網(wǎng)絡(luò)隔離技術(shù)在DCS中的應(yīng)用

陳衛(wèi)勃

摘 要：隨著經(jīng)濟(jì)的發(fā)展、社會(huì)的進(jìn)步，網(wǎng)絡(luò)的發(fā)展日新月異。網(wǎng)絡(luò)病毒對(duì)計(jì)算機(jī)系統(tǒng)的傷害也越來越大。網(wǎng)絡(luò)隔離技術(shù)的發(fā)展能有效的將來自DCS系統(tǒng)內(nèi)部的病毒阻擋在外，減少病毒對(duì)系統(tǒng)的傷害，將威脅隔絕在系統(tǒng)之外，從而保證系統(tǒng)的正常運(yùn)行。因此，本文通過正確認(rèn)識(shí)網(wǎng)絡(luò)隔離技術(shù)、防火墻隔離以及DCS系統(tǒng)的自身安全措施，分析網(wǎng)絡(luò)隔離技術(shù)在DCS中的應(yīng)用。

關(guān)鍵詞：網(wǎng)絡(luò)隔離技術(shù)；DCS系統(tǒng)；防火墻隔離

DOI：10.16640/j.cnki.37-1222/t.2016.04.264

0 前言

在工業(yè)生產(chǎn)領(lǐng)域中，傳統(tǒng)的用于保障系統(tǒng)安全性的措施主要通過隱秘的技術(shù)和獨(dú)立的網(wǎng)絡(luò)來實(shí)現(xiàn)，隨著科技水平的提高，互聯(lián)網(wǎng)技術(shù)的發(fā)展，互聯(lián)網(wǎng)與安全系統(tǒng)的對(duì)接程度越來越高。使保障系統(tǒng)的安全性的要求也隨之升高，在具體保護(hù)中要求更加強(qiáng)大的系統(tǒng)兼容性。因此，發(fā)展網(wǎng)絡(luò)隔離技術(shù)刻不容緩。

1 網(wǎng)絡(luò)隔離技術(shù)的基本內(nèi)涵

互聯(lián)網(wǎng)在各個(gè)工業(yè)生產(chǎn)領(lǐng)域的普及，使發(fā)展隔離技術(shù)日益提上日程。只有在互聯(lián)網(wǎng)上進(jìn)行數(shù)據(jù)的交流與溝通，才需要網(wǎng)絡(luò)隔離技術(shù)，若不進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)的交流，網(wǎng)絡(luò)隔離技術(shù)無用武之地。網(wǎng)絡(luò)隔離技術(shù)是為了滿足工業(yè)生產(chǎn)領(lǐng)域網(wǎng)絡(luò)的安全性，在不斷出現(xiàn)的新型互聯(lián)網(wǎng)攻擊方式中，網(wǎng)絡(luò)隔離技術(shù)可以有效保證工業(yè)控制網(wǎng)絡(luò)的安全性。其工作原理是利用物理隔離和邏輯隔離將來自外環(huán)境的網(wǎng)絡(luò)病毒，惡意信息隔離在工業(yè)控制網(wǎng)絡(luò)之外，從而保證工業(yè)控制網(wǎng)絡(luò)的信息交流安全。

2 防火墻隔離的基本內(nèi)涵

防火墻隔離是將內(nèi)部、外部網(wǎng)絡(luò)分離，控制數(shù)據(jù)的交流，并生成使用日志和審核IP地址，從中找出隱蔽性IP，提供網(wǎng)絡(luò)結(jié)構(gòu)，從而達(dá)到保護(hù)內(nèi)部網(wǎng)絡(luò)的目的。防火墻包括服務(wù)訪問規(guī)則、驗(yàn)證工具、包過濾、應(yīng)用網(wǎng)關(guān)[1]。充分利用防火墻隔離技術(shù)加入相應(yīng)的病毒檢測(cè)，殺毒技術(shù)可以有效的將外部網(wǎng)絡(luò)威脅降到最低。

