前言:想要寫出一篇引人入勝的文章?我們特意為您整理了系統安全的遠程數據通信方案探析范文,希望能給你帶來靈感和參考,敬請閱讀。
摘要:以深圳LNG為背景,分析遠程數據通信工程設計的必要性,并站在DCS、PLC等工業控制系統安全運行角度,凸顯出遠程數據通信方案的設計目標。方案實際設計時,側重對Modbus協議、OPC通信協議、計算機病毒感染機理等基本內容的研究,在此基礎上,分析數據傳輸接口以及系統硬件網絡結構的具體設計以及功能實現,以全面增強深圳LNG傳輸穩定性,工業控制系統運行安全性。
關鍵詞:系統安全;遠程數據通信;數據傳輸接口;系統接口配置
1遠程數據通信方案立項背景
深圳LNG接收站建設在深圳東部迭福片區,占地面積約27hm2,作為深圳市“十二五”能源基礎設施重點建設項目,接收站的建設與運作可為深圳市天然氣安全供應、能源結構和布局優化、節能減排推進、生態環境改善等工作的開展與實施提供保障。為加快國家油氣改革步伐,達到管網互聯互通運行效果,最終確定深圳LNG、迭福北LNG應急調峰站連通線管道長度為1.9km,并同西氣東輸管線相連通[1]。建設項目實施后,可滿足接收站氣化外輸、下游西氣東輸管線連線配套閥室安全平穩運營和貿易計量的需要,并實現外輸管線計量及動態監控數據的實時反饋。為達到這一效果,就需搭建數據可實時共享的互通聯絡站點,實現各項數據的遠程通信,并賦予接收站外輸精準控制、提前規劃、均衡分配等功能,從根本上調節天然氣管線外輸時下游管道壓力、溫度、流量、組分等數值,以此適應下游客戶提氣和生產需求負荷的變化。
2遠程數據通信方案設計目標
接收站DCS、PLC等工業控制系統主要用來控制生產設備運行,在此過程中,若系統信息安全存在漏洞,并在缺乏技術防護措施的情況下,無法發揮出系統安全防護與應急處理能力,增大病毒侵害的風險性,造成經濟損失的同時引發系統安全事故。對此,需重視深圳LNG和下游西氣東輸公司控制中心數據互傳通信問題的有效解決,但由于連通雙方的生產控制中心距離較遠,且缺乏直通光纖網絡,基于這一考慮,需由電信設備運營服務商打造基于DDN專線的點到點通信鏈路,以實現數據的遠程、實時傳輸。與此同時,為保證數據可在復雜的網絡環境中安全、可靠傳輸,還需加強工業系統網絡安全防護,設計出可同時兼顧網絡安全和協議匹配的最佳方案。當前雙方控制系統傳輸數據點規??倲刀噙_上百點,且雙方所使用的控制系統相同。而工業控制系統平臺接口協議均支持OPC和MODBUS協議,實際設計時,應根據綜合評估控制系統運行情況與數據傳輸安全性要求,合理選用滿足雙方系統接入需求,又極具安全性、可靠性的協議類型與傳輸方式。
3.1Modbus協議
Modbus協議于1971年被Modicon公司首次推出,并在1997年又推出ModbusTCP協議。而我國于2004年將Modbus當成國家語言標準。作為一種可用在電子控制器上的通用語言,協議的使用可實現各控制器間、控制器與其他設備間的相互通信。Modbus協議體現出開放性、標準化的特點,能夠為多種電氣接口的連入提供可靠支持,且在數據幀格式方面也表現出緊湊性的特征,可同時傳輸大量數據信息,在該協議的支撐下,可將多個廠商所生產的控制設備連接在一起,構成完善的工業網絡,實現對控制系統及各設備的實時、遠程監管與控制[2]。作為一種國際標準通信協議,Modbus需在相應硬件設備的支撐下才能發揮出通信功能,且不同硬件在電氣連接方式以及所表現出來的特性也存在較大的差異性,各硬件設備借助協議并在硬件接口的幫助下完成數據信息的實時傳輸,與此同時,研發出多種類型硬件接口,比如RS232\RS422\RS485等,其中,RS485可實現數據的遠距離傳輸,是現階段工業現場應用最為廣泛的一種硬件接口。以舉例的方式說明各硬件接口的具體運用:將通信協議看成英語,RS232通信方式比作印度人,而RS485通信方式則為美國人,當印度人彼此間用英語對話時,可將這一過程理解為依托于RS232通信方式的Modbus通信,而另一種硬件接口應用也是如此,即當美國人使用英語交談時,可看成基于RS485通信方式的Modbus通信。按照維度對Modbus模式進行劃分,可細化為三種,即ModbusRtu、ModbusASCII、ModbusTCP。若根據接口類型維度對各模式加以解析,前兩種模式是基于串行鏈路的串行通信口,而最后一種模式基于TCP/IP協議,可被歸類于網絡通信口。