網絡隔離技術在DCS中的應用

陳衛勃

摘 要：隨著經濟的發展、社會的進步，網絡的發展日新月異。網絡病毒對計算機系統的傷害也越來越大。網絡隔離技術的發展能有效的將來自DCS系統內部的病毒阻擋在外，減少病毒對系統的傷害，將威脅隔絕在系統之外，從而保證系統的正常運行。因此，本文通過正確認識網絡隔離技術、防火墻隔離以及DCS系統的自身安全措施，分析網絡隔離技術在DCS中的應用。

關鍵詞：網絡隔離技術；DCS系統；防火墻隔離

DOI：10.16640/j.cnki.37-1222/t.2016.04.264

0 前言

在工業生產領域中，傳統的用于保障系統安全性的措施主要通過隱秘的技術和獨立的網絡來實現，隨著科技水平的提高，互聯網技術的發展，互聯網與安全系統的對接程度越來越高。使保障系統的安全性的要求也隨之升高，在具體保護中要求更加強大的系統兼容性。因此，發展網絡隔離技術刻不容緩。

1 網絡隔離技術的基本內涵

互聯網在各個工業生產領域的普及，使發展隔離技術日益提上日程。只有在互聯網上進行數據的交流與溝通，才需要網絡隔離技術，若不進行網絡數據的交流，網絡隔離技術無用武之地。網絡隔離技術是為了滿足工業生產領域網絡的安全性，在不斷出現的新型互聯網攻擊方式中，網絡隔離技術可以有效保證工業控制網絡的安全性。其工作原理是利用物理隔離和邏輯隔離將來自外環境的網絡病毒，惡意信息隔離在工業控制網絡之外，從而保證工業控制網絡的信息交流安全。

2 防火墻隔離的基本內涵

防火墻隔離是將內部、外部網絡分離，控制數據的交流，并生成使用日志和審核IP地址，從中找出隱蔽性IP，提供網絡結構，從而達到保護內部網絡的目的。防火墻包括服務訪問規則、驗證工具、包過濾、應用網關[1]。充分利用防火墻隔離技術加入相應的病毒檢測，殺毒技術可以有效的將外部網絡威脅降到最低。

3 DCS系統的自身安全措施

3.1 DCS具有獨立的網絡設置

根據DCS的網絡設置原則，在每個控制室內設置獨立的控制網絡。對于Experion PKS系統中多以容錯以太網為主的控制網絡，容錯以太網的拓撲結構為雙重并行樹形結構。FTE的內部結構包含控制層和操作層，其兩層結構由控制器、交換機、操作站構成。在其內部結構中操作站和服務器為FTE的節點，在其節點上安裝相關軟件以及網絡接口卡，然后連接雙重并行樹形結構網絡中。因此，FTE的節點就構成了幾條路徑，包括操作站到交換機到另一個交換機再到控制器。多條路徑的選擇，使數據在傳輸過程中選擇最優路徑進行數據傳輸，即可減少故障點，也可提高傳輸速率。

3.2 設置防病毒和域控服務器

生產調度的日趨頻繁，導致現有的控制網絡難以使用先進生產調度的速率。因此，加強了Experion PKS系統，設計出生產管理層。形成整體的Experion PKS系統，將DCS系統與生產管理網絡連接，在生產管理網絡中增加PKS的工作站、服務器，以及防病毒、域控服務器等。以此，建立三層網絡結構。其中第三層管理層包括PKS服務器、WPKS服務器、緩存服務器、PHD服務器、域控服務器、防病毒服務器、PKS工作站。其中PKS的工作站、服務器是提供監視畫面以及生產活動報表的。防病毒服務器在整個系統中具有清除系統中的病毒和惡意軟件的作用，從而構成系統的防御體系。域控服務器是對生產管理網絡中的用戶進行管理，保證系統的安全策略得以有效、平穩進行。WPKS服務器是支持網頁服務、網頁瀏覽的瀏覽器，其功能的發揮使生產管理與外部網絡環境相結合，促進信息的交流與融合。

4 網絡隔離技術在DCS中的應用

生產的初級階段，系統的操作站出現生產畫面的遲疑和具體操作通話中斷現象。通話中斷時間短，但中斷次數頻繁。在多次通話中斷檢測中發現，病毒的查殺并不能有效制止通話的中斷，導致多次通話中斷的原因是DCS系統無法正常運行。導致DCS系統無法正常運行的根本原因是硬件設備與系統的不平衡，導致系統在運行過程中受到硬件設備的限制。另一方面，導致通話中斷的原因還包括，操作層設備網線的問題導致的交換機的負荷過大造成交換機的損傷。由此，在DCS系統中要實行網絡橫向分段以及縱向分層隔離技術。

4.1 在FTE網絡實行橫向分段技術

調整FTE網絡，在FTE網絡中存在諸多節點，數據在交換機交流中使交換機的承壓能力大大減弱，從而出現大量故障。由此，為了減少故障的發生，就要將一個生產部門劃分一個FTE網段，拆分整個FTE網絡，從而降低交換機的負荷量，縮小因FTE網絡癱瘓造成的負面影響。

4.2 改變專用防火墻

改變FTE網絡中的第一層交換器，改用專用的防火墻[3]。使控制與操作分離，在設置防火墻時只容許相關信息通過，使通過交換器的信息得到有效控制，從而降低交換機的壓力，避免故障出現。在更換設備的同時也要將系統、軟件進行更新，將操作系統從Windows XP更新到Windows7操作系統，是操作系統與硬件設施相統一。

4.3 增添路由器進行隔離

路由器的使用使FTE網絡與生產管理網絡分離，路由器要設置在過程控制網與生產管理網絡之間，起到控制信息與生產管理信息分離的效果，并在路由器是增添智能化功能，設置信息進入的速率，設置訪問權限等等。使操作系統的縱向防御能力有所提高，從而有效的完成信息交流和通信的任務。

5 結論

綜上所述，提高工業生產的效率，避免大規模的技術故障造成的經濟效益和社會效益的損失，應加強網絡阻隔技術在DCS系統中的應用。在正確認識網絡隔離技術、防火墻技術以及DCS系統的自身安全措施的基礎上，在FTE網絡上實行分段阻隔，在過程控制網與生產管理網絡之間設置路由器，從而避免故障的發生，從而提高工業生產的效率。

參考文獻：

[1]何楊歡，周博才.本質安全DCS隔離站技術在工控數據采集中的應用[J].當代石油石化，2013，09（01）：30-33.

[2]張斌.網絡安全隔離技術在公安車管網絡中的應用[J].統計與管理，2015，05（02）：93-94.

[3]家應卓瑪.DCS網絡技術在火電廠中的應用[J].中國高新技術企業，2015，33（03）：49-50.