1.数据网络风险分析

网络拓扑结构设计会直接影响到网络系统的安全性。如果在外部和内部网络进行通信或两个不同范围的内部网通讯时,内部网络的机器安全就有可能受到另一个与之相连网络的威胁,同时也影响在同一网络上的许多其他系统。透过网络传播,还会影响到连上Internet/Intarnet的其他的网络;因此,在网络设计时就必须将公开服务器(I。、WEB、DNS、EMALI等)和外网及内部其它业务网络进行必要的隔离,避免网络结构信息外泄;同时还要对外网的服务请求加以过滤,只允许正常通信的数据包到达相应主机,其它的请求服务在到达主机之前就应该遭到拒绝(如图1)双钻网浴PJj御体承出通常的网路隔离手段有以下几种:1)访问控制:对用户访问网络资源的权限进行严格的认证和控制。例如,进行用户身份认证,对口令加密、更新和鉴别,设置用户访问目录和文件的权限,控制网络设备配置的权限,等等。2)数据加密:加密是保护数据安全的重要手段。数据加密是对网络中传输的数据进行加密,到达目的地后再解密还原为原始数据,保障信息即使被人截获后也不能读懂其含义。3)其他措施:包括信息过滤、容错、数据镜像、数据备份和审计等;防止计算机网络病毒,安装网络防病毒系统;网络中架设硬件防火墙技术,防火墙技术是通过对网络的隔离和限制访问等方法来控制网络的访问权限。但即便如此,也无法保证所有的网络数据威胁都能被安全的隔离在主传播网络,因为任何过滤手段都只能判断已定义的数据伪装和传输规则,对不能被规则定义识别的威胁就被通过了,于是安全隐患便产生了。

2.网关的主要功能

网关的英文名称是Gatweya。在采用不同体系结构或协议的网络之间进行互通时,网关(Gatweya)用于提供协议转换、路由选择、数据交换等网络兼容功能的设施。网关(Gatweya)也称网间连接器、协议转换器。网关在传输层上用以实现网络互连,是最复杂的网络互连设备,仅用于两个高层协议不同的网络互连。网关既可以用于广域网互连,也可以用于局域网互连。网关是一种充当转换重任的计算机系统或设备。在使用不同的通信协议、数据格式或语言,甚至体系结构完全不同的两种系统之间,网关是一个翻译器。与网桥只是简单地传达信息不同,网关对收到的信息要重新打包,以适应目的系统的需求。同时,网关也可以提供过滤和安全功能。另外,网关也不同于网络安全措施中的加密,因为加密是将一组数据通过整包捆绑并附加相对比较复杂解包口令,或将要发送的数据逐句按特定的算法转换成另一种无法直接被理解的代码,然后在接收方再将这组代码通过算法反推回原始数据。而且存在加密成本过高,运算速度冗长,通用性差等问题。.

3控制系统间通过网关隔离进行数据转发

3.1数据转发国内某国际机场中航油油库(以下简称为接收方)加油自控系统因为业务需要,要与油品供应单位(以下简称为供应方)建立数据对接,对接的目的是为了使供应方和接收方互相了解油品输送过程中双方设备的运行状况,和管路压力变化情况,以记录憋压或跑油等事故发生时的设备情况,以便建立更为有效的管理制度。接收方在得到公司采购部门下达的油品接收管道输送收油通知后,开始检查油库库容情况,在油库有可接收的仓储油罐(即空罐)后,接收方按顺序打开空罐入口阀门一)过滤器入口阀门一)收油总管进口阀门(如图2)。供应方在接收到接收方准备完成,可以接收航空油料的指令后,供应方启动加油泵,开始向接收方进行长输管道供油作业。双方在整个过程中要密切关注收油路由上的各阀门状态、供油总管压力、收油总管压力、收油油罐液位和油泵运行状态等参数。当在供油作业中收油油路阀门关闭了,会导致收油总管压力和供油总管压力突然升高,轻则因为压力突变憋停加油泵造成设备损坏,重则会造成管道连接处破裂,油品外泄,导致资产流失和环境破坏。当设备运行正常时,收油总管压力和供油总管压力突降时,能及时发现输油管道泄油故障等。供应方与接受方在地理位置上相距约200公里,双方在各自的区域上都建立有自己的局域网自动化控制系统。两套系统各自独立,分别双方各自独立管理,但在双方业务交割的过程中都需要了解对方的部分业务数据(如图3)。

