信息的聚集体，是整个系统的核心部件，其安全性至关重要。它不仅关系到MES系统是否可以正常而安全地运行，同时也密切关系到企业的生产组织能否准确有效地进行。因此，如何有效地保证数据库系统的安全，实现数据的保密性、完整性和有效性，已成为保证MES系统安全性的重要一环。

数据库安全实际上是MES安全的核心和最重要的部分，在这种情况下，有必要采用专业的新型数据库安全产品，专门对数据库进行保护。首秦金属材料有限公司（以下简称为首秦公司）在这方面有着周密的考虑，公司采用了专业数据库安全审计工具对MES的数据库进行全方位的安全保护，达到了不错的实施效果。

首秦钢轧MES系统催生安全需求

首秦公司是一个全流程中厚板钢铁企业，钢铁的生产是连续（铁前）和离散（钢后）混合、物理变化和化学变化混合的过程，工艺复杂，生产条件严格，生产设备多，自动化程度比较高，有大量的自动化设备、数据采集系统和检化验系统。同时，首秦公司的生产组织具有小订单、多品种、多规格的特点。为了更好地实现产销一体化、管控一体化、按订单组织生产的综合管理思想，首秦公司成功建立了一级设备控制系统、二级过程控制系统、三级车间级制造执行系统（MES）、四级企业资源计划系统（ERP）和五级企业间管理系统及决策支持系统的五级系统架构模式（图1）。

其中处于第三级的MES在整个生产过程中起着承上启下的桥梁和纽带作用。它以经济指针为目标，不仅能处理原本难以处理的具有生产与管理双重性的信息，而且能起到将生产过程信息和经营管理信息进行转换、加工和传递的作用。随着经营管理的扁平化，MES正在成为钢铁企业实现生产活动与经营活动有效集成、优化运行、优化控制与优化管理的强大工具。

首秦公司钢轧MES系统经过一年多的实施后顺利上线。首秦公司钢轧MES系统实施的业务范围及内容主要包括炼钢计划、轧钢计划、轧钢排程、PDI下发、钢板取样、化学检验及力学检验LIMS系统、钢坯和钢板质保书、销售发货等。钢轧MES系统在首秦的生产组织中发挥着重要作用，为此MES系统的重要性与安全等级也要求非常高。

如首秦公司MES系统网络拓扑图（图3）所示，系统的核心主要是由应用服务器和数据库服务器组成，它关系到MES系统是否可以正常而安全地运行，同时也密切关系到首秦公司的生产组织能否准确有效地进行。正常的数据库访问行为应该是通过应用服务器的应用程序来进行数据库日常操作，但由于同时还有多个系统开发人员和维护人员可以直接对数据库进行直接访问，这就为数据库安全性带来了很大的风险。如何有效地保证数据库系统的安全，实现数据的保密性、完整性和有效性，已经成为保证MES系统安全性的重要一环。

数据库安全审计工具实现MES全方位安全保护

数据库服务器的应用相当复杂，掌握起来非常困难。许多数据库管理员都忙于管理复杂的系统，所以很可能没有检查出严重的安全隐患和不当的配置，甚至根本没有进行检测。而由于以往技术的局限性，类似数据库安全的产品也很少被关注。所以，正是由于传统的安全体系在很大程度上忽略了数据库安全这一主题，使数据库专业人员也通常没有把安全问题当作他们的首要任务。在安全领域中，一旦数据库出现安全风险并被恶意利用，造成的后果几乎是灾难性的和不可挽回的。

由此可见，数据库安全实际上是MES安全的核心和最重要的部分，在这种情况下，有必要采用专业的新型数据库安全产品，专门对数据库进行保护。首秦公司采用了专业数据库安全审计工具来对MES的数据库进行全方位的安全保护，通过安全审计策略的配置和实施，主要实现了四个方面的数据库安全保护功能：

事前控制，避免人为误操作对系统造成破坏

在首秦公司三级MES系统中，对核心的Oracle数据库存在着多个账号存取、多个应用程序存取、多台机器存取的现实问题。除了数据库管理员需要对数据库进行维护操作之外，由于MES系统中有多个子应用需要访问数据库，而平时也有很多系统的开发人员以及第三方的系统维护人员需要直接访问数据库，很多时候存在账号混用的情况，几个不同角色的人公用一个账号，甚至是管理员账号，这样极有可能因为某个人的误操作，人为地对数据库里面的数据造成破坏，从而影响生产。同时，为了应用系统开发维护方便，应用程序访问数据库的账号也会由个人掌握，掌握账号的系统开发维护人员可以对数据库进行非正常应用程序的访问。而由于数据库权限设置的复杂性，这些账号的权限设置往往不合理，会拥有很大的权利，这更增加了数据库系统的风险性（图2）。

