摘要:对于民族语言网站集成就是一个将不同的计算机系统、网络系统、安全系统、多媒体系统、应用系统在物理上与功能上连接在一起,满足用户整体需求的过程。本文主要从以下五个方面,包括企业项目背景、需求分析、网络总体设计方案、网络安全和软件平台设计,对电台企业内部网络构建的内容进行了详细的讨论。
关键词:民族网,网络结构,网络安全
1 引言
1.1 项目背景
近年来,以美国为首的西方不断加大针对新疆、的少数民族语言广播覆盖,对新疆、地区进行宣传渗透,对不明真相的当地藏族民众进行煽动、蛊惑,企图达到分裂祖国的意图,代表国家声音的少数民族语言广播和网络宣传却没有大的发展。
鉴于上述情况,民族网作为国家少数民族语言网站,应当担负起维护祖国统一、反对民族分裂的历史责任。加强民族网站建设,加强少数民族语言宣传和覆盖,可以说是贯彻中央领导讲话精神、进一步落实“西新工程”、“走出去工程”要求的具体体现,是适应新时期少数民族语言广播对内、对外宣传需要的重要举措。
1.2 研究内容及意义
项目内容主要包括:业务信息系统、主干网络、存储与备份、安全系统等。
民族语言网站的建设是为了加强党对民族地区的宣传力度,将党的声音通过网络渠道传达到民族地区;是架设在党和人民群众之间的桥梁,传递着党和政府的各项方针政策,在社会经济、政治和文化等方面发挥着主要的舆论宣传作用。
2 系统设计原则和设计目标
2 .1设计原则
先进性
本次建设应采用当前成熟且较先进的技术,保持系统硬件、软件、技术方法和数据管理的先进性,从而保证高效率、高质量的应用。同时具有较强的可移植性、可重用性,在将来能迅速采用最新技术长期保持系统的先进性。
可靠性
系统能够支持民族语言网站中较大并发用户同时进行浏览、交互、检索文档等与数据库的交互式的操作,并且相对占用较少的硬件资源。当意外事件发生时,能通过快速的应急处理,实现故障修复,保证数据的完整性,避免丢失重要数据。
安全性
系统安全、稳定、可靠的运行,首先取决于系统的整体设计、平台的选择以及应用程序的质量;其次,必须考虑到各种特殊情况下的恢复机制和备份机制,以保证数据的一致性、完整性以及灾难恢复;严格的管理制度也是系统安全性的重要保证。
开放性、扩展性
一个良好的系统体系结构,应该具有处理未来变化和发展所需要的可扩展性。这不仅基于本项目当前的需求,真正符合多层浏览器/服务器体系结构,而系统的体系结构应不需要做较大的改变,并能保证系统今后的平滑升级。
标准化、结构化
本系统应采用开放标准,选用的技术、产品符合开放标准。项目提供的所有技术均要求符合相应的国际先进标准、中国国家标准、各行业的相应标准、国际标准化组织标准。
成熟性、实用性
在项目设计过程中,要求采用被实践证明为成熟和实用的技术、产品进行系统建设。这样,能够在最大限度上保证核心系统的成熟度;一些个性化的应用也应采用成熟的技术进行开发和功能扩展,最大限度地满足民族语言网站现在和未来发展的需要,确保稳定性。
可维护性、可管理性
由于民族语言网站的使用面广,系统稳定性、可用性要求高,因此系统平台还必须要求具有良好的可管理和易于维护的特点。
适应性
网站采用通用技术实现,网站支持目前流行的多种浏览器,支持网络上主流的音视频技术,按用户要求支持多种图片和音视频格式。
2.2 项目建设目标
民族语言网站项目的建设目标是:立足当前,放眼未来,构建民族语言网站硬件环境,在此基础上开发部署民族语言网站软件平台,实现民族语言网站业务数据的搜集、整理以及展现一体化。
建设成国内最具权威性、最具影响力的少数民族语言文字的综合多媒体网站。
3 需求分析
3.1 用户业务需求
主要实现稿件的、多种业务信息的采集、音视频的直播及点播、信息搜索及各种互动业务功能。
采集渠道要求利用两台高性能交换机作为台内建设部分的核心交换,连接所有音频采集服务器、部分视频采集服务器、后台管理服务器以及数据库服务器。
网站分为汉语、蒙古语、藏语、维吾尔语、哈萨克语和朝鲜语等共多种语言的各自独立的网站,并能够独立运行集中管理。
3.2 网络功能需求
台内主要为民族语言网站的制作区和管理区;总部基地为辅助编辑区,可完成网站的部分编辑工作。编辑通过光纤连接成的网络完成和台内编辑一样的工作。同时作为异地的备份区域,对台内数据做容灾备份。
网站区主要负责网站的对外。对外服务网络带宽设计为400M。台内制作好的网页、音视频等多媒体内容通过专线传送至此区域的对外服务器组,供互联网用户访问。
