论文部分内容阅读
[摘 要]目前全国大部分电厂都已经建立了SIS系统,SIS系统的应用大火,迅速地提高了电厂的经济效益。但是,在提供方便的同时,SIS系统中存在的一些安全问题通过网络传输也会给电厂的生产过程控制系统带来一定的风险,危及电厂的生产过程控制。因此,在建立DCS与SIS系统信息传输时安全问题应该得到足够的重视,应当采取一定的措施防范SIS系统向DCS传输不安全的因素因子。本文就dcs与dis系统间的安全隔离技术设计与实施进行了探讨,以求达到二者在进行操作中的无缝接合。
[关键词]dcs系统、sis系统、安全隔离
中图分类号:TU701 文献标识码:A 文章编号:1009-914X(2017)45-0255-01
引言:随着老机组的自动化技术改造,分散系统dcs得到广泛应用。sis系统中实时管理程序对机组生产数据自动采集、处理、存储和统计分析,实现对发电机组的安全运行分析和经济运行指导。因为我们平时的应用中,都是将dcs与sis系统直接连接,这就不可避免的给dcs系统带来了不少的隐患,给我们使用的过程中带来了诸多不便。因此,我们必须在二者之间进行有效的隔离,使他们都处于安全系统内。这样运用一系列措施就可以最大限度的减少由于网络系统互联而带来的安全问题。因为在我们国家,经贸委要求电力监控系统与办公系统或其他信息系统互联的时候,必须取得国家有关部门的认证与许可,从而建立安全可靠的隔离系统。
一、dcs与sis系统连接现状
dcs利用HS2000系统,通信网络为标准令牌环网,在符合各项指标的基础上,专用网关机与sis网直接连接,通过相关软件将数据发送到sis网内,并且两个网络之间采用Netware的IPX协议,而且在sis网站,将接受到的实时信息转发到服务器,交给用户享用。在这个时候,专用网关机以此达到将这两个网络隔离开来,从而进一步减少它们带来的安全隐患。但是,这并不能做到真正的“物理隔离”,这两端的机器在链路层上是互通的,病毒仍然可以从接口处和链路端入侵,从而影响到整体的安全性。
1.1 两系统连接中存在的安全隐患
(1)这些系统中在运行中采用的均是使用广泛、受攻击多、漏洞多的操作系统。因此,他们在与别的互联网工具进行互联时,就大大的增加了受到攻击的可能性。而如果在这两个系统相连的时候,受到攻击从而导致信息泄露,就会对整个系统造成不可估量的创伤。(2)当dcs与sis相连接的时候,两者用到的网桥是通用产品,这就很大程度上增加了受攻击的风险性。因为这些通用产品的开放性,就会出现很多的信息不能得到很好的保护从而导致的信息外泄。(3)在很多的研究中,为了使用方便,通常采用的都是操作系统嵌入,这就在无形中增加了风险,因为这些系统在嵌入前可能会有前一阶段残留的一些非有利的因素,这就给信息的安全度带来的很大的威胁。(4)就软件的开发使用来说,两个系统的CPU都是采用同意计算机指令系统,没有进行其他的系统的多方保护,这也给系统的安全度增加了不利因素,更加容易受到别的东西的攻击从而破坏到整个系统,造成额外的损失。
1.2 对安全隐患的分析
从网络系统来说,dcs与sis都是通过网关机与不同的网卡来完成的数据通信,由于现代网络的先进性,随时有很多的访问量,在这样的情况下,访问形式完全就是公开的,访问量也是任意的,也就是说,只要对这些系统进行物理连接,就可以达成对于系统的交流与连接。在我们目前的很多热电厂中,对于dcs数据的收集与整理都是通過在网络系统中设置不同的网卡,从而拦截各种不同的信息。通过IPX与NETBEUI协议连接到sis系统。这些连接通路就在很大程度上提供了很多物理通路,从而增加对于系统有害的攻击性行为。。在这样的过程中,我们通常就没有很好的方法对于系统进行有效的保护操作。假设我们使它具有路由功能,这样dcs与sis就会处在一个网络之中,就不会受到多种限制。这样一来,我们很多的垃圾信息就会因为没有阻碍而在内部聚集,从而造成对于整天的破坏。所以,采用这种网桥就会有很大的安全隐患。
