系統(tǒng)安全的遠程數(shù)據(jù)通信方案探析

前言：想要寫出一篇引人入勝的文章？我們特意為您整理了系統(tǒng)安全的遠程數(shù)據(jù)通信方案探析范文，希望能給你帶來靈感和參考，敬請閱讀。

摘要：以深圳LNG為背景，分析遠程數(shù)據(jù)通信工程設(shè)計的必要性，并站在DCS、PLC等工業(yè)控制系統(tǒng)安全運行角度，凸顯出遠程數(shù)據(jù)通信方案的設(shè)計目標(biāo)。方案實際設(shè)計時，側(cè)重對Modbus協(xié)議、OPC通信協(xié)議、計算機病毒感染機理等基本內(nèi)容的研究，在此基礎(chǔ)上，分析數(shù)據(jù)傳輸接口以及系統(tǒng)硬件網(wǎng)絡(luò)結(jié)構(gòu)的具體設(shè)計以及功能實現(xiàn)，以全面增強深圳LNG傳輸穩(wěn)定性，工業(yè)控制系統(tǒng)運行安全性。

關(guān)鍵詞：系統(tǒng)安全；遠程數(shù)據(jù)通信；數(shù)據(jù)傳輸接口；系統(tǒng)接口配置

1遠程數(shù)據(jù)通信方案立項背景

深圳LNG接收站建設(shè)在深圳東部迭福片區(qū)，占地面積約27hm2，作為深圳市“十二五”能源基礎(chǔ)設(shè)施重點建設(shè)項目，接收站的建設(shè)與運作可為深圳市天然氣安全供應(yīng)、能源結(jié)構(gòu)和布局優(yōu)化、節(jié)能減排推進、生態(tài)環(huán)境改善等工作的開展與實施提供保障。為加快國家油氣改革步伐，達到管網(wǎng)互聯(lián)互通運行效果，最終確定深圳LNG、迭福北LNG應(yīng)急調(diào)峰站連通線管道長度為1.9km，并同西氣東輸管線相連通[1]。建設(shè)項目實施后，可滿足接收站氣化外輸、下游西氣東輸管線連線配套閥室安全平穩(wěn)運營和貿(mào)易計量的需要，并實現(xiàn)外輸管線計量及動態(tài)監(jiān)控數(shù)據(jù)的實時反饋。為達到這一效果，就需搭建數(shù)據(jù)可實時共享的互通聯(lián)絡(luò)站點，實現(xiàn)各項數(shù)據(jù)的遠程通信，并賦予接收站外輸精準控制、提前規(guī)劃、均衡分配等功能，從根本上調(diào)節(jié)天然氣管線外輸時下游管道壓力、溫度、流量、組分等數(shù)值，以此適應(yīng)下游客戶提氣和生產(chǎn)需求負荷的變化。

2遠程數(shù)據(jù)通信方案設(shè)計目標(biāo)

接收站DCS、PLC等工業(yè)控制系統(tǒng)主要用來控制生產(chǎn)設(shè)備運行，在此過程中，若系統(tǒng)信息安全存在漏洞，并在缺乏技術(shù)防護措施的情況下，無法發(fā)揮出系統(tǒng)安全防護與應(yīng)急處理能力，增大病毒侵害的風(fēng)險性，造成經(jīng)濟損失的同時引發(fā)系統(tǒng)安全事故。對此，需重視深圳LNG和下游西氣東輸公司控制中心數(shù)據(jù)互傳通信問題的有效解決，但由于連通雙方的生產(chǎn)控制中心距離較遠，且缺乏直通光纖網(wǎng)絡(luò)，基于這一考慮，需由電信設(shè)備運營服務(wù)商打造基于DDN專線的點到點通信鏈路，以實現(xiàn)數(shù)據(jù)的遠程、實時傳輸。與此同時，為保證數(shù)據(jù)可在復(fù)雜的網(wǎng)絡(luò)環(huán)境中安全、可靠傳輸，還需加強工業(yè)系統(tǒng)網(wǎng)絡(luò)安全防護，設(shè)計出可同時兼顧網(wǎng)絡(luò)安全和協(xié)議匹配的最佳方案。當(dāng)前雙方控制系統(tǒng)傳輸數(shù)據(jù)點規(guī)?？倲?shù)多達上百點，且雙方所使用的控制系統(tǒng)相同。而工業(yè)控制系統(tǒng)平臺接口協(xié)議均支持OPC和MODBUS協(xié)議，實際設(shè)計時，應(yīng)根據(jù)綜合評估控制系統(tǒng)運行情況與數(shù)據(jù)傳輸安全性要求，合理選用滿足雙方系統(tǒng)接入需求，又極具安全性、可靠性的協(xié)議類型與傳輸方式。