远程编辑区域和分网站通过因特网与台内连接,采用VPN技术实现安全数据传输。
4 网络总体方案设计
4.1 网络拓扑结构设计
4.1.1总体系统组成
民族网站硬件平台以及基础网络平台和核心,构建包含网络系统、服务器系统、存储系统、负载均衡、安全系统全面的高性能、可扩展的网站基础硬件平台,为网站的各种应用提供充分的性能、安全保障。
4.1.2网络结构
民族网网络系统分为网站区和网络维护管理区,民族网网络系统需要考虑各区域内部的网络结构以及各区域之间的网络互联。整体的网络拓扑结构如下图1所示。
(1)网站区
网站区主要由数据网络和存储网络组成。
其中数据网络划分为核心区和接入区,核心区是网站数据交换的核心设备,负责所有服务、论坛、博客、邮件、防病毒等服务器的连接,为外部用户访问网站内容提供高速互联。核心网络由两台高性能的三层千兆以太网交换机组成,提供1块6端口千兆位光纤接口模块,2块48端口的10/100/1000Mbps自适应以太网接口模块,为各种服务器提供双连接,充分保证服务器连接的可靠性和性能。
网站区的存储网络是通过独立IP网络形成WEB服务器群和流媒体服务器群共享网站区的NAS存储。存储网络由两台24口千兆以太网交换机构成,连接网站区的NAS存储以及WEB服务器群和流媒体服务器群服务器的独立网卡,形成完全独立的IP存储网络。既提高了网络存储的性能,同时也提高数据存储的安全性。
(2)网站维护管理区
网站维护管理区其网络构成主要有维护管理区核心交换网络、业务网以及与IP NAS存储相关网络构成。
网络管理区核心网络同样由两台高性能的三层千兆以太网交换机组成,提供1块6端口千兆位光纤接口模块,2块48端口的10/100/1000Mbps自适应以太网接口模块,为接入层交换机及各种服务器的提供双连接;提供网站采、编、发及内容管理服务器、网页防篡改服务器,音视频采集服务器的数据网络互联,所有服务器全部采用双网卡连接至两台核心交换机,提供性能和可靠性保障。
网站区与台内管理区、台内管理区与总部基地机房均采用两对单模千兆光纤,实现带宽为1000M的三区连接。
(3)总部基地
用于辅助实现现有业务数据整合和部分音视频采集功能,主要是为了民族网站平台建设提供后勤及辅助设施。
4.2核心层设备配置说明
网络中心设在电台五层的计算机网络中心机房内。
网站区与管理区均采用两台Cisco Catalyst 4506(六个插槽)高性能第2/3/4层交换机作为核心层交换机来连接各类服务器及接入层交换机。
4506交换机为6槽机箱,配置双电源实现电源的负载均衡和备份;配置最新的第四代交换引擎,交换背板容量达到64G。提供线速的第二、三、四层的过滤功能,QoS功能。4506交换机具有64G的高速背板容量,支持高达48Mbps第三层转发能力。4506交换机具备很高的端口密度和可靠性,采用两台4506作为主干交换机即可完全满足要求。
每台4506交换机配置1块6端口千兆位光纤接口模块,用于连接网络管理区防火墙。
每台4506交换机配置2块48端口的10/100/1000Mbps自适应以太网接口模块,用于连接网络中心的防火墙、负载均衡、各类服务器和网管工作站。千兆位以太网接口上剩余的端口可以用于将来连接高速服务器和对网络进行扩展。
网络管理区接入层交换机与网络中心4506交换机之间的通路连接可采用两条千兆位以太网链路,利用Cisco的支持快速Spanning Tree协议的Uplinkfast技术,实现上联链路的备份和信息流量的快速收敛,并提供高达2Gbps的上连通道(全双工模式),完全避免单条链路或者网络中心单台4506发生故障的情况。
4.3 接入层交换设备配置说明
网站管理区接入层交换机的产品选用Cisco WS-C3560X-48P-S接入层交换机6台。
WS-C3560X-48P-S交换机配置2块1000Base SX GBIC千兆位以太网接口模块,用于连接核心的2台4506交换机,利用Cisco的Uplinkfast技术实现上联链路的冗余备份,对发生故障的链路流量快速收敛。
4.4 VLAN划分及子网配置
在交换式以太网出现后,同一个交换机不同端口处于不同的冲突域中.交换式以太网的效率大大增加,但是,在交换式以太网中,由于交换机所有端口都处于一个广播域内,导致一台计算机发出的广播帧,局域网中所有的计算机都能够接收到,使局域网中的有限网络资源被无用的广播信息所占用(图2)。
