0 引言 隨著老機組的自動化技術改造，分散控制系統（以下簡稱DCS系統）得到了廣泛的應用，機組的實時數據通過網關送入MIS系統。MIS系統中的實時管理程序對機組生產數據進行自動采集、處理、存儲和統計分析，為生產指揮和管理人員提供科學依據，實現對發電機組的安全運行分析和經濟運行指導。由于DCS系統與MIS系統直接連接，MIS系統對DCS系統形成很大的安全隱患。因此，必須在DCS系統和MIS系統之間實現有效的隔離，最大限度地減少由于網絡系統互聯造成的安全問題。 1 DCS系統與MIS系統連接現狀  馬頭發電總廠3#～7#發電機組DCS系統采用三總線以太網絡，專用網關機與MIS網直接連接,通過網關軟件將有關實時數據發送到MIS網內，2個網絡之間的通信采用Netware的IPX協議（或TCP/IP協議）。在MIS網采集站，通過處理程序接受實時數據并轉發到實時服務器，供各用戶共享。 專用網關機將2個安全級別不同的網絡隔離開，并通過串口隔離程序，嚴格限制串行線上的數據類型，使串行線兩端的機器從網絡層隔離開。當一端的機器被侵害時，由于另一端不允許與其通過串行線建立網絡層的訪問通路，所以從網絡層考慮另一端是安全的。但這絕非真正的“物理隔離”，兩端的機器在鏈路層上是互通的，它未能實現物理上的隔離，邏輯上也未隔離，病毒程序仍可通過串口隔離程序與鏈路層協議達到入侵的目的。 2 MIS系統對DCS系統的安全隱患分析  2.1 兩系統連接中存在的安全隱患 MIS系統在生產和經營管理中，得到了廣泛應用。當MIS系統需要獲得實時運行信息時，就需要與DCS系統進行信息交換。此時，DCS系統存在如下隱患。 a. MIS系統采用的均為使用廣泛、受攻擊最多、安全漏洞表現相對突出的操作系統。 b. 幾乎所有MIS網都與Internet相聯，更增加了受攻擊的可能性。 c. 與DCS系統連接的網橋采用的均為通用產品，未能很好解決通用性與安全性之間的關系，即通用性越高，安全性越低。 d. 在DCS控制系統側，考慮到開發和應用上的方便性及其它因素，采用通用操作系統（嵌入）的越來越多，也同樣增加了受同一病毒攻擊的可能性。 e. 從計算機硬件而言，兩系統所采用的計算機CPU都是同一計算機指令系統，這也為各種攻擊增加了機會。 2.2 對安全隱患的分析 采用同類計算機，使用同種操作系統，會給網絡攻擊帶來更多機會。雖然從網絡結構上來講，DCS系統與MIS系統是通過網關機及不同網卡來完成數據通訊的，但從網絡底層驅動來講，網絡訪問是完全透明的，在此基礎上的網絡訪問是任意的。換句話說，網絡的應用層只能防止常規編程人員開發的程序不能夠隨意訪問不同網段、不同協議的計算機，如果從底層上訪問，那就沒有任何限制了，即只要物理上有連接，就能夠進行數據的交流和訪問。目前在電廠DCS系統實時數據的獲取方法，通常采用在網關機中安裝多塊網卡，分別使用不同協議通過TCP/IP協議連接到DCS系統，通過IPX協議連接到MIS系統。這實際上為數據信息在硬件上提供了物理通路，假如此網關機受到惡意程序攻擊，例如使其具備路由功能，那么DCS系統和MIS系統之間就等于處在同一網絡中，操作就沒有了限制。即使其它程序不對DCS系統進行惡意破壞，網絡“垃圾包”也會造成網絡通訊滯后或癱瘓。因此，采用這種網橋的方法存在著極大的安全隱患，其根本原因是由于采用了通用計算機、通用網卡、通用網絡協議、通用操作系統，并且在物理連接上提供了數據的雙向通訊。  2.3 應用防火墻技術的局限 防火墻是一種重要的網絡安全產品，有硬件和軟件防火墻。防火墻一般分3種類型：基于路由器的包過濾防火墻、基于通用操作系統的防火墻、基于專用安全操作系統的防火墻。