3基于系統(tǒng)安全的遠程數(shù)據(jù)通信方案內(nèi)容研究

3.1Modbus協(xié)議

Modbus協(xié)議于1971年被Modicon公司首次推出，并在1997年又推出ModbusTCP協(xié)議。而我國于2004年將Modbus當(dāng)成國家語言標(biāo)準。作為一種可用在電子控制器上的通用語言，協(xié)議的使用可實現(xiàn)各控制器間、控制器與其他設(shè)備間的相互通信。Modbus協(xié)議體現(xiàn)出開放性、標(biāo)準化的特點，能夠為多種電氣接口的連入提供可靠支持，且在數(shù)據(jù)幀格式方面也表現(xiàn)出緊湊性的特征，可同時傳輸大量數(shù)據(jù)信息，在該協(xié)議的支撐下，可將多個廠商所生產(chǎn)的控制設(shè)備連接在一起，構(gòu)成完善的工業(yè)網(wǎng)絡(luò)，實現(xiàn)對控制系統(tǒng)及各設(shè)備的實時、遠程監(jiān)管與控制[2]。作為一種國際標(biāo)準通信協(xié)議，Modbus需在相應(yīng)硬件設(shè)備的支撐下才能發(fā)揮出通信功能，且不同硬件在電氣連接方式以及所表現(xiàn)出來的特性也存在較大的差異性，各硬件設(shè)備借助協(xié)議并在硬件接口的幫助下完成數(shù)據(jù)信息的實時傳輸，與此同時，研發(fā)出多種類型硬件接口，比如RS232\RS422\RS485等，其中，RS485可實現(xiàn)數(shù)據(jù)的遠距離傳輸，是現(xiàn)階段工業(yè)現(xiàn)場應(yīng)用最為廣泛的一種硬件接口。以舉例的方式說明各硬件接口的具體運用：將通信協(xié)議看成英語，RS232通信方式比作印度人，而RS485通信方式則為美國人，當(dāng)印度人彼此間用英語對話時，可將這一過程理解為依托于RS232通信方式的Modbus通信，而另一種硬件接口應(yīng)用也是如此，即當(dāng)美國人使用英語交談時，可看成基于RS485通信方式的Modbus通信。按照維度對Modbus模式進行劃分，可細化為三種，即ModbusRtu、ModbusASCII、ModbusTCP。若根據(jù)接口類型維度對各模式加以解析，前兩種模式是基于串行鏈路的串行通信口，而最后一種模式基于TCP/IP協(xié)議，可被歸類于網(wǎng)絡(luò)通信口。Modbus使用的是一種較為簡單的客戶機/服務(wù)器協(xié)議來實現(xiàn)通信的，其中，客戶機是協(xié)議中的主站，主要作用是將各類通信請求傳遞給服務(wù)器，而作為從站的服務(wù)器在獲取到請求后，在第一時間對其內(nèi)容加以分析并做出相應(yīng)的回應(yīng)。這一過程中，所應(yīng)用到的通信幀通常被叫作應(yīng)用數(shù)據(jù)單元，主要包括四個子單元，分別為在校驗段、數(shù)據(jù)段、功能代碼段、通信地址段。數(shù)據(jù)段與功能代碼段的組合被叫作協(xié)議數(shù)據(jù)單元，后者通常占用一個字節(jié)，取值區(qū)間為1~255，且大于128的字節(jié)可看成保留值，主要作用是應(yīng)答報文異常信息，而小于127的字節(jié)一般為功能代碼編號，其中，自定義編碼為62~72、100~110。

