前言：本站為你精心整理了控制系統(tǒng)與網(wǎng)關(guān)隔離數(shù)據(jù)傳輸范文，希望能為你的創(chuàng)作提供參考價(jià)值，我們的客服老師可以幫助你提供個(gè)性化的參考范文，歡迎咨詢。

1.數(shù)據(jù)網(wǎng)絡(luò)風(fēng)險(xiǎn)分析

網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)會(huì)直接影響到網(wǎng)絡(luò)系統(tǒng)的安全性。如果在外部和內(nèi)部網(wǎng)絡(luò)進(jìn)行通信或兩個(gè)不同范圍的內(nèi)部網(wǎng)通訊時(shí),內(nèi)部網(wǎng)絡(luò)的機(jī)器安全就有可能受到另一個(gè)與之相連網(wǎng)絡(luò)的威脅,同時(shí)也影響在同一網(wǎng)絡(luò)上的許多其他系統(tǒng)。透過網(wǎng)絡(luò)傳播,還會(huì)影響到連上Internet/Intarnet的其他的網(wǎng)絡(luò);因此,在網(wǎng)絡(luò)設(shè)計(jì)時(shí)就必須將公開服務(wù)器(I。、WEB、DNS、EMALI等)和外網(wǎng)及內(nèi)部其它業(yè)務(wù)網(wǎng)絡(luò)進(jìn)行必要的隔離,避免網(wǎng)絡(luò)結(jié)構(gòu)信息外泄;同時(shí)還要對外網(wǎng)的服務(wù)請求加以過濾,只允許正常通信的數(shù)據(jù)包到達(dá)相應(yīng)主機(jī),其它的請求服務(wù)在到達(dá)主機(jī)之前就應(yīng)該遭到拒絕(如圖1)雙鉆網(wǎng)浴PJj御體承出通常的網(wǎng)路隔離手段有以下幾種:1)訪問控制:對用戶訪問網(wǎng)絡(luò)資源的權(quán)限進(jìn)行嚴(yán)格的認(rèn)證和控制。例如,進(jìn)行用戶身份認(rèn)證,對口令加密、更新和鑒別,設(shè)置用戶訪問目錄和文件的權(quán)限,控制網(wǎng)絡(luò)設(shè)備配置的權(quán)限,等等。2)數(shù)據(jù)加密:加密是保護(hù)數(shù)據(jù)安全的重要手段。數(shù)據(jù)加密是對網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)進(jìn)行加密,到達(dá)目的地后再解密還原為原始數(shù)據(jù),保障信息即使被人截獲后也不能讀懂其含義。3)其他措施:包括信息過濾、容錯(cuò)、數(shù)據(jù)鏡像、數(shù)據(jù)備份和審計(jì)等;防止計(jì)算機(jī)網(wǎng)絡(luò)病毒,安裝網(wǎng)絡(luò)防病毒系統(tǒng);網(wǎng)絡(luò)中架設(shè)硬件防火墻技術(shù),防火墻技術(shù)是通過對網(wǎng)絡(luò)的隔離和限制訪問等方法來控制網(wǎng)絡(luò)的訪問權(quán)限。但即便如此,也無法保證所有的網(wǎng)絡(luò)數(shù)據(jù)威脅都能被安全的隔離在主傳播網(wǎng)絡(luò),因?yàn)槿魏芜^濾手段都只能判斷已定義的數(shù)據(jù)偽裝和傳輸規(guī)則,對不能被規(guī)則定義識別的威脅就被通過了,于是安全隱患便產(chǎn)生了。

