莊 重 顧繼群

（南京南瑞集團公司，江蘇 南京210003）

0 引言

在我國目前的水利行業(yè)中，大量的泵站在國民經(jīng)濟中承擔(dān)著重要作用。但是目前大部分泵站自動化水平不高，設(shè)備運行安全問題較為突出，一些泵站受到老的網(wǎng)絡(luò)技術(shù)條件限制，運行管理安全性較低。隨著計算機及網(wǎng)絡(luò)信息技術(shù)的迅猛發(fā)展，計算機已深入應(yīng)用到各行各業(yè)中去。對于在水利建設(shè)中普遍應(yīng)用的泵站監(jiān)控系統(tǒng)來說，計算機技術(shù)和微電子技術(shù)的發(fā)展使泵站監(jiān)控系統(tǒng)的網(wǎng)絡(luò)化、信息化水平得到了顯著提高。借助先進的計算機網(wǎng)絡(luò)技術(shù)，可以將泵站監(jiān)控系統(tǒng)建設(shè)成為更先進的計算機監(jiān)控系統(tǒng)，實現(xiàn)無人值守、少人值班、優(yōu)化調(diào)度，提高泵站的運行效率和管理水平，為泵站的安全、經(jīng)濟運行提供強有力的保障。

1 常規(guī)應(yīng)用方案

如圖1所示，目前絕大多數(shù)泵站監(jiān)控系統(tǒng)采用的是擴展環(huán)型網(wǎng)絡(luò)結(jié)構(gòu)，各網(wǎng)絡(luò)節(jié)點通過環(huán)型鏈路實現(xiàn)數(shù)據(jù)交換，除現(xiàn)地控制單元、操作員工作站、通信機外，其他應(yīng)用計算機構(gòu)成MIS局域網(wǎng)，MIS局域網(wǎng)的計算機節(jié)點與現(xiàn)地控制單元、操作員工作站、通訊機處于同一個TCP/IP網(wǎng)段內(nèi)。

圖1 常規(guī)應(yīng)用方案

兩臺操作員工作站構(gòu)成熱備冗余的運行方式，運行值班主機可預(yù)先任意選擇，雙機之間通過以太網(wǎng)實現(xiàn)通訊。系統(tǒng)軟件根據(jù)值班主機的運行狀態(tài)、通信狀態(tài)、軟硬件等，進行跟蹤識別。一旦值班主機出現(xiàn)故障或異常，系統(tǒng)就發(fā)出切換信號，由備用機取代值班主機，同時發(fā)出主機故障的提示信號。

系統(tǒng)內(nèi)設(shè)置有通信機，配有RS232/RS485串行通訊口，并預(yù)留與其他系統(tǒng)的通信接口，操作員工作站將系統(tǒng)所需實時數(shù)據(jù)傳送到通信機，通信機兼有WEB發(fā)布功能，局域網(wǎng)與上級部門直接通過訪問通信機，來獲取泵站監(jiān)控系統(tǒng)的各項運行數(shù)據(jù)和相關(guān)信息。

這種常規(guī)網(wǎng)絡(luò)結(jié)構(gòu)具有系統(tǒng)結(jié)構(gòu)清晰、數(shù)據(jù)傳輸速率高、通信接口可擴展等優(yōu)點，但是，MIS直接訪問通信機，不可避免會造成網(wǎng)絡(luò)安全性變差，MIS由于其系統(tǒng)的特殊性，其中包含著許多不確定的因素，在網(wǎng)絡(luò)安全方面也不容易管理，易受到外部計算機病毒影響。另外，由于一般MIS直接和外部網(wǎng)絡(luò)相連，使得MIS容易受到黑客的干擾，因此監(jiān)控系統(tǒng)直接與MIS連接，將會給網(wǎng)絡(luò)安全帶來很大的隱患。