3.2OPC通信協(xié)議

OPC是微軟公司對象鏈接和嵌入技術(shù)在過程控制方面的應(yīng)用，主要以O(shè)LE/COM/DCOM技術(shù)為基礎(chǔ)，借助客戶/服務(wù)器模式，針對工業(yè)自動化軟件面向?qū)ο箝_發(fā)工作制定出統(tǒng)一的標(biāo)準，標(biāo)準的使用可從根本上實現(xiàn)硬件開發(fā)商為自己硬件產(chǎn)品開發(fā)出統(tǒng)一的OPC接口程序，而軟件開發(fā)者不需再執(zhí)行驅(qū)動程序開發(fā)工作，只需借助OPC協(xié)議規(guī)范便可將基于Windows應(yīng)用的企業(yè)辦公管理應(yīng)用軟件和生產(chǎn)現(xiàn)場的自動化設(shè)備有效地連接起來，以增強遠程監(jiān)控管理與生產(chǎn)現(xiàn)場實時數(shù)據(jù)交換的簡捷化、標(biāo)準化。OPC采用典型的C/S模式，由硬件廠商針對硬件設(shè)備驅(qū)動程序構(gòu)建出統(tǒng)一OPC接口標(biāo)準的Server程序，再由軟件廠商根據(jù)OPC標(biāo)準接口編寫Client程序，實現(xiàn)對Server程序的訪問與讀寫，從而達到同硬件設(shè)備通信的目的。OPC數(shù)據(jù)訪問服務(wù)器是依托于OPC數(shù)據(jù)訪問規(guī)范而特別定義的服務(wù)器類別，可實現(xiàn)數(shù)據(jù)通信，但OPC服務(wù)器需安裝于支持MicrosoftWindows操作系統(tǒng)的PC終端上，才能發(fā)揮出通信功能[3]。深圳LNG接收站配備windows平臺的PHD實時數(shù)據(jù)庫，支持OPC通信，與此同時，又安裝OPC服務(wù)器及相應(yīng)客戶端完成授權(quán)，以實現(xiàn)設(shè)備狀態(tài)量—傳感器（I/0點）—PLC—OPCServer—OPCClient-數(shù)據(jù)庫-終端應(yīng)用等數(shù)據(jù)通信的目的。

3.3計算機病毒感染機理

計算機病毒是編制者將能夠干擾計算機功能或數(shù)據(jù)的代碼寫入計算機程序中，不利于計算機的安全運行，且這類病毒還可對計算機指令、程序代碼進行自我復(fù)制。計算機病毒表現(xiàn)出極強的破壞性、隱蔽性、傳播性，可將其看成一個程序或一段可執(zhí)行碼，既能夠在短時間內(nèi)完成病毒的傳播與復(fù)制，又無法借助簡單的手段根除。此外，計算機病毒可滲透進計算機存儲介質(zhì)中，當(dāng)滿足相應(yīng)條件后，可立即被激活，并通過修改其他程序?qū)崿F(xiàn)病毒的自我拷貝，或以另一種形式流入其他程序中，久而久之，計算機內(nèi)部資源會被大規(guī)模破壞。通常來說，計算機病毒的傳播途徑有3種：①通過移動存儲設(shè)備來傳播；②利用網(wǎng)絡(luò)環(huán)境進行傳播；③借助計算機系統(tǒng)與應(yīng)用軟件表現(xiàn)出的特點來傳播。