Modbus使用的是一種較為簡單的客戶機/服務器協議來實現通信的,其中,客戶機是協議中的主站,主要作用是將各類通信請求傳遞給服務器,而作為從站的服務器在獲取到請求后,在第一時間對其內容加以分析并做出相應的回應。這一過程中,所應用到的通信幀通常被叫作應用數據單元,主要包括四個子單元,分別為在校驗段、數據段、功能代碼段、通信地址段。數據段與功能代碼段的組合被叫作協議數據單元,后者通常占用一個字節,取值區間為1~255,且大于128的字節可看成保留值,主要作用是應答報文異常信息,而小于127的字節一般為功能代碼編號,其中,自定義編碼為62~72、100~110。
3.2OPC通信協議
OPC是微軟公司對象鏈接和嵌入技術在過程控制方面的應用,主要以OLE/COM/DCOM技術為基礎,借助客戶/服務器模式,針對工業自動化軟件面向對象開發工作制定出統一的標準,標準的使用可從根本上實現硬件開發商為自己硬件產品開發出統一的OPC接口程序,而軟件開發者不需再執行驅動程序開發工作,只需借助OPC協議規范便可將基于Windows應用的企業辦公管理應用軟件和生產現場的自動化設備有效地連接起來,以增強遠程監控管理與生產現場實時數據交換的簡捷化、標準化。OPC采用典型的C/S模式,由硬件廠商針對硬件設備驅動程序構建出統一OPC接口標準的Server程序,再由軟件廠商根據OPC標準接口編寫Client程序,實現對Server程序的訪問與讀寫,從而達到同硬件設備通信的目的。OPC數據訪問服務器是依托于OPC數據訪問規范而特別定義的服務器類別,可實現數據通信,但OPC服務器需安裝于支持MicrosoftWindows操作系統的PC終端上,才能發揮出通信功能[3]。深圳LNG接收站配備windows平臺的PHD實時數據庫,支持OPC通信,與此同時,又安裝OPC服務器及相應客戶端完成授權,以實現設備狀態量—傳感器(I/0點)—PLC—OPCServer—OPCClient-數據庫-終端應用等數據通信的目的。
3.3計算機病毒感染機理
計算機病毒是編制者將能夠干擾計算機功能或數據的代碼寫入計算機程序中,不利于計算機的安全運行,且這類病毒還可對計算機指令、程序代碼進行自我復制。計算機病毒表現出極強的破壞性、隱蔽性、傳播性,可將其看成一個程序或一段可執行碼,既能夠在短時間內完成病毒的傳播與復制,又無法借助簡單的手段根除。此外,計算機病毒可滲透進計算機存儲介質中,當滿足相應條件后,可立即被激活,并通過修改其他程序實現病毒的自我拷貝,或以另一種形式流入其他程序中,久而久之,計算機內部資源會被大規模破壞。通常來說,計算機病毒的傳播途徑有3種:①通過移動存儲設備來傳播;②利用網絡環境進行傳播;③借助計算機系統與應用軟件表現出的特點來傳播。
3.4系統網絡接口的配置
深圳LNG項目工業控制系統為霍尼韋爾ExperionPKS,并為其配置兩臺冗余系統服務器,以實現過程控制數據的實時采集與處理。數據處理時,借助系統網絡中的霍尼韋爾實時數據庫PHD管理系統打造出無縫數據集成接口,實現歷史數據的自動恢復與采集,以增強數據整體安全性、可靠性。與此同時,還構建極具開放性的各類產品化接口,包括一個OPC服務器許可證以及五個OPC客戶端授權?;裟犴f爾PHD與現有接收站霍尼韋爾ExperionPKS系統進行高效集成,體現出較為顯著的技術優勢,且更易于對控制系統的管理,在集成度方面也更為安全,極大程度地減小系統維護量。PHD采用映像結構,利用防火墻對過程控制網絡進行保護,提供服務器和客戶端的標準接口,支持OPC歷史數據和OPC數據存取訪問,允許現有PHD實時數據庫控制系統對過程控制網絡提供安全保護與隔離服務。深圳LNG控制系統網絡設計中,霍尼韋爾ExperionPKS和第三方設備彼此間的數據通信通過串口服務器實現,第三方設備主要為可編程控制器單元,將RS485接口與現有控制系統網絡串口服務器相連接。其中,控制系統應用QuickBuilder軟件,以達到霍尼韋爾ExperionPKS服務器與第三方設備通信連接的目的,而第三方設備運行時產生的數據由服務器進行監督與管理。這種設計方法可保證數據在系統控制器外部完成傳輸工作,起到減小系統負荷的作用,適用于簡單控制與數據監視中,且在數據訪問方面較為靈活,有助于網絡安全、可靠運行。
4遠程數據通信方案設計實現與成效
