SIS及网络系统安全管理改造设计.docVIP

SIS及网络系统安全管理改造设计 　　【摘 要】SIS是火电厂控制系统和管理信息系统之间的实时信息管理系统，它是集优化控制、生产实时监测、生产过程管理为一体的自动化信息系统。通过强大的数据挖掘、处理以及优化功能，SIS可准确的分析、优化、诊断机组的运行状况。SIS系统涵盖了全厂网络系统生产过程中的数据信息，在运行网络系统经济性的基础上，为全厂实现网络系统优化运行起到了至关重要的作用。 　　【关键词】SIS；网络系统；安全管理；改造设计 　　0.引言 　　在SIS管理分析模块中，实时数据库系统是发电厂管理信息系统连接生产过程系统的纽带，为其提供了强大的数据流。它负责实时提供并保存各个单元机组、辅助车间相关的不同DCS和PLC历史数据，同时又实时的服务于提供开放数据和历史数据。在确保发电企业的各主辅系统设备安全的前提下，把DCS和PLC系统、职能仪表等设备，通过数据采集接口站，实时数据可通过网络传送到实时/历史数据库服务器上，满足生产管理调度的需要，最大程度的使SIS系统的可扩展能力得到了保证，为建设MIS系统提供了良好的现场生产信息。并且SIS可根据企业的需要随时进行改造、加装和撤除每一个SIS模块。进而能够有效地分析单元机组和实时生产情况，并指导电厂在线动态管理系统的运行。 　　1.网络系统应用的架构 　　在获取生产流程所需要的信息基础上，企业信息化的建设能够有机的把分散的生产调度、控制、管理决策等系统结合起来。SIS系统主要是对全厂的实时数据进行处理，完成厂级管理控制生产过程，分析诊断厂级故障、分析计算厂级性能、调度经济负荷等功能；MIS主要完成监测设备和管理维修、管理生产经营、财务等功能。服务于全厂的生产、运营和管理行政等工作。在一个高度稳定和可靠地冗余网络上，整个系统将应用、数据库、WEB等服务器以及数据采集接口机构建成一个VLan，通过MIS网核心交换机，穿越防火墙连接到MIS网络中。在接口机上，按照系统数量部署采集若干台数据接口机，安装力空数据采集软件，分别采集公用系统和单元机组等实时生产数据。把两台实时数据库服务器部署在SIS网络系统内部，并且加上磁盘阵列构建成冗余服务器，进而使数据库的冗余实现简洁比较高的稳定性。把一台应用服务器部署在SIS网络系统内部，会提供给SIS系统中，各种生产管理应用上的服务。为了实现Web的报表和流程图的浏览，需要安装运行平台和Web监控门户元件，并且配置Web服务器。在不影响已经发布的工程使用情况下，支持在线发布和组态，增加新的Web报表和流程图。 　　2.安全隔离底层控制系统 　　在生产系统中，为了确保系统的安全运行，发电企业在集控系统DCS侧往往会隔离单独使用相关的数据采集接口、数据库以及其他的系统，从而可防范黑客程序和恶意代码等侵入，杜绝病毒影响。这种情况下，在网络隔离装置外侧，要求底层系统能够提供单向的数据传输功能，使pSpaceDAServer把数据发给实时数据服务器，同时能够单向被动接受数据。但是有些提供数据采集方式的生产系统不是单向数据传送，而是交互式的协议。在此情况下，需要在隔离装置内侧放置接口机，并且把pSpace DA Server接口程序安装在接口机上，通过网络隔离装置将采集到的底层生产系统数据，单向的传送到实时数据库服务器。 　　3.安全隔离SIS和MIS网络情况分析 　　出于安全的考虑，为了保证MIS/ERP和生产管理系统单向传输数据，需要把一个单向网络隔离设备安装在SIS和MIS网络之间，以确保外面的病毒、黑客程序以及恶意代码不能入侵生产管理网络。因此，把一台镜像实时数据库服务器配置在MIS网络内部，并且安装上pSpace5.0数据库系统元件，通过单向网络隔离设备，SIS网内实时数据库服务器会向上同步MIS网内镜像实时数据库服务器。为MIS网以及其他上层应用提供历史和实时数据服务实质上是把MIS网内镜像实时数据库服务器作为了历史/实时数据平台。在网络发生故障的时候，断网缓存功能同步得到pSpace5.0实时数据库系统的支持，以便保证实时数据库服务器数据的完整性。 　　4.SIS网络系统安全管理改造设计 　　在进行改造设计时，首先应使辅助车间和DCS监控系统等数据网络的安全得到保证，其次，在实时数据采集、计算、存储、以及处理上，要保证SIS本身的安全稳定性。设计一个全厂控制网络，物理隔离大门，防止由于病毒侵害和内部操作不当造成对SIS本身的危害，结合其他的措施，从优化系统关联和整体的角度上，构建一个动态立体的安全防护体系。 　　（1）DCS系统把数据以单项数据传输方式发送出来，提供单独计算机，对外界任何的报文采取不接受。DCS系统数据采集安全性设计要把多块的网卡配置到数据采集接口机上，一个连接到SIS网络，一个连接到DCS系统中，如：把