2.網(wǎng)關(guān)的主要功能

網(wǎng)關(guān)的英文名稱是Gatweya。在采用不同體系結(jié)構(gòu)或協(xié)議的網(wǎng)絡(luò)之間進(jìn)行互通時(shí),網(wǎng)關(guān)(Gatweya)用于提供協(xié)議轉(zhuǎn)換、路由選擇、數(shù)據(jù)交換等網(wǎng)絡(luò)兼容功能的設(shè)施。網(wǎng)關(guān)(Gatweya)也稱網(wǎng)間連接器、協(xié)議轉(zhuǎn)換器。網(wǎng)關(guān)在傳輸層上用以實(shí)現(xiàn)網(wǎng)絡(luò)互連,是最復(fù)雜的網(wǎng)絡(luò)互連設(shè)備,僅用于兩個(gè)高層協(xié)議不同的網(wǎng)絡(luò)互連。網(wǎng)關(guān)既可以用于廣域網(wǎng)互連,也可以用于局域網(wǎng)互連。網(wǎng)關(guān)是一種充當(dāng)轉(zhuǎn)換重任的計(jì)算機(jī)系統(tǒng)或設(shè)備。在使用不同的通信協(xié)議、數(shù)據(jù)格式或語言,甚至體系結(jié)構(gòu)完全不同的兩種系統(tǒng)之間,網(wǎng)關(guān)是一個(gè)翻譯器。與網(wǎng)橋只是簡單地傳達(dá)信息不同,網(wǎng)關(guān)對收到的信息要重新打包,以適應(yīng)目的系統(tǒng)的需求。同時(shí),網(wǎng)關(guān)也可以提供過濾和安全功能。另外,網(wǎng)關(guān)也不同于網(wǎng)絡(luò)安全措施中的加密,因?yàn)榧用苁菍⒁唤M數(shù)據(jù)通過整包捆綁并附加相對比較復(fù)雜解包口令,或?qū)⒁l(fā)送的數(shù)據(jù)逐句按特定的算法轉(zhuǎn)換成另一種無法直接被理解的代碼,然后在接收方再將這組代碼通過算法反推回原始數(shù)據(jù)。而且存在加密成本過高,運(yùn)算速度冗長,通用性差等問題。.

3控制系統(tǒng)間通過網(wǎng)關(guān)隔離進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)

3.1數(shù)據(jù)轉(zhuǎn)發(fā)國內(nèi)某國際機(jī)場中航油油庫(以下簡稱為接收方)加油自控系統(tǒng)因?yàn)闃I(yè)務(wù)需要,要與油品供應(yīng)單位(以下簡稱為供應(yīng)方)建立數(shù)據(jù)對接,對接的目的是為了使供應(yīng)方和接收方互相了解油品輸送過程中雙方設(shè)備的運(yùn)行狀況,和管路壓力變化情況,以記錄憋壓或跑油等事故發(fā)生時(shí)的設(shè)備情況,以便建立更為有效的管理制度。接收方在得到公司采購部門下達(dá)的油品接收管道輸送收油通知后,開始檢查油庫庫容情況,在油庫有可接收的倉儲(chǔ)油罐(即空罐)后,接收方按順序打開空罐入口閥門一)過濾器入口閥門一)收油總管進(jìn)口閥門(如圖2)。供應(yīng)方在接收到接收方準(zhǔn)備完成,可以接收航空油料的指令后,供應(yīng)方啟動(dòng)加油泵,開始向接收方進(jìn)行長輸管道供油作業(yè)。雙方在整個(gè)過程中要密切關(guān)注收油路由上的各閥門狀態(tài)、供油總管壓力、收油總管壓力、收油油罐液位和油泵運(yùn)行狀態(tài)等參數(shù)。當(dāng)在供油作業(yè)中收油油路閥門關(guān)閉了,會(huì)導(dǎo)致收油總管壓力和供油總管壓力突然升高,輕則因?yàn)閴毫ν蛔儽锿＜佑捅迷斐稍O(shè)備損壞,重則會(huì)造成管道連接處破裂,油品外泄,導(dǎo)致資產(chǎn)流失和環(huán)境破壞。當(dāng)設(shè)備運(yùn)行正常時(shí),收油總管壓力和供油總管壓力突降時(shí),能及時(shí)發(fā)現(xiàn)輸油管道泄油故障等。供應(yīng)方與接受方在地理位置上相距約200公里,雙方在各自的區(qū)域上都建立有自己的局域網(wǎng)自動(dòng)化控制系統(tǒng)。兩套系統(tǒng)各自獨(dú)立,分別雙方各自獨(dú)立管理,但在雙方業(yè)務(wù)交割的過程中都需要了解對方的部分業(yè)務(wù)數(shù)據(jù)(如圖3)。

