二次加壓供水設(shè)備控制系統(tǒng)安全隔離單元設(shè)計.docx_第1頁
二次加壓供水設(shè)備控制系統(tǒng)安全隔離單元設(shè)計.docx_第2頁
二次加壓供水設(shè)備控制系統(tǒng)安全隔離單元設(shè)計.docx_第3頁
二次加壓供水設(shè)備控制系統(tǒng)安全隔離單元設(shè)計.docx_第4頁
二次加壓供水設(shè)備控制系統(tǒng)安全隔離單元設(shè)計.docx_第5頁
全文預(yù)覽已結(jié)束

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

1、二次加壓供水設(shè)備控制系統(tǒng)安全隔離單元設(shè)計張文皓,趙權(quán)益(浙江富萊迪環(huán)境設(shè)備有限責任公司.浙江寧波315000)摘要二次供水加壓設(shè)備通常由典型的工業(yè)控制系統(tǒng)運行,一旦被黑客入侵,可能導(dǎo)致供水壓力被耳意提升,造成居民樓用水設(shè)施爆裂和“水漫金山”的災(zāi)雄性后果,因此二次供水泵站的監(jiān)控系統(tǒng)非常柬要.必須納入工業(yè)控制系統(tǒng)安全等級保護范圍.本文為二次供水設(shè)備設(shè)計了實用的安全隔離單元,己成功應(yīng)用于近百個二次供水泵房的遠程監(jiān)控系統(tǒng)。(關(guān)健詞二次供水;自來水:工業(yè)控制:安全隔離中圖分類號TQ文獻怵識碼A文章編號1007-1865(2018)21-0088-04DesignofControlSystemSafety

2、IsolationUnitforDrinkingWaterSecondaryPumpingStationsZhangWenhao.ZhaoQuanyi(ZhejiangFriendlyEnvironmentalEquipmentCompanyLtd.Ningbo315000.China)Abstract:Thesecondarypumpingstationofdrinkingwalerisusuallyoperatedunderatypicalindustrialcontrolsystem.Onceitishacked,thewatersupplypressurecouldbearbitrar

3、ilyraisedtounbearabledegreeanddisastrousconsequencesmighthappensuchasburstingofwatersupplypipesorfacilitiesandwaleroverflowinsidethewholeresidentialbuilding.Therefore,monitoringsystemofsecondarypumpingstationisofgreatimportanceandmustbeincludedinthesafetylevelprotectionscopeofindustrialcontrolsystem

4、.Inthispaper,severalsafetyisolationunitswerepracticallydesignedtoprovideproleciiontbrtheremotemonitoringsystemandsuccessfullyappliedinnearly100drinkingwatersecondarypumpingstations.Keywords:secondarypumpingstation:drinkingwatersupply:industrialcontrolsystem:safetyisolation1前言二次供水加壓設(shè)備在最初發(fā)展的幾十年里是在泵房內(nèi)相

5、對獨立的運行系統(tǒng),與自來水公司管理系統(tǒng)是隔離的。但是隨者自來水公訶對實現(xiàn)管理與控制的一體化需求的增加,二次供水加壓設(shè)備控制系統(tǒng)和企業(yè)管理信息系統(tǒng)逐步實現(xiàn)門1絡(luò)化集成,管理信息網(wǎng)絡(luò)與生產(chǎn)控制網(wǎng)絡(luò)之間實現(xiàn)了數(shù)據(jù)交換.導(dǎo)致二次供水加壓設(shè)備控制系統(tǒng)不再是一個相對獨立運行的系統(tǒng),而要與管理系統(tǒng)進行互通、互聯(lián)。另外.PLC也在向以太網(wǎng)接口發(fā)展,開放性越來越強,基于TCP/IP協(xié)議以太網(wǎng)通訊技術(shù)在該領(lǐng)域得到廣泛應(yīng)用.這樣很容易遭到來自企業(yè)管理網(wǎng)或互聯(lián)網(wǎng)的病毒、木馬以及黑客的攻擊。料二次供水泉房管理近幾年納入自來水公司的范圍,為加強管理,部分自來水公司實現(xiàn)了二次供水泵房遠程監(jiān)控,實時學控各二次供水泵房的運行情