3.2网络隔离配置在传统作业中,双方为了保证各自网络和系统的安全运行,不能将网络资源共享给对方,以便在安全上尽量减少隐患的发生。双方通过电话分时分段向对方汇报各自系统情况,但一旦出现问题,双方都无法追溯故障发生原因,双方数据对接变得非常必要。在这种情况下,网关就利用了自身协议转换、网络互连、数据转发的功能。首先在接收方和供应方直接敷设一根光纤网络,并在双方系统间增加一台网关。网关上有三个以太网通讯端口,分别设置成三个不同的网段。一个作为I程师编程维护端口设置为一个网段(例如:192.168.1.1。。);另一个作为接收方与网关通讯的数据端口设置为一个网段(例如:192.168.2.1。。),最后一个作为供应方与网关通讯的数据端口设置为一个网段(例如:1哭.168.3.100)。这样,就可以解决三个接入系统不在同一网段需要路由接入网关的情况。如果,三个端口都在同一网段,也不用担心这三个系统互相之间可以访问,因为这三个端口不同于交换机和HUB,它们之间是不能通过TCP/IP协议互相访问的,三个端口互相隔离。I程师通过编程维护端口对该网关进行通讯编程。在整个编程和维护过程中,I程师在自己的编程客户端(笔记本电脑,平板电脑,即A等)设备上要安装该网关的编程软件授权(软件狗或硬件狗),然后再通过该网关专用的编程软件进行编程,并将程序下装到网关中运行。网关本身不具备在线编程,只具备程序运行功能。这不同与路由器,交换机和网桥等网络设备,可以通过访问机器编程端口在线配置网络地址,路由转发,数据过滤等功能。I程师修改编程网关必须同时具备:

1)访问网关的终端设备与网关在同一网段,以保证该终端能访问网关:2)访问网关的终端设备上安装有与该网关匹配的编程软件;

3)访问网关的终端设备上要有驱动网关编程软件的软件授权(软件狗或硬件狗)。

3.3通讯协议接收方通过另一个网关端口,将油罐液位、油罐收油油路阀门状态、总入口收油压力等数据通过。dbus协议(或其他协议,例如:。Pc协议,IEC6O87O一101/103/104和国家电力行业标准DL/T645等将该部分数据实时写入到网关中。这些数据都各自有独立的。dbus(或其他协议,例如;。CP协议,IEC6O87于101/103/104和国家电力行业标准DL/T645等访问地址,而且是只读地址。网关不能通过该地址向接收方控制系统写入数据(这是I业通讯协议的特性,读写地址分离),只能读取和被读取接收方系统已经提供数据地址的数据的内容。供应方可以通过最后一个通讯端口读取该网关已经获取的接受方数据。供应方不直接从接受方系统数据,而是由网关数据转发读取的。同理,供应方通过最后一个网络端口,将加油泵状态,加油总管压力等数据通过。dbus(或其他协议,例如:。CP协议,IEc6o87。-101/103/104和国家电力行业标准DL/T645等)协议写入网关,供接收方读取。整个过程,双方都不能直接读取对方系统,各自仍然是独立的,但同时又都能于网关通讯。网关起到了数据转发和隔离的功能。

4.结束语

通过网关隔离实现数据转发,在物理层上实现了多系统间的数据安全对接。通过网关自身的协议转换功能,网络通讯功能,可以按需求扩展配置多个以太网端口,多个Rs232/Rs485串口,以及少量模拟数据信号采集I/O控制点。通过网关隔离在多个系统间实现了数据安全对接,而且技术实施无需对生产系统进行任何组态和修改,避免技术风险,为节能环保、能源管理EMS、自动化信息化两化融合提供了更多的解决方案。

作者：李睿金雪飞王加奎单位：中国自动化控制系统总公司