張亞峰 阜陽供電公司,阜陽市
摘 要:在電力系統生產運行中,調度自動化實時系統(SCADA)與管理信息系統(MIS)之間存在數據共享的技術問題,同時還要保證調度自動化系統的數據安全。阜陽供電公司SCADA系統與MIS系統采用直接網絡連接的方式,并加裝網絡防火墻和電力系統專用網絡隔離裝置保證SCADA系統數據安全,實現了SCADA系統與MIS系統間交換數據,MIS系統用戶可以方便地瀏覽SCADA數據。
關鍵詞:SCADA系統 ; MIS系統 ; 數據WEB瀏覽 ; 安全防護
前 言
在電力系統的生產運行中,電網數據不僅要采集并傳送到調度自動化實時系統,也需要把數據傳送給MIS系統的各個用戶,為企業管理部門提供決策依據。因此,在調度自動化系統的實施過程中,調度自動化實時系統與MIS系統間互聯是工程人員面臨的一項重要技術工作。
調度自動化SCADA系統是集變電所端設備RTU與調度主站端設備于一體的數據采集處理系統,這個系統主要是為監視電網的運行、指揮變電所的倒閘操作及事故處理、保障電網的安全服務的,系統的安全性、實時性和可靠性要求都比較高。電力企業的MIS系統是集用電營業管理、生產技術管理、財務管理、人事勞資管理、檔案管理等多項管理功能于一體的局域網絡系統,它是電力企業實現信息資源共享、無紙化辦公的基礎,它是一個相對開放的系統。可見,MIS系統與調度自動化SCADA系統的服務對象、網絡安全及軟硬件結構都不大相同,但為了實現資源共享、減少投資,MIS系統又應該能夠調用調度自動化系統的各種數據,如何實現MIS系統與SCADA系統之間互聯是一個必須解決的問題。本文解決了MIS系統與SCADA系統之間的數據連接以及其中的安全問題。
1 SCADA系統與MIS系統實現聯網
1.1 常用的實現方式
SCADA系統與MIS系統連接通常采用網關機和直接連接方式。
1.1.1 采用網關機的連接方式
(1) 網絡結構 這種連接方式是在MIS系統與SCADA系統之間加一網關機,實現數據的中轉功能。由于MIS系統與SCADA系統的應用對象和使用范圍不同,為了保證SCADA系統既能向MIS系統傳送數據又不受MIS系統的干擾,不將兩個網直接相連,而是通過網關機將兩個網有效地隔離。網關機需安裝兩塊網卡,一塊與SCADA網相連,一塊與MIS網相連,SCADA網只按一定的規約給MIS網送實時及歷史數據,由MIS網自己進行處理。
(2) 數據處理 這種連接方式需要在網關機上安裝接口轉發程序,將通過第一塊網卡接收到的SCADA網的實時數據根據統一的通信協議進行打包,再通過第二塊網卡向MIS網進行發送,同時在MIS網服務器上還要安裝數據接收程序,將網關機送過來的數據包進行接收并處理,并把處理后的數據存入數據庫。MIS網用戶安裝相應的程序對各種實時或歷史數據進行查詢瀏覽,還可安裝運行實時數據的畫面監視程序,通過上述一系列的環節,可以實現MIS網工作站調用SCADA網的數據。
( 3) 接口特點此種接口是不同局域網之間常用的連接方式,其特點是既能實現資源共享,又能保證兩網互不干擾,確保網絡安全。但此種接口方式的投資也比較大,硬件投資只需1~2臺微機,關鍵是軟件投資是非常大的,其中包括網關機接口轉發程序、服務器接收處理程序、存取遠動數據的數據庫程序、各工作站調用遠動數據時顯示數據的畫面程序,需大量投資。
1.1.2 直接連接方式
(1) 網絡結構 將MIS網與SCADA網直接相連成為一個網,IP地址統一分配統一管理,減少了中間環節,提高了運行速度。
(2) 數據處理方式此種網絡結構無需網關機及接口程序, 在服務器上也無需安裝遠動數據的接收處理程序及數據庫程序,如某MIS網工作站允許調用遠動數據,就給該工作站安裝經過特殊處理的遠動工作站程序,該MIS工作站就成為了一臺非正式的遠動工作站,它可直接調用遠動后臺機數據庫數據,為什么說它是非正式遠動工作站呢?因為給它安裝的是經過處理的遠動工作站程序,它只能看電網畫面及畫面上的實時數據,不能查看遠動后臺數據庫也不能進行遙控及運行其他遠動工作站程序。
(3) 接口特點此種網絡連接方式不需其他軟硬件,只需將兩網直接相連,已無接口可言,實際上已經是一個網了(這種連網方式只適合機器較少的局域網與局域網之間的連接),只不過是在不同的機器上運行不同的程序,實現不同的功能罷了,這就涉及到網絡安全的問題,特別是遠動網的安全問題,所以必須采取相應的措施才能保證遠動網的安全運行。首先,只能給與調度工作有關的少數MIS網工作站安裝處理后遠動工作站程序,其次必須統一分配IP地址,而且兩網由一個部門統一進行管理,防止互相干擾,對于計算機病毒必須時刻注意控制。
