網(wǎng)關(guān)機(jī)在綜合監(jiān)控系統(tǒng)中的應(yīng)用

Application of the Gateway in Integrated Supervisory Control System

尹　濤

(國(guó)電南瑞科技股份有限公司，江蘇 南京　210000)

網(wǎng)關(guān)機(jī)在綜合監(jiān)控系統(tǒng)中的應(yīng)用

Application of the Gateway in Integrated Supervisory Control System

尹濤

(國(guó)電南瑞科技股份有限公司，江蘇 南京210000)

摘要：為了保障指揮中心系統(tǒng)免受攻擊，減少指揮中心系統(tǒng)負(fù)擔(dān)，提高綜合監(jiān)控系統(tǒng)健壯性，對(duì)綜合監(jiān)控系統(tǒng)與子系統(tǒng)之間相連的網(wǎng)關(guān)機(jī)進(jìn)行了研究。通過(guò)在網(wǎng)關(guān)機(jī)中使用協(xié)議轉(zhuǎn)換、程序設(shè)計(jì)等方法，使得網(wǎng)關(guān)機(jī)起到網(wǎng)絡(luò)隔離的作用。試驗(yàn)觀察發(fā)現(xiàn)，使用網(wǎng)關(guān)機(jī)之后，綜合監(jiān)控系統(tǒng)開(kāi)發(fā)工作明顯減少，系統(tǒng)很難受到攻擊。綜合監(jiān)控系統(tǒng)與子系統(tǒng)網(wǎng)絡(luò)隔離與通信的解決方案，為今后其他綜合系統(tǒng)與子系統(tǒng)網(wǎng)絡(luò)通信提供了技術(shù)參考。

關(guān)鍵詞：綜合監(jiān)控系統(tǒng)子系統(tǒng)網(wǎng)關(guān)機(jī)協(xié)議轉(zhuǎn)換網(wǎng)絡(luò)攻擊網(wǎng)絡(luò)隔離

Abstract：In order to protect integrated supervisory control system(ISCS) from attacks, reduce the burden on the system and improve the robustness of ISCS, the gateway that connects the ISCS and sub systems is researched. By using methods of protocol conversion and program design in the gateway, the gateway is made to play the role of network isolation. Through experimental observation, it is found that after the gateway being used, the developing work of ISCS is significantly reduced, and the system is difficult to be attacked. A set of solutions of network isolation and communication for ISCS and sub system provides technical reference and innovation for network communication of other integrated systems and sub systems in future.

Keywords：ISCSSub systemGatewayProtocol conversionNetwork attackNetwork isolation

0引言

隨著社會(huì)經(jīng)濟(jì)的發(fā)展、智能化水平的提高，智能設(shè)備得到廣泛應(yīng)用。各行各業(yè)都對(duì)智能化提出了自己的要求，特別是大型實(shí)時(shí)監(jiān)控系統(tǒng)(integrated supervisory control system，ISCS)，比如石化、地鐵等。為了滿足要求，更好地管理各智能設(shè)備，需要采用綜合監(jiān)控系統(tǒng)管理平臺(tái)，對(duì)各個(gè)專業(yè)和子系統(tǒng)的智能設(shè)備進(jìn)行有效的監(jiān)視與控制。綜合監(jiān)控系統(tǒng)是一個(gè)管理監(jiān)控決策的平臺(tái)，它實(shí)時(shí)監(jiān)視控制各個(gè)專業(yè)和各個(gè)子系統(tǒng)的智能設(shè)備。不同的專業(yè)與綜合監(jiān)控系統(tǒng)相連，增加了綜合監(jiān)控系統(tǒng)網(wǎng)絡(luò)風(fēng)險(xiǎn)；同時(shí)，各個(gè)專業(yè)或者子系統(tǒng)可能采用不同的協(xié)議格式與綜合監(jiān)控系統(tǒng)通信，需要同時(shí)處理不同的協(xié)議請(qǐng)求，這又增加了綜合監(jiān)控系統(tǒng)的負(fù)擔(dān)。因此，為了確保網(wǎng)絡(luò)安全，防止綜合監(jiān)控系統(tǒng)受到攻擊，降低綜合監(jiān)控系統(tǒng)服務(wù)器的運(yùn)行負(fù)擔(dān)，在綜合監(jiān)控系統(tǒng)與子系統(tǒng)之間加入網(wǎng)關(guān)機(jī)。網(wǎng)關(guān)機(jī)不僅可以有效地防止網(wǎng)絡(luò)攻擊，提高綜合監(jiān)控系統(tǒng)的安全性；而且能降低綜合監(jiān)控服務(wù)器的負(fù)擔(dān)，提高其自身的健壯性。

