網(wǎng)關(guān)機在綜合監(jiān)控系統(tǒng)中的應(yīng)用

Application of the Gateway in Integrated Supervisory Control System

尹　濤

(國電南瑞科技股份有限公司，江蘇 南京　210000)

網(wǎng)關(guān)機在綜合監(jiān)控系統(tǒng)中的應(yīng)用

Application of the Gateway in Integrated Supervisory Control System

尹濤

(國電南瑞科技股份有限公司，江蘇 南京210000)

摘要：為了保障指揮中心系統(tǒng)免受攻擊，減少指揮中心系統(tǒng)負擔(dān)，提高綜合監(jiān)控系統(tǒng)健壯性，對綜合監(jiān)控系統(tǒng)與子系統(tǒng)之間相連的網(wǎng)關(guān)機進行了研究。通過在網(wǎng)關(guān)機中使用協(xié)議轉(zhuǎn)換、程序設(shè)計等方法，使得網(wǎng)關(guān)機起到網(wǎng)絡(luò)隔離的作用。試驗觀察發(fā)現(xiàn)，使用網(wǎng)關(guān)機之后，綜合監(jiān)控系統(tǒng)開發(fā)工作明顯減少，系統(tǒng)很難受到攻擊。綜合監(jiān)控系統(tǒng)與子系統(tǒng)網(wǎng)絡(luò)隔離與通信的解決方案，為今后其他綜合系統(tǒng)與子系統(tǒng)網(wǎng)絡(luò)通信提供了技術(shù)參考。

關(guān)鍵詞：綜合監(jiān)控系統(tǒng)子系統(tǒng)網(wǎng)關(guān)機協(xié)議轉(zhuǎn)換網(wǎng)絡(luò)攻擊網(wǎng)絡(luò)隔離

Abstract：In order to protect integrated supervisory control system(ISCS) from attacks, reduce the burden on the system and improve the robustness of ISCS, the gateway that connects the ISCS and sub systems is researched. By using methods of protocol conversion and program design in the gateway, the gateway is made to play the role of network isolation. Through experimental observation, it is found that after the gateway being used, the developing work of ISCS is significantly reduced, and the system is difficult to be attacked. A set of solutions of network isolation and communication for ISCS and sub system provides technical reference and innovation for network communication of other integrated systems and sub systems in future.

Keywords：ISCSSub systemGatewayProtocol conversionNetwork attackNetwork isolation

0引言

隨著社會經(jīng)濟的發(fā)展、智能化水平的提高，智能設(shè)備得到廣泛應(yīng)用。各行各業(yè)都對智能化提出了自己的要求，特別是大型實時監(jiān)控系統(tǒng)(integrated supervisory control system，ISCS)，比如石化、地鐵等。為了滿足要求，更好地管理各智能設(shè)備，需要采用綜合監(jiān)控系統(tǒng)管理平臺，對各個專業(yè)和子系統(tǒng)的智能設(shè)備進行有效的監(jiān)視與控制。綜合監(jiān)控系統(tǒng)是一個管理監(jiān)控決策的平臺，它實時監(jiān)視控制各個專業(yè)和各個子系統(tǒng)的智能設(shè)備。不同的專業(yè)與綜合監(jiān)控系統(tǒng)相連，增加了綜合監(jiān)控系統(tǒng)網(wǎng)絡(luò)風(fēng)險；同時，各個專業(yè)或者子系統(tǒng)可能采用不同的協(xié)議格式與綜合監(jiān)控系統(tǒng)通信，需要同時處理不同的協(xié)議請求，這又增加了綜合監(jiān)控系統(tǒng)的負擔(dān)。因此，為了確保網(wǎng)絡(luò)安全，防止綜合監(jiān)控系統(tǒng)受到攻擊，降低綜合監(jiān)控系統(tǒng)服務(wù)器的運行負擔(dān)，在綜合監(jiān)控系統(tǒng)與子系統(tǒng)之間加入網(wǎng)關(guān)機。網(wǎng)關(guān)機不僅可以有效地防止網(wǎng)絡(luò)攻擊，提高綜合監(jiān)控系統(tǒng)的安全性；而且能降低綜合監(jiān)控服務(wù)器的負擔(dān)，提高其自身的健壯性。

1綜合監(jiān)控系統(tǒng)概述

子系統(tǒng)與綜合監(jiān)控系統(tǒng)的配置如圖1所示。

圖1　網(wǎng)關(guān)機架構(gòu)圖

1.1　系統(tǒng)與子系統(tǒng)的關(guān)系

在綜合監(jiān)控系統(tǒng)中，通過建立通信鏈路與分散的各個子系統(tǒng)和專業(yè)實現(xiàn)互聯(lián)互通。綜合監(jiān)控系統(tǒng)采集各個子系統(tǒng)和智能設(shè)備的運行狀態(tài)并實時顯示，然后通過對采集數(shù)據(jù)的分析，方便操作人員決策控制，提高對突發(fā)事件的反應(yīng)與應(yīng)急能力[1-2]。

