张亚峰 阜阳供电公司,阜阳市
摘 要:在电力系统生产运行中,调度自动化实时系统(SCADA)与管理信息系统(MIS)之间存在数据共享的技术问题,同时还要保证调度自动化系统的数据安全。阜阳供电公司SCADA系统与MIS系统采用直接网络连接的方式,并加装网络防火墙和电力系统专用网络隔离装置保证SCADA系统数据安全,实现了SCADA系统与MIS系统间交换数据,MIS系统用户可以方便地浏览SCADA数据。
关键词:SCADA系统 ; MIS系统 ; 数据WEB浏览 ; 安全防护
前 言
在电力系统的生产运行中,电网数据不仅要采集并传送到调度自动化实时系统,也需要把数据传送给MIS系统的各个用户,为企业管理部门提供决策依据。因此,在调度自动化系统的实施过程中,调度自动化实时系统与MIS系统间互联是工程人员面临的一项重要技术工作。
调度自动化SCADA系统是集变电所端设备RTU与调度主站端设备于一体的数据采集处理系统,这个系统主要是为监视电网的运行、指挥变电所的倒闸操作及事故处理、保障电网的安全服务的,系统的安全性、实时性和可靠性要求都比较高。电力企业的MIS系统是集用电营业管理、生产技术管理、财务管理、人事劳资管理、档案管理等多项管理功能于一体的局域网络系统,它是电力企业实现信息资源共享、无纸化办公的基础,它是一个相对开放的系统。可见,MIS系统与调度自动化SCADA系统的服务对象、网络安全及软硬件结构都不大相同,但为了实现资源共享、减少投资,MIS系统又应该能够调用调度自动化系统的各种数据,如何实现MIS系统与SCADA系统之间互联是一个必须解决的问题。本文解决了MIS系统与SCADA系统之间的数据连接以及其中的安全问题。
1 SCADA系统与MIS系统实现联网
1.1 常用的实现方式
SCADA系统与MIS系统连接通常采用网关机和直接连接方式。
1.1.1 采用网关机的连接方式
(1) 网络结构 这种连接方式是在MIS系统与SCADA系统之间加一网关机,实现数据的中转功能。由于MIS系统与SCADA系统的应用对象和使用范围不同,为了保证SCADA系统既能向MIS系统传送数据又不受MIS系统的干扰,不将两个网直接相连,而是通过网关机将两个网有效地隔离。网关机需安装两块网卡,一块与SCADA网相连,一块与MIS网相连,SCADA网只按一定的规约给MIS网送实时及历史数据,由MIS网自己进行处理。
(2) 数据处理 这种连接方式需要在网关机上安装接口转发程序,将通过第一块网卡接收到的SCADA网的实时数据根据统一的通信协议进行打包,再通过第二块网卡向MIS网进行发送,同时在MIS网服务器上还要安装数据接收程序,将网关机送过来的数据包进行接收并处理,并把处理后的数据存入数据库。MIS网用户安装相应的程序对各种实时或历史数据进行查询浏览,还可安装运行实时数据的画面监视程序,通过上述一系列的环节,可以实现MIS网工作站调用SCADA网的数据。
( 3) 接口特点此种接口是不同局域网之间常用的连接方式,其特点是既能实现资源共享,又能保证两网互不干扰,确保网络安全。但此种接口方式的投资也比较大,硬件投资只需1~2台微机,关键是软件投资是非常大的,其中包括网关机接口转发程序、服务器接收处理程序、存取远动数据的数据库程序、各工作站调用远动数据时显示数据的画面程序,需大量投资。
1.1.2 直接连接方式
(1) 网络结构 将MIS网与SCADA网直接相连成为一个网,IP地址统一分配统一管理,减少了中间环节,提高了运行速度。
(2) 数据处理方式此种网络结构无需网关机及接口程序, 在服务器上也无需安装远动数据的接收处理程序及数据库程序,如某MIS网工作站允许调用远动数据,就给该工作站安装经过特殊处理的远动工作站程序,该MIS工作站就成为了一台非正式的远动工作站,它可直接调用远动后台机数据库数据,为什么说它是非正式远动工作站呢?因为给它安装的是经过处理的远动工作站程序,它只能看电网画面及画面上的实时数据,不能查看远动后台数据库也不能进行遥控及运行其他远动工作站程序。
(3) 接口特点此种网络连接方式不需其他软硬件,只需将两网直接相连,已无接口可言,实际上已经是一个网了(这种连网方式只适合机器较少的局域网与局域网之间的连接),只不过是在不同的机器上运行不同的程序,实现不同的功能罢了,这就涉及到网络安全的问题,特别是远动网的安全问题,所以必须采取相应的措施才能保证远动网的安全运行。首先,只能给与调度工作有关的少数MIS网工作站安装处理后远动工作站程序,其次必须统一分配IP地址,而且两网由一个部门统一进行管理,防止互相干扰,对于计算机病毒必须时刻注意控制。