1綜合監(jiān)控系統(tǒng)概述

子系統(tǒng)與綜合監(jiān)控系統(tǒng)的配置如圖1所示。

圖1　網(wǎng)關(guān)機(jī)架構(gòu)圖

1.1　系統(tǒng)與子系統(tǒng)的關(guān)系

在綜合監(jiān)控系統(tǒng)中，通過(guò)建立通信鏈路與分散的各個(gè)子系統(tǒng)和專業(yè)實(shí)現(xiàn)互聯(lián)互通。綜合監(jiān)控系統(tǒng)采集各個(gè)子系統(tǒng)和智能設(shè)備的運(yùn)行狀態(tài)并實(shí)時(shí)顯示，然后通過(guò)對(duì)采集數(shù)據(jù)的分析，方便操作人員決策控制，提高對(duì)突發(fā)事件的反應(yīng)與應(yīng)急能力[1-2]。

1.2　綜合監(jiān)控系統(tǒng)與子系統(tǒng)通信方案

綜合監(jiān)控系統(tǒng)負(fù)責(zé)整個(gè)系統(tǒng)的指揮、決策與控制，而各個(gè)子系統(tǒng)則負(fù)責(zé)某一專業(yè)監(jiān)視與控制。綜合監(jiān)控系統(tǒng)以各個(gè)子系統(tǒng)為基礎(chǔ)。綜合監(jiān)控系統(tǒng)調(diào)控的基礎(chǔ)則是子系統(tǒng)轉(zhuǎn)發(fā)來(lái)的信號(hào)，操作人員通過(guò)綜合監(jiān)控系統(tǒng)推理分析決策等步驟，下發(fā)控制命令。一般情況下，子系統(tǒng)直接將信號(hào)通過(guò)網(wǎng)絡(luò)送給綜合監(jiān)控系統(tǒng)。這增加了綜合監(jiān)控系統(tǒng)受到網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)，嚴(yán)重影響了綜合監(jiān)控系統(tǒng)的安全運(yùn)行。由于各個(gè)子系統(tǒng)與綜合監(jiān)控系統(tǒng)的通信協(xié)議不同，增加了綜合監(jiān)控系統(tǒng)運(yùn)行負(fù)荷與難度。在綜合監(jiān)控系統(tǒng)與子系統(tǒng)智能設(shè)備之間增加協(xié)議轉(zhuǎn)換的網(wǎng)關(guān)機(jī)，一是起到屏蔽網(wǎng)絡(luò)攻擊的作用，二是起到屏蔽不同協(xié)議的作用。網(wǎng)關(guān)機(jī)協(xié)議轉(zhuǎn)換如圖2所示。

圖2　網(wǎng)關(guān)機(jī)協(xié)議轉(zhuǎn)換示意圖

2網(wǎng)關(guān)機(jī)概述

網(wǎng)關(guān)機(jī)在綜合監(jiān)控ISCS與子系統(tǒng)之間起到一個(gè)橋梁的作用。利用網(wǎng)關(guān)機(jī)可以有效、方便地連接綜合監(jiān)控與子系統(tǒng)，既起到網(wǎng)絡(luò)隔離的作用，又起到協(xié)議轉(zhuǎn)換的作用。對(duì)外可以選擇多種協(xié)議與子系統(tǒng)進(jìn)行通信，對(duì)內(nèi)可以選擇一種協(xié)議與綜合監(jiān)控系統(tǒng)進(jìn)行通信，減少綜合監(jiān)控系統(tǒng)負(fù)擔(dān)。