6、況,但卻很少考慮到工控系統(tǒng)安全。DB3312051-2017智慧供排水信息系統(tǒng)安全技術(shù)規(guī)范明確炭定“第二級以上的工控網(wǎng)絡(luò)采用技術(shù)手段進行物理隔離,必須做到其它任何網(wǎng)(也包括辦公網(wǎng)、互聯(lián)網(wǎng)等)都無法向工控網(wǎng)傳送任何指令和數(shù)據(jù)?!眱啥喂┧訅涸O(shè)備近些年實現(xiàn)了集中遠程監(jiān)控,用到了大技的PLC(可編程控制器),這些系統(tǒng)都是工業(yè)控制系統(tǒng),一旦被黑客入侵.就以修改出水壓力等參數(shù),可能會將供水管網(wǎng)完全破壞掉,其后果極為嚴2二次供水設(shè)備遠程監(jiān)控系統(tǒng)一般網(wǎng)絡(luò)架構(gòu)二次供水系站工控系統(tǒng)一般采用PLC(可編程控制器),也有少部分老產(chǎn)品采用單片機.在通訊接口方面.一般有串口、以太網(wǎng)口,或兩占都有,新型的PLC般都自帶

7、以太網(wǎng)口在實現(xiàn)遠程監(jiān)控網(wǎng)絡(luò)方式上,一般仃兩種,即GPRS/CDMA的無線通訊方式和VPN有線通訊方式?,F(xiàn)行大部分二次供水設(shè)備遠程監(jiān)控網(wǎng)絡(luò)架構(gòu)如圖1所示。圖1二次供水設(shè)備遠程監(jiān)控的典型網(wǎng)絡(luò)架構(gòu)Fig.lTypicalmethodsofremotemonitoringnetworkarchitectureforsecondarypumpingstation從圖I看出.我們把某房分為3類:通過串I】以GPRS或CDMA的方式將數(shù)據(jù)上傳到二次供水調(diào)度中心“數(shù)據(jù)采集與實時監(jiān)控"計算機.通過串1轉(zhuǎn)以太網(wǎng)設(shè)備將數(shù)據(jù)以仃線VPN的方式上傳到二次供水調(diào)度中心“數(shù)據(jù)采集與實時監(jiān)控”計算機。這類方式適用第

8、-類方式.無線到有線通訊方式的改造。直接將數(shù)據(jù)以有線VPN的方式上傳到二次供水調(diào)度中心“致?lián)杉c實時監(jiān)控”計算機。般的系統(tǒng)只講求如何實現(xiàn)二次供水設(shè)備的遠程監(jiān)控,并沒有考慮到工控系統(tǒng)的安全問題,黑客很容易通過辦公系統(tǒng)入侵并控制二次供水設(shè)備的運行。3兩級隔離系統(tǒng)的設(shè)計為了加強二次供水設(shè)備監(jiān)控工業(yè)控制的安全措施,我們需要收犒日期)2018-10-10作芥簡介張文的(1971.).男.宇波小人.碩k研究生,主要研究方向為計紹機技術(shù).對現(xiàn)仃的網(wǎng)絡(luò)系統(tǒng)進行改造,針對三種不同的家站做現(xiàn)場I:控系拓撲結(jié)構(gòu)見圖2.下面我們就現(xiàn)場匚控系統(tǒng)物理隔離和辦公網(wǎng)和統(tǒng)物理隔離,并在辦公網(wǎng)和監(jiān)控網(wǎng)之間做J'邏輯隔離

9、.系統(tǒng)網(wǎng)絡(luò)監(jiān)控網(wǎng)之間做了邏輯隔離作具體設(shè)計.二次供水設(shè)備遠程監(jiān)控二級網(wǎng)絡(luò)隔離辦公鞭機期2次機2M印以太Mil的Itc歡*采兼,實時mi?V;圖2系統(tǒng)網(wǎng)絡(luò)二級隔離拓撲結(jié)構(gòu)圖Fig.2Topologicalstructurediagramof2-levelsisolationsafetyofcontrolsystem3.1二次供水泵房設(shè)備控制系統(tǒng)RS232串口通訊物理層隔離RS232T:.,以作:接收RXD、發(fā)送TXD、接地GND。常見的9針接口對應(yīng)為2、3、5:根接頭,在使用上,接線方法為2、3交叉.5直聯(lián),如卜圖3所示,實現(xiàn)設(shè)備的雙向通訊。0RX+RX-TX*未用(數(shù)據(jù)接收正端)(數(shù)據(jù)接收負端

10、)(數(shù)據(jù)發(fā)送正端)5未用注6TX->7未用、8未用(數(shù)據(jù)發(fā)送負端)圖6RJ45接口DCE類型引腳定義Fig.6PindefinitionofDCEtypeofRJ45interfaceo0圖3232串口雙向通訊Fig.3Two-waycommunicationof232serialport針對帶串口的PLC數(shù)據(jù)通訊,我們把PLC的接收RXD線去掉.這樣PLC只能上傳數(shù)據(jù).而不能接收命令,實現(xiàn)J'真正意義上的單向物理隔*.如圖4、圖5再通過PLC的232串口自由口編程,將PLC里要上傳的數(shù)據(jù)以規(guī)定的協(xié)議定期上傳就可以了從物理接口定義上來看,網(wǎng)線中的8根線實際只用到了4根.其中I、2

