摘　要　阐述了调度EMS系统与MIS系统的接口及安全隔离方案的设计与实现。依照国家经贸委第30号主任令有关电网监控及调度数据网络安全防护规定的精神,根据合肥供电公司调度自动化EMS及MIS系统网络架构的实际情况,设计实施了网络安全接口方案,并结合运行实践,验证了本方案的实用性和可靠性。

关键词　网络 接口 安全隔离电力公司

1　引言
     调度自动化EMS系统作为一个生产网络,其运行涉及到调度安全和电网运行安全,在计算机网络应用环境越来越复杂,操作系统漏洞不断被发现且可能被非法及恶意利用的情况下,保持生产网的独立性和自封性是保证系统安全的一个有效措施。但是,任何一个计算机系统不应该是信息孤岛,现代电力企业的电网调度自动化系统是其它非实时系统的实时数据源。作为一个生产网,调度自动化系统拥有大量有价值的供电网的原始数据信息,这些信息迫切需要发布到办公网(MIS系统)供各职能部门及公司领导分析及决策使用,尤其是在电力市场环境中,更需要EMS提供大量数据。有信息交换就存在可能的病毒传入或攻击,更何况我公司的MIS系统与Internet网也是相通的,这对于关系到电网运行安全的生产系统网络形成了巨大的威胁。因此,必须加强安全防范,设计出完全的隔离方案以保证生产内网系统的安全。2002年6月,国家经济贸易委员会公布了第30号主任令《电网和电厂计算机监控系统及调度数据网络安全防护规定》,明确指出:“电力监控系统的安全等级高于电力管理信息系统及办公自动化系统。各电力监控系统必须具备可靠性高的自身安全防护设施,不得与安全等级低的系统直接相联。”电力公司“不同安全等级系统相联,必须考虑安全隔离方案。”

2　早期网络运作模式及接口存在问题

2.1　现代电网调度自动化系统内涵不断丰富促成网络连接

    从历史上看,我公司电网调度自动化是沿着元件自动化→子系统自动化→管理系统自动化这一总趋势发展的。科技的突飞猛进及电网的不断发展,促成了我公司调度自动化实用化水平的长足进步,基础自动化设备不断完善,可靠性和管理水平大大提高,其提供的准确而有效的实时信息已成为调度员进行电网安全、经济调度的主要依据。高级应用软件(PAS)的应用及实用化,使我公司调度自动化系统从电网实时监控系统(SCA-DA)逐步发展成为了能量管理系统(EMS),其内涵不断丰富、发展,成为非实时系统宝贵的实时数据库,与MIS联网的要求自然应运而生了。

2.2　早期网络接口及运作方式电力公司

    与国内多数EMS主站系统一样,我公司最初采用一台“第三服务器”作为Mis/Web发布服务器,其内部分置两块网卡形成内桥,分别联到EMS系统内网和MIS网,使用TCP/IP将两个网段连接起来,相互交换数据。

2.3　存在问题电力公司

联网初期,调度自动化网络为各职能部门提供了及时准确的信息,为相关部室及公司领导带来了极大的方便。因为早期不论EMS还是MIS网络规模相对较小,涉及面窄,网络安全问题并不突出,故只在“发布服务器”上安装防毒软件来保护EMS系统不受病毒侵害。随着电网不断发展,尤其是无人职守变电所接入EMS系统以来,系统安全问题越来越重要;另一方面,MIS系统规模日益扩大,尤其是与In-ternet网相通后,应用环境十分复杂,早期这种网络架构的脆弱性越来越突出。如果MIS网或In-ternet网上有非法入侵者或病毒侵入,Mis/Web发布服务器很容易受到攻击,如果非法入侵者或病毒攻破了该服务器,就有可能进一步攻击到EMS系统。为了加强EMS系统的安全性,有必要设计一套新的Mis/Web发布系统,该系统既能保持原来系统的功能,又能将EMS系统同我公司MIS网和Internet网安全隔离。这一思路也是符合国家经贸委第30号主任令有关调度及监控网络安全防护规定精神的。