2.1　網(wǎng)關(guān)機(jī)設(shè)計(jì)方案

網(wǎng)關(guān)機(jī)在綜合監(jiān)控系統(tǒng)中主要起到防火墻和橋梁的作用。在網(wǎng)關(guān)機(jī)中，通過(guò)網(wǎng)關(guān)機(jī)配置工具，配置兩個(gè)通道程序，一個(gè)是采集程序，另一個(gè)是轉(zhuǎn)發(fā)程序。采集程序主要負(fù)責(zé)與子系統(tǒng)智能設(shè)備進(jìn)行通信，轉(zhuǎn)發(fā)程序負(fù)責(zé)與綜合監(jiān)控ISCS通信，中間利用共享內(nèi)存進(jìn)行信息交換。采集程序和轉(zhuǎn)發(fā)程序可以配置成不同類(lèi)型的協(xié)議，比如采集程序可以配置成IEC104或者DNP協(xié)議，而轉(zhuǎn)發(fā)程序可配置成Modbus TCP協(xié)議，這樣可以起到協(xié)議轉(zhuǎn)換的作用。子系統(tǒng)智能設(shè)備與綜合監(jiān)控可以配置成各種不同的協(xié)議通信類(lèi)型，但是采集到的信息匯總后，利用轉(zhuǎn)發(fā)程序發(fā)送給綜合監(jiān)控系統(tǒng)。這樣綜合監(jiān)控系統(tǒng)不需要考慮不同協(xié)議類(lèi)型的問(wèn)題，既能減少綜合監(jiān)控系統(tǒng)負(fù)擔(dān)，又能起到網(wǎng)絡(luò)隔離，保證綜合監(jiān)控系統(tǒng)安全運(yùn)行。網(wǎng)關(guān)機(jī)設(shè)計(jì)方案如圖3所示[3]。

圖3　網(wǎng)關(guān)機(jī)設(shè)計(jì)方案

2.2　采集與轉(zhuǎn)發(fā)程序設(shè)計(jì)流程

客戶端程序設(shè)計(jì)如圖4所示[4-5]。

圖4　客戶端程序設(shè)計(jì)圖

2.2.1客戶端程序設(shè)計(jì)

采集與轉(zhuǎn)發(fā)程序客戶端主要負(fù)責(zé)主動(dòng)連接并讀取對(duì)方數(shù)據(jù)，通常用于采集端。工程人員通過(guò)配置工具配置IP地址、端口號(hào)等信息，由客戶端程序讀取。客戶端程序根據(jù)配置文件，主動(dòng)向?qū)?yīng)的IP和端口號(hào)發(fā)起連接請(qǐng)求。在客戶端向?qū)?yīng)IP和端口號(hào)發(fā)起連接請(qǐng)求時(shí)，可通過(guò)配置文件配置客戶端在主動(dòng)連接請(qǐng)求幾次不成功的情況下，退出本次連接請(qǐng)求，轉(zhuǎn)而請(qǐng)求下一個(gè)IP地址和端口號(hào)。在通信鏈路連通的情況下，向?qū)Ψ秸?qǐng)求數(shù)據(jù)，并將請(qǐng)求到的數(shù)據(jù)寫(xiě)入共享內(nèi)存中。

2.2.2服務(wù)端程序設(shè)計(jì)

服務(wù)端程序流程圖如圖5所示[6-7]。

圖5　服務(wù)端程序設(shè)計(jì)圖

采集與轉(zhuǎn)發(fā)服務(wù)端程序主要用于向?qū)Ψ教峁?shù)據(jù)服務(wù)，一般情況下，用于數(shù)據(jù)轉(zhuǎn)發(fā)端。通過(guò)配置工具配