4.5 IP地址分配
考虑民族网具体情况,IP地址的管理和分配采用静态分配的方式。服务器地址、设备管理地址、接口互联地址以及普通终端等采用固定IP地址(图3)。
4.6广域网接入设计
在本设计方案中,广域网接入模块的功能是通过广域网接入路由器来完成的。采用的是Cisco的3845路由器接入Internet。它的作用主要是在Internet和民族网站内网间交换路由数据包。除了完成主要的路由任务外,还可以利用访问控制列表(Access Control List,ACL)来完成以自身为中心的流量控制和过滤功能并实现一定的安全功能。
5 网络安全设计
5.1 总体安全策略
为应对民族网网站系统面临的风险和威胁,满足民族网的安全保密需求,实现民族网整体安全保障体系的总体目标,整体安全保障体系的设计和建设应遵循以下总体安全策略:分域防护适度安全;业务连续保障;基础安全防御得当;技术管理并行。
5.2 安全域的划分
民族网网站系统是一个庞大、复杂的信息系统,单独对每项信息资产确定保护方法,是非常复杂的工作,也会由于疏忽或错误导致安全漏洞。但是将整个系统按照一个完全相同的要求来防护,又难免造成没有防范层次和防范重点,对风险尤其是内部风险的控制能力不足。较好的处理方式是进行安全域的划分,分析信息资产价值并将其归入不同安全域中,每个安全域内部都有着基本相同的安全特性,如安全威胁、安全脆弱性和风险等,并分属于不同的安全级别。
民族网安全域划分为对外接入域,网站域、网站维护域、和网站办公域、总部存储备份域,安全域划分的示意图如图4所示。
5.3 安全防护手段
民族网安全体系建设采取统一规划,分布实施的策略。本期主要在物理安全、网络安全和主机安全等方面采取必要的防护手段,对网站加以保护。
5.3.1物理安全
物理安全是整个网站系统安全的前提。物理安全是信息安全保障的基础。因此,民族网网站系统必须具备环境安全、设备安全、介质安全和机房安全等物理支撑环境,保护网络设备、设施、介质和信息免受自然灾害、环境事故以及人为物理操作失误或错误导致的破坏、丢失,防止各种以物理手段进行的违法犯罪行为。
5.3.2网络安全
根据信息系统安全等级保护要求,信息系统网络安全防护系统需要落实结构安全、访问控制、安全审计、边界完整性检查、入侵防范、恶意代码防范和网络设备防护等安全防护措施。在本期安全系统建设中,主要涉及结构安全、访问控制、入侵防范、网络设备防护等措施。
(1)网络结构安全
民族网网络结构中,全部采用冗余的拓扑结构,包括入侵检测、防火墙、核心网络交换机、负载均衡设备全部采用双设备结构,充分保障网络结构的可靠性。
(2)防火墙
防火墙是当前最主要的网络安全隔离设备,采用有效的防火墙系统,能够实现安全域的划分,实现安全域之间有效逻辑隔离,防止外部恶意用户民族网网站的攻击,防止内部用户从内部对服务器的攻击,有效地实现对受保护网段的安全控制。
(3)入侵检测
入侵检测技术是当今一种非常重要的动态安全技术,与传统的静态防火墙技术共同使用,将可以大大提高系统的安全防护水平。入侵检测系统通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从而检测网络系统中是否有违反安全策略的行为或者遭到袭击的迹象。入侵检测技术是动态安全技术的核心技术之一。
民族网网站入侵检测系统部署于网站互联网接入处,可实时检测和阻断各种网络攻击行为。
5.3.3主机安全
由于网络设备的全部配置可以通过设备的控制台端口进行修改,所以控制网络设备的物理安全非常重要。应注意如下事项:控制网络设备的物理访问;控制设备间、数据中心的人员访问;对不安全的设备放置地点应进行角色的区分;考虑电磁辐射环境。
6 软件平台设计
鉴于论文篇幅有限,本文仅对民族网基础软件平台进行描述,其它如:网页防篡改、桌面防护、网站流量分析、网站内容管理等不再一一描述。
6.1 网络操作系统
根据民族语言网站各服务器用途,结合各系统所选用软件,民族网站要采用Linux和Windows操作系统。
6.2 数据库服务器系统
根据数据库软件特点,以及考虑到民族语言网站项目的实际数据处理需求情况,安全、效率、可靠的数据库系统作为数据处理基础,在民族语言网站建设中,选用Oracle作为系统主要数据库。
6.3 网络管理软件系统
