智能电站控制—维护—管理系统集成中的安全隔离技术(2)

2.2 安全隔离后系统的网络结

构安全分区后，对HOMS 系统进行隔离，主要是调整系统网络结构，切断不必要的网络通道，对存在安全隐患的网络通道加装安全防护装置[13]。在安全II 区与安全III 之间，加装正、反向隔离装置，切断其TCP 连接，确保安全I 区和安全II 内系统不会受到直接的网络攻击。企业级子系统与厂级子系统通过正、反向隔离装置有机地联系在一起，这样既确保了HOMS 系统数据的安全性，又实现了安全II 区与安全III 区的数据交互;机组级子系统与安全I 区设备通过正向隔离装置进行隔离，并切断机组级子系统向安全I 区设备发送数据的通道，保证电力一次设备的安全性和可靠性;企业级子系统，通过硬件防火墙与管理信息网相连，抵御网络恶意代码等的攻击。安全隔离后系统的网络结构见图2。

3 安全隔离数据传输策略设计

3.1 总体思路

安全隔离后，安全I/II 区与安全III 区之间安装了电力系统专用横向隔离装置。隔离装置切断了安全区之间的TCP 连接，禁用了SQL 等数据查询命令;且安全区之间数据只能单向传输，因此系统许多原有的应用及数据传输方式将不能使用，需要进行改造才能适应新的网络结构。目前，在HOMS系统中，主要的数据包括实时数据和历史数据[14]。不同的数据其传输策略也不相同。

3.2 实时数据传输策略

实时数据表征机组实时运行状态与健康状态，贯穿整个监测系统，其数据源位于HOMS 系统底层设备单元的数据采集系统。各设备单元将采集到的实时数据经过分析处理，上传至综合单元;综合单元进行数据综合和存储，并以每1s 一次的频率向上转发至厂级WEB 服务器;厂级WEB 服务器上部署数据转发程序，接收实时数据，响应客户连接请求，并以Flash 及曲线的形式将实时数据展现给用户。

加装隔离装置以后，位于安全II 区的用户对实时数据的浏览不受影响，但位于安全III 区的用户由于无法向安全II 区发送TCP 数据连接请求，所以不能获取实时数据。为此采取的数据传输策略为：选择面向无连接的UDP 传输模式，由厂级WEB服务器主动将接收到的实时数据转发至企业级WEB 服务器。由于在实时数据与客户端的交互过程中，Flash 可视化及曲线显示模块不支持UDP 协议，因此必须在企业级WEB 服务器上对实时数据进行转换，并以TCP 模式与客户端进行通信，通过可视化模块中的脚本完成实时数据的交互。实时数据详细的传输流程如图3 所示。

改变数据传输策略后，处于安全III 区的用户在WEB 页面提交查询请求给Flash，Action Script脚本响应客户端动作并调用Socket 服务，向数据缓存与转发模块提交TCP 连接申请;转发模块与客户端建立通信连接后，从企业级WEB 服务器调出指定的Flash 文件并接收从安全II 区转发过来的实时数据，最后返回到WEB 页面展现给用户。

3.3 历史数据传输策略

历史数据表征机组历史运行状况与健康状况，为专家进行机组故障辨识、故障分析与诊断提供了宝贵的运行数据与样本资料。它是由机组综合单元根据各设备单元上传的监测数据，经过分析和处理所得到的，根据其距离当前时间的长短分别保存在厂级数据库服务器和机组综合单元的数据库中(距今超过3 个月的数据保存在厂级数据库服务器中，否则数据保存在机组综合单元的数据库中)。根据数据生成方式以及保存条件的不同，历史数据可分为原始采样数据、瞬变状态数据、详细状态数据、概要状态数据与趋势数据。用户可通过WEB 服务器使用SQL 命令访问数据库进行调阅。

由于SQL命令是一种基于TCP协议的双向访问方式，加装横向隔离装置之后，TCP 连接被切断，安全Ⅲ区用户将无法通过数据库查询命令访问历史数据，所以必须进行应用程序改造。改造后的数据传输方案为：企业级WEB 服务器响应远程用户请求，将数据查询命令写入文件;反向隔离通信软件将文件进行加密，并通过反向隔离装置传至厂级WEB 服务器，厂级WEB 服务器实时检测文件更新，读取文件，根据查询命令访问数据库服务器获取数据，生成数据文件;正向隔离通信软件将数据文件通过正向隔离装置返回企业级WEB 服务器，企业级WEB 服务器访问数据文件，生成WEB 页面，与用户完成数据交互。历史数据传输流程见图4。