1.2 iES500系统实现方式
iES500系统与MIS网连接时采用直接连接方式,在SCADA系统添加一台服务器,专门用于WEB数据发布,MIS网用户通过浏览器浏览数据,不需安装专门的程序。其实现原理是把电网的一些主接线图先存为静态图形文件,生成HTM文件,动态数据通过JAVA控件,在客户端运行JAVA虚拟机实现。
1.2.1 Java虚拟机
Java虚拟机(JVM)是Java Virtual Machine的缩写,它是一个虚构出来的计算机,是通过在实际的计算机上仿真模拟各种计算机功能模拟来实现的。Java虚拟机有自己完善的硬件架构,如处理器、堆栈、寄存器等,还具有相应的指令系统。
Java语言最重要的特点就是可以在任何操作系统中运行。使用Java虚拟机就是为了支持与操作系统无关,在任何系统中都可以运行。
Java虚拟机屏蔽了与具体操作系统平台相关的信息,使得Java语言编译程序只需生成在Java虚拟机上运行的目标代码(字节码),就可以在多种平台上不加修改地运行。Java虚拟机在执行字节码时,实际上最终还是把字节码解释成具体平台上的机器指令执行。
1.2.2 各种数据图形文件的制作
使用SCADA系统的画面编辑软件,画出各种接线图,把它存为WEB图形格式,生成.jpg文件和.des文件,文件保存有各种数据的类型及画面中的位置,以及各种数据的读取方式及路径,保存在相应的目录下。
1.2.3 JAVA控件的编写
运用Java或C++语言,采用最基本的SOCKET编程技术,编写数据读取传送程序,按一定的方式读取内存中的实时数据,并在浏览器中显示出来,经过编译生成 .class控件。SCADA系统的实时数据是通过软总线映射在内存中的,生成的控件能通过自定义端口(1433端口)从WEB服务器读取实时数据,并在浏览器中显示出来。
1.2.4 WEB网页的生成
在HTM网页中插入Applet控件,控件是一些.class文件。用户可以根据需要自己选择不同的WEB网页。以下是一个HTM网页插入Applet控件的部分代码。
<Applet code=rtgraph.class CODEBASE="../class" width=1474 height=905>
<param name=KGColorMode value=0>
<param name=jpgfile value="465942.jpg">
<param name=EleDesFile value="465942">
<param name=graFile value="-FYB">
<param name=RealTime value="1">
<param name=actualHotPointNumber value="12">
<param name=hotPoint0x1 value="161" >
<param name=hotPoint0x2 value="183" >
<param name=hotPoint0y1 value="13" >
<param name=hotPoint0y2 value="60" >
<param name=hotPoint0Gr value="颍州变.html" >
<param name=hotPoint1x1 value="349" >
<param name=hotPoint1x2 value="365" >
<param name=hotPoint1y1 value="8" >
<param name=hotPoint1y2 value="53" >
</Applet>
1.2.5 浏览器设置:
电网信息发布都是Java程序,你的浏览器需要有支持Java的功能才能进入。如果你无法进入,有可能是你的浏览器没有安装Java虚拟机的支持,也有可能是你的浏览器禁止了Java的功能。请按下面提示打开你的浏览器的java设置。
(1)、如果你的操作系统是windows XP, 请下载并安装java虚拟机。
(2)、如果你的浏览器禁止了java功能,请按下面操作打开它。