网络管理软件系统的目的是对网络设备的状态和各种性能参数进行监视并记录,在出现问题时快速报告管理员,协助管理员快速的排除故障;同时,对网络运行的历史数据进行保存并供管理员随时查看,掌握网络的运行趋势。
关键词:IEC61850;数字化变电站;全站唯一网络
中图分类号:F49文献标识码:A文章编号:1672-3198(2012)19-0165-02
0绪论
随着新型互感器、智能设备、网络通信技术等相关数字化变电站应用技术的快速发展及IEC61850标准为我国数字化变电站与电力系统的信息化提供了全面统一的建设规范,基于IEC61850的数字化变电站通信经历了点对点通信模式与过程总线通信模式,鉴于上述两种通信模式在数字化变电站过程层信息共享与设备投资方面的局限性,本文主要对基于全站唯一网络的数字化变电站通信网络组网方案展开相关研究。
1数字化变电站全站唯一通信网络的组网方案
IEC61850将数字化变电站的功能在逻辑上被分配到过程层、间隔层和站控层,站内各种功能的实现依靠通信网络。通信网络的结构取决于过程层网络与站控层网络的存在形式,目前三层两网结构的数字化变电站应用技术已成熟,由于独立过程层网络和站控层网络都使用MMS作为应用层协议以及采用交换式以太网,为站控层网络和过程层网络连接合并构成全站唯一通信网络(如图1所示)提供了理论基础。
1.1过程层网络的基本组网结构
根据IEC61850基于全站唯一网络的数字化变电站的过程层IED和间隔层IED可以采用4种不同的基本组网方案(如图1所示),可以在数字化变电站不同场合下应用并且能够满足通信可靠性的要求。
(1)面向间隔原则。
方案①中每个间隔布置自身的总线网络,同时还要装设1个全站范围下的总线网络用来连接各个间隔的总线网络。优点是网络结构层次清晰、易于管理维护。缺点是需要较多的交换机与路由设备,设备成本较高。面向间隔组网方案适合于220kv系统及以上,应用于系统重要间隔组网。此外设备间的互操作性甚至互换性可在IED层获得,也可在间隔层获得。
(2)面向位置原则。
方案②中每1个间隔总线网络覆盖多个间隔。当智能设备安装于几个传感器安装位置中心时,从高压端到智能设备的光纤传输通道最短。此外,220kv双母线多采用母线PT,该PT采用面向位置原则组网可以节省PT的安装数量,多个间隔可共用网络设备。
(3)单一总线原则。
方案③是一种全站范围内单一总线网络方案,所有IED都与该总线网络连接。优点是交换机使用数量少,成本较低。缺点是网络可靠性差且要求较高的总线速率与网络带宽。适合于网络负荷较轻和实时性要求低的中、低压变电站系统。
(4)面向功能原则。
方案④中的总线网络是按照保护区域范围来设置的,其突出优点是总线段之间的数据交换量最小。
1.2站控层网络的基本组网结构
采用IEC61850-5中的D3型配电变电站,电气主接线如图1-3所示,其中共有32个间隔:其中L1、L2为进线间隔,T1、T2为主变间隔,Fl-F22为馈线间隔,S2为母联间隔,间隔Sl、S3为母线分段间隔,此外还有三个电压等级的三个母线间隔。采用面向间隔组网原则对D3型变电站过程层与间隔层的IED进行组网,每个间隔根据包含的智能电子设备组成一个独立的子网,每个子网有其自身的总线段,同时还装设1个独立的全站范围的总线以连接各间隔的总线段。
2基于全站唯一网络的数字化变电站通信网络拓扑的选择
双星形结构的不足:站控层设备能直接获得合并单元和智能断路器的过程层数据,存在安全患问题,核心交换机的负担很重,这些对交换机的性能和网络管理提出了很高的要求。因此,全站唯一双星形通信网络结构适用于中低压变电站,且变电站规模不大。
全站唯一单环光纤以太网采用单模光纤将各间隔交换机两端级联起来构成环形拓扑,各交换机需具备和启动生成树协议,通过交换机的生成树协议选择一条有效的主路径与其他IED通信。
全站统一结构双星形比单环网可靠性好,单环网适用于较小规模变电站。可采用网络冗余协议构造双环网以提高可靠性,在双环网交换机之间建立环间链接。
3结论
在基于IEC61850的数字化变电站中,通信网络是站内各种智能设备联系的纽带,成为SAS的核心。提出并分析了程层网络结构的四种基本组网方案的优缺点,以采用IEC61850-5中的D3型配电变电站为例研究了站控层网络的基本组网结构,分析了基于全站唯一网络的数字化变电站各种通信网络拓扑。
关键词:KJ2000N 监测监控 中心站 分站 双机热备 展望
1概述