1.3 应用防火墙安全技术的局限
因为我们很多时候都是采用防火墙去阻挡一些不良信息对于我们系统的攻击,当我们的系统受到一些简单的攻击时,防火墙能力较佳,就能够阻挡我们遇到的不良信息;但是,毕竟防火墙系统也是人工设计并且输入到系统中的,它是机械的,输入什么样的东西它就给你进行什么样的操作,所有的格式都是按照本来的样子进行的。但是,因为现在的技术越来越先进,有很多攻击性的信息都可以“伪装”,这样防火墙因为没有被进行这样的输入,就难免受到这些的迷惑,于是信息系统就回被破坏;同时,防火墙在对于这些不良信息进行阻挡的时候,尤其是dcs与sis系统在同一个网桥的时候,受到攻击,就会增加它们的物理量,这样虽然没有破坏到整体,但是也会影响到它的实时性,传递信息的速度减弱。因此,这些方法始终存在漏洞,无法对于安全系统进行保护。
二、安全隔离技术方案
为了保障安全性,可以信用华北电力大学新研发的网络专利产品-SAF–3000型单向物理装置。这个装置包括两台嵌入式工业计算机,他们都有常规计算机的功能,一个可以用来跟dcs连接,一个与sis连接,并且也可以进行常规的Windows系统连接,这个新设备就是可以进行嵌入式连接,但是不会存在双向连接,继而对于系统的安全造成隐患。同时这种设备也符合国家经贸委的要求,更好的发挥对于系统的安全保护。而且,这个装置也不会造成额外的物理通道,这就避免了这样造成的信息泄露。采用专门的安全隔离器之后,即使在sis方面进行攻击或者是干扰,都不会影响到dcs的正常运行。
结束语
要用到各种方法做到对于dcs与sis的安全隔离,做到安全的隔离技术,减少物理通道的外泄,同时,做好安全隔离技术的防护也是对于我们信息系统的一种保护。通过采取各种新的网络信息安全隔离系统,希望可以有更好的成效。同时,在操作这两个系统的时候也要尽量减少物理通路,以求达到更好的安全隔离措施。
参考文献
[1] 侯子良,火电厂厂级监控系统(SIS)论争[J]热工自动化信息,2002.
[2] 梁运华,李明,谈顺涛电力企业信息网网络安全层次式防护体系探究[J]电力信息化,2003.
[3] 华熔,Modbus串行链路,北京机械工业出版社,2007.
[4] 李达,《中国设备工程》,大唐长山热电厂,2007(6):28-29.
[关键词]dcs系统、sis系统、安全隔离
中图分类号:TU701 文献标识码:A 文章编号:1009-914X(2017)45-0255-01
引言:随着老机组的自动化技术改造,分散系统dcs得到广泛应用。sis系统中实时管理程序对机组生产数据自动采集、处理、存储和统计分析,实现对发电机组的安全运行分析和经济运行指导。因为我们平时的应用中,都是将dcs与sis系统直接连接,这就不可避免的给dcs系统带来了不少的隐患,给我们使用的过程中带来了诸多不便。因此,我们必须在二者之间进行有效的隔离,使他们都处于安全系统内。这样运用一系列措施就可以最大限度的减少由于网络系统互联而带来的安全问题。因为在我们国家,经贸委要求电力监控系统与办公系统或其他信息系统互联的时候,必须取得国家有关部门的认证与许可,从而建立安全可靠的隔离系统。
一、dcs与sis系统连接现状
dcs利用HS2000系统,通信网络为标准令牌环网,在符合各项指标的基础上,专用网关机与sis网直接连接,通过相关软件将数据发送到sis网内,并且两个网络之间采用Netware的IPX协议,而且在sis网站,将接受到的实时信息转发到服务器,交给用户享用。在这个时候,专用网关机以此达到将这两个网络隔离开来,从而进一步减少它们带来的安全隐患。但是,这并不能做到真正的“物理隔离”,这两端的机器在链路层上是互通的,病毒仍然可以从接口处和链路端入侵,从而影响到整体的安全性。
1.1 两系统连接中存在的安全隐患