除支持IP協議外，又支持AppleTalk、DECnet、IPX及NETBEUI等通用協議。它采取訪問控制、包過濾防火墻的過濾、應用層提供代理支持病毒掃描、提供入侵實時警告、實時入侵防范、實時入侵響應等措施來抵御攻擊。當發生入侵事件時，防火墻能夠動態響應，調整安全策略，阻擋惡意報文，識別/記錄/防止企圖進行IP地址欺騙等手段。 采取防火墻技術后，數據通訊仍是雙向的，無論哪種類型的防護手段，從本質上均處于“被動防御”，只有不斷升級軟件和硬件，才能防止已知病毒和常規攻擊。而對未知病毒的防御方法是有限的、滯后的。同時，作為DCS系統與MIS系統間的網橋（或其它類似設備），如果受到攻擊，即使沒有攻擊到DCS系統，也可能會在網絡上增加額外數據處理量，最終將影響DCS系統的數據實時傳遞。對于安全性要求極高的發電設備而言，是絕對不允許發生任何一次對DCS系統攻擊的。因此這些方法始終存在安全漏洞，不能從根本上杜絕網絡安全隱患。 3 安全隔離技術方案  3.1 專用安全隔離裝置技術原理 專用安全隔離裝置安裝在DCS系統網關機與MIS系統之間，在物理上保障數據的單向傳輸和隔離，從DCS系統接收實時數據，并存儲轉發到MIS系統。 3.2 專用安全隔離裝置結構 專用安全隔離裝置采用雙主板嵌入式計算機，每臺嵌入式計算機具備常規計算機的功能。一個主板與DCS系統相連，另一個主板與MIS系統連接，運行常規的WindowsNT操作系統，可以很方便地與DCS系統和MIS系統連接。在每臺計算機主板中，擴展一專用同步數據通訊傳輸卡，在兩者之間進行數據通訊，并通過數據通訊傳輸卡實現數據的單向傳輸,支持IPX協議和TCP/IP協議。圖1為安全隔離裝置硬件結構原理圖。 專用同步數據通訊傳輸卡，采用Hitachi HD64570芯片為核心，配以DMA和雙口RAM，完成數據的高速通訊，通訊速率達到4Mbit/s，支持HDLC、SDLC、BSC等通訊協議，能充分滿足數據通訊的實時性要求。 采用此種通訊卡，從硬件上能夠保證數據只由DCS系統到MIS系統，并結合專用軟件完成DCS數據的收集。由于采用非常規通用硬件，并在微機中單獨插卡，需要配合相應軟件才能完成通訊功能，因而攻擊者或病毒不會對其造成影響。即使在MIS系統側出現攻擊或干擾，也不會對DCS系統構成威脅。 3.3 專用安全隔離裝置的安裝調試 專用安全隔離裝置采用專為工業環境運行設計的產品，能夠保證長期安全運行；裝置機箱為標準工控機箱，便于現場安裝。圖2為每臺機組DCS系統安裝專用安全隔離裝置后的網絡示意圖。 4 隔離裝置的改進 目前，馬頭發電總廠在3#～7#機組的DCS系統與MIS系統之間安裝了專用安全隔離裝置。結合運行情況，提出如下改進建議。 a. 由于MIS系統中的數據采集站只接收IPX數據包，可將隔離裝置DATA OUT側嵌入式計算機中的TCP/IP協議去掉，只運行IPX協議，這樣可以減少MIS系統對隔離裝置的攻擊。 b. 將嵌入式計算機中的硬盤換為半導體盤，以保證安全隔離裝置的不間斷運行。 c. 安全隔離裝置中的雙主板嵌入式計算機，可采用不同的操作系統，使2個裝置間的串擾減少到最小。 d. 可將1個主控室中的2臺網關與1臺隔離裝置相連，這樣既避免了擴充實時網絡的困難，又相對減少了設備投資。 e. 制作隔離裝置應急恢復盤，一旦隔離裝置發生故障，可及時恢復運行，使其影響降低到最小。 5 結論 專用安全隔離裝置在馬頭發電總廠應用以來，DCS系統實時數據能夠快速傳輸至MIS系統，裝置運行穩定；在MIS網絡側，使用多種通訊協議均不能訪問DCS系統。該裝置采用的隔離技術實現了物理層面的有效隔離，能夠滿足電廠計算機監控系統的安全防護要求。