KJ2000N监控系统是以微型计算机为中心的煤矿环境安全生产监测系统。它由地面中心站、防爆交换机、井下分站、各类传感器和矿用安全生产监控应用软件组成。它是北京瑞赛长城航空测控有限公司在原有KJ4基础上改进开发出的新产品,该系统不仅有煤矿安全生产监测监控的功能,而且还具有核子称计量、瓦斯抽放、工业电视监控等多项功能。我矿根据实际情况,只安装了矿井安全生产监控系统。KJ2000N系统采用高速光纤工业以太网+现场总线(CANbus 2.0协议)的网络结构。光纤化的传输手段和CAN总线的应用极大提高了系统的实时性和信息容量,系统反应速度不大于3秒,较我国现行行业标准反应速度快近10倍。
2系统原理
KJ2000N的主系统建立在地面中心站,中央控制主机由IPC-500E工控计算机组成,系统是按“主机 分站 传感器”体系结构设计的,地面中心站是整个系统的控制中心,安装在中心机房。井下部分包括:kj2007F(G)型分站、各种安全生产监测传感器和断电仪等,井下传感器对矿井井下各种安全、生产参数进行实时监测和处理,并将安全生产参数及时传输到地面中心站。
KJ2000N综合监控系统分为信息层、传输层、设备层三层体系结构。
·信息层:由地面中心站和地面局域网组成。
·传输层:主要包括井下隔爆兼本安型光纤以太网交换机和一条贯穿于地面到井下的高速以太光纤冗余环网,将各子系统作为工业控制环网的一个节点,使各现场子系统整合于基于TCP/IP的以太网中。
·设备层:是由各种类型的总线适配器、中继分线器、井下分站、智能传感器、控制器等组成的现场控制网络。
2.1 CAN总线通讯原理
CAN总线仲裁采用标识符和非破坏性位仲裁结构机制,可以根据标识位确定数据帧的优先级,保证在网络节点冲突时最高优先级节点不需要冲突等待。CAN总线采用了多主竞争式总线结构,具有多主站运行和分散仲裁的串行总线以及广播通信的特点。
CAN总线上的节点通过相应的CAN通讯接口互联构成低成本网络,提供了设备级故障诊断方法,提高了通讯效率和设备的互换性。
CAN通讯接口是系统信息交换的桥梁。一方面,CAN接口不断地将监控设备的信息和现场设备的运行状况发送到CAN总线上,并最终被送到用户服务器的实时数据库中等待处理。另一方面,总线上的数据信息通过CAN接口传输给现场设备,使用户可以在任意一台工作站或远程计算机上对网络节点上的设备进行监控。CAN总线上两个节点间的通讯原理如图1所示。
图1CAN总线通讯原理图
3 系统组成
3.1地面中心站及KJ2000N系统系列软件
地面中心站的核心是IPC-500E型微机,其主要功能有:
·通过网络交换机KIEN6000BA-2S向分站发送各种控制命令,接收来自分站的各种测量参数,并完成各测量参数的数据的存储;
·接收图形终端HP XW8600发出的各种控制命令,并在图形终端上实现显示和编辑功能;
·控制美能达Bizhub163V打印机,打印各种报表和曲线;
KJ2000N煤矿安全生产监控系统应用软件包,由主机软件、远程终端软件组成。整个软件的编制符合国家局最新颁布的安全监控系统软件设计规范(MT/T1008-2006)。
3.2 KJJ107/ KJJ107A矿用隔爆兼本安型网络传输接口
KJJ107/ KJJ107A矿用隔爆兼本安型网络传输接口为KJ2000N系统的光、电转换及通讯协议转换设备,具备冗余光纤接口及网络管理功能,在设备或线路故障情况下可自动重构网络通讯路径,保障系统运行。
KJJ107网络传输接口为现今流行的CAN总线协议与光纤以太网协议转换;
KJJ107A网络传输接口为FSK通讯协议与光纤以太网协议转换,主要作用为兼容原KJ4及KJ2000系统用户提供的协议转换设备。
3.3 KJ2007F系列大型井下分站
KJ2007F系列大型井下分站包括KJ2007F和KJ2007F1两种型号,为分站、电源分体结构,设备容量更大,负载能力更强,适用于大型煤矿密集型采区的安全监控需求。
3.4井下智能传感器
KJ2000N监控系统除具备完整的平台以外,同时还具备兼容KG9701/KG9001C/GJC4/40d等矿用瓦斯传感器、KGA8矿用一氧化碳传感器、KG05矿用温度传感器、KGN2矿用烟雾传感器KGE23矿用风门开关传感器、GFD15风速传感器、KGCT-C10矿用设备开停传感器以及KDJ1矿用远程断电器等环境数据采集设备和井下区域可控断电设备,所有设备可进行智能化和管理。
4KJ2000N系统优缺点分析
