前言：本站為你精心整理了控制系統(tǒng)與網(wǎng)關(guān)隔離數(shù)據(jù)傳輸范文，希望能為你的創(chuàng)作提供參考價值，我們的客服老師可以幫助你提供個性化的參考范文，歡迎咨詢。

1.數(shù)據(jù)網(wǎng)絡(luò)風(fēng)險分析

網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計會直接影響到網(wǎng)絡(luò)系統(tǒng)的安全性。如果在外部和內(nèi)部網(wǎng)絡(luò)進行通信或兩個不同范圍的內(nèi)部網(wǎng)通訊時,內(nèi)部網(wǎng)絡(luò)的機器安全就有可能受到另一個與之相連網(wǎng)絡(luò)的威脅,同時也影響在同一網(wǎng)絡(luò)上的許多其他系統(tǒng)。透過網(wǎng)絡(luò)傳播,還會影響到連上Internet/Intarnet的其他的網(wǎng)絡(luò);因此,在網(wǎng)絡(luò)設(shè)計時就必須將公開服務(wù)器(I。、WEB、DNS、EMALI等)和外網(wǎng)及內(nèi)部其它業(yè)務(wù)網(wǎng)絡(luò)進行必要的隔離,避免網(wǎng)絡(luò)結(jié)構(gòu)信息外泄;同時還要對外網(wǎng)的服務(wù)請求加以過濾,只允許正常通信的數(shù)據(jù)包到達相應(yīng)主機,其它的請求服務(wù)在到達主機之前就應(yīng)該遭到拒絕(如圖1)雙鉆網(wǎng)浴PJj御體承出通常的網(wǎng)路隔離手段有以下幾種:1)訪問控制:對用戶訪問網(wǎng)絡(luò)資源的權(quán)限進行嚴(yán)格的認(rèn)證和控制。例如,進行用戶身份認(rèn)證,對口令加密、更新和鑒別,設(shè)置用戶訪問目錄和文件的權(quán)限,控制網(wǎng)絡(luò)設(shè)備配置的權(quán)限,等等。2)數(shù)據(jù)加密:加密是保護數(shù)據(jù)安全的重要手段。數(shù)據(jù)加密是對網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)進行加密,到達目的地后再解密還原為原始數(shù)據(jù),保障信息即使被人截獲后也不能讀懂其含義。3)其他措施:包括信息過濾、容錯、數(shù)據(jù)鏡像、數(shù)據(jù)備份和審計等;防止計算機網(wǎng)絡(luò)病毒,安裝網(wǎng)絡(luò)防病毒系統(tǒng);網(wǎng)絡(luò)中架設(shè)硬件防火墻技術(shù),防火墻技術(shù)是通過對網(wǎng)絡(luò)的隔離和限制訪問等方法來控制網(wǎng)絡(luò)的訪問權(quán)限。但即便如此,也無法保證所有的網(wǎng)絡(luò)數(shù)據(jù)威脅都能被安全的隔離在主傳播網(wǎng)絡(luò),因為任何過濾手段都只能判斷已定義的數(shù)據(jù)偽裝和傳輸規(guī)則,對不能被規(guī)則定義識別的威脅就被通過了,于是安全隱患便產(chǎn)生了。

2.網(wǎng)關(guān)的主要功能

網(wǎng)關(guān)的英文名稱是Gatweya。在采用不同體系結(jié)構(gòu)或協(xié)議的網(wǎng)絡(luò)之間進行互通時,網(wǎng)關(guān)(Gatweya)用于提供協(xié)議轉(zhuǎn)換、路由選擇、數(shù)據(jù)交換等網(wǎng)絡(luò)兼容功能的設(shè)施。網(wǎng)關(guān)(Gatweya)也稱網(wǎng)間連接器、協(xié)議轉(zhuǎn)換器。網(wǎng)關(guān)在傳輸層上用以實現(xiàn)網(wǎng)絡(luò)互連,是最復(fù)雜的網(wǎng)絡(luò)互連設(shè)備,僅用于兩個高層協(xié)議不同的網(wǎng)絡(luò)互連。網(wǎng)關(guān)既可以用于廣域網(wǎng)互連,也可以用于局域網(wǎng)互連。網(wǎng)關(guān)是一種充當(dāng)轉(zhuǎn)換重任的計算機系統(tǒng)或設(shè)備。在使用不同的通信協(xié)議、數(shù)據(jù)格式或語言,甚至體系結(jié)構(gòu)完全不同的兩種系統(tǒng)之間,網(wǎng)關(guān)是一個翻譯器。與網(wǎng)橋只是簡單地傳達信息不同,網(wǎng)關(guān)對收到的信息要重新打包,以適應(yīng)目的系統(tǒng)的需求。同時,網(wǎng)關(guān)也可以提供過濾和安全功能。另外,網(wǎng)關(guān)也不同于網(wǎng)絡(luò)安全措施中的加密,因為加密是將一組數(shù)據(jù)通過整包捆綁并附加相對比較復(fù)雜解包口令,或?qū)⒁l(fā)送的數(shù)據(jù)逐句按特定的算法轉(zhuǎn)換成另一種無法直接被理解的代碼,然后在接收方再將這組代碼通過算法反推回原始數(shù)據(jù)。而且存在加密成本過高,運算速度冗長,通用性差等問題。.