4.1數據傳輸接口設計
兩個企業站點控制系統所使用的遠程終端單元具有較強的存儲處理能力,并具備兼容雙方控制系統數據存儲、雙向互傳、集中轉發功能,此外,這類遠程終端單元同時具有ModbusRTU和以太網ModbusTCP網絡接口協議,并擁有2個10/100M以太網端口、2個可編程RS485端口。在此基礎上,又增加霍尼韋爾ExperionPKS系統硬件防火墻物理隔離防護,將RTU看成數據存儲與隔離單元,以規避計算機病毒相互感染的風險,且兩站點間均為Modbus通信,并在通信時將ModbusTCP轉換為RTU,加快數據轉換效率的同時減低病毒感染。深圳LNG接收站和中石油西氣東輸求雨嶺分輸站授權內均配置了Modbus通信協議,雙方統一規劃采用ModbusRTU接入串口服務器再接入各自控制系統。
4.2系統硬件網絡結構
在深圳LNG接收站霍尼韋爾ExperionPKS控制系統網絡一側配置1套冗余的霍尼韋爾RT2020U設備、1臺RTU編程器、2臺串口服務器及2臺Modbus-TCP防火墻。根據中國電信DDN數據專線接入位置,再向兩側各增加2個光電轉換器,共計4個光電轉換器。將RTU2020作為深圳LNG霍尼韋爾ExperionPKS系統的從站,考慮到不同企業之間數據采集對工控系統和生產管理系統的安全性問題,RTU與串口服務器采用Modbus-RTU協議,以此避免病毒通過網絡接口對系統進行攻擊而增大系統安全運行風險,再利用串口服務器將該協議轉換為Modbus-TCP,同Modbus-TCP防火墻相連接,實現對系統的進一步防護,最后接入深圳LNG接收站霍尼韋爾ExperionPKS系統。通過串口服務器轉換為Modbus-TCP,提升了傳輸速率,還從根本上提高數據刷新速度,增加數據量,而借助冗余配置法得到的通信鏈路具有極高的可靠性。系統運行時,其數據流向如下:深圳LNG接收站將待發送的數據寫入RTU2020,中石油西氣東輸求雨嶺分輸站利用RTU讀取數據。深圳LNG新增的RTU2020設備是中石油西氣東輸求雨嶺分輸站的一個遠程節點,需借助DDN專線作為數據互傳的物理鏈路,實現深圳LNG同中石油西氣東輸求雨嶺分輸站霍尼韋爾ExperionPKS系統的相互連接。RTU2020為從站,為中石油西氣東輸求雨嶺分輸站霍尼韋爾ExperionPKS平臺與Modbus-TCP之間的通信提供媒介。在此期間,對各企業之間數據采集可能引起的工控系統與生產管理系統安全性問題進行綜合考量,決定再增設2臺Modbus-TCP防火墻。分輸站彼此間通信時,數據流向為中石油西氣東輸求雨嶺分輸站根據深圳LNG提供的地址表,在霍尼韋爾ExperionPKS側組態好所需發送的數據,為深圳LNG接收站從RTU2020讀取數據提供便利條件。
4.3通信方案設計成效
在綜合網絡安全與系統安全評估中展開對深圳LNG和西氣東輸求雨嶺分輸站控制系統數據的分析,可發現各類數據更傾向于系統安全的維護與保障。而通過隔離RTU和利用安全性較高的ModbusRTU通信,可實現對控制系統平臺的隔離防護,從根本上降低移動運營商等外部網絡傳輸鏈路中計算機病毒造成的干擾,確保雙方控制系統中服務器等計算機設備整體安全性,以規避工控系統被攻擊安全問題的發生,也可實現對病毒侵入行為的全方位管理。這種隔離措施的落實既能夠達到對控制系統的安全防護,又不需投入過多防護成本,為雙方企業安全利益提供基本保障,促進接收站安全、穩定運作。本項目通過改造數據通信,不僅兼顧系統安全和網絡安全的應用,實現對兩種不同協議間的相互轉換機理的有效掌握,還基本滿足OPC和Modbus通信在不同場景應用的要求,促使設備安全管理整體水準的大幅提高。
5結束語
遠程數據通信工程是保障工業控制系統穩定、安全運行的基礎,通過對系統運行狀態的遠程監管,可及時發現不良攻擊行為并加以安全防范。為發揮出遠程數據通信功能,就需注重項目方案的設計工作,明確方案具體設計內容,并在完整、可靠的系統運行數據支撐下,實現對網絡安全、系統安全的綜合評估,有助于系統運行安全性的進一步增強。
參考文獻
[1]翟亞紅,孫元成,林芳.淺談信息系統安全服務的遠程審核[J].2021(4):41-43.
[2]鐘力,高曦.基于安全即時通信技術的遠程辦公解決方案及應用[J].信息安全研究,2020,6(4):301-310.
作者:蘭奇發 單位:國家管網集團深圳天然氣有限公司