KJ2000N功能比较齐全,实时采集数据并完成显示、存储、制表、超限控制等,可累计存储系统运行报告、最大值、平均值、最小值,并通过共享SQL Server数据库实现双机热备功能。当一台主机停止运行,另一台主机自动切换并投入使用。
4.1 KJ2000N系统先进性
·集成度高:将矿井环境监控子系统、各生产环节自动控制子系统通过高速工业以太网和自动化软件平台进行整合,通过防火墙与矿级管理系统相连,实现了全矿井的管控一体化。
·信息容量大:主干网采用工业以太网进行传输,带宽宽,组网灵活。
·反应速度快:系统采用多主并发的工作方式,所有监测设备可同时主动上发数据的模式。保证井下传感器出现异常情况后,可立即主动向地面中心站反映。
·可靠性强:主干线采用冗余环网光纤,快速建立连接及连接恢复。CAN BUS是一种公认的实时性好、可靠性高、性价比高的国际标准现场总线。
·抗干扰性能优:由于采用光纤传输方式和数字通讯机制,极大提高系统抗干扰性,误报率大大降低。
·性价比高:CAN总线协议已被国际标准化组织认证,技术比较成熟,控制的芯片已经商品化,性价比高,特别适用于分布式测控系统现场设备之间的数据通讯。
·灵活性强:CAN总线上任意节点可在任意时刻主动地向网络上其他节点发送信息而不分主次,因此可在各节点之间实现自由通信。
·兼容性好:旧的FSK系统可直接通过KJJ107A井下网络交换机接入井下光纤以太网系统;保证新旧系统完全兼容,节省投资。
4.2缺点
系统的容量能力通常得不到到最好的发挥。
性价比高、成本高,较适用于大型、地质灾害较严重的矿井。
参考文献:
[1]蒋曙光,张人伟.综放采空区流场数学模型及数值计算[J].煤炭学报,1998,23(3):258-261
[2]蒋曙光,王省身.综放采空区流场及瓦斯运移三维模型试验[J].中国矿业大学学报,1995,24(4):85-91
[3]张永红.煤矿安全监测监控系统的研究.煤矿机械.2004(4)
1.1网站设计原则
电子政务网站设计要符合政府部门工作需要与广大人民群众对政府服务监督的原则,网站信息功能操作便捷,满足政务公开与新闻需要,网站设计要具有前瞻性,可实现网站栏目的增加和后台数据库的扩容,此外,电子政务网站的安全性是网站运行的关键内容,电子政务网站设计要充分考虑网站安全的诸多方面因素,不仅要保证网站信息数据的准确性与完整性,而且要具备防破坏和防攻击能力。
1.2网站设计目标
电子政务网站是面向社会的政务信息与在线政府服务的公共平台,电子政务网站设计目标是要实现大量政务信息公布,网上办公及资源共享,政务信息公布是要将政府所掌握的信息资源及时、准确的向社会公布,提高社会对政府公信度的信任值;网上办公,实现政府办公电子化,如会议通知、政府形象、法规办公、信息传达、意见调查,网上办事等功能由电子政务网站实现;资源共享是将政府部门所掌握的社会所需信息资源建立数据库,可通过搜索功能实现对数据库资源的调用,以便民服务为宗旨实现政府网络服务功能。
2电子政务网站结构设计
2.1电子政务网站层次结构
本文所设计的电子政务网站采用B/S架构,建立3层结构即:表示层、业务逻辑层和数据访问层,网站设计分层结构不仅能够提高网站的访问速度,而且数据库与表示层分离增强了网站的安全性。电子政务网站层次结构如图1所示。表示层主要是实现办公自动化、公共信息管理及与群众信息互动管理;业务逻辑层是实现电子政务各项工作分类,根据政务内容进行工作流划分,归类处理;数据访问层是实现网站平台与数据库之间的关联,可实现数据存储与调用,通过数据整合、过滤和转换,将政务数据存入数据库,方便用户进行调用。
2.2电子政务网站体系结构
将电子政务网站划分为6大模块,包括信息模块、面向公共服务的服务模块、针对于政务内部业务流程的业务模块、安全支撑体系的安全模块、数据库模块和网站管理模块。电子政务网站体系结构如图2所示。电子政务网站数据库模块是存储政务信息及服务数据的中心模块;信息模块是政务公开、政策信息的平台模块;公共服务模块提供政府面向社会的网络办公服务,是政府工作于社会需求互动平台;内部业务模块是实现部门内部、部门之间的报文传递、公文审核等实现无纸化办公;网站安全模块提供网站安全运行和信息安全保障;网站管理模块是网站后台管理,可实现信息与各项功能的管理。
3电子政务网站功能设计
