In diesem Beitrag werden die Probleme bei der bereichsübergreifenden Datenübertragung des sekundären Stromversorgungssystems in der Region Lianyungang vorgestellt und es wird vorgeschlagen, diese Probleme durch die Einrichtung eines bereichsübergreifenden Datenübertragungs- und -austauschsystems zu lösen. Die Struktur des gegenwärtigen sekundären Sicherheitsschutzsystems und die Datenübertragungseigenschaften der physikalischen Isoliergeräte werden analysiert, und es wird erläutert, wie verschiedene Kommunikationsprotokolle für den Datenaustausch und die Datenübertragung entworfen und gekapselt werden können. Außerdem wird die gebietsübergreifende Anwendung im Bauprozess des Lastprognosesystems im Gebiet Lianyungang beschrieben. Beispiele für Datenübertragung und -austausch.
Einleitung Gemäß dem Gesamtrahmen des nationalen Sicherheitsschutzes für das sekundäre Stromversorgungssystem [1] und dessen Kerngedanken (Sicherheitszonierung, netzspezifische, horizontale Isolierung, vertikale Authentifizierung) kann das gesamte sekundäre Stromversorgungssystem in 2 Hauptbereiche und 4 Sicherheitsarbeitsbereiche unterteilt werden. Der Produktionskontrollbereich umfasst den Sicherheitsbereich I (Echtzeitkontrollbereich) und den Sicherheitsbereich II (nicht kontrollierter Produktionsbereich); der Managementinformationsbereich umfasst den Sicherheitsbereich III (Produktionsmanagementbereich) und den Sicherheitsbereich IV (Managementinformationsbereich).
Aus horizontaler Sicht sollten zur Verstärkung der Isolierung zwischen den Sicherheitszonen Netzsicherheitsgeräte unterschiedlicher Stärke (z. B. Hardware-Firewalls und spezielle Vorwärts- und Rückwärtsstromisolierungsgeräte usw.) eingesetzt werden, um sicherzustellen, dass die Geschäftssysteme in jeder Sicherheitszone geschützt sind. Wirksamer Schutz. Eine Hardware-Firewall wird für die Isolierung zwischen der Sicherheitszone I und der Sicherheitszone II verwendet; eine spezielle Stromisolierungsvorrichtung wird für die Isolierung zwischen dem Produktionskontrollbereich (Sicherheitszone I und II) und dem Managementinformationsbereich (Sicherheitszone III und IV) verwendet und schränkt den Datenfluss strikt ein; Vorwärtsisolierungsvorrichtungen müssen für die einseitige Übertragung von Informationen von den Sicherheitszonen I und II an die Sicherheitszone III verwendet werden, und Rückwärtsisolierungsvorrichtungen müssen für die einseitige Datenübertragung von der Sicherheitszone III an die Sicherheitszonen I und II verwendet werden. Für die Isolierung zwischen Sicherheitszone III und Sicherheitszone IV wird eine Hardware-Firewall verwendet [2].
Aus der Sicht der Kommunikation und der Datenübertragung muss der bereichsübergreifende Datenaustausch aufgrund der Einwegübertragungseigenschaften der physischen Isolationsvorrichtungen der Datenübertragungsmethode der physischen Isolationsvorrichtungen folgen, was die ursprünglichen oder neuen Geschäftssysteme zwingt, sich entsprechenden Transformationen zu unterziehen, um sich den Anforderungen des Sicherheitsschutzes anzupassen. Verschiedene Management-Anwendungssysteme im Bereich der Management-Informationen müssen oft eine große Menge an Daten zur Unterstützung aus dem Bereich der Produktionssteuerung erhalten.
Um den Nutzern die Einführung neuer Geschäftssysteme im Bereich der Managementinformationen im Rahmen der bestehenden sekundären Sicherheitssysteme zu erleichtern, wurde in diesem Artikel ein offenes, plattformbasiertes Datenaustauschsystem entwickelt, mit dem heterogene und verteilte Daten verschiedener Hersteller (z. B. der Austausch und die Integration einer großen Menge von Datei- und Datenbankdaten) sowie eine einheitliche und zentralisierte Verwaltung von regionsübergreifenden interaktiven Daten realisiert werden können. Unter der Prämisse, die Sicherheit des überregionalen Datenaustauschs zwischen Systemen zu gewährleisten, kann es für die Sicherheitsumwandlung von sekundären Energiesystemen eingesetzt werden. Sicherer Datenaustausch zwischen Produktionskontrollbereich und Managementinformationsbereich
1 Sicherheitszonenübergreifendes Datenübertragungssystem
1.1 Horizontale Architektur des Sicherheitsschutzes
Das sekundäre Stromversorgungssystem umfasst im Wesentlichen das Energiemanagementsystem (EMS), das System zur Erfassung der elektrischen Energie (PMS), den Dispatcher-Trainingssimulator (DTS), verschiedene Messsystem-Hauptstationen, das Kommunikationsüberwachungs- und -managementsystem, das Relaisschutz-Informationsmanagementsystem und das Dispatcher-Management-Informationssystem (DMIS). Nach dem Prinzip der Sicherheitspartitionierung sind die oben genannten Systeme mit Ausnahme von DMIS entsprechend ihren Funktionen im Echtzeit-Leitbereich (Sicherheitsbereich I) und im Nicht-Echtzeit-Produktionsbereich (Sicherheitsbereich II) des Produktionsleitbereichs untergebracht. DMIS befindet sich im Produktionsmanagementbereich des Managementinformationsbereichs. Zone (Sicherheits-III-Zone) und bildet somit den Gesamtrahmen des Sicherheitsschutzsystems (siehe Abbildung 1).