3.4系統(tǒng)網(wǎng)絡(luò)接口的配置

深圳LNG項目工業(yè)控制系統(tǒng)為霍尼韋爾ExperionPKS，并為其配置兩臺冗余系統(tǒng)服務(wù)器，以實現(xiàn)過程控制數(shù)據(jù)的實時采集與處理。數(shù)據(jù)處理時，借助系統(tǒng)網(wǎng)絡(luò)中的霍尼韋爾實時數(shù)據(jù)庫PHD管理系統(tǒng)打造出無縫數(shù)據(jù)集成接口，實現(xiàn)歷史數(shù)據(jù)的自動恢復(fù)與采集，以增強數(shù)據(jù)整體安全性、可靠性。與此同時，還構(gòu)建極具開放性的各類產(chǎn)品化接口，包括一個OPC服務(wù)器許可證以及五個OPC客戶端授權(quán)?；裟犴f爾PHD與現(xiàn)有接收站霍尼韋爾ExperionPKS系統(tǒng)進行高效集成，體現(xiàn)出較為顯著的技術(shù)優(yōu)勢，且更易于對控制系統(tǒng)的管理，在集成度方面也更為安全，極大程度地減小系統(tǒng)維護量。PHD采用映像結(jié)構(gòu)，利用防火墻對過程控制網(wǎng)絡(luò)進行保護，提供服務(wù)器和客戶端的標(biāo)準接口，支持OPC歷史數(shù)據(jù)和OPC數(shù)據(jù)存取訪問，允許現(xiàn)有PHD實時數(shù)據(jù)庫控制系統(tǒng)對過程控制網(wǎng)絡(luò)提供安全保護與隔離服務(wù)。深圳LNG控制系統(tǒng)網(wǎng)絡(luò)設(shè)計中，霍尼韋爾ExperionPKS和第三方設(shè)備彼此間的數(shù)據(jù)通信通過串口服務(wù)器實現(xiàn)，第三方設(shè)備主要為可編程控制器單元，將RS485接口與現(xiàn)有控制系統(tǒng)網(wǎng)絡(luò)串口服務(wù)器相連接。其中，控制系統(tǒng)應(yīng)用QuickBuilder軟件，以達到霍尼韋爾ExperionPKS服務(wù)器與第三方設(shè)備通信連接的目的，而第三方設(shè)備運行時產(chǎn)生的數(shù)據(jù)由服務(wù)器進行監(jiān)督與管理。這種設(shè)計方法可保證數(shù)據(jù)在系統(tǒng)控制器外部完成傳輸工作，起到減小系統(tǒng)負荷的作用，適用于簡單控制與數(shù)據(jù)監(jiān)視中，且在數(shù)據(jù)訪問方面較為靈活，有助于網(wǎng)絡(luò)安全、可靠運行。

4遠程數(shù)據(jù)通信方案設(shè)計實現(xiàn)與成效

4.1數(shù)據(jù)傳輸接口設(shè)計

兩個企業(yè)站點控制系統(tǒng)所使用的遠程終端單元具有較強的存儲處理能力，并具備兼容雙方控制系統(tǒng)數(shù)據(jù)存儲、雙向互傳、集中轉(zhuǎn)發(fā)功能，此外，這類遠程終端單元同時具有ModbusRTU和以太網(wǎng)ModbusTCP網(wǎng)絡(luò)接口協(xié)議，并擁有2個10/100M以太網(wǎng)端口、2個可編程RS485端口。在此基礎(chǔ)上，又增加霍尼韋爾ExperionPKS系統(tǒng)硬件防火墻物理隔離防護，將RTU看成數(shù)據(jù)存儲與隔離單元，以規(guī)避計算機病毒相互感染的風(fēng)險，且兩站點間均為Modbus通信，并在通信時將ModbusTCP轉(zhuǎn)換為RTU，加快數(shù)據(jù)轉(zhuǎn)換效率的同時減低病毒感染。深圳LNG接收站和中石油西氣東輸求雨嶺分輸站授權(quán)內(nèi)均配置了Modbus通信協(xié)議，雙方統(tǒng)一規(guī)劃采用ModbusRTU接入串口服務(wù)器再接入各自控制系統(tǒng)。

4.2系統(tǒng)硬件網(wǎng)絡(luò)結(jié)構(gòu)