(1)这些系统中在运行中采用的均是使用广泛、受攻击多、漏洞多的操作系统。因此,他们在与别的互联网工具进行互联时,就大大的增加了受到攻击的可能性。而如果在这两个系统相连的时候,受到攻击从而导致信息泄露,就会对整个系统造成不可估量的创伤。(2)当dcs与sis相连接的时候,两者用到的网桥是通用产品,这就很大程度上增加了受攻击的风险性。因为这些通用产品的开放性,就会出现很多的信息不能得到很好的保护从而导致的信息外泄。(3)在很多的研究中,为了使用方便,通常采用的都是操作系统嵌入,这就在无形中增加了风险,因为这些系统在嵌入前可能会有前一阶段残留的一些非有利的因素,这就给信息的安全度带来的很大的威胁。(4)就软件的开发使用来说,两个系统的CPU都是采用同意计算机指令系统,没有进行其他的系统的多方保护,这也给系统的安全度增加了不利因素,更加容易受到别的东西的攻击从而破坏到整个系统,造成额外的损失。
1.2 对安全隐患的分析
从网络系统来说,dcs与sis都是通过网关机与不同的网卡来完成的数据通信,由于现代网络的先进性,随时有很多的访问量,在这样的情况下,访问形式完全就是公开的,访问量也是任意的,也就是说,只要对这些系统进行物理连接,就可以达成对于系统的交流与连接。在我们目前的很多热电厂中,对于dcs数据的收集与整理都是通過在网络系统中设置不同的网卡,从而拦截各种不同的信息。通过IPX与NETBEUI协议连接到sis系统。这些连接通路就在很大程度上提供了很多物理通路,从而增加对于系统有害的攻击性行为。。在这样的过程中,我们通常就没有很好的方法对于系统进行有效的保护操作。假设我们使它具有路由功能,这样dcs与sis就会处在一个网络之中,就不会受到多种限制。这样一来,我们很多的垃圾信息就会因为没有阻碍而在内部聚集,从而造成对于整天的破坏。所以,采用这种网桥就会有很大的安全隐患。
1.3 应用防火墙安全技术的局限
因为我们很多时候都是采用防火墙去阻挡一些不良信息对于我们系统的攻击,当我们的系统受到一些简单的攻击时,防火墙能力较佳,就能够阻挡我们遇到的不良信息;但是,毕竟防火墙系统也是人工设计并且输入到系统中的,它是机械的,输入什么样的东西它就给你进行什么样的操作,所有的格式都是按照本来的样子进行的。但是,因为现在的技术越来越先进,有很多攻击性的信息都可以“伪装”,这样防火墙因为没有被进行这样的输入,就难免受到这些的迷惑,于是信息系统就回被破坏;同时,防火墙在对于这些不良信息进行阻挡的时候,尤其是dcs与sis系统在同一个网桥的时候,受到攻击,就会增加它们的物理量,这样虽然没有破坏到整体,但是也会影响到它的实时性,传递信息的速度减弱。因此,这些方法始终存在漏洞,无法对于安全系统进行保护。
二、安全隔离技术方案
为了保障安全性,可以信用华北电力大学新研发的网络专利产品-SAF–3000型单向物理装置。这个装置包括两台嵌入式工业计算机,他们都有常规计算机的功能,一个可以用来跟dcs连接,一个与sis连接,并且也可以进行常规的Windows系统连接,这个新设备就是可以进行嵌入式连接,但是不会存在双向连接,继而对于系统的安全造成隐患。同时这种设备也符合国家经贸委的要求,更好的发挥对于系统的安全保护。而且,这个装置也不会造成额外的物理通道,这就避免了这样造成的信息泄露。采用专门的安全隔离器之后,即使在sis方面进行攻击或者是干扰,都不会影响到dcs的正常运行。
结束语
要用到各种方法做到对于dcs与sis的安全隔离,做到安全的隔离技术,减少物理通道的外泄,同时,做好安全隔离技术的防护也是对于我们信息系统的一种保护。通过采取各种新的网络信息安全隔离系统,希望可以有更好的成效。同时,在操作这两个系统的时候也要尽量减少物理通路,以求达到更好的安全隔离措施。
参考文献
[1] 侯子良,火电厂厂级监控系统(SIS)论争[J]热工自动化信息,2002.
[2] 梁运华,李明,谈顺涛电力企业信息网网络安全层次式防护体系探究[J]电力信息化,2003.
[3] 华熔,Modbus串行链路,北京机械工业出版社,2007.
[4] 李达,《中国设备工程》,大唐长山热电厂,2007(6):28-29.