1.2 Aufbau eines regionsübergreifenden Datenübertragungssystems
Nach der Implementierung der Sicherheitspartitionierung und der physischen Isolierung wird der gesamte Datenübertragungsprozess in zwei Teile unterteilt: 1) Vom internen Netzwerk (Sicherheitszone I und II) zum physischen Isolierungsgerät (vorwärts) zum externen Netzwerk (Sicherheitszone III), was als Vorwärtsübertragungsprozess bezeichnet wird; 2) Vom externen Netzwerk (Sicherheitszone III) zum physischen Isolierungsgerät (in umgekehrter Richtung) zum internen Netzwerk (Sicherheitszonen I und II), dies wird als Rückwärtsübertragungsprozess bezeichnet. Aufgrund der Einwegübertragungseigenschaften der physischen Isolationsvorrichtungen sind Vorwärts- und Rückwärtsisolationsvorrichtungen gleichbedeutend mit Kommunikationssperrpunkten [3], so dass die meiste Netzwerkanwendungssoftware, die auf dem herkömmlichen TCP/IP-Kommunikationsprotokoll basiert, nicht direkt überregional eingesetzt werden kann. Zu diesem Zweck wird im Sicherheitsbereich II und im Sicherheitsbereich III eine Datenagentenplattform eingerichtet, die den Kommunikationsprozess mit den Vorwärts- und Rückwärtsisolationsvorrichtungen kapselt und Daten über die interne und externe Netzwerkdatenagentenplattform austauscht. Für die Benutzer und Entwickler von Geschäftssystemen ist es nicht erforderlich, das Kommunikationsprotokoll und den Arbeitsmechanismus der Vorwärts- und Rückwärtsisolierungsgeräte zu berücksichtigen, und die bisherigen Kommunikationsmethoden können weiterhin für den transparenten Datenaustausch zwischen internen und externen Netzen verwendet werden [4]. Siehe Abbildung 2.
Der Datenaustausch vom Intranet zum externen Netz (vorwärts) kann in zwei Kategorien unterteilt werden: Dateiübertragung und Datenbankübertragung. Der Datenaustausch vom externen Netz zum internen Netz (in umgekehrter Richtung) kann nur im Klartextdateiformat nach Verschlüsselung und Authentifizierung übertragen werden. Hinsichtlich der Art der Daten werden die zwischen internen und externen Netzen ausgetauschten Daten in zwei Kategorien unterteilt: Echtzeitdaten und Nicht-Echtzeitdaten, wobei die Echtzeitdaten hauptsächlich vom SCADA-System erzeugt werden, während die Nicht-Echtzeitdaten aus dem Intranet stammen.
Andere Geschäftssysteme werden generiert. Gleichzeitig muss die interne und externe Netzwerkdaten-Agent-Plattform unter Berücksichtigung von Anwendungsanforderungen wie der gegenseitigen Übertragung von Datenbank- und Dateidaten, dem Zugriff auf externe Dateien und der flexiblen Datenspeicherung die folgenden Anforderungen erfüllen: 1) Vereinheitlichung der Datenaustauschstandards und -formate; 2) Datensynchronisation zwischen interner und externer Netzwerk-Datenagentur-Plattform; 3) Synchronisation von Unternehmensdatenbanken in derselben Sicherheitszone mit der lokalen Backend-Bibliothek; 4) Echtzeit-Datensynchronisation; 5) Dateiübertragung zwischen internen und externen Netzwerken [5]; 6) Unterstützung mehrerer Datenübertragungsprotokolle. Die Struktur der auf dieser Grundlage entwickelten Systemsoftware ist in Abbildung 3 dargestellt.
1.3 JAVA-basiertes überregionales Datenübertragungssystem
Das sicherheitszonenübergreifende Datenübertragungssystem besteht aus zwei Teilen: der inneren Plattform und der äußeren Plattform, die alle in der Sprache JAVA entwickelt wurden. Aufgrund der plattformübergreifenden Natur der JAVA-Sprache unterstützt das System mehrere Betriebssysteme und ist einfach zu implementieren. Das System besteht im Wesentlichen aus fünf Teilen: Datenzugriffskontrolle, Kommunikationsprotokoll-Agent, Datenvereinheitlichungsplattform, Datenverwaltung und Isolationsgerätekreuzung. Die Datenzugriffskontrolle bietet einen Zugriffsmechanismus auf verschiedene Geschäftssysteme im Intranet und stellt eine einheitliche Datenschnittstelle bereit; der Kommunikationsprotokoll-Agent sorgt für die transparente Implementierung verschiedener Kommunikationsprotokolle und ist für den Empfang und die Weiterleitung von Echtzeit- und Nicht-Echtzeitdaten zuständig; die Datenvereinheitlichungsplattform stellt als einheitliche Datenspeicherplattform für das Datenübertragungssystem Daten im Standardformat der Extensible Markup Language (XML) für den regionenübergreifenden Datenaustausch bereit; die Isolationsgeräteüberquerung sorgt für die tatsächliche Kommunikation mit Vorwärts- und Rückwärts-Isolationsgeräten. Der Kommunikationsprozess ist für den Austausch von Daten zwischen internen und externen Netzwerken auf der Grundlage der einheitlichen Datenplattform zuständig; die Datenverwaltung stellt die Datenverwaltung und Aufgabenplanung für die Datenzugriffskontrolle, die Datenkommunikationsagenten und die einheitlichen Datenplattformen bereit.Die oben genannten fünf Module bilden die Softwarearchitektur des gesamten sicherheitszonenübergreifenden Datenübertragungssystems.