在这种情况下，主要要做的是精细的事前控制，通过数据库的安全策略的设定，防止这种人为行为对数据库造成破坏，避免因此而影响生产。实际实施中，根据首秦公司的实际业务需求在数据库安全审计网关中配置详细的访问控制策略，对于直接访问数据库的操作，都需要进行严格的安全控制。

安全策略的设定可以辅以数据库安全审计产品的自动建模功能，从而更加简单而灵活地实现。数据库安全审计工具可根据一段时间对于数据库访问操作的自我学习过程，动态建立数据库的用户访问模型。数据库安全管理员可以在学习模型的基础上，将根据企业.

实际业务规则制定的访问策略以模型调优的方式配置到系统中去。在满足各种安全要求的情况下，首秦公司避免了数据库安全管理人员繁琐的手工配置工作，方便管理员将平时访问数据库的人员归类，进行访问规则的规范，避免出现违规行为和误操作，同时当发现违规操作时，可触发报警。

动态建模功能的实际原理主要是通过自动检测实时数据库通信，然后应用复杂的学习算法来创建包含访问数据库的每个用户和应用程序的所有合法活动的业务模型。它不仅可以用作以后审计评估用户或应用程序行为更改的依据，而且还是针对数据库使用自动生成的安全策略。数据库安全管理员使用业务模型不仅能够监视和审计数据库使用状况，而且还可以防止数据库受到人为破坏。数据库安全审计工具能将自身的学习算法不断应用于实时通信中。这样，当用户活动随时间推移不断增加时，有效的更改会被自动识别并合并到业务模型中。如果数据库行为与业务模型不同，则会自动触发警报，而且该行为可能会根据严重程度被阻止。

每个业务模型都包括：数据库用户名、用户名、主机名、源IP 地址、目标IP地址、访问的表、针对每张表所执行的SQL操作、查询、查询组、源应用程序、允许使用的日期和时间、存储过程以及授权的 SQL 操作。动态建模不仅适用于直接访问数据库的用户，同时也适用于代表用户与数据库进行交互的应用程序。对于登录到数据库的每个应用程序，数据库安全审计工具都会自动生成为该应用程序定制的安全策略。这样，数据库安全审计工具可为访问数据库的应用程序生成与单独数据库用户一样的安全功能。在首秦公司的实际应用中，通过数据库安全审计工具建立起用户对数据库的访问模型，然后通过安全策略设定针对特定用户、特定IP、特定主机名、特定操作源程序的操作绑定，实现了特定账号只能在特定主机上进行数据库访问操作的目的。 

利用数据库安全审计工具的安全策略功能，还可以控制用户访问数据库的时间，对用户设定访问时间段限制，允许某些用户在指定的时间段访问数据库，在允许时间之外的访问行为将被数据库安全审计工具拦截住。

总之，通过数据库安全审计工具的动态建模功能，辅以丰富的数据库安全策略设定，在避免数据库人为误操作对数据库系统进行破坏的同时，又有效地减轻了数据库安全管理人员繁琐的手工配置工作，同时能够实现强大的数据库安全保护功效。

事后故障分析，明确故障原因

要保证数据库的安全稳定运行，另外一个重要的方面就是在数据库发生问题或者故障后，能够及时而精确地进行故障定位，分析故障原因。这实际上就是数据库的审计功能。这是对数据库周期性的业务运行状况的总结。其中既包括对一段时间内的总体运行状况的描述，也包括详细的分项说明，细致到每一次事务或查询的原始信息记录。

通过数据库安全审计工具的实施，首秦公司MES系统建立起一套准确有效的故障分析、问题查找和事故监控加固机制，管理人员能够对数据库服务器的各类操作进行完整记录和管理，并在事故发生后依据相关信息对事故的起源进行快速、可靠、准确的判断和分析，为数据库及相关系统的正常运行提供加固保障，实现对所有的数据库及相关服务器的操作都能“有据可查，责任到人”。