电子政务网站功能分为前台服务功能和后台管理功能,前台服务功能包括:政务公开、公共互动、在线服务、最新资讯和在线资源5个板块;后台管理功能包括:信息管理、文件管理、公共服务管理和用户管理4个板块。电子政务网站功能板块如图3所示。
3.1网站前台板块政务公开:政务公开板块中包含政府机构简介、政府工作人员信息、政府工作内容等。公共互动:公共互动板块包含公共邮箱、网上调查、邮件订阅、论坛等。在线服务:在线服务功能包括网络办公服务指南、在线咨询、行政审批、申请表下载等便民服务。最新资讯:最新资讯板块中包含政府工作动态、政府工作新闻报道、政府通知等内容。在线资源:在线资源板块包含地方日志、政府工作总结、各类报表、公文报告等内容。
3.2网站后台板块信息管理:信息管理板块内容包括信息、信图1电子政务网站层次结构息分类、信息管理、图文管理、网站前台信息管理等。文件管理:文件管理板块是提供在线资源的上传与下载,可为群众提供申请表下载和上传服务。服务管理:服务管理是便民服务板块,其中包括公共邮箱管理、在线资讯管理、网站资源管理、在线调查等。用户管理:用户管理包括网站登录用户管理、网站管理用户管理和部门管理,并具备登录IP记录和登录此次统计功能。
4电子政务网站安全设计
电子政务网站安全设计要从信息安全技术层面和信息安全管理层面两个方面入手,信息安全技术层面主要包括:网络安全性设计、服务器安全设计、网站应用安全设计和数据安全设计;信息安全管理方面主要包括安全管理策略、系统建设管理策略和网站运行与维护管理策略。
4.1信息安全技术设计
网络安全性设计:电子政务网站是一级安全保护级别网站,其所运行的网络应配置网络防护设备及防入侵设备,网络防火墙限制端口开启,只提供与网站应用相关的服务接口。服务器安全设计:网站服务器时网站的核心部分,服务器必须及时更新系统补丁,并安装最新杀毒软件及防火墙,定期更改网站口令了,设置网站服务器管理与审核方案,利用审核策略和安全侧罗保护服务器安全。网站应用安全设计:网站应用安全设计要加强网站防入侵和攻击的能力,网站前台设计采用静态网页形式,网页数据与数据库数据分离管理,增强网站不良信息审核过滤性能,减少SQL注入点,及时为网站升级补丁,利用防篡改软件对加强网站自身防护能力。数据安全设计:电子政务网站数据库包含了政府公文、地方日志、政策导向等重要数据,因此,在数据安全设计方面网站自身要建立数据备份系统,一方面可设计成为人工手动定期备份,另一方面网站系统自身可保存近期网站互动数据,如果网站遭受攻击,数据库被入侵和破坏,可及时对数据库进行修复和复原。
4.2信息安全管理策略
安全管理策略:电子政务网站安全管理需要贯彻到每一位网站建设与管理人员思想中,严格执行网站安全管理制度,明确工作人员岗位安全职责,建立统一的网站操作规范与统一的问题标准回答,提高网站的运行执行力。网站建设管理策略:网站建设要与时俱进,积极将新技术引入网站建设中,在网站栏目设计中要与公众需求紧密结合,网站模块设计完成后需要进行安全测试,保证网站的安全性,针对网站功能面向公众发放调研问卷,最求网站最大的实用性。网站运行与维护管理策略:建立电子政务网站安全管理制度,每日对网站进行监控,并定期对网站及服务器进行维护,对网站运行出现的问题进行记录备案,做好工作总结,严格执行网站运行操作规范。
5结束语
,我委紧紧围绕市委、市政府中心工作,以加强机关效能建设为契机,大力加强电子政务建设,加强本部门网站建设维护,积极推进政务信息公开,信息化和电子政务建设管理工作取得了较好成绩。根据市信息化工作领导小组办公室《关于报送信息化工作总结的通知》(攀信息办〔〕6号)要求,现将我委信息化工作总结及信息化工作计划报告如下:
一、工作总结
(一)领导重视,科学部署年度信息化工作
我委办公室作为开展全委信息化工作的主要处室,把信息化工作纳入了办公室年度工作计划,成立了以副主任为组长,办公室主任,办公室副主任,办公室工作人员为成员的信息化工作领导小组,制定了切实可行的年度工作计划,加强电子政务外网应用、政府系统公文无纸化传输平台应用、门户网站规范管理维护、信息系统安全保密,积极开展信息化工作。
(二)积极主动,认真开展信息化工作
1、政府系统公文无纸化传输平台应用
,我委主要通过市委机要局、市政府交换处、政府系统公文无纸化传输平台和专人报送的方式完成部门间公文交换,其中,95﹪以上公文通过无纸化传输平台交换。省、市、县(区)民族工作部门通过公文无纸化传输平台可以及时完成公文交换,公文收发效率大大提高。
2、电子政务外网应用