3 DCS系統(tǒng)的自身安全措施

3.1 DCS具有獨(dú)立的網(wǎng)絡(luò)設(shè)置

根據(jù)DCS的網(wǎng)絡(luò)設(shè)置原則，在每個(gè)控制室內(nèi)設(shè)置獨(dú)立的控制網(wǎng)絡(luò)。對(duì)于Experion PKS系統(tǒng)中多以容錯(cuò)以太網(wǎng)為主的控制網(wǎng)絡(luò)，容錯(cuò)以太網(wǎng)的拓?fù)浣Y(jié)構(gòu)為雙重并行樹形結(jié)構(gòu)。FTE的內(nèi)部結(jié)構(gòu)包含控制層和操作層，其兩層結(jié)構(gòu)由控制器、交換機(jī)、操作站構(gòu)成。在其內(nèi)部結(jié)構(gòu)中操作站和服務(wù)器為FTE的節(jié)點(diǎn)，在其節(jié)點(diǎn)上安裝相關(guān)軟件以及網(wǎng)絡(luò)接口卡，然后連接雙重并行樹形結(jié)構(gòu)網(wǎng)絡(luò)中。因此，F(xiàn)TE的節(jié)點(diǎn)就構(gòu)成了幾條路徑，包括操作站到交換機(jī)到另一個(gè)交換機(jī)再到控制器。多條路徑的選擇，使數(shù)據(jù)在傳輸過程中選擇最優(yōu)路徑進(jìn)行數(shù)據(jù)傳輸，即可減少故障點(diǎn)，也可提高傳輸速率。

3.2 設(shè)置防病毒和域控服務(wù)器

生產(chǎn)調(diào)度的日趨頻繁，導(dǎo)致現(xiàn)有的控制網(wǎng)絡(luò)難以使用先進(jìn)生產(chǎn)調(diào)度的速率。因此，加強(qiáng)了Experion PKS系統(tǒng)，設(shè)計(jì)出生產(chǎn)管理層。形成整體的Experion PKS系統(tǒng)，將DCS系統(tǒng)與生產(chǎn)管理網(wǎng)絡(luò)連接，在生產(chǎn)管理網(wǎng)絡(luò)中增加PKS的工作站、服務(wù)器，以及防病毒、域控服務(wù)器等。以此，建立三層網(wǎng)絡(luò)結(jié)構(gòu)。其中第三層管理層包括PKS服務(wù)器、WPKS服務(wù)器、緩存服務(wù)器、PHD服務(wù)器、域控服務(wù)器、防病毒服務(wù)器、PKS工作站。其中PKS的工作站、服務(wù)器是提供監(jiān)視畫面以及生產(chǎn)活動(dòng)報(bào)表的。防病毒服務(wù)器在整個(gè)系統(tǒng)中具有清除系統(tǒng)中的病毒和惡意軟件的作用，從而構(gòu)成系統(tǒng)的防御體系。域控服務(wù)器是對(duì)生產(chǎn)管理網(wǎng)絡(luò)中的用戶進(jìn)行管理，保證系統(tǒng)的安全策略得以有效、平穩(wěn)進(jìn)行。WPKS服務(wù)器是支持網(wǎng)頁服務(wù)、網(wǎng)頁瀏覽的瀏覽器，其功能的發(fā)揮使生產(chǎn)管理與外部網(wǎng)絡(luò)環(huán)境相結(jié)合，促進(jìn)信息的交流與融合。

4 網(wǎng)絡(luò)隔離技術(shù)在DCS中的應(yīng)用

生產(chǎn)的初級(jí)階段，系統(tǒng)的操作站出現(xiàn)生產(chǎn)畫面的遲疑和具體操作通話中斷現(xiàn)象。通話中斷時(shí)間短，但中斷次數(shù)頻繁。在多次通話中斷檢測(cè)中發(fā)現(xiàn)，病毒的查殺并不能有效制止通話的中斷，導(dǎo)致多次通話中斷的原因是DCS系統(tǒng)無法正常運(yùn)行。導(dǎo)致DCS系統(tǒng)無法正常運(yùn)行的根本原因是硬件設(shè)備與系統(tǒng)的不平衡，導(dǎo)致系統(tǒng)在運(yùn)行過程中受到硬件設(shè)備的限制。另一方面，導(dǎo)致通話中斷的原因還包括，操作層設(shè)備網(wǎng)線的問題導(dǎo)致的交換機(jī)的負(fù)荷過大造成交換機(jī)的損傷。由此，在DCS系統(tǒng)中要實(shí)行網(wǎng)絡(luò)橫向分段以及縱向分層隔離技術(shù)。