2 優(yōu)化解決方案

為了解決常規(guī)應(yīng)用方案中來自于INTERNET 的安全隱患和威脅，我們給出了優(yōu)化方案。主要方法是將WEB 瀏覽功能從通信機上分離出來，另外利用一臺專用服務(wù)器作為WEB 通信機，其上安裝Linux操作系統(tǒng)，由于Linux系統(tǒng)是開放源代碼的，即使系統(tǒng)出現(xiàn)了小漏洞，也會很快被提出并加以解決。相對于Linux系統(tǒng)，Windows系統(tǒng)是應(yīng)用于商業(yè)領(lǐng)域，需要收費的，這樣很多黑客就會出于好奇，想方設(shè)法去攻擊Windows系統(tǒng)，而Windows系統(tǒng)在普通用戶中應(yīng)用最多，因此不太懂電腦技術(shù)的普通用戶常常是黑客攻擊的對象。Windows系統(tǒng)正是因為源代碼封閉，所以并不是很經(jīng)得住推敲，一旦知道原理，很容易找出漏洞，發(fā)起病毒攻擊。因此Linux系統(tǒng)本身在設(shè)計上就比Windows系統(tǒng)具有更好的網(wǎng)絡(luò)安全功能。監(jiān)控系統(tǒng)通信機與WEB通信機可以通過RS232串口相連接，也可以在中間設(shè)置專用網(wǎng)絡(luò)安全隔離裝置。

2.1 RS232串口通訊方式

如圖2所示，通信機與WEB通信機用各自串口相連，此種通訊方式也能起到一些網(wǎng)絡(luò)隔離的效果，不過通訊數(shù)據(jù)是按位傳輸，雖然成本低，但通訊速度慢，不能適應(yīng)泵站監(jiān)控系統(tǒng)的應(yīng)用需求。

2.2 網(wǎng)絡(luò)隔離方式

如圖3所示，通信機與WEB通信機仍然利用網(wǎng)絡(luò)相連，但在網(wǎng)絡(luò)中間設(shè)置專用網(wǎng)絡(luò)安全隔離裝置，網(wǎng)絡(luò)安全隔離裝置是位于監(jiān)控系統(tǒng)網(wǎng)絡(luò)與公用信息網(wǎng)絡(luò)之間的一個安全防護裝置，用于安全區(qū)Ⅰ/Ⅱ到安全區(qū)Ⅲ的單向數(shù)據(jù)傳輸。該設(shè)備的應(yīng)用對于進一步提高泵站監(jiān)控系統(tǒng)的整體安全性和可靠性有很大幫助。

圖2 RS232串口通訊方式

圖3 網(wǎng)絡(luò)隔離方式

網(wǎng)絡(luò)安全隔離裝置由兩套高性能嵌入式微機及配套裝置形成物理隔離系統(tǒng)，嵌入式微機采用RISC 體系結(jié)構(gòu)，該設(shè)計結(jié)構(gòu)將能夠使網(wǎng)絡(luò)少受病毒攻擊；實現(xiàn)兩個網(wǎng)絡(luò)安全區(qū)之間的數(shù)據(jù)傳輸，并且應(yīng)用了較為安全的邏輯算法，保證了接入隔離裝置的兩個網(wǎng)絡(luò)系統(tǒng)相互不能同時連通。安全隔離裝置采用截斷TCP 連接的方式，分離網(wǎng)絡(luò)數(shù)據(jù)中的TCP/IP開頭部分，將監(jiān)控系統(tǒng)環(huán)網(wǎng)的純數(shù)據(jù)通過單向數(shù)據(jù)通道FIFO 發(fā)送到MIS局域網(wǎng)，同時只允許應(yīng)用層中不帶任何數(shù)據(jù)的TCP包的控制信息傳輸?shù)奖O(jiān)控系統(tǒng)環(huán)網(wǎng)中去，極大地提高了監(jiān)控系統(tǒng)的可靠性和安全性。

3 結(jié)語

總之，在泵站計算機監(jiān)控系統(tǒng)中采用網(wǎng)絡(luò)隔離方式，不僅具有數(shù)據(jù)傳輸速率高、通訊擴展性能好的優(yōu)點，而且能夠很好地保證監(jiān)控系統(tǒng)網(wǎng)絡(luò)的穩(wěn)定性、可靠性，為泵站的日常安全運行打下良好的基礎(chǔ)。