资源描述
DCS与SIS系统的接口方案
12
2020年4月19日
文档仅供参考
专题五:与SIS系统的接口方案
本工程DCS系统具有广泛的开放性,支持OPC/ODBC、MODBUS等通讯协议,采用RS232/RS485、100M以太网络等接口方式,经过通讯站或交换机实现与其它系统的信息交流。系统间根据需要实现单向或双向交流,数据刷新周期为1秒。按招标书要求本工程每台机组配置了1台SIS通讯站。SIS通讯站操作系统为Windows ,运行的软件为Facview,运行操作员站工程,采用OPC方式与SIS网通讯,两边OPC协议要求一致。
基于微软 COM/DCOM 技术的 OPC是工业过程控制的接口标准。OPC是为了不同供应厂商的设备和应用程序之间的软件接口标准化,使其数据交换更加简单化的目的而提出的;从而能够向用户提供不依靠于特定开发语言和开发环境的能够任意组合使用的过程控制软件组件产品。OPC系统是由提供数据采集服务的OPC服务器、OPC接口,以及OPC应用程序所构成。OPC服务器按照硬件厂商提供的硬件所开发,使之不依赖于硬件产品;同时利用VARIANT数据类型,能够不依存于硬件要求的数据类型。和利时公司DCS产品支持OPC数据接口,有了OPC,与其它厂商的控制系统、与工厂 MIS 网、 ERP 系统、PLC之间的数据交换问题迎刃而解,不再需要编制各种特殊的接口程序,减少工程师的维护量,节约投资成本。
本工程SIS通讯站使用DELL的普通PC机,通讯站运行的是通讯站IO服务任务,不需要经常监视。每套SIS通讯站均有3个以太网通讯口等。
完成与全厂信息系统SIS的通讯可如下图所示进行:
硬件防火墙:采用台湾DLINK VPN防火墙 -DFL-900
针对黑客攻击的健壮的全状态包检测
DFL-900有许多在一般的网关上没有的安全特性。它能防止你的网络遭受拒绝服务攻击而且能经过全状态包检测来保证网络的可靠性。它能检测黑客攻击而且能过滤想要进入你的网络的入侵包。
DFI-900保护你的网络免受以下攻击:SYN Flood,Ping of Death,Spoof,Tear Drop,ICMP flood,UDP flood等等。它能够把这些攻击信息记入日志,而且定位攻击方的源IP地址,而且把攻击报告发给一个特定的email地址,而且建立针对特定IP地址建立数据检测策略。
支持高性能IPSec VPN
DFL-900有内置VPN功能,能为远程办公室提供多个IPSec通道。IPSec采用健壮的加密算法,如DES、3DES,经过IKE/ISAKMP实现自动秘钥管理。DFL-900能为远程用户激活一个VPN通道,经过使用3DES加密算法来传输需要安全性的数据。多个VPN通道能很容易的创立,而不需要配置IKE策略。
接入控制
经过在受保护的内网或外部公用网络来对DFL-900进行管理,从而管理接入。DFL-900为认证用户提供一个关于访问各种服务的内部数据库。它映射公有IP地址到内部网络的信息服务器,以允许公共的接入。你也能够使用强大的URL模式匹配来限制特殊web站点的接入。
预定策略
防火墙策略能被预定,每种策略能够用于不同的时间,只使用一次或重复使用。
硬件加速
DFL-900使用专门设计的ASIC来执行VPN加密和解密。经过硬件加速减轻了CPU的负载。
1个DMZ端口,1个信任的LAN端口
DFL-900有1个10/100BASE-TX自适应端口用来连接内部办公网络,1个物理DMZ(非火区)端口能连接你的Web,mail,FTP服务器,用于来自Internet的访问。DMZ功能是很有用的,因为它能减轻进入你的内部网服务器的数据流量,同时也保护你的办公网络不受来自Internet的攻击。
管理
DFL-900支持从远程终端,内部网络,甚至外部远程站点经过一个安全的SSL连接来进行基于web的管理。DFL-900也能经过RS-232串口进行配置。
关键特性
-带内容过滤的防火墙保护
-支持IPSec 加密/解密VPN通道,经过
-更快的基于硬件的VPN加密解密
-最多100个VPN,10,000个并发会话,1000个策略,256个计划
-3个10/100BASE-TX端口:1个WAN,1 个LAN,1个DMZ端口
-经过VPN通道的安全系统管理
-VPN通道中的会话带宽控制
-用户认证控制
-带URL/域名限制的预定策略控制
-基于web的管理和经过浏览器的远程控制
-经过浏览器软件升级
全状态包检测(SPI)
-IP地址和端口号
-包数量和字节数量
-序列号和确认号
-时间戳
-有效载荷更改历史
-动态结合
能防护的拒绝服务(DoS)
-SYN 溢出
-TCP Hijacking
-LAND攻击
-Win Nuke/OOBNuke
-Christmas Tree SYN/FIN
-SYN/FIN(零尺寸DNS区域载荷)
-BACKOffice(UDP31337)
-NetBus
-Smurf
- tear drop
- ICMP 溢出
-特洛伊木马
- UDP 溢出
-UDP扫描
-ARP攻击
内容过滤
-动态URL过滤
-HTTP URL级别:关键字/全URL*
-HTTP内容级别:URL限制,Java,Java script,ActiveX,Cookie
-应用代理:POP3,SMTP,FTP
-IP地址分配:静态分配,用于WAN口的PPPoE客户端,用于WAN口的DHCP客户端,用于LAN口的DHCP服务器,DHCP中继
IDS(入侵检测系统)
-在线模式升级
-特殊域名攻击
-攻击警告(经过E-mail)
-日志和报告
虚拟专用网(VPN)
-站点到站点VPN
-客户到站点VPN
VPN秘钥管理
-ISAKMP/Oakley(IKE)*
-SKIP*
VPN加密算法
-DES(56位)
-3DES(128位)
-AES*
-PKI(X.509)*
*AES功能将来升级后提供
VPN通道协议
-点到点通道协议(PPTP)
-二层通道协议(L2TP)
-IPSec
VPN IPSec认证
-MD5
-SHA-1
-PKI 认证请求(PKCS7和PKCS10)*
-自动认证登记(SCEP)*
-在线认证状态协议(OCSP)*
防火墙和VPN用户认证
-内置数据库(最多1500用户)
-RADIUS客户端*
-RSA安全ID客户端*
-LDAP客户端*
-RADIUS认证帐户*
-XAUTH VPN认证*
-基于web认证
路由协议
-RIP-1,RIP-2
-OSPF*
网络协议
-TCP/IP
-UDP
-ARP
-ICMP
管理
-SNMPv.1,v.2
-HTTP
-TFTP客户端
-Telnet
-命令行(CLI)*
-安全命令shell(SSHv.1.5)*
日志和监测
-图形状态显示*
-过滤活动:内部拒绝和外部连接请求日志
-会话跟踪活动:所有会话创立,中止日志
-入侵检测警告/告警:关于外部攻击的日志信息
-用户认证活动:用户认证日志
-web访问日志
-DHCP表
-系统日志
-错误日志
-mail日志
-VPN通道监测
-事件日志和告警
展开阅读全文