3.2網(wǎng)絡(luò)隔離配置在傳統(tǒng)作業(yè)中,雙方為了保證各自網(wǎng)絡(luò)和系統(tǒng)的安全運(yùn)行,不能將網(wǎng)絡(luò)資源共享給對方,以便在安全上盡量減少隱患的發(fā)生。雙方通過電話分時(shí)分段向?qū)Ψ絽R報(bào)各自系統(tǒng)情況,但一旦出現(xiàn)問題,雙方都無法追溯故障發(fā)生原因,雙方數(shù)據(jù)對接變得非常必要。在這種情況下,網(wǎng)關(guān)就利用了自身協(xié)議轉(zhuǎn)換、網(wǎng)絡(luò)互連、數(shù)據(jù)轉(zhuǎn)發(fā)的功能。首先在接收方和供應(yīng)方直接敷設(shè)一根光纖網(wǎng)絡(luò),并在雙方系統(tǒng)間增加一臺網(wǎng)關(guān)。網(wǎng)關(guān)上有三個(gè)以太網(wǎng)通訊端口,分別設(shè)置成三個(gè)不同的網(wǎng)段。一個(gè)作為I程師編程維護(hù)端口設(shè)置為一個(gè)網(wǎng)段(例如:192.168.1.1。。);另一個(gè)作為接收方與網(wǎng)關(guān)通訊的數(shù)據(jù)端口設(shè)置為一個(gè)網(wǎng)段(例如:192.168.2.1。。),最后一個(gè)作為供應(yīng)方與網(wǎng)關(guān)通訊的數(shù)據(jù)端口設(shè)置為一個(gè)網(wǎng)段(例如:1哭.168.3.100)。這樣,就可以解決三個(gè)接入系統(tǒng)不在同一網(wǎng)段需要路由接入網(wǎng)關(guān)的情況。如果,三個(gè)端口都在同一網(wǎng)段,也不用擔(dān)心這三個(gè)系統(tǒng)互相之間可以訪問,因?yàn)檫@三個(gè)端口不同于交換機(jī)和HUB,它們之間是不能通過TCP/IP協(xié)議互相訪問的,三個(gè)端口互相隔離。I程師通過編程維護(hù)端口對該網(wǎng)關(guān)進(jìn)行通訊編程。在整個(gè)編程和維護(hù)過程中,I程師在自己的編程客戶端(筆記本電腦,平板電腦,即A等)設(shè)備上要安裝該網(wǎng)關(guān)的編程軟件授權(quán)(軟件狗或硬件狗),然后再通過該網(wǎng)關(guān)專用的編程軟件進(jìn)行編程,并將程序下裝到網(wǎng)關(guān)中運(yùn)行。網(wǎng)關(guān)本身不具備在線編程,只具備程序運(yùn)行功能。這不同與路由器,交換機(jī)和網(wǎng)橋等網(wǎng)絡(luò)設(shè)備,可以通過訪問機(jī)器編程端口在線配置網(wǎng)絡(luò)地址,路由轉(zhuǎn)發(fā),數(shù)據(jù)過濾等功能。I程師修改編程網(wǎng)關(guān)必須同時(shí)具備:

