0 引言 隨著老機組的自動化技術(shù)改造，分散控制系統(tǒng)（以下簡稱DCS系統(tǒng)）得到了廣泛的應(yīng)用，機組的實時數(shù)據(jù)通過網(wǎng)關(guān)送入MIS系統(tǒng)。MIS系統(tǒng)中的實時管理程序?qū)C組生產(chǎn)數(shù)據(jù)進行自動采集、處理、存儲和統(tǒng)計分析，為生產(chǎn)指揮和管理人員提供科學(xué)依據(jù)，實現(xiàn)對發(fā)電機組的安全運行分析和經(jīng)濟運行指導(dǎo)。由于DCS系統(tǒng)與MIS系統(tǒng)直接連接，MIS系統(tǒng)對DCS系統(tǒng)形成很大的安全隱患。因此，必須在DCS系統(tǒng)和MIS系統(tǒng)之間實現(xiàn)有效的隔離，最大限度地減少由于網(wǎng)絡(luò)系統(tǒng)互聯(lián)造成的安全問題。 1 DCS系統(tǒng)與MIS系統(tǒng)連接現(xiàn)狀  馬頭發(fā)電總廠3#～7#發(fā)電機組DCS系統(tǒng)采用三總線以太網(wǎng)絡(luò)，專用網(wǎng)關(guān)機與MIS網(wǎng)直接連接,通過網(wǎng)關(guān)軟件將有關(guān)實時數(shù)據(jù)發(fā)送到MIS網(wǎng)內(nèi)，2個網(wǎng)絡(luò)之間的通信采用Netware的IPX協(xié)議（或TCP/IP協(xié)議）。在MIS網(wǎng)采集站，通過處理程序接受實時數(shù)據(jù)并轉(zhuǎn)發(fā)到實時服務(wù)器，供各用戶共享。 專用網(wǎng)關(guān)機將2個安全級別不同的網(wǎng)絡(luò)隔離開，并通過串口隔離程序，嚴(yán)格限制串行線上的數(shù)據(jù)類型，使串行線兩端的機器從網(wǎng)絡(luò)層隔離開。當(dāng)一端的機器被侵害時，由于另一端不允許與其通過串行線建立網(wǎng)絡(luò)層的訪問通路，所以從網(wǎng)絡(luò)層考慮另一端是安全的。但這絕非真正的“物理隔離”，兩端的機器在鏈路層上是互通的，它未能實現(xiàn)物理上的隔離，邏輯上也未隔離，病毒程序仍可通過串口隔離程序與鏈路層協(xié)議達到入侵的目的。 2 MIS系統(tǒng)對DCS系統(tǒng)的安全隱患分析  2.1 兩系統(tǒng)連接中存在的安全隱患 MIS系統(tǒng)在生產(chǎn)和經(jīng)營管理中，得到了廣泛應(yīng)用。當(dāng)MIS系統(tǒng)需要獲得實時運行信息時，就需要與DCS系統(tǒng)進行信息交換。此時，DCS系統(tǒng)存在如下隱患。 a. MIS系統(tǒng)采用的均為使用廣泛、受攻擊最多、安全漏洞表現(xiàn)相對突出的操作系統(tǒng)。 b. 幾乎所有MIS網(wǎng)都與Internet相聯(lián)，更增加了受攻擊的可能性。 c. 與DCS系統(tǒng)連接的網(wǎng)橋采用的均為通用產(chǎn)品，未能很好解決通用性與安全性之間的關(guān)系，即通用性越高，安全性越低。 d. 在DCS控制系統(tǒng)側(cè)，考慮到開發(fā)和應(yīng)用上的方便性及其它因素，采用通用操作系統(tǒng)（嵌入）的越來越多，也同樣增加了受同一病毒攻擊的可能性。 e. 從計算機硬件而言，兩系統(tǒng)所采用的計算機CPU都是同一計算機指令系統(tǒng)，這也為各種攻擊增加了機會。 2.2 對安全隱患的分析 采用同類計算機，使用同種操作系統(tǒng)，會給網(wǎng)絡(luò)攻擊帶來更多機會。