本发明专利技术公开了一种发电厂双向通信隔离装置。该隔离装置实现多个单元机组控制系统间的通信隔离,同时实现多个单元机组和公用系统间的双向数据交换。其功能主要包括:禁止单元机组应用网关之间直接或者间接建立TCP联接,单元机组和公用系统应用网关分别和隔离装置内外网卡创建TCP联接。隔离装置内外网卡在装置内部是非网络连接,实现多个单元机组控制网络之间完全物理隔离的同时,实现单元机组和公用系统间非网络方式下双向数据交换;采取无IP地址和MAC地址的透明报文监听方式,支持基于IP、传输协议、传输端口以及通信方向的综合报文过滤与访问控制;支持定制应用层协议功能;具有安全易用的维护管理方式:基于集中安全管理方式,具有图形化的维护管理工具。满足工艺系统的可维护性和易用性需求。
【技术实现步骤摘要】
本专利技术属于发电厂控制
,具体涉及为双向通信隔离装置能够实现发电厂单元机组控制系统间实现网络隔离,同时单元机组和公用系统间实现双向数据交换,保证系统安全稳定运行。
技术介绍
随着发电厂机组容量的不断增大,单元机组运行安全稳定运行越来越受到重视。单元机组监控系统数据网作为发电厂的重要基础设施。不仅与电力生产、经营和服务相关,而且与电网调度和控制系统的安全运行紧密关联,是电力系统安全的重要组成部分。电厂机组监控系统具有非常高的安全要求,一般电厂中有多台机组在运行,两个或者多个机组存在公用系统,各个单元机组间要求控制网络数据不能共享,但要求与公用系统间实现双向数据交换。常见措施有配置防火墙,增加IP和端口过滤规则,通过三层交换机或者路由器划分VLAN等方式,但是这些措施有一定的局限性,不能很好的起到隔离效果,因此实现物理隔离作为一种安全有效的隔离方式,越来越受到重视。物理隔离装置划定了明确的安全边界,使得网络的可控性增强,便于内部管理。综合上述内容,本专利技术提出一种发电厂双向通信隔离装置。通过该装置可以实现发电厂单元机组控制网络间的物理隔离,通过双向通信隔离装置集中安全控制访问方式,实现单元机组和公用系统网络间的双向数据交换。提高了发电厂单元机组监控系统的安全性。
技术实现思路
为解决现有技术中存在的以上问题,本专利技术公开了发电厂双向通信隔离装置。在保证发电厂单元机组应用系统间物理隔离的情况下,实现单元机组应用网络和公用系统网络间实现双向数据交换。本专利技术具体采用以下技术方案:—种发电厂双向通信隔离装置,所述双向通信隔离装置设置在两单元机组应用网络之间,并具有接口连接至多个机组共用的公用系统网络,其特征在于:所述发电厂双向通信隔离装置包括两个物理结构完全独立的CPU,即第一 CPU和第二 CPU ;其中第一 CPU包括两个独立的网卡,即第一局域网接口 LANl和第二局域网接口LAN2,其中,第一局域网接口 LANl和1#单元机组应用网络连接,第二局域网接口 LAN2和公用系统应用网络连接,第一局域网接口 LANl和第二局域网接口 LAN2之间不存在间接或直接网络连接;第二 CPU包括两个独立的网卡,即第三局域网接口 LAN3和第四局域网接口 LAN4,其中,第三局域网接口 LAN3和2#单元机组应用网络连接,第四局域网接口 LAN4和公用系统应用网络连接,第三局域网接口 LAN3和第四局域网接口 LAN4不存在间接或直接网络连接;所述发电厂双向通信隔离装置的两个CPU在结构上为相互独立的物理硬件,在实际应用中,第一 CPU负责完成1#单元机组和公用系统间的数据交换,第二 CPU负责完成2#单元机组和公用系统间的数据交换,公用系统通过第一 CPU和第二 CPU的虚拟地址区分不同单元机组的数据,公用系统网络数据则通过发电厂各双向通信隔离装置中的第一 CPU中的第二局域网接口 LAN2和第二 CPU中的第四局域网接口 LAN4同时送给不同的单元机组;基于上述的结构的发电厂双向通信隔离装置保证了单元机组间是完全物理隔离,同时各单元机组和公用系统间实现双向数据交换;所述发电厂双向通信隔离装置禁止单元机组应用网络和公用系统应用网络之间直接或者间接建立TCP连接,实现应用网络之间物理隔离和非网络方式的安全的数据交换。