3控制系統(tǒng)間通過網(wǎng)關(guān)隔離進行數(shù)據(jù)轉(zhuǎn)發(fā)

3.1數(shù)據(jù)轉(zhuǎn)發(fā)國內(nèi)某國際機場中航油油庫(以下簡稱為接收方)加油自控系統(tǒng)因為業(yè)務(wù)需要,要與油品供應(yīng)單位(以下簡稱為供應(yīng)方)建立數(shù)據(jù)對接,對接的目的是為了使供應(yīng)方和接收方互相了解油品輸送過程中雙方設(shè)備的運行狀況,和管路壓力變化情況,以記錄憋壓或跑油等事故發(fā)生時的設(shè)備情況,以便建立更為有效的管理制度。接收方在得到公司采購部門下達的油品接收管道輸送收油通知后,開始檢查油庫庫容情況,在油庫有可接收的倉儲油罐(即空罐)后,接收方按順序打開空罐入口閥門一)過濾器入口閥門一)收油總管進口閥門(如圖2)。供應(yīng)方在接收到接收方準(zhǔn)備完成,可以接收航空油料的指令后,供應(yīng)方啟動加油泵,開始向接收方進行長輸管道供油作業(yè)。雙方在整個過程中要密切關(guān)注收油路由上的各閥門狀態(tài)、供油總管壓力、收油總管壓力、收油油罐液位和油泵運行狀態(tài)等參數(shù)。當(dāng)在供油作業(yè)中收油油路閥門關(guān)閉了,會導(dǎo)致收油總管壓力和供油總管壓力突然升高,輕則因為壓力突變憋停加油泵造成設(shè)備損壞,重則會造成管道連接處破裂,油品外泄,導(dǎo)致資產(chǎn)流失和環(huán)境破壞。當(dāng)設(shè)備運行正常時,收油總管壓力和供油總管壓力突降時,能及時發(fā)現(xiàn)輸油管道泄油故障等。供應(yīng)方與接受方在地理位置上相距約200公里,雙方在各自的區(qū)域上都建立有自己的局域網(wǎng)自動化控制系統(tǒng)。兩套系統(tǒng)各自獨立,分別雙方各自獨立管理,但在雙方業(yè)務(wù)交割的過程中都需要了解對方的部分業(yè)務(wù)數(shù)據(jù)(如圖3)。

3.2網(wǎng)絡(luò)隔離配置在傳統(tǒng)作業(yè)中,雙方為了保證各自網(wǎng)絡(luò)和系統(tǒng)的安全運行,不能將網(wǎng)絡(luò)資源共享給對方,以便在安全上盡量減少隱患的發(fā)生。雙方通過電話分時分段向?qū)Ψ絽R報各自系統(tǒng)情況,但一旦出現(xiàn)問題,雙方都無法追溯故障發(fā)生原因,雙方數(shù)據(jù)對接變得非常必要。在這種情況下,網(wǎng)關(guān)就利用了自身協(xié)議轉(zhuǎn)換、網(wǎng)絡(luò)互連、數(shù)據(jù)轉(zhuǎn)發(fā)的功能。首先在接收方和供應(yīng)方直接敷設(shè)一根光纖網(wǎng)絡(luò),并在雙方系統(tǒng)間增加一臺網(wǎng)關(guān)。網(wǎng)關(guān)上有三個以太網(wǎng)通訊端口,分別設(shè)置成三個不同的網(wǎng)段。一個作為I程師編程維護端口設(shè)置為一個網(wǎng)段(例如:192.168.1.1。。);另一個作為接收方與網(wǎng)關(guān)通訊的數(shù)據(jù)端口設(shè)置為一個網(wǎng)段(例如:192.168.2.1。。),最后一個作為供應(yīng)方與網(wǎng)關(guān)通訊的數(shù)據(jù)端口設(shè)置為一個網(wǎng)段(例如:1哭.168.3.100)。這樣,就可以解決三個接入系統(tǒng)不在同一網(wǎng)段需要路由接入網(wǎng)關(guān)的情況。如果,三個端口都在同一網(wǎng)段,也不用擔(dān)心這三個系統(tǒng)互相之間可以訪問,因為這三個端口不同于交換機和HUB,它們之間是不能通過TCP/IP協(xié)議互相訪問的,三個端口互相隔離。I程師通過編程維護端口對該網(wǎng)關(guān)進行通訊編程。在整個編程和維護過程中,I程師在自己的編程客戶端(筆記本電腦,平板電腦,即A等)設(shè)備上要安裝該網(wǎng)關(guān)的編程軟件授權(quán)(軟件狗或硬件狗),然后再通過該網(wǎng)關(guān)專用的編程軟件進行編程,并將程序下裝到網(wǎng)關(guān)中運行。網(wǎng)關(guān)本身不具備在線編程,只具備程序運行功能。這不同與路由器,交換機和網(wǎng)橋等網(wǎng)絡(luò)設(shè)備,可以通過訪問機器編程端口在線配置網(wǎng)絡(luò)地址,路由轉(zhuǎn)發(fā),數(shù)據(jù)過濾等功能。I程師修改編程網(wǎng)關(guān)必須同時具備:

