炼钢数据采集安全方案.docVIP

炼钢数据采集安全方案 一、 数据采集网络图 2 二、 TZ190防火墙设置 3 三、 数据只读与权限划分 5 数据采集网络图 说明： 整个网络分为四个网段，从上至下依次为能源管理网、实时库服务器与WEB服务器、数据采集网、现场控制网络。 针对炼钢系统三个环网分别加有网关机（数据采集器服务器），以炼钢底吹、炼钢转炉环网为例，炼钢1#网关机上装上AB控制系统，使得此网关机直接与PLC通讯，将底吹、转炉等各系统数据进入1#网关机，这样，我们在现场DCS操作站上不装任何软件及不进行任何配置，采集程序及配置均在炼钢1#网关机上，以达到我们的数据采集对现场操作站的零影响，影响仅在炼钢1#网关机(对现场DCS操作站没有任何关系)。 对炼钢1#、2#、3#网关机所对应的炼钢三个环网之间我们通过对TZ190指定lan口的方式，分别指定3个lan口分别与三个环网通讯，而3个lan口之间关闭一切端口使其不能互相访问，这样三个炼钢环网就达到了彻底的隔离的目的。 其中TZ190防火墙+Linux防火墙，通过Linux防火墙路由至192.12.180网段，双层防火墙方式为控制网提供了更加安全的保障。整个网络数据从下到上单向传输。 TZ190防火墙设置 Lan口IP仅规定为192.10.180.115、192.10.180.116、192.10.180.117三个机器，wan口仅添加192.10.180.17（linux防火墙）、192.12.180.19（实时库数据库服务器），其中仅添加内网到外网的7709（数据采集程序端口）和内到外的ping规则。 内网IP范围设定。 外对内关闭所有规则服务。 内网对外网仅开通7709端口。 指定防火墙的前3个端口，分别绑定192.10.180.115、192.10.180.116、192.10.180.117三IP地址，也就是仅有这三台机器才能对外访问，并且三个lan口之间关闭了所有服务和端口，使得环网之间不能相互访问。 数据只读与权限划分 1、本系统采用分布式实时数据库结构，B/S结构浏览方式，采用标准通讯协议通过工业以太网将生产过程数据实时采入数据库，数据在采集过程中单向并完全只读，客户端安装IE即可浏览实时数据，并提供了趋势等查看功能。 2、系统浏览权限可细节到各流程图，定义了各用户后可单独对每个用户进行权限划分，使每个用户仅可浏览权限内的流程图。 3、数据采集器和实时库只提供数据浏览功能，无法对实时数据进行修改。采集器以服务的形式运行于数据采集网关机上，采集器无数据浏览和操作功能，采集界面如下： 实时库数据仅能对实时数据进行浏览，无法修改其实时点值： 总之，无论从网络隔离问题还是从数据的单向传输和实时数据的不可控制及权限划分等方面考虑，炼钢系统的采集对现场的操作站来说是安全的，不会影响现场的生产工作，同时也为上层提供了对现场数据的及时监控、及时查询、月度数据分析的一个平台，使安全生产和节能减排工作能更好的进行。