通过数据库安全审计工具，数据库安全管理员可以设定多个审计策略，根据实际业务需求的不同，可以按照数据库用户的不同、关注的SQL操作的不同等多个关注焦点分别配置审计策略。一个全面的审计策略日志记录包括全部用户的所有数据库活动，其中用户也包括从服务器控制台访问数据库的数据库管理员。管理员定制的审计策略日志记录可以配置为记录任何属性组合，其中包括数据库用户、主机名、源 IP 地址等。审计日志记录可以在不影响数据库性能、稳定性和管理的情况下完成。这样一旦数据库发生什么问题，数据库管理员就可以清晰地从数据库安全审计工具中记录下来的数据库操作日志追溯到导致问题产生的根源。

优化SQL语句的执行效能，提高系统执行效率

数据库安全审计工具可以记录针对数据库操作的所有响应信息，包括SQL命令执行是否成功，执行的返回记录的时间是多少，操作查询的条目是多少。这些详细的响应信息对于优化SQL语句的执行效能，同时优化整个MES系统的效率是非常重要的。

对外服务的应用系统其数据查找和访问的时间过慢会造成应用访问人员的抱怨，降低工作效率。数据库安全审计工具的这一功能可以记录反应时间过慢及不符合SQL规范的语句，方便管理员对系统响应慢的原因分析，同时可以指导应用开发人员对应用程序进行适当的调整，减少甚至消除出错的SQL操作，从而提高应用系统的效能。

一般的针对数据库进行优化的软件解决方案需要停掉运行的数据库服务并在数据库系统上安装软件，这会给数据服务造成影响。但首秦公司采用的数据库安全审计产品在优化数据库性能和执行效能的同时，不会对数据库系统造成影响。

定期自动进行Oracle补丁升级

由于现在网上病毒、木马程序大量传播，首秦公司的内部办公网内的个人PC很容易遭受木马和病毒的影响，公司外部Web网站极易遭受针对网站的渗透攻击。当黑客设法渗透到网站服务器以及通过木马程序控制办公人员计算机，或内部办公人员感染病毒后，由于普通防火墙无法识别数据库应用语言，有可能造成对数据库的影响，或针对数据库软件本身的安全漏洞进行针对数据库的攻击和数据窃取行为。类似的事件在很多企业都发生过。

Oracle公司会定期发布安全补丁，称之为CPU（Critical Patch Updates）。安全补丁用来修复软件的易受攻击性或通常说的安全漏洞。这类问题本来不属于软件错误，在正常使用中不会出现任何问题。但是别有用心的人可以通过运行非常精巧设计的代码，绕过数据库系统的安全管理机制，达到非授权存取的目的。从安全漏洞的出现到安全补丁的出现是有一定时间差的，在这段时间内，数据库系统就会暴露在这种安全漏洞之下。

负责管理支撑大型应用系统的数据库的管理员很容易理解安装软件补丁的代价。安装补丁需要停止数据库服务，关闭数据库。对于许多应用系统安排这样的停机时间本身就是一件比较困难的事情。事实上，更为严重的是由于安装补丁可能“引入”新的Bug，反而影响应用系统的正常运行。

首秦公司采用的数据库安全审计工具，以及同Oracle建立的合作伙伴关系使得我们可以获得来自数据库厂商的数据库安全漏洞的特征代码，以及国际安全研究组织的安全代码，可以使得系统在第一时间内抵御最新出现的针对数据库以及数据库主机系统的非法行为，以及在数据库没有打补丁的情况下，防止数据库厂家的安全漏洞造成的危害。特征代码库和国际安全研究组织以及数据库厂商发布的漏洞升级同步。重要的是，数据库安全审计工具在升级特征代码的时候，对数据库没有任何影响，同时可以保证在第一时间内检测到针对数据库漏洞的非法利用行为。

利用数据库安全审计工具的专业数据库安全网关，可以做到对MES系统中核心数据库的全方位的安全保护，包括事前控制，避免人为对系统造成破坏，影响正常生产；事后对故障分析，分析故障原因；还包括对数据库系统进行一定程度的效能优化和及时而方便的安全补丁安装，防止利用安全漏洞的非法操作产生。而这一切都是建立在对数据库没有任何影响的前提下，并且给数据库安全管理人员带来很大的便利，使得数据库的安全保护成为现实。

(本文不涉密)
责任编辑：

转载：感谢您对网站平台的认可，以及对我们原创作品以及文章的青睐，非常欢迎各位朋友分享到个人站长或者朋友圈，但转载请说明文章出处。