置IP地址和端口號(hào)，其中，IP地址用于校驗(yàn)連接過(guò)來(lái)的請(qǐng)求地址，端口號(hào)用于向外界提供訪問(wèn)的端口號(hào)。

服務(wù)端程序根據(jù)客戶端發(fā)送過(guò)來(lái)的請(qǐng)求，取出對(duì)應(yīng)共享內(nèi)存中的數(shù)據(jù)，將其轉(zhuǎn)發(fā)給請(qǐng)求鏈路端。為了便于控制，在同一時(shí)間只允許一條客戶端保持連接，若有多條鏈路發(fā)起連接請(qǐng)求，切斷原有的通信鏈路，與新的客戶端請(qǐng)求保持通信。

3采集與轉(zhuǎn)發(fā)程序配置

在采集與轉(zhuǎn)發(fā)程序設(shè)計(jì)完成之后，需要讀取配置文件獲取通信參數(shù)、連接方式以及采集與轉(zhuǎn)發(fā)之間映射點(diǎn)號(hào)、映射關(guān)系等信息，這些信息需要在配置文件中配置。配置工具采用人機(jī)界面方式，提供配置系統(tǒng)信息，方便工程人員操作。

4結(jié)束語(yǔ)

隨著社會(huì)經(jīng)濟(jì)的發(fā)展，智能設(shè)備不斷涌現(xiàn)，越來(lái)越需要綜合監(jiān)控系統(tǒng)管理信息的平臺(tái)，將各個(gè)智能設(shè)備子系統(tǒng)連接起來(lái)進(jìn)行綜合管理。在連接和管理的過(guò)程中，為了保障綜合監(jiān)控系統(tǒng)服務(wù)器免受網(wǎng)絡(luò)攻擊的危害，提高其健壯性。需要引入網(wǎng)關(guān)機(jī)進(jìn)行網(wǎng)絡(luò)隔離，通過(guò)引入網(wǎng)關(guān)機(jī)，大大提高了綜合監(jiān)控服務(wù)器的安全性。

參考文獻(xiàn)

[1] 劉曉娟.城市軌道交通智能控制系統(tǒng)[M].北京：中國(guó)鐵道出版社，2003.

[2] 吉春山，周韜，張?zhí)旒t，等.淺談網(wǎng)關(guān)機(jī)技術(shù)在實(shí)時(shí)數(shù)據(jù)采集系統(tǒng)中的應(yīng)用[J].自動(dòng)化技術(shù)與應(yīng)用,2013(3)：81-84.

[3] 賈歡歡.通用短信平臺(tái)中協(xié)議轉(zhuǎn)換功能的設(shè)計(jì)與實(shí)現(xiàn)[D].成都：西南交通大學(xué)，2010.

[4] 篤竣，祁忠.基于IEC61850的變電站新型遠(yuǎn)動(dòng)網(wǎng)關(guān)機(jī)[J].電力自動(dòng)化設(shè)備,2011(2)：112-114.

[5] 周慎.一種串口與UDP協(xié)議實(shí)現(xiàn)透明轉(zhuǎn)換的方法[J].信息通信,2013(6):77-79.

[6] 張超.基于OPC技術(shù)的通信協(xié)議轉(zhuǎn)換平臺(tái)[J].企業(yè)技術(shù)開(kāi)發(fā)，2013(19):38-39.

[7] 張成俊，張李超，史玉升.以太網(wǎng)轉(zhuǎn)RS232轉(zhuǎn)換器設(shè)計(jì)[J].儀表技術(shù)與傳感器，2013(6)：35-36.

中圖分類(lèi)號(hào)：TP23

文獻(xiàn)標(biāo)志碼：A

DOI:10.16086/j.cnki.issn1000-0380.201503026

修改稿收到日期： 2014-06-14。

作者尹濤(1984-)，男，2010年畢業(yè)于南京理工大學(xué)自動(dòng)化專業(yè)，獲碩士學(xué)位，工程師；主要從事通信方面的研究工作。