1)訪問網(wǎng)關(guān)的終端設(shè)備與網(wǎng)關(guān)在同一網(wǎng)段,以保證該終端能訪問網(wǎng)關(guān):2)訪問網(wǎng)關(guān)的終端設(shè)備上安裝有與該網(wǎng)關(guān)匹配的編程軟件;

3)訪問網(wǎng)關(guān)的終端設(shè)備上要有驅(qū)動網(wǎng)關(guān)編程軟件的軟件授權(quán)(軟件狗或硬件狗)。

3.3通訊協(xié)議接收方通過另一個網(wǎng)關(guān)端口,將油罐液位、油罐收油油路閥門狀態(tài)、總?cè)肟谑沼蛪毫Φ葦?shù)據(jù)通過。dbus協(xié)議(或其他協(xié)議,例如:。Pc協(xié)議,IEC6O87O一101/103/104和國家電力行業(yè)標(biāo)準(zhǔn)DL/T645等將該部分?jǐn)?shù)據(jù)實時寫入到網(wǎng)關(guān)中。這些數(shù)據(jù)都各自有獨立的。dbus(或其他協(xié)議,例如;。CP協(xié)議,IEC6O87于101/103/104和國家電力行業(yè)標(biāo)準(zhǔn)DL/T645等訪問地址,而且是只讀地址。網(wǎng)關(guān)不能通過該地址向接收方控制系統(tǒng)寫入數(shù)據(jù)(這是I業(yè)通訊協(xié)議的特性,讀寫地址分離),只能讀取和被讀取接收方系統(tǒng)已經(jīng)提供數(shù)據(jù)地址的數(shù)據(jù)的內(nèi)容。供應(yīng)方可以通過最后一個通訊端口讀取該網(wǎng)關(guān)已經(jīng)獲取的接受方數(shù)據(jù)。供應(yīng)方不直接從接受方系統(tǒng)數(shù)據(jù),而是由網(wǎng)關(guān)數(shù)據(jù)轉(zhuǎn)發(fā)讀取的。同理,供應(yīng)方通過最后一個網(wǎng)絡(luò)端口,將加油泵狀態(tài),加油總管壓力等數(shù)據(jù)通過。dbus(或其他協(xié)議,例如:。CP協(xié)議,IEc6o87。-101/103/104和國家電力行業(yè)標(biāo)準(zhǔn)DL/T645等)協(xié)議寫入網(wǎng)關(guān),供接收方讀取。整個過程,雙方都不能直接讀取對方系統(tǒng),各自仍然是獨立的,但同時又都能于網(wǎng)關(guān)通訊。網(wǎng)關(guān)起到了數(shù)據(jù)轉(zhuǎn)發(fā)和隔離的功能。

4.結(jié)束語

通過網(wǎng)關(guān)隔離實現(xiàn)數(shù)據(jù)轉(zhuǎn)發(fā),在物理層上實現(xiàn)了多系統(tǒng)間的數(shù)據(jù)安全對接。通過網(wǎng)關(guān)自身的協(xié)議轉(zhuǎn)換功能,網(wǎng)絡(luò)通訊功能,可以按需求擴展配置多個以太網(wǎng)端口,多個Rs232/Rs485串口,以及少量模擬數(shù)據(jù)信號采集I/O控制點。通過網(wǎng)關(guān)隔離在多個系統(tǒng)間實現(xiàn)了數(shù)據(jù)安全對接,而且技術(shù)實施無需對生產(chǎn)系統(tǒng)進行任何組態(tài)和修改,避免技術(shù)風(fēng)險,為節(jié)能環(huán)保、能源管理EMS、自動化信息化兩化融合提供了更多的解決方案。

作者：李睿金雪飛王加奎單位：中國自動化控制系統(tǒng)總公司