1.2 iES500系統實現方式
iES500系統與MIS網連接時采用直接連接方式,在SCADA系統添加一臺服務器,專門用于WEB數據發布,MIS網用戶通過瀏覽器瀏覽數據,不需安裝專門的程序。其實現原理是把電網的一些主接線圖先存為靜態圖形文件,生成HTM文件,動態數據通過JAVA控件,在客戶端運行JAVA虛擬機實現。
1.2.1 Java虛擬機
Java虛擬機(JVM)是Java Virtual Machine的縮寫,它是一個虛構出來的計算機,是通過在實際的計算機上仿真模擬各種計算機功能模擬來實現的。Java虛擬機有自己完善的硬件架構,如處理器、堆棧、寄存器等,還具有相應的指令系統。
Java語言最重要的特點就是可以在任何操作系統中運行。使用Java虛擬機就是為了支持與操作系統無關,在任何系統中都可以運行。
Java虛擬機屏蔽了與具體操作系統平臺相關的信息,使得Java語言編譯程序只需生成在Java虛擬機上運行的目標代碼(字節碼),就可以在多種平臺上不加修改地運行。Java虛擬機在執行字節碼時,實際上最終還是把字節碼解釋成具體平臺上的機器指令執行。
1.2.2 各種數據圖形文件的制作
使用SCADA系統的畫面編輯軟件,畫出各種接線圖,把它存為WEB圖形格式,生成.jpg文件和.des文件,文件保存有各種數據的類型及畫面中的位置,以及各種數據的讀取方式及路徑,保存在相應的目錄下。
1.2.3 JAVA控件的編寫
運用Java或C++語言,采用最基本的SOCKET編程技術,編寫數據讀取傳送程序,按一定的方式讀取內存中的實時數據,并在瀏覽器中顯示出來,經過編譯生成 .class控件。SCADA系統的實時數據是通過軟總線映射在內存中的,生成的控件能通過自定義端口(1433端口)從WEB服務器讀取實時數據,并在瀏覽器中顯示出來。
1.2.4 WEB網頁的生成
在HTM網頁中插入Applet控件,控件是一些.class文件。用戶可以根據需要自己選擇不同的WEB網頁。以下是一個HTM網頁插入Applet控件的部分代碼。
<Applet code=rtgraph.class CODEBASE="../class" width=1474 height=905>
<param name=KGColorMode value=0>
<param name=jpgfile value="465942.jpg">
<param name=EleDesFile value="465942">
<param name=graFile value="-FYB">
<param name=RealTime value="1">
<param name=actualHotPointNumber value="12">
<param name=hotPoint0x1 value="161" >
<param name=hotPoint0x2 value="183" >
<param name=hotPoint0y1 value="13" >
<param name=hotPoint0y2 value="60" >
<param name=hotPoint0Gr value="潁州變.html" >
<param name=hotPoint1x1 value="349" >
<param name=hotPoint1x2 value="365" >
<param name=hotPoint1y1 value="8" >
<param name=hotPoint1y2 value="53" >
</Applet>
1.2.5 瀏覽器設置:
電網信息發布都是Java程序,你的瀏覽器需要有支持Java的功能才能進入。如果你無法進入,有可能是你的瀏覽器沒有安裝Java虛擬機的支持,也有可能是你的瀏覽器禁止了Java的功能。請按下面提示打開你的瀏覽器的java設置。
(1)、如果你的操作系統是windows XP, 請下載并安裝java虛擬機。
(2)、如果你的瀏覽器禁止了java功能,請按下面操作打開它。