在深圳LNG接收站霍尼韋爾ExperionPKS控制系統(tǒng)網(wǎng)絡(luò)一側(cè)配置1套冗余的霍尼韋爾RT2020U設(shè)備、1臺RTU編程器、2臺串口服務(wù)器及2臺Modbus-TCP防火墻。根據(jù)中國電信DDN數(shù)據(jù)專線接入位置，再向兩側(cè)各增加2個光電轉(zhuǎn)換器，共計4個光電轉(zhuǎn)換器。將RTU2020作為深圳LNG霍尼韋爾ExperionPKS系統(tǒng)的從站，考慮到不同企業(yè)之間數(shù)據(jù)采集對工控系統(tǒng)和生產(chǎn)管理系統(tǒng)的安全性問題，RTU與串口服務(wù)器采用Modbus-RTU協(xié)議，以此避免病毒通過網(wǎng)絡(luò)接口對系統(tǒng)進行攻擊而增大系統(tǒng)安全運行風(fēng)險，再利用串口服務(wù)器將該協(xié)議轉(zhuǎn)換為Modbus-TCP，同Modbus-TCP防火墻相連接，實現(xiàn)對系統(tǒng)的進一步防護，最后接入深圳LNG接收站霍尼韋爾ExperionPKS系統(tǒng)。通過串口服務(wù)器轉(zhuǎn)換為Modbus-TCP，提升了傳輸速率，還從根本上提高數(shù)據(jù)刷新速度，增加數(shù)據(jù)量，而借助冗余配置法得到的通信鏈路具有極高的可靠性。系統(tǒng)運行時，其數(shù)據(jù)流向如下：深圳LNG接收站將待發(fā)送的數(shù)據(jù)寫入RTU2020，中石油西氣東輸求雨嶺分輸站利用RTU讀取數(shù)據(jù)。深圳LNG新增的RTU2020設(shè)備是中石油西氣東輸求雨嶺分輸站的一個遠程節(jié)點，需借助DDN專線作為數(shù)據(jù)互傳的物理鏈路，實現(xiàn)深圳LNG同中石油西氣東輸求雨嶺分輸站霍尼韋爾ExperionPKS系統(tǒng)的相互連接。RTU2020為從站，為中石油西氣東輸求雨嶺分輸站霍尼韋爾ExperionPKS平臺與Modbus-TCP之間的通信提供媒介。在此期間，對各企業(yè)之間數(shù)據(jù)采集可能引起的工控系統(tǒng)與生產(chǎn)管理系統(tǒng)安全性問題進行綜合考量，決定再增設(shè)2臺Modbus-TCP防火墻。分輸站彼此間通信時，數(shù)據(jù)流向為中石油西氣東輸求雨嶺分輸站根據(jù)深圳LNG提供的地址表，在霍尼韋爾ExperionPKS側(cè)組態(tài)好所需發(fā)送的數(shù)據(jù)，為深圳LNG接收站從RTU2020讀取數(shù)據(jù)提供便利條件。

4.3通信方案設(shè)計成效

在綜合網(wǎng)絡(luò)安全與系統(tǒng)安全評估中展開對深圳LNG和西氣東輸求雨嶺分輸站控制系統(tǒng)數(shù)據(jù)的分析，可發(fā)現(xiàn)各類數(shù)據(jù)更傾向于系統(tǒng)安全的維護與保障。而通過隔離RTU和利用安全性較高的ModbusRTU通信，可實現(xiàn)對控制系統(tǒng)平臺的隔離防護，從根本上降低移動運營商等外部網(wǎng)絡(luò)傳輸鏈路中計算機病毒造成的干擾，確保雙方控制系統(tǒng)中服務(wù)器等計算機設(shè)備整體安全性，以規(guī)避工控系統(tǒng)被攻擊安全問題的發(fā)生，也可實現(xiàn)對病毒侵入行為的全方位管理。這種隔離措施的落實既能夠達到對控制系統(tǒng)的安全防護，又不需投入過多防護成本，為雙方企業(yè)安全利益提供基本保障，促進接收站安全、穩(wěn)定運作。本項目通過改造數(shù)據(jù)通信，不僅兼顧系統(tǒng)安全和網(wǎng)絡(luò)安全的應(yīng)用，實現(xiàn)對兩種不同協(xié)議間的相互轉(zhuǎn)換機理的有效掌握，還基本滿足OPC和Modbus通信在不同場景應(yīng)用的要求，促使設(shè)備安全管理整體水準的大幅提高。

5結(jié)束語

遠程數(shù)據(jù)通信工程是保障工業(yè)控制系統(tǒng)穩(wěn)定、安全運行的基礎(chǔ)，通過對系統(tǒng)運行狀態(tài)的遠程監(jiān)管，可及時發(fā)現(xiàn)不良攻擊行為并加以安全防范。為發(fā)揮出遠程數(shù)據(jù)通信功能，就需注重項目方案的設(shè)計工作，明確方案具體設(shè)計內(nèi)容，并在完整、可靠的系統(tǒng)運行數(shù)據(jù)支撐下，實現(xiàn)對網(wǎng)絡(luò)安全、系統(tǒng)安全的綜合評估，有助于系統(tǒng)運行安全性的進一步增強。

參考文獻

[1]翟亞紅，孫元成，林芳.淺談信息系統(tǒng)安全服務(wù)的遠程審核[J].2021（4）：41-43.

[2]鐘力，高曦.基于安全即時通信技術(shù)的遠程辦公解決方案及應(yīng)用[J].信息安全研究，2020，6（4）：301-310.

作者:蘭奇發(fā) 單位:國家管網(wǎng)集團深圳天然氣有限公司