11、是接收,3、6是發(fā)送。在協(xié)議層,有兩種即基于連接的TCP和基于IF連接的UDP.很顯然采用TCP協(xié)議傳輸數(shù)據(jù).這四根線必不"少,若采用單向的UDP協(xié)議傳輸數(shù)據(jù).倒是可以省掉兩根線。我們正是利用這點實現(xiàn)了PLC端單向UDP上傳數(shù)據(jù)做到了真花童義上的物理單向隔離.如圖7所示:圖4串口無線傳輸模式物理隔離原理Fig.4Physicalisolationofserialportwithwirelesstransmissionmode圖5串口有線'P、傳輸模式物理隔離原理Fig.5PhysicalisolationofserialportwithcableVPNtransmission

12、mode3.2二次供水策房設(shè)簿控制系統(tǒng)以太網(wǎng)通訊物理層隔離以太網(wǎng)通訊物理層隔離的做法其實和232串口隔離足個思路.我們先來看石RJ45接口DCE類型引腳定義.如圖6所示。交條機«Mii圖7RJ45接口單向隔離接線法Fig.7One-wayisolationofRJ45interfaceBLCiBIM口當然物理隔離的代價是.我們只能遠程監(jiān)測數(shù)據(jù),而不能發(fā)任何控制命令。3.3與辦公系統(tǒng)的邏輸隔離辦公系統(tǒng)與工控網(wǎng)采取雙網(wǎng)卡邏輯隔離。共體方法如下:(1)數(shù)據(jù)庫web服務(wù)器上裝有雙網(wǎng)卡。在配置匕是不同的網(wǎng)段,與辦公網(wǎng)相連的網(wǎng)卡加入公用網(wǎng)絡(luò).與工控網(wǎng)相連的網(wǎng)卡加入專用網(wǎng)絡(luò)。(2)開啟Window

13、s防火墻規(guī)則實現(xiàn)邏輯隔離。,aw»fWindow*幼大.,Hsaxhfifl9打開Windoon仍火.圖8使用Windows防火單來常助保護S3的計機window*nxvwarmiMMncB.venxiinte»fw<«機,.0家威戒工作(專用)網(wǎng)題o).。公用網(wǎng)8(P)開啟雙網(wǎng)卡防火墻Fig.8Enabledfirewallofthedualnetworkcards在出站規(guī)則1.只保留如圖所示的幾條必須的規(guī)則。xw)am*)m(v)mmh)根據(jù)信息系統(tǒng)安全等級保護最小化端口規(guī)則專用網(wǎng)絡(luò)的高級防火墻入站規(guī)姻只開放數(shù)據(jù)庫端口公用網(wǎng)絡(luò)的高級防火墻入站規(guī)則只開放w

14、eb端口.指定IP訪問這兩個端口。井旦這兩個端曰都不是系統(tǒng)玳認的端口其它用不到的端口全部關(guān)閉。至于如何修改數(shù)據(jù)庫和web的玖認端口.這里不再描述。r?'M8*SSSO-DNS(UDP-Out)»«OR*核g«!InternetS8WWhW(IGMPOut)K-OR*IPHHPS(TCP-Out)偵心網(wǎng)塔Teredo(UDP-Out)峰。網(wǎng)W0«oH«-S»KUEB*hi<(DMCPOu«)xwnanvMmoo*«xh)口".成計n肌上的睥安全四c名存«配心件巳禎COweHBC190

15、8公用S芝婿gOB«*】907S圖9最小化入站規(guī)則端口配置Fig.9PortconfigurationwithminimizedinboundrulejjtM機協(xié)昭oyh用域;姍ifflP.本地IT地址S。任何”培址on時下列”蛔tn:rfTw664|192168665圖10最小化可訪問IP配置Fig.10IPconfigurationswithminimizedaccessibilityvtttmnw;QAWtHKI出Uf!圖11最小化出站規(guī)則端口配置Fig.l1Portconfigurationswithminimizedoutboundrule4數(shù)據(jù)通訊編程關(guān)于串口白山口編程,

16、己有很多實用的案例,在本文就不再描述。關(guān)fPLC以太網(wǎng)的UDP傳送數(shù)據(jù),在實際工程中鮮有應(yīng)用.其實UDP編程過程作常簡單,先綁定本地的IP端口.如10002,創(chuàng)建UDP食接字。以AB的CompactLogixPLC為例,創(chuàng)建UDP任接字是MSG指令完成的,如圖12、圖13。圖14指定了本地端口10002.UDP通訊方式.CreateSocketRequestLtonsENDNER消息消息控制Create_Sock_MSGQ圖12創(chuàng)建UDP套接字梯形圖代碼Fig.12CreationofUDPsockettrapezoiddiagramcodeFig.l3CreationoftheUDPsock