所述发电厂双向通信隔离装置采用透明报文监听方式,支持定制应用层协议功能,具有报文综合过滤功能。本专利技术还进一步包括以下优选技术方案。所述发电厂双向通信隔离装置采用透明报文监听方式,支持定制应用层协议功能,具有报文综合过滤功能。双向通信隔离装置通过UDP组播方式能够接收到来自单元机组应用网络和公用系统应用网络的所有网络数据,双向通信隔离装置面向单元机组和公用系统采用不同组播地址;双向通信隔离装置接收到数据后,首先通过报文过滤,符合特定格式要求的报文进行解析,不符合格式要求的报文被直接丢弃。所述发电厂双向通信隔离装置采用集中安全控制的管理方式,支持全图形化的维护管理工具;所有的数据访问都经过双向通信隔离装置,所述双向通信隔离装置采用定制应用层协议,只有符合特征的应用协议才能通过双向通信隔离装置。双向通信隔离装置设置有安全访问机制,单元机组应用网络可以在所述隔离装置上集中实现安全访问控制,单元机组应用网络和公用系统网络无需通过加密口令和身份认证方式就可以实现安全访问,双向通信隔离装置拥有基于Java或标准C++开发的图形化的维护管理工具,能够通过Java和标准C++进行隔离装置配置、调试、系统诊断和维护工作。单元机组应用网络和公用系统应用网络之间不建立直接或者间接的TCP连接,通过应用网络的网关设备和隔离装置网卡建立TCP连接,实现物理层连接侧的完全隔离。单元机组控制系统和公用控制系统间通过发电厂双向通信隔离装置实现数据的双向传输。所述发电厂双向通信隔离装置采用透明报文监听方式,支持定制应用层协议功能,具有报文综合过滤功能。所有的数据访问都经过网络隔离装置,隔离装置采用定制应用层协议,只有符合特征的应用协议才能通过网络隔离装置,所以网络环境变得更安全。本专利技术的有益效果如下:发电厂双向通信隔离装置满足《电网和电厂计算机监控系统及调度数据网络安全防护的规定》要求,能够实现发电厂单元机组控制系统间的物理隔离,同时又能实现单元机组和通用系统间的双向数据传输。极大的提高了发电厂单元机组监控系统的安全性。附图说明图1为发电厂双向通信隔离装置网络连接示意图;图2为发电厂双向通信隔离装置网络结构图;图3为发电厂双向通信隔离装置功能流程图。具体实施例方式下面结合说明附图对本专利技术的技术方案作进一步详细说明。如图1所示为发电厂双向通信隔离装置网络连接示意图。一般电厂中有多台机组在运行,两个或者多个机组存在公用系统,各个单元机组间要求控制网络数据不能共享,但要求与公用系统间实现双向数据交换。所述发电厂双向通信隔离装置由两个独立的物理硬件组成,每个物理硬件内置两个网卡,将单元机组应用网络和公用系统应用网络分解成内外两个应用网关,分别与隔离装置的两个网卡建立两个TCP虚拟联接。隔离装置每个物理硬件内置的两个网卡在装置内部是非网络连接,且允许数据双向传输;组成隔离装置两个物理硬件之间是相互独立的,不存在间接或直接的网络连接,这样既能保证单元机组间的应用网络相关独立,又能保证单元机组和公用系统间能够进行数据交互。如图2所示为发电厂双向通信隔离装置网络结构图。所述发电厂双向通信隔离装置包括两个物理结构完全独立的CPU,分别为CPUl和CPU2,每个CPU板上集成了两个独立网卡,如果发电厂中两个单元机组共用一套公用系统,CPUl负责完成#1单元机组和公用系统间的数据交换,CPUl上的LANl网卡连接1#单元机组应用网络,LAN2网口连接公用系统应用网络。CPU2负责完成#2单元机组应用网络和公用系统间的数据交换。CPU2上的LAN3网卡连接2#单元机组应用网络,LAN4网口连接公用系统应用网络。公用系统通过虚拟的隔离装置地址区分来自不同单元机组的数据,公用系统的网络数据则通过LAN2和LAN4同时发送给双向通信隔离装置。双向通信隔离装置最多支持4个单元机组共用一套公用系统。所述发电厂双向通信隔离装置禁止单元机组应用网络和公用系统应用网络之间直本文档来自技高网...