1.2　綜合監(jiān)控系統(tǒng)與子系統(tǒng)通信方案

綜合監(jiān)控系統(tǒng)負責(zé)整個系統(tǒng)的指揮、決策與控制，而各個子系統(tǒng)則負責(zé)某一專業(yè)監(jiān)視與控制。綜合監(jiān)控系統(tǒng)以各個子系統(tǒng)為基礎(chǔ)。綜合監(jiān)控系統(tǒng)調(diào)控的基礎(chǔ)則是子系統(tǒng)轉(zhuǎn)發(fā)來的信號，操作人員通過綜合監(jiān)控系統(tǒng)推理分析決策等步驟，下發(fā)控制命令。一般情況下，子系統(tǒng)直接將信號通過網(wǎng)絡(luò)送給綜合監(jiān)控系統(tǒng)。這增加了綜合監(jiān)控系統(tǒng)受到網(wǎng)絡(luò)攻擊的風(fēng)險，嚴重影響了綜合監(jiān)控系統(tǒng)的安全運行。由于各個子系統(tǒng)與綜合監(jiān)控系統(tǒng)的通信協(xié)議不同，增加了綜合監(jiān)控系統(tǒng)運行負荷與難度。在綜合監(jiān)控系統(tǒng)與子系統(tǒng)智能設(shè)備之間增加協(xié)議轉(zhuǎn)換的網(wǎng)關(guān)機，一是起到屏蔽網(wǎng)絡(luò)攻擊的作用，二是起到屏蔽不同協(xié)議的作用。網(wǎng)關(guān)機協(xié)議轉(zhuǎn)換如圖2所示。

圖2　網(wǎng)關(guān)機協(xié)議轉(zhuǎn)換示意圖

2網(wǎng)關(guān)機概述

網(wǎng)關(guān)機在綜合監(jiān)控ISCS與子系統(tǒng)之間起到一個橋梁的作用。利用網(wǎng)關(guān)機可以有效、方便地連接綜合監(jiān)控與子系統(tǒng)，既起到網(wǎng)絡(luò)隔離的作用，又起到協(xié)議轉(zhuǎn)換的作用。對外可以選擇多種協(xié)議與子系統(tǒng)進行通信，對內(nèi)可以選擇一種協(xié)議與綜合監(jiān)控系統(tǒng)進行通信，減少綜合監(jiān)控系統(tǒng)負擔(dān)。

2.1　網(wǎng)關(guān)機設(shè)計方案

網(wǎng)關(guān)機在綜合監(jiān)控系統(tǒng)中主要起到防火墻和橋梁的作用。在網(wǎng)關(guān)機中，通過網(wǎng)關(guān)機配置工具，配置兩個通道程序，一個是采集程序，另一個是轉(zhuǎn)發(fā)程序。采集程序主要負責(zé)與子系統(tǒng)智能設(shè)備進行通信，轉(zhuǎn)發(fā)程序負責(zé)與綜合監(jiān)控ISCS通信，中間利用共享內(nèi)存進行信息交換。采集程序和轉(zhuǎn)發(fā)程序可以配置成不同類型的協(xié)議，比如采集程序可以配置成IEC104或者DNP協(xié)議，而轉(zhuǎn)發(fā)程序可配置成Modbus TCP協(xié)議，這樣可以起到協(xié)議轉(zhuǎn)換的作用。子系統(tǒng)智能設(shè)備與綜合監(jiān)控可以配置成各種不同的協(xié)議通信類型，但是采集到的信息匯總后，利用轉(zhuǎn)發(fā)程序發(fā)送給綜合監(jiān)控系統(tǒng)。這樣綜合監(jiān)控系統(tǒng)不需要考慮不同協(xié)議類型的問題，既能減少綜合監(jiān)控系統(tǒng)負擔(dān)，又能起到網(wǎng)絡(luò)隔離，保證綜合監(jiān)控系統(tǒng)安全運行。網(wǎng)關(guān)機設(shè)計方案如圖3所示[3]。