雖然從網(wǎng)絡(luò)結(jié)構(gòu)上來講，DCS系統(tǒng)與MIS系統(tǒng)是通過網(wǎng)關(guān)機及不同網(wǎng)卡來完成數(shù)據(jù)通訊的，但從網(wǎng)絡(luò)底層驅(qū)動來講，網(wǎng)絡(luò)訪問是完全透明的，在此基礎(chǔ)上的網(wǎng)絡(luò)訪問是任意的。換句話說，網(wǎng)絡(luò)的應(yīng)用層只能防止常規(guī)編程人員開發(fā)的程序不能夠隨意訪問不同網(wǎng)段、不同協(xié)議的計算機，如果從底層上訪問，那就沒有任何限制了，即只要物理上有連接，就能夠進行數(shù)據(jù)的交流和訪問。目前在電廠DCS系統(tǒng)實時數(shù)據(jù)的獲取方法，通常采用在網(wǎng)關(guān)機中安裝多塊網(wǎng)卡，分別使用不同協(xié)議通過TCP/IP協(xié)議連接到DCS系統(tǒng)，通過IPX協(xié)議連接到MIS系統(tǒng)。這實際上為數(shù)據(jù)信息在硬件上提供了物理通路，假如此網(wǎng)關(guān)機受到惡意程序攻擊，例如使其具備路由功能，那么DCS系統(tǒng)和MIS系統(tǒng)之間就等于處在同一網(wǎng)絡(luò)中，操作就沒有了限制。即使其它程序不對DCS系統(tǒng)進行惡意破壞，網(wǎng)絡(luò)“垃圾包”也會造成網(wǎng)絡(luò)通訊滯后或癱瘓。因此，采用這種網(wǎng)橋的方法存在著極大的安全隱患，其根本原因是由于采用了通用計算機、通用網(wǎng)卡、通用網(wǎng)絡(luò)協(xié)議、通用操作系統(tǒng)，并且在物理連接上提供了數(shù)據(jù)的雙向通訊。  2.3 應(yīng)用防火墻技術(shù)的局限 防火墻是一種重要的網(wǎng)絡(luò)安全產(chǎn)品，有硬件和軟件防火墻。防火墻一般分3種類型：基于路由器的包過濾防火墻、基于通用操作系統(tǒng)的防火墻、基于專用安全操作系統(tǒng)的防火墻。除支持IP協(xié)議外，又支持AppleTalk、DECnet、IPX及NETBEUI等通用協(xié)議。它采取訪問控制、包過濾防火墻的過濾、應(yīng)用層提供代理支持病毒掃描、提供入侵實時警告、實時入侵防范、實時入侵響應(yīng)等措施來抵御攻擊。當(dāng)發(fā)生入侵事件時，防火墻能夠動態(tài)響應(yīng)，調(diào)整安全策略，阻擋惡意報文，識別/記錄/防止企圖進行IP地址欺騙等手段。 采取防火墻技術(shù)后，數(shù)據(jù)通訊仍是雙向的，無論哪種類型的防護手段，從本質(zhì)上均處于“被動防御”，只有不斷升級軟件和硬件，才能防止已知病毒和常規(guī)攻擊。而對未知病毒的防御方法是有限的、滯后的。同時，作為DCS系統(tǒng)與MIS系統(tǒng)間的網(wǎng)橋（或其它類似設(shè)備），如果受到攻擊，即使沒有攻擊到DCS系統(tǒng)，也可能會在網(wǎng)絡(luò)上增加額外數(shù)據(jù)處理量，最終將影響DCS系統(tǒng)的數(shù)據(jù)實時傳遞。對于安全性要求極高的發(fā)電設(shè)備而言，是絕對不允許發(fā)生任何一次對DCS系統(tǒng)攻擊的。因此這些方法始終存在安全漏洞，不能從根本上杜絕網(wǎng)絡(luò)安全隱患。 3 安全隔離技術(shù)方案  3.1 專用安全隔離裝置技術(shù)原理 專用安全隔離裝置安裝在DCS系統(tǒng)網(wǎng)關(guān)機與MIS系統(tǒng)之間，在物理上保障數(shù)據(jù)的單向傳輸和隔離，從DCS系統(tǒng)接收實時數(shù)據(jù)，并存儲轉(zhuǎn)發(fā)到MIS系統(tǒng)。 