打开一个IE窗口。1.选择“工具”-“Internet选项”-“高级”-“JAVA VM”下的第一个选项“启用Java JIT编译器”。(有些浏览器版本没有这一项,可以不管它。) 2.打开“工具”-“Internet选项”-“安全”-“自定义级别...”对话框,(1).把“Microsoft VM”中的java权限设置为“安全等级-中”,(2)把“脚本”中的“java小程序脚本”设置为“启用”和“活动脚本”设置为“启用”。 完成上面操作后,您需要把你的浏览器关掉再重新打开一下。
1.2.6 数据的WEB浏览
在WEB服务器上安装IIS服务程序,进行IIS配置并运行IIS服务,MIS网用户通过浏览器,在地址栏中输入WEB服务器的IP地址,进入实时数据主界面,选定所要查看的变电站接线图或各种曲线,首先载入静态画面信息,控件在第一次浏览时自动下载到本机,并存在临时文件夹中,然后JAVA控件在JAVA虚拟机中运行,通过服务器开放的端口,读取服务器中的画面文件信息,在浏览器中显示出各种接线图和曲线等。JAVA控件还定时读取服务器中的实时数据,在浏览器中定时进行刷新显示。
各种数据报表是由服务器定时存盘生成的,在每天1点左右服务器把前一天的各种数据报表按时生成,格式为HTM文件,制作报表浏览页面,供用户进行各种查询。
2 系统安全问题的解决
SCADA系统的WEB发布服务器在电力系统安全防护体系中,属于的Ⅱ区,MIS系统属于Ⅳ区,实时数据服务器属于Ⅰ区,这就要求WEB发布服务器在与Ⅰ区和Ⅳ区设备连接时要采取相应的安全防护措施。我们使用了电力系统专用网络隔离装置和硬件防火墙技术。防护体系图见图1。
2. 1 WEB服务器与实时数据服务器的隔离
采用珠海鸿瑞软件公司的电力系统专用网络隔离装置,它是一种正向型物理隔离装置,它通过物理隔离技术的应用从而达到对系统网络设备防护的目的,其功能是阻断网络直接连接,两个网络不同时连接在设备上;数据能进行单向传输,由实时数据服务器向WEB服务器传送,禁止数据反向传送;阻断网络的逻辑连接,将原始数据非网络方式传送,通过专用程序将数据进行组合,以非网络方式发送;隔离传输机制具有不可编程性。
物理隔离装置的实施方法是,在WEB服务器与实时数据服务器之间加物理隔离装置,外加一台数据转发工作站,该机器上运行数据处理转发程序,把所需数据从共享内存中读出重新组帧,进行规约转换,通过专用网络隔离装置,发送到WEB服务器,WEB服务器把数据进行处理写进共享内存,这样WEB服务器与实时数据服务器之间就完成了物理隔离。我们使用的是一种正向型专用网络隔离,即数据只能从实时系统流向WEB服务器,从而更加有效地保护了实时系统。
2. 2 WEB服务器与外部MIS网的隔离
防火墙是位于两个或多个网络之间实施网间访问控制的组件的集合,能有效地防止外部网络对内部网络的入侵,限制外部用户对内部网络的访问。
我们在WEB服务器与MIS网之间采用硬件防火墙隔离,对防火墙进行了两方面的安全配置。一是利用NAT(网络地址转换)技术,把服务器的IP地址进行转换,对外部隐藏内部的IP地址和网络结构,使外部对服务器不能进行IP攻击。二是采用PAT(端口转换)技术,对服务器进行端口访问控制,只开放80和1443端口,80端口用于WEB浏览,1443端口用于实时数据的传送,禁止其它端口的使用,同时对外部进行端口转换,使外部不知道内部的端口地址,无法对内部进行端口攻击。
2. 3 网络防病毒安全防范措施
采用有效的防病毒软件进行网络安全防护,使用服务器专用的病毒软件,采用分布式病毒防卫体系。在WEB服务器上安装诺顿防病毒企业版 (1服务器端,25客户端),带有邮件监控,定期对病毒库进行更新。
3 结论
通过以上的工作,实现了SCADA数据的WEB浏览,为MIS网用户提供了大量的电网运行数据,各个部门的生产管理人员都能通过生产MIS系统及时查看电力系统的运行方式和各种负荷情况,大大提高了工作效率,提高了我公司的电力生产管理
自动化水平。采用这种方式进行系统联网是一种方便实用的方式,也为具有同类设备的用户提供了一种联网方案和技术实践。
参考文献 (1)张世永,《
网络安全原理应用》,科学出版社,2003-6
(2)邹国辉,辛耀中,[电力二次系统的安全防护策略],《第二十八届中国电网调度运行论文集》,2003-3
(3)卢朝晖,孟立会,SCADA数据
信息在MIS端的二次处理及应用,中国电力通信网,2004-8
(4)李向武,MIS系统与SCADA系统的连接方式探讨,电力
信息化,2002-10
作者简介 张亚峰(1972.1——),1995年7月中国农业大学毕业,本科学历,工程师,从事电网调度
自动化工作。