圖3　網(wǎng)關(guān)機設(shè)計方案

2.2　采集與轉(zhuǎn)發(fā)程序設(shè)計流程

客戶端程序設(shè)計如圖4所示[4-5]。

圖4　客戶端程序設(shè)計圖

2.2.1客戶端程序設(shè)計

采集與轉(zhuǎn)發(fā)程序客戶端主要負責(zé)主動連接并讀取對方數(shù)據(jù)，通常用于采集端。工程人員通過配置工具配置IP地址、端口號等信息，由客戶端程序讀取?？蛻舳顺绦蚋鶕?jù)配置文件，主動向?qū)?yīng)的IP和端口號發(fā)起連接請求。在客戶端向?qū)?yīng)IP和端口號發(fā)起連接請求時，可通過配置文件配置客戶端在主動連接請求幾次不成功的情況下，退出本次連接請求，轉(zhuǎn)而請求下一個IP地址和端口號。在通信鏈路連通的情況下，向?qū)Ψ秸埱髷?shù)據(jù)，并將請求到的數(shù)據(jù)寫入共享內(nèi)存中。

2.2.2服務(wù)端程序設(shè)計

服務(wù)端程序流程圖如圖5所示[6-7]。

圖5　服務(wù)端程序設(shè)計圖

采集與轉(zhuǎn)發(fā)服務(wù)端程序主要用于向?qū)Ψ教峁?shù)據(jù)服務(wù)，一般情況下，用于數(shù)據(jù)轉(zhuǎn)發(fā)端。通過配置工具配

置IP地址和端口號，其中，IP地址用于校驗連接過來的請求地址，端口號用于向外界提供訪問的端口號。

服務(wù)端程序根據(jù)客戶端發(fā)送過來的請求，取出對應(yīng)共享內(nèi)存中的數(shù)據(jù)，將其轉(zhuǎn)發(fā)給請求鏈路端。為了便于控制，在同一時間只允許一條客戶端保持連接，若有多條鏈路發(fā)起連接請求，切斷原有的通信鏈路，與新的客戶端請求保持通信。

3采集與轉(zhuǎn)發(fā)程序配置

在采集與轉(zhuǎn)發(fā)程序設(shè)計完成之后，需要讀取配置文件獲取通信參數(shù)、連接方式以及采集與轉(zhuǎn)發(fā)之間映射點號、映射關(guān)系等信息，這些信息需要在配置文件中配置。配置工具采用人機界面方式，提供配置系統(tǒng)信息，方便工程人員操作。

4結(jié)束語

隨著社會經(jīng)濟的發(fā)展，智能設(shè)備不斷涌現(xiàn)，越來越需要綜合監(jiān)控系統(tǒng)管理信息的平臺，將各個智能設(shè)備子系統(tǒng)連接起來進行綜合管理。在連接和管理的過程中，為了保障綜合監(jiān)控系統(tǒng)服務(wù)器免受網(wǎng)絡(luò)攻擊的危害，提高其健壯性。需要引入網(wǎng)關(guān)機進行網(wǎng)絡(luò)隔離，通過引入網(wǎng)關(guān)機，大大提高了綜合監(jiān)控服務(wù)器的安全性。

參考文獻

[1] 劉曉娟.城市軌道交通智能控制系統(tǒng)[M].北京：中國鐵道出版社，2003.

[2] 吉春山，周韜，張?zhí)旒t，等.淺談網(wǎng)關(guān)機技術(shù)在實時數(shù)據(jù)采集系統(tǒng)中的應(yīng)用[J].自動化技術(shù)與應(yīng)用,2013(3)：81-84.

[3] 賈歡歡.通用短信平臺中協(xié)議轉(zhuǎn)換功能的設(shè)計與實現(xiàn)[D].成都：西南交通大學(xué)，2010.

[4] 篤竣，祁忠.基于IEC61850的變電站新型遠動網(wǎng)關(guān)機[J].電力自動化設(shè)備,2011(2)：112-114.

[5] 周慎.一種串口與UDP協(xié)議實現(xiàn)透明轉(zhuǎn)換的方法[J].信息通信,2013(6):77-79.

[6] 張超.基于OPC技術(shù)的通信協(xié)議轉(zhuǎn)換平臺[J].企業(yè)技術(shù)開發(fā)，2013(19):38-39.

[7] 張成俊，張李超，史玉升.以太網(wǎng)轉(zhuǎn)RS232轉(zhuǎn)換器設(shè)計[J].儀表技術(shù)與傳感器，2013(6)：35-36.

中圖分類號：TP23

文獻標志碼：A

DOI:10.16086/j.cnki.issn1000-0380.201503026

修改稿收到日期： 2014-06-14。

作者尹濤(1984-)，男，2010年畢業(yè)于南京理工大學(xué)自動化專業(yè)，獲碩士學(xué)位，工程師；主要從事通信方面的研究工作。