关于电网调度自动化系统中WEB服务器若干问题探析.docVIP

关于电网调度自动化系统中WEB服务器若干问题探析【摘要】根据目前的统计，WEB信息流量已经占到了整个Internet信息量的80%以上，而且，越来越多的应用开始采用基于Web服务器的B/S计算模式。WEB服务器的数据共享有两种实现方式，即通过网络透明通信的虚拟实现和通过实时数据库影射的真实实现。那么，这两者之间有何区别，又如何取舍呢？根据电力系统二次防护原则，在Web服务器和SCADA系统之间应设置“物理隔离设备”，这又涉及到WEB服务器与隔离设备的位置关系问题，究竟是WEB在隔离设备外侧还是在隔离设备内侧，孰优孰劣，本文将一一加以探讨。本文依托DS3000调度自动化系统，结合电力系统二次防护的基础知识，翻阅了大量的资料，对以上问题作出合理的解释。 【关键词】WEB服务器；MIS网；物理隔离设备；电力系统二次防护 1.WEB数据共享方式的探讨 DS3000调度自动化系统的一个基本功能就是数据可在县供电公司整个企业网络范围内实现共享，Web服务器建立有其它信息处理系统所需的数据库，包括各类历史数据等，此数据库称为“实时数据共享中心”，它是调度自动化系统数据库子集的映射，供其它信息处理系统查询、调用。这里“实时数据”指的是由实时系统提供的数据，除了真正的实时数据外，还包括实时系统保存的采样历史数据、事件告警信息历史数据等。 实时数据共享中心有两种实现方式，第一种：通过网络透明通信的虚拟实现；第二种：通过实时数据库影射的真实实现。 虚拟实现时，Web服务器上没有实际的数据库，当其它信息处理系统（如MIS）请求SCADA实时数据时，由Web服务器上运行的一个网络服务程序临时向SCADA服务器请求实时数据，再把结果数据发给请求方。虚拟实现的不足之处很明显，就是当同时有很多的数据请求时，Web服务器上的网络服务程序通过排队响应数据请求，一是一定程度上影响响应速度，二是SCADA服务器和Web服务器之间有可能有网络通信瓶颈问题。 真实实现时，Web服务器上有真实的SCADA实时数据库，当其它信息处理系统（如MIS）请求SCADA实时数据时，由Web服务器上的网络服务程序从本机的实时数据中取得数据，把结果数据发给请求方。而Web服务器和SCADA服务器之间必须运行一个完成数据库影射得程序，实际上是一个数据转发程序，它定期把SCADA实时数据转发给Web服务器。这种实现方法，MIS系统的数据请求的多少，不影响SCADA服务器和Web服务器之间的网络通信。即使MIS系统没有数据请求，数据转发程序还是要定时向SCADA服务器请求数据。 因此，我们选择了WEB数据共享通过实时数据库影射来真实实现的方法。实现方式如图1。 2.物理隔离技术的探讨 网络安全隔离设备采用软、硬结合的安全措施，在硬件上使用双机结构通过安全岛装置进行通信来实现物理上的隔离；在软件上，采用综合过滤、访问控制、应用代理技术实现链路层、网络层与应用层的隔离。在保证网络透明性的同时，实现了对非法信息的隔离网络安全隔离设备通过开关切换及数据缓冲设施来进行数据交换。开关的切换使得在任何时刻两个网络没有直接连通，而数据流经网络安全隔离设备时TCP/IP协议被终止，防止了利用协议进行攻击，在某一时刻网络安全隔离设备只能连接到一个网络。 网络安全隔离设备作为代理从外网的网络访问包中抽取出数据然后通过数据缓冲设施转入内网，完成数据中转。在中转过程中，网络安全隔离设备会对抽取的数据报文的IP地址、MAC地址、端口号、连接方向实施过滤控制；由于网络安全隔离设备采用了独特的开关切换机制，因此，在进行检查时网络实际上处于断开状态，只有通过严格检查的数据才有可能进入内网，即使黑客强行攻击了网络安全隔离设备，由于攻击发生时内外网始终处于物理断开状态，黑客也无法进入内网。 网络安全隔离设备（如图2所示）在实现物理隔断的同时允许可信网络和不可信网络之间的数据和信息的安全交换。由于网络安全隔离设备仅抽取合法数据交换进内网，因此，内网不会受到网络层的攻击，这就在物理隔离的同时实现了数据的安全交换。 目前市场上的物理隔离设备众多，经过反复比较，我们决定国电南自电网事业部DS3000调度自动化系统的MIS网web浏览中使用的StoneWall2000（正向型）物理隔离设备。该系列产品可以适用于计算机网络与网络之间，主机与主机之间，主机与网络之间的物理隔离，是应用了安全岛技术的具有物理隔离能力的网络安全产品。在硬件上，使用了嵌入式计算机结构，通过“单向二极管式”安全装置来实现通信上的物理隔离。在软件上，采用综合过虑、访问控制、应用代理等技术在保证网络透明的基础上实现对非法信息的隔离。 3.WEB与物理隔离设备位置关系的探讨 中华人民共和国国家经济贸易委员会第30号令《