【技术保护点】
一种发电厂双向通信隔离装置,所述双向通信隔离装置设置在两单元机组应用网络之间,并具有接口连接至多个机组共用的公用系统网络,其特征在于:所述发电厂双向通信隔离装置包括两个物理结构完全独立的CPU,即第一CPU和第二CPU;其中第一CPU包括两个独立的网卡,即第一局域网接口LAN1和第二局域网接口LAN2,其中,第一局域网接口LAN1和1#单元机组应用网络连接,第二局域网接口LAN2和公用系统应用网络连接,第一局域网接口LAN1和第二局域网接口LAN2之间不存在间接或直接网络连接;第二CPU包括两个独立的网卡,即第三局域网接口LAN3和第四局域网接口LAN4,其中,第三局域网接口LAN3和2#单元机组应用网络连接,第四局域网接口LAN4和公用系统应用网络连接,第三局域网接口LAN3和第四局域网接口LAN4不存在间接或直接网络连接;所述发电厂双向通信隔离装置的两个CPU在结构上为相互独立的物理硬件,在实际应用中,第一CPU负责完成1#单元机组和公用系统间的数据交换,第二CPU负责完成2#单元机组和公用系统间的数据交换,公用系统通过第一CPU和第二CPU的虚拟地址区分不同单元机组的数据,公用系统网络数据则通过发电厂各双向通信隔离装置中的第一CPU中的第二局域网接口LAN2和第二CPU中的第四局域网接口LAN4同时送给不同的单元机组;基于上述的结构的发电厂双向通信隔离装置保证了单元机组间是完全物理隔离,同时各单元机组和公用系统间实现双向数据交换;所述发电厂双向通信隔离装置禁止单元机组应用网络和公用系统应用网络之间直接或者间接建立TCP连接,实现应用网络之间物理隔离和非网络方式的安全的数据交换。...
【技术特征摘要】
1.一种发电厂双向通信隔离装置,所述双向通信隔离装置设置在两单元机组应用网络之间,并具有接口连接至多个机组共用的公用系统网络,其特征在于: 所述发电厂双向通信隔离装置包括两个物理结构完全独立的CPU,即第一 CPU和第二CPU ; 其中第一 CPU包括两个独立的网卡,即第一局域网接口 LANl和第二局域网接口 LAN2,其中,第一局域网接口 LANl和1#单元机组应用网络连接,第二局域网接口 LAN2和公用系统应用网络连接,第一局域网接口 LANl和第二局域网接口 LAN2之间不存在间接或直接网络连接; 第二CPU包括两个独立的网卡,即第三局域网接口 LAN3和第四局域网接口 LAN4,其中,第三局域网接口 LAN3和2#单元机组应用网络连接,第四局域网接口 LAN4和公用系统应用网络连接,第三局域网接口 LAN3和第四局域网接口 LAN4不存在间接或直接网络连接; 所述发电厂双向通信隔离装置的两个CPU在结构上为相互独立的物理硬件,在实际应用中,第一 CPU负责完成1#单元机组和公用系统间的数据交换,第二 CPU负责完成2#单元机组和公用系统间的数据交换,公用系统通过第一 CPU和第二 CPU的虚拟地址区分不同单元机组的数据,公用系统网络数据则通过发电厂各双向通信隔离装置中的第一 CPU中的第二局域网接口 LAN2和第二 CPU中的第四局域网接口 LAN4同时送给不同的单元机组; 基于上述的结构的发电厂双向通信隔离装置保证了单元机组间是完全物理隔离,同时各单元机组和公用系统间实现双...
【专利技术属性】
技术研发人员:陈莉,杨咏林,奚志江,周立东,
申请(专利权)人:北京四方继保自动化股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。