3　现有网络运作接口模式及安全隔离方案的设计与实现

3.1　网络安全接口设计思想电力公司

    发布服务器虽然使用多网段避免了外部节点直接访问内部资源的可能,但如果发布服务器被攻破,由于该服务器与EMS系统间是通过标准的通用网络协议进行通信的,因此,EMS系统仍有被攻击的可能。最常见的方式是发布服务器被攻破后,在其上隐式运行木马程序,外部侵入者将命令传与该程序,通过发布服务器对生产网的网内节点发起攻击。在原来的系统中由于应用了TCP/IP协议,该协议为通用的标准网络协议,且绝大多数机器都支持该协议,容易被非法入侵者或病毒利用。因此要找一种安全的专用的协议来替代它,可考虑资源独占式的专用硬件端口实现数据发布服务器与EMS系统之间的通信,数据发布启动后,该通道不可能被其他应用程序利用,从而保证隔离的有效性。在多种协议的比较中发现,串口通讯是一个很好的选择。串口资源为独占性资源,一个线程占用后其他线程就无法使用,且容易开发使用安全的专用的通讯协议,因此串口通讯实现接口是安全的。我们考虑使用串口通讯将EMS数据发布到MIS网中,具体 做法是:摒弃原发布服务器的双卡内桥模式,将发布服务器连接EMS系统的网线断开,改为EMS服务器与发布服务器互联的串口线。这一方案简单易行,硬件上只需投入一对长线收发器,软件上只需运行一接口通讯模块,将EMS内存信息主动发给MIS发布服务器即可。串口连接可靠性虽然大大提高,但实用性大大降低了。由于串口带宽的制约,只能将EMS系统中最重要的实时信息有选择地发往MIS,这在我公司实用时感到极为不便。因此,我们采用两台终端服务器设计出新的接口方案,即用终端服务器的多条高速串口解决带宽问题。用终端服务器可将串口信号转变成网络信号的特性,恢复EMS系统与MIS之间的网络连接。电力公司

3.2　硬件连接方案

本方案通过采用两台16口(Moxa CN2516)终端服务器提供的串行通信口完成EMS系统与发布服务器间的通信,实现系统隔离的目的。终端服务器A的网络连线接在EMS系统的转发工作站或代理服务器的网卡上;终端服务器B转换出的网络信号仍连到发布服务器的内网卡上,与连在MIS网上的外网卡仍形成内桥模式和MIS相通。从图2可以看出通过终端服务器提供的多路串口实现了EMS系统与外部的隔离,由于串口数据通讯的独占性,可以避免非法数据和命令的传输。http://www.51dllw.com 在该方案中,转发工作站到终端服务器采用网络连接,通信速率达100Mbps,每个串口的通信速率可达115200bps,可根据数据通讯量确定采用一个或几个串口完成数据通信满足实时性要求。为了在传输描述数据(文件、库)时不影响实时数据的传输,通过采用多串口通道同时使用的方式,使用不同的串口专门传送描 http://www.51dllw.com 述数据可实现该目标。

3.3　软件功能实现

3.3.1　交换信息类型通过专用通道连接,需要传递到发布服务器的信息有:* EMS系统描述数据库格式文件* EMS系统历史数据的临时文件* EMS系统的各种图形文件* EMS系统实时数据需要定义专用通讯协议完成各类数据的传送。除向外发布的数据之外,外网生成的数据可以通过此通道传递到EMS系统网内。但此类数据的传递也是由EMS系统客户端主动发起的(连接建立的单向性,EMS系统网→外部网),这类数据包括:*由电力市场系统提供的发电计划数据*由负荷预测系统生成的计划数据*根据规划,需要由其他系统向EMS系统传送的数据电力

3.3.2　服务端与客户端的定义在数据发布与接口服务器端运行专用协议的服务端,EMS系统内转发节点的专用端口不接收任何外部连接,在转发处理程序启动后,由其向发布服务器主动发起(查找并维护)连接,使发布服务器向内网没有可以建立连接的机会。转发客户端如果无法建立连接,通过报警方式提示系统管理员。电力公司

3.3.3　数据传输的软件层次仿照OSI的数据通讯模型,采用自下而上的方式设计数据传输的各层软件。

3.3.4　软件处理结构对于EMS系统网来讲,信息向外发布的过程是先建立与数据交换发布服务器的连接,再将各类需要传送的数据主动传递到发布服务器。信息发布方式的变化对办公网各节点是透明的,感觉不到任何变化。在命令和数据传输时,在数据转发节点与发布服务器之间的链路上使用自定义的通讯协议。该协议允许同时传送多种类型命令和后继的数据,以保证生产网内的变化数据及时传送到发布服务器,做到描述信息的传送不影响最终办公网客户端的界面展示效果。电力公司