4.1 在FTE網(wǎng)絡(luò)實(shí)行橫向分段技術(shù)

調(diào)整FTE網(wǎng)絡(luò)，在FTE網(wǎng)絡(luò)中存在諸多節(jié)點(diǎn)，數(shù)據(jù)在交換機(jī)交流中使交換機(jī)的承壓能力大大減弱，從而出現(xiàn)大量故障。由此，為了減少故障的發(fā)生，就要將一個(gè)生產(chǎn)部門劃分一個(gè)FTE網(wǎng)段，拆分整個(gè)FTE網(wǎng)絡(luò)，從而降低交換機(jī)的負(fù)荷量，縮小因FTE網(wǎng)絡(luò)癱瘓?jiān)斐傻呢?fù)面影響。

4.2 改變專用防火墻

改變FTE網(wǎng)絡(luò)中的第一層交換器，改用專用的防火墻[3]。使控制與操作分離，在設(shè)置防火墻時(shí)只容許相關(guān)信息通過，使通過交換器的信息得到有效控制，從而降低交換機(jī)的壓力，避免故障出現(xiàn)。在更換設(shè)備的同時(shí)也要將系統(tǒng)、軟件進(jìn)行更新，將操作系統(tǒng)從Windows XP更新到Windows7操作系統(tǒng)，是操作系統(tǒng)與硬件設(shè)施相統(tǒng)一。

4.3 增添路由器進(jìn)行隔離

路由器的使用使FTE網(wǎng)絡(luò)與生產(chǎn)管理網(wǎng)絡(luò)分離，路由器要設(shè)置在過程控制網(wǎng)與生產(chǎn)管理網(wǎng)絡(luò)之間，起到控制信息與生產(chǎn)管理信息分離的效果，并在路由器是增添智能化功能，設(shè)置信息進(jìn)入的速率，設(shè)置訪問權(quán)限等等。使操作系統(tǒng)的縱向防御能力有所提高，從而有效的完成信息交流和通信的任務(wù)。

5 結(jié)論

綜上所述，提高工業(yè)生產(chǎn)的效率，避免大規(guī)模的技術(shù)故障造成的經(jīng)濟(jì)效益和社會(huì)效益的損失，應(yīng)加強(qiáng)網(wǎng)絡(luò)阻隔技術(shù)在DCS系統(tǒng)中的應(yīng)用。在正確認(rèn)識(shí)網(wǎng)絡(luò)隔離技術(shù)、防火墻技術(shù)以及DCS系統(tǒng)的自身安全措施的基礎(chǔ)上，在FTE網(wǎng)絡(luò)上實(shí)行分段阻隔，在過程控制網(wǎng)與生產(chǎn)管理網(wǎng)絡(luò)之間設(shè)置路由器，從而避免故障的發(fā)生，從而提高工業(yè)生產(chǎn)的效率。

參考文獻(xiàn)：

[1]何楊歡，周博才.本質(zhì)安全DCS隔離站技術(shù)在工控?cái)?shù)據(jù)采集中的應(yīng)用[J].當(dāng)代石油石化，2013，09（01）：30-33.

[2]張斌.網(wǎng)絡(luò)安全隔離技術(shù)在公安車管網(wǎng)絡(luò)中的應(yīng)用[J].統(tǒng)計(jì)與管理，2015，05（02）：93-94.

[3]家應(yīng)卓瑪.DCS網(wǎng)絡(luò)技術(shù)在火電廠中的應(yīng)用[J].中國高新技術(shù)企業(yè)，2015，33（03）：49-50.