3.2 專用安全隔離裝置結(jié)構(gòu) 專用安全隔離裝置采用雙主板嵌入式計算機，每臺嵌入式計算機具備常規(guī)計算機的功能。一個主板與DCS系統(tǒng)相連，另一個主板與MIS系統(tǒng)連接，運行常規(guī)的WindowsNT操作系統(tǒng)，可以很方便地與DCS系統(tǒng)和MIS系統(tǒng)連接。在每臺計算機主板中，擴展一專用同步數(shù)據(jù)通訊傳輸卡，在兩者之間進行數(shù)據(jù)通訊，并通過數(shù)據(jù)通訊傳輸卡實現(xiàn)數(shù)據(jù)的單向傳輸,支持IPX協(xié)議和TCP/IP協(xié)議。圖1為安全隔離裝置硬件結(jié)構(gòu)原理圖。 專用同步數(shù)據(jù)通訊傳輸卡，采用Hitachi HD64570芯片為核心，配以DMA和雙口RAM，完成數(shù)據(jù)的高速通訊，通訊速率達到4Mbit/s，支持HDLC、SDLC、BSC等通訊協(xié)議，能充分滿足數(shù)據(jù)通訊的實時性要求。 采用此種通訊卡，從硬件上能夠保證數(shù)據(jù)只由DCS系統(tǒng)到MIS系統(tǒng)，并結(jié)合專用軟件完成DCS數(shù)據(jù)的收集。由于采用非常規(guī)通用硬件，并在微機中單獨插卡，需要配合相應(yīng)軟件才能完成通訊功能，因而攻擊者或病毒不會對其造成影響。即使在MIS系統(tǒng)側(cè)出現(xiàn)攻擊或干擾，也不會對DCS系統(tǒng)構(gòu)成威脅。 3.3 專用安全隔離裝置的安裝調(diào)試 專用安全隔離裝置采用專為工業(yè)環(huán)境運行設(shè)計的產(chǎn)品，能夠保證長期安全運行；裝置機箱為標(biāo)準(zhǔn)工控機箱，便于現(xiàn)場安裝。圖2為每臺機組DCS系統(tǒng)安裝專用安全隔離裝置后的網(wǎng)絡(luò)示意圖。 4 隔離裝置的改進 目前，馬頭發(fā)電總廠在3#～7#機組的DCS系統(tǒng)與MIS系統(tǒng)之間安裝了專用安全隔離裝置。結(jié)合運行情況，提出如下改進建議。 a. 由于MIS系統(tǒng)中的數(shù)據(jù)采集站只接收IPX數(shù)據(jù)包，可將隔離裝置DATA OUT側(cè)嵌入式計算機中的TCP/IP協(xié)議去掉，只運行IPX協(xié)議，這樣可以減少MIS系統(tǒng)對隔離裝置的攻擊。 b. 將嵌入式計算機中的硬盤換為半導(dǎo)體盤，以保證安全隔離裝置的不間斷運行。 c. 安全隔離裝置中的雙主板嵌入式計算機，可采用不同的操作系統(tǒng)，使2個裝置間的串?dāng)_減少到最小。 d. 可將1個主控室中的2臺網(wǎng)關(guān)與1臺隔離裝置相連，這樣既避免了擴充實時網(wǎng)絡(luò)的困難，又相對減少了設(shè)備投資。 e. 制作隔離裝置應(yīng)急恢復(fù)盤，一旦隔離裝置發(fā)生故障，可及時恢復(fù)運行，使其影響降低到最小。 5 結(jié)論 專用安全隔離裝置在馬頭發(fā)電總廠應(yīng)用以來，DCS系統(tǒng)實時數(shù)據(jù)能夠快速傳輸至MIS系統(tǒng)，裝置運行穩(wěn)定；在MIS網(wǎng)絡(luò)側(cè)，使用多種通訊協(xié)議均不能訪問DCS系統(tǒng)。該裝置采用的隔離技術(shù)實現(xiàn)了物理層面的有效隔離，能夠滿足電廠計算機監(jiān)控系統(tǒng)的安全防護要求。