泵站计算机监控系统网络建设方案比较

庄 重 顾继群

（南京南瑞集团公司，江苏 南京210003）

0 引言

在我国目前的水利行业中，大量的泵站在国民经济中承担着重要作用。但是目前大部分泵站自动化水平不高，设备运行安全问题较为突出，一些泵站受到老的网络技术条件限制，运行管理安全性较低。随着计算机及网络信息技术的迅猛发展，计算机已深入应用到各行各业中去。对于在水利建设中普遍应用的泵站监控系统来说，计算机技术和微电子技术的发展使泵站监控系统的网络化、信息化水平得到了显著提高。借助先进的计算机网络技术，可以将泵站监控系统建设成为更先进的计算机监控系统，实现无人值守、少人值班、优化调度，提高泵站的运行效率和管理水平，为泵站的安全、经济运行提供强有力的保障。

1 常规应用方案

如图1所示，目前绝大多数泵站监控系统采用的是扩展环型网络结构，各网络节点通过环型链路实现数据交换，除现地控制单元、操作员工作站、通信机外，其他应用计算机构成MIS局域网，MIS局域网的计算机节点与现地控制单元、操作员工作站、通讯机处于同一个TCP/IP网段内。

图1 常规应用方案

两台操作员工作站构成热备冗余的运行方式，运行值班主机可预先任意选择，双机之间通过以太网实现通讯。系统软件根据值班主机的运行状态、通信状态、软硬件等，进行跟踪识别。一旦值班主机出现故障或异常，系统就发出切换信号，由备用机取代值班主机，同时发出主机故障的提示信号。

系统内设置有通信机，配有RS232/RS485串行通讯口，并预留与其他系统的通信接口，操作员工作站将系统所需实时数据传送到通信机，通信机兼有WEB发布功能，局域网与上级部门直接通过访问通信机，来获取泵站监控系统的各项运行数据和相关信息。

这种常规网络结构具有系统结构清晰、数据传输速率高、通信接口可扩展等优点，但是，MIS直接访问通信机，不可避免会造成网络安全性变差，MIS由于其系统的特殊性，其中包含着许多不确定的因素，在网络安全方面也不容易管理，易受到外部计算机病毒影响。另外，由于一般MIS直接和外部网络相连，使得MIS容易受到黑客的干扰，因此监控系统直接与MIS连接，将会给网络安全带来很大的隐患。

2 优化解决方案

为了解决常规应用方案中来自于INTERNET 的安全隐患和威胁，我们给出了优化方案。主要方法是将WEB 浏览功能从通信机上分离出来，另外利用一台专用服务器作为WEB 通信机，其上安装Linux操作系统，由于Linux系统是开放源代码的，即使系统出现了小漏洞，也会很快被提出并加以解决。相对于Linux系统，Windows系统是应用于商业领域，需要收费的，这样很多黑客就会出于好奇，想方设法去攻击Windows系统，而Windows系统在普通用户中应用最多，因此不太懂电脑技术的普通用户常常是黑客攻击的对象。Windows系统正是因为源代码封闭，所以并不是很经得住推敲，一旦知道原理，很容易找出漏洞，发起病毒攻击。因此Linux系统本身在设计上就比Windows系统具有更好的网络安全功能。监控系统通信机与WEB通信机可以通过RS232串口相连接，也可以在中间设置专用网络安全隔离装置。

2.1 RS232串口通讯方式

如图2所示，通信机与WEB通信机用各自串口相连，此种通讯方式也能起到一些网络隔离的效果，不过通讯数据是按位传输，虽然成本低，但通讯速度慢，不能适应泵站监控系统的应用需求。

2.2 网络隔离方式

如图3所示，通信机与WEB通信机仍然利用网络相连，但在网络中间设置专用网络安全隔离装置，网络安全隔离装置是位于监控系统网络与公用信息网络之间的一个安全防护装置，用于安全区Ⅰ/Ⅱ到安全区Ⅲ的单向数据传输。该设备的应用对于进一步提高泵站监控系统的整体安全性和可靠性有很大帮助。

图2 RS232串口通讯方式

图3 网络隔离方式

网络安全隔离装置由两套高性能嵌入式微机及配套装置形成物理隔离系统，嵌入式微机采用RISC 体系结构，该设计结构将能够使网络少受病毒攻击；实现两个网络安全区之间的数据传输，并且应用了较为安全的逻辑算法，保证了接入隔离装置的两个网络系统相互不能同时连通。安全隔离装置采用截断TCP 连接的方式，分离网络数据中的TCP/IP开头部分，将监控系统环网的纯数据通过单向数据通道FIFO 发送到MIS局域网，同时只允许应用层中不带任何数据的TCP包的控制信息传输到监控系统环网中去，极大地提高了监控系统的可靠性和安全性。

3 结语

总之，在泵站计算机监控系统中采用网络隔离方式，不仅具有数据传输速率高、通讯扩展性能好的优点，而且能够很好地保证监控系统网络的稳定性、可靠性，为泵站的日常安全运行打下良好的基础。