打開一個IE窗口。1.選擇“工具”-“Internet選項”-“高級”-“JAVA VM”下的第一個選項“啟用Java JIT編譯器”。(有些瀏覽器版本沒有這一項,可以不管它。) 2.打開“工具”-“Internet選項”-“安全”-“自定義級別...”對話框,(1).把“Microsoft VM”中的java權限設置為“安全等級-中”,(2)把“腳本”中的“java小程序腳本”設置為“啟用”和“活動腳本”設置為“啟用”。 完成上面操作后,您需要把你的瀏覽器關掉再重新打開一下。
1.2.6 數據的WEB瀏覽
在WEB服務器上安裝IIS服務程序,進行IIS配置并運行IIS服務,MIS網用戶通過瀏覽器,在地址欄中輸入WEB服務器的IP地址,進入實時數據主界面,選定所要查看的變電站接線圖或各種曲線,首先載入靜態畫面信息,控件在第一次瀏覽時自動下載到本機,并存在臨時文件夾中,然后JAVA控件在JAVA虛擬機中運行,通過服務器開放的端口,讀取服務器中的畫面文件信息,在瀏覽器中顯示出各種接線圖和曲線等。JAVA控件還定時讀取服務器中的實時數據,在瀏覽器中定時進行刷新顯示。
各種數據報表是由服務器定時存盤生成的,在每天1點左右服務器把前一天的各種數據報表按時生成,格式為HTM文件,制作報表瀏覽頁面,供用戶進行各種查詢。
2 系統安全問題的解決
SCADA系統的WEB發布服務器在電力系統安全防護體系中,屬于的Ⅱ區,MIS系統屬于Ⅳ區,實時數據服務器屬于Ⅰ區,這就要求WEB發布服務器在與Ⅰ區和Ⅳ區設備連接時要采取相應的安全防護措施。我們使用了電力系統專用網絡隔離裝置和硬件防火墻技術。防護體系圖見圖1。
2. 1 WEB服務器與實時數據服務器的隔離
采用珠海鴻瑞軟件公司的電力系統專用網絡隔離裝置,它是一種正向型物理隔離裝置,它通過物理隔離技術的應用從而達到對系統網絡設備防護的目的,其功能是阻斷網絡直接連接,兩個網絡不同時連接在設備上;數據能進行單向傳輸,由實時數據服務器向WEB服務器傳送,禁止數據反向傳送;阻斷網絡的邏輯連接,將原始數據非網絡方式傳送,通過專用程序將數據進行組合,以非網絡方式發送;隔離傳輸機制具有不可編程性。
物理隔離裝置的實施方法是,在WEB服務器與實時數據服務器之間加物理隔離裝置,外加一臺數據轉發工作站,該機器上運行數據處理轉發程序,把所需數據從共享內存中讀出重新組幀,進行規約轉換,通過專用網絡隔離裝置,發送到WEB服務器,WEB服務器把數據進行處理寫進共享內存,這樣WEB服務器與實時數據服務器之間就完成了物理隔離。我們使用的是一種正向型專用網絡隔離,即數據只能從實時系統流向WEB服務器,從而更加有效地保護了實時系統。
2. 2 WEB服務器與外部MIS網的隔離
防火墻是位于兩個或多個網絡之間實施網間訪問控制的組件的集合,能有效地防止外部網絡對內部網絡的入侵,限制外部用戶對內部網絡的訪問。
我們在WEB服務器與MIS網之間采用硬件防火墻隔離,對防火墻進行了兩方面的安全配置。一是利用NAT(網絡地址轉換)技術,把服務器的IP地址進行轉換,對外部隱藏內部的IP地址和網絡結構,使外部對服務器不能進行IP攻擊。二是采用PAT(端口轉換)技術,對服務器進行端口訪問控制,只開放80和1443端口,80端口用于WEB瀏覽,1443端口用于實時數據的傳送,禁止其它端口的使用,同時對外部進行端口轉換,使外部不知道內部的端口地址,無法對內部進行端口攻擊。
2. 3 網絡防病毒安全防范措施
采用有效的防病毒軟件進行網絡安全防護,使用服務器專用的病毒軟件,采用分布式病毒防衛體系。在WEB服務器上安裝諾頓防病毒企業版 (1服務器端,25客戶端),帶有郵件監控,定期對病毒庫進行更新。
3 結論
通過以上的工作,實現了SCADA數據的WEB瀏覽,為MIS網用戶提供了大量的電網運行數據,各個部門的生產管理人員都能通過生產MIS系統及時查看電力系統的運行方式和各種負荷情況,大大提高了工作效率,提高了我公司的電力生產管理
自動化水平。采用這種方式進行系統聯網是一種方便實用的方式,也為具有同類設備的用戶提供了一種聯網方案和技術實踐。
參考文獻 (1)張世永,《
網絡安全原理應用》,科學出版社,2003-6
(2)鄒國輝,辛耀中,[電力二次系統的安全防護策略],《第二十八屆中國電網調度運行論文集》,2003-3
(3)盧朝暉,孟立會,SCADA數據
信息在MIS端的二次處理及應用,中國電力通信網,2004-8
(4)李向武,MIS系統與SCADA系統的連接方式探討,電力
信息化,2002-10
作者簡介 張亞峰(1972.1——),1995年7月中國農業大學畢業,本科學歷,工程師,從事電網調度
自動化工作。