3.4　接口方案的功能实现

3.4.1　转发工作站(代理服务器)实现的功能

(1)通过终端服务器提供的高速串口(一个或多个)按照内部约定的通信规约向接口服务器发送实时数据。

(2)定时将历史数据库存盘需要的临时文件传送到接口服务器,供接口服务器历史数据存盘使用。传送的文件是EMS系统保存的,以保证接口服务器与EMS系统服务器历史数据的一致性(每小时传送一次)。电力

(3)每日零点EMS系统报表生成工作结束后,将报表文件对应的HTML文件传送到接口服务器的相应目录,供WEB浏览使用。

(4) EMS系统数据库修改结束后,发送命令到代理服务器,代理服务器根据该命令将有关数据库内容传送到接口服务器。

(5) EMS系统各种图形修改后,存盘时在代理服务器上同时保存web发布使用的文件格式,代理服务器每10分钟对发布文件检测一次,当有更新时主动将更新的文件传送到接口服务器,供web发布使用。

(6)接收接口服务器发送的负荷预测数据,并将数据写入EMS系统数据库中。

3.4.2　接口服务器(MIS服务器)实现的功能及实现方法

(1)接口服务器上拥有一套与EMS系统完全一致的描述数据库和历史数据库,数据库平台为MS SQL SERVER 7.0或MS SQL SERVER2000。

(2)历史数据存盘程序将接收到的临时文件转存到历史数据库中。电力公司

(3)实时数据库维护程序(线程)将接收到的描述数据库文件存入本机描述数据库,同时自动更新本地实时数据库。

(4)将负荷预测数据以数据包或文件的形式传送到EMS系统网内的转发服务器(推荐采用以数据包形式传送)。

(5)接收代理服务器传送的供WEB发布使用的图形及报表文件,将其存入相应目录。

(6)历史数据库结构对外开放,供其他系统使用。电力公司

4　EMS系统防病毒方案电力

为了能够有效防止病毒对EMS系统的侵害,将与EMS系统相连的一台转发工作站作为防病毒服务器,在该工作站上安装Symantec网络防病毒系统软件的服务端,EMS系统各工作站/服务器上安装该防病毒软件的客户端,通过人工定期升级防病毒服务器上的病毒代码,各工作站上的防病毒软件客户端自动从该服务器上升级病毒代码,从而保证EMS系统各节点机上病毒代码的有效性,达到EMS系统防病毒的目的,保证系统免受病毒侵害。为了保证在升级病毒代码的过程中系统免受病毒感染,我公司配置了一只专用U盘,传递从网上下载的病毒代码。在将该盘联到防病毒服务器上时,必须先进行杀毒处理,防病毒服务器的病毒代码更新后应首先对服务器进行全面杀毒,以防止病毒的传播。

5　接口方案实施后的效果电力公司

我公司在网络安全上的多年不懈努力,取得的效果是显著的,EMS系统的设备完好率、运行率等各项运行指标均达到了较高水准,在省公司主持的全省地调专业劳动竞赛中遥遥领先。MIS网也通过了省公司组织的实用化验收。在我公司的EMS与MIS网络连接更换为数据通讯独占性的串口这一运作模式后,在一年多的实践中,成功地防范了求职信、红色代码、Nimda、杀手13、2003蠕虫王等病毒的攻击,取得了显著的效果。使用终端服务器实现网络安全隔离的方案后,不但秉承了前者的安全特性,更因消除了接口的带宽瓶颈而实现了网电力　
结束语

调度EMS系统随着电网规模的不断扩大,其信息量也不断丰富。作为一个实时网,其主要功能是提供及时、准确的电网运行信息,为经济、安全调度服务,要在其上开发过多的统计、分析、管理等功能是不现实的。一个好的解决方案是与MIS等实现安全接口,达到信息共享。 无忧论文网 由于在安全等级上EMS系统属于一级系统,而MIS属于三级系统,它们之间的安全隔离问题已成为各级电力部门及相关电力产品生产厂家所面临的新课题,本公司的解决方案希望能起到抛砖引玉的作用,随着科技的不断进步,网络安全隔离接口技术必将会有成熟的产品出现。