1)訪問網(wǎng)關(guān)的終端設(shè)備與網(wǎng)關(guān)在同一網(wǎng)段,以保證該終端能訪問網(wǎng)關(guān):2)訪問網(wǎng)關(guān)的終端設(shè)備上安裝有與該網(wǎng)關(guān)匹配的編程軟件;

3)訪問網(wǎng)關(guān)的終端設(shè)備上要有驅(qū)動(dòng)網(wǎng)關(guān)編程軟件的軟件授權(quán)(軟件狗或硬件狗)。

3.3通訊協(xié)議接收方通過另一個(gè)網(wǎng)關(guān)端口,將油罐液位、油罐收油油路閥門狀態(tài)、總?cè)肟谑沼蛪毫Φ葦?shù)據(jù)通過。dbus協(xié)議(或其他協(xié)議,例如:。Pc協(xié)議,IEC6O87O一101/103/104和國家電力行業(yè)標(biāo)準(zhǔn)DL/T645等將該部分?jǐn)?shù)據(jù)實(shí)時(shí)寫入到網(wǎng)關(guān)中。這些數(shù)據(jù)都各自有獨(dú)立的。dbus(或其他協(xié)議,例如;。CP協(xié)議,IEC6O87于101/103/104和國家電力行業(yè)標(biāo)準(zhǔn)DL/T645等訪問地址,而且是只讀地址。網(wǎng)關(guān)不能通過該地址向接收方控制系統(tǒng)寫入數(shù)據(jù)(這是I業(yè)通訊協(xié)議的特性,讀寫地址分離),只能讀取和被讀取接收方系統(tǒng)已經(jīng)提供數(shù)據(jù)地址的數(shù)據(jù)的內(nèi)容。供應(yīng)方可以通過最后一個(gè)通訊端口讀取該網(wǎng)關(guān)已經(jīng)獲取的接受方數(shù)據(jù)。供應(yīng)方不直接從接受方系統(tǒng)數(shù)據(jù),而是由網(wǎng)關(guān)數(shù)據(jù)轉(zhuǎn)發(fā)讀取的。同理,供應(yīng)方通過最后一個(gè)網(wǎng)絡(luò)端口,將加油泵狀態(tài),加油總管壓力等數(shù)據(jù)通過。dbus(或其他協(xié)議,例如:。CP協(xié)議,IEc6o87。-101/103/104和國家電力行業(yè)標(biāo)準(zhǔn)DL/T645等)協(xié)議寫入網(wǎng)關(guān),供接收方讀取。整個(gè)過程,雙方都不能直接讀取對方系統(tǒng),各自仍然是獨(dú)立的,但同時(shí)又都能于網(wǎng)關(guān)通訊。網(wǎng)關(guān)起到了數(shù)據(jù)轉(zhuǎn)發(fā)和隔離的功能。

4.結(jié)束語

通過網(wǎng)關(guān)隔離實(shí)現(xiàn)數(shù)據(jù)轉(zhuǎn)發(fā),在物理層上實(shí)現(xiàn)了多系統(tǒng)間的數(shù)據(jù)安全對接。通過網(wǎng)關(guān)自身的協(xié)議轉(zhuǎn)換功能,網(wǎng)絡(luò)通訊功能,可以按需求擴(kuò)展配置多個(gè)以太網(wǎng)端口,多個(gè)Rs232/Rs485串口,以及少量模擬數(shù)據(jù)信號采集I/O控制點(diǎn)。通過網(wǎng)關(guān)隔離在多個(gè)系統(tǒng)間實(shí)現(xiàn)了數(shù)據(jù)安全對接,而且技術(shù)實(shí)施無需對生產(chǎn)系統(tǒng)進(jìn)行任何組態(tài)和修改,避免技術(shù)風(fēng)險(xiǎn),為節(jié)能環(huán)保、能源管理EMS、自動(dòng)化信息化兩化融合提供了更多的解決方案。

作者：李睿金雪飛王加奎單位：中國自動(dòng)化控制系統(tǒng)總公司