17、etparameterconfiguration-Cr#»t«_S«ck_iSC-SOCKET(.)(REQUEST.P.+SOCKETType2DecimalDINT1TCP.2-UDP-SOCKETAddrV':;(.)(.SockAddr+SOCKETAddiFam2DecimalINTAddressMu;»be2+SOCKETAddrPort10002DecimalINTPortNumber+SOCKETAddrAddc0DecimalDINTIPAddress圖14UDP基本參數(shù)Fig.14BasicparametersofUDP創(chuàng)建好

18、UDP套接字后,就可以定時發(fā)送數(shù)據(jù)r如圖4.發(fā)送UDP故據(jù)也是MSG指令.最關(guān)鍵的是發(fā)送故據(jù)區(qū)的參數(shù).如圖5.指明了口標IP“l(fā)6#6464_5aftT(換算成十進制就是54),目標端口號10001,數(shù)據(jù)區(qū)長度為34,以及待發(fā)送的34個字打數(shù)據(jù).我們將要上傳的數(shù)據(jù)按規(guī)定的協(xié)議定時放入這個數(shù)據(jù)區(qū),并定時發(fā)送到指定IP的端口,這樣就完成了數(shù)據(jù)的單向上傳.圖15定時發(fā)送UDP碼梯形圖編碼Fig.l5TimedsendingofUDPcodeladderdiagramcodingJJ*r*510001-Wfto.Dtfa.OuLBIerWS.DatjOutBdOectfnd圖1

19、6發(fā)送區(qū)數(shù)據(jù)結(jié)構(gòu)配置DeomtlDcrnl-W_D«0uWfDMXT1613016£3e16130J416f3a16131 16130WfD皿Out-Wrte.DaljOutBut Wfte.Dai4.0u WgD.S.W*.Dy(MWrte.D皿。5 WS.DfOut+WyDaUcOu!TatVMe.DLOuToW*D«t<04t技”464seFig.16DatastructureconfigurationofsendingareaSocMMttINTINTNNTSTR.OUTM4T$INT(4dO|SINTS1HTSINTSINTSINTSINTSWTN

20、t/UDP協(xié)議是面向非連接的協(xié)議.沒有建立連接的過程。正因為UDP協(xié)議沒有連接的過程,所以它的通信效果高.也話用于本案例的物理單向隔離通訊.5結(jié)束語對二次供水泉房進行安全等級保護己是不可逆轉(zhuǎn)的趨勢,浙江省水協(xié)己出臺相應(yīng)的安全等級保護標準。進行安全隔離.是保護工業(yè)控制系統(tǒng)的必要手段.本文介紹了幾種實用的安全隔離單元設(shè)計方法以近乎等硬件成本實現(xiàn)控制系統(tǒng)的物理隔離改造.已成功應(yīng)用F近百個二次供水泉房的近程監(jiān)控系統(tǒng)。與傳統(tǒng)的網(wǎng)閘隔離方案相比.物理單向隔離方法可靠、易于實施,可以節(jié)約投資,雖以無法遠程控制和維護為代價,但更加有利于保障二次供水系統(tǒng)的安全運行。參考文獻張曄.工業(yè)控制系統(tǒng)信息安全風險評估J.

21、自動化博覽.2015(/).2 劉威.李冬.孫波.工業(yè)控制系統(tǒng)安全分析C.第27次全國計算機安全學術(shù)交流會論文篥.2012.3 智意供排水信息系統(tǒng)安全技術(shù)規(guī)范S.DH33/T2051-2017.(本文文獻格式:張文皓.趙權(quán)益.二次加壓供水設(shè)備控制系統(tǒng)安全隔離單元設(shè)計J.廣東化工.2018,45(21):88-91)(上接第97頁)IitILL-Lijt_、一g,SrJ.-O*'*«<JU,""O*-1.芍藥脊:2.阿牌酸圖4當歸芍藥固體湯劑的HPLC色譜圖Fig.4HPLCchromatogramofDangguiShaoyaosoliddecoction3討論3.1流動相選擇根據(jù)參考文獻I8確定流動相為乙臘:0.1%磷酸水溶液為最常用流動相的選擇II實驗得出的結(jié)果較好。所以采用乙月青:0.1%磷酸為本實驗的流動相。3.2波長的選擇采用二極陣列檢測器進行200400nm波長范圍掃描.比較不同波K下當歸芍藥散固體湯劑的HPLC圖像,發(fā)現(xiàn)在230nm下所得圖譜基線平檢,分離較好.反應(yīng)的信息較多,各蜂都比較潔晰.故選擇統(tǒng)佳波長為230nm.3.3柱溫的選

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論