,我委主要利用电子政务外网进行两资项目资金公示以及政务信息公开。我委通过攀枝花市公众信息网“信息公开”“政府部门信息公开”“攀枝花市民族宗教事务委员会”界面的“计划总结”、“政务动态”、“法规公文”、“公告公示”等栏目,及时、准确、详实的各类政府信息。
经过梳理和编目,我委主动公开的各类信息资料共102条,其中计划总结4条,发展规划4条,法规2条,公文2条,工作动态85条,公告公式4条,人事任免1条。公开的内容详实、准确。
3、部门网站建设、内容保障工作
我委建立了部门政府网站,并定期更新完善网站内容。网站开设了“办事指南”“新闻”“工作交流”“主任信箱”“公告栏”等栏目,委办公室配备兼职管理员负责网站部门信息更新及网页维护。,我委平均60天左右对本部门网站进行一次内容更新,全年共填报各类信息86条。其中新闻30条,工作交流19条,工作信息32条,文件5份。
4、信息系统安全保密工作
我委制定了《文件保密管理办法》、《信息保密审查制度》,需填报电子政务外网和政府部门网站各栏目的文件、信息在上挂网页之前,严格按照相关规定审查,严格做到“信息不公开,公开信息不”。电子政务内网与电子政务外网、互联网通过安装隔离卡实现有效逻辑隔离。,我委加强信息系统安全保密技术防护,认真做好政府网站安全防护工作,部门网站安全能力得到较大提高,未发生网页恶意篡改及失泄密等安全事件。
(三)存在的不足
我委信息化工作存在的主要问题有:一是部门信息公开的内容和时效性有待进一步完善;二是公开的部门信息数量相对较少;三是公开的部门信息以文字居多,图片信息较少。
二、工作计划
,我委要继续紧紧围绕市委、市政府中心工作,大力加强电子政务建设,加强本部门网站建设维护,积极推进政务信息公开,主要做好以下四个方面的工作:
一是充分利用好公文无纸化传输平台。以政府系统公文无纸化传输平台为载体,加强行业部门间公文交换,进一步提高网上公文收发效率,加强电子政务建设。
二是积极开展应用电子政务外网和部门政府网站。定期在电子政务外网公开全市民族宗教事务工作动态。进一步完善部门政府网站,充分利用部门网站已有的“新闻”“工作交流”等栏目公开我委政务工作动态及部门文件,为公众了解我委民族宗教工作提供信息平台。积极完善维护“主任信箱”“办事指南”等栏目,认真开展网上调查工作,加强与公众的互动交流。做好网页维护工作,规范网站版面及技术标准,及时报告网站错连、死链。
【关键词】 智能变电站 数据通信 网络结构 设计
引言
随着我国社会和经济水平的不断提高,在供电质量方面的要求也越来越高。在资源大量消耗的现状下,如何通过可再生资源,更好的为社会提供稳定、安全、可靠的电力,是目前我国电力行业的核心目标。随着我国的电力行业的不断发展,同时也面临着大量的机遇和挑战。大容量的发电厂往往和负荷中心的距离较远,需要进行远距离的高压输送,提高了出现故障的几率,从而导致大规模停电的产生。全球发生的多例大规模停电事件也让人们开始关注电力系统的稳定性。在现代科学技术的发展下,通信技术、计算机技术等逐渐也开始应用在电力系统中,提出了智能电网理念,可以有效保证电力输送的稳定性和安全性,更好的为社会服务。
一、智能变电站结构
1.1智能变电站和智能电网
智能变电站和智能电网之间有着密不可分的联系,可以说智能电网中包括了智能变电站。智能变电站的设计是建立在智能电网的基础之上的,智能变电站的存在保证了智能电网的数字化、智能化、互动化等多项特点,是实现智能电网的重要保证,主要体现在以下几个方面:
第一,支撑智能电网。智能变电站有着统一的标准和信息模型,可以保证智能电子设备的互动性,为智能电网的信息化奠定基础。智能变电站要建立在数字化的前提下,有着性能优良、抗干扰能力强的特点,并具备自我检测和诊断的能力。通过以太网交换技术,能够确保智能电网的精确度,使数据能准确、快速的传输,为智能电网提供数据基础。通过稳定智能变电站中的电子设备完成动态数据、稳态数据和暂态数据的采集与处理工作,提高智能电网的数据处理能力。第二,加强全网联接。变电站是智能电网能量传递的重要枢纽,因此智能变电站的存在能保证电网中各个节点的有效连接。当智能电网中发生事故时,可以进行有效的控制,并提高电网的事故预防能力,保证电网的稳定性[1]。第三,高电压等级的智能变电站能够满足智能电网中对高压输电网架的要求。根据我国的实际情况,智能电网中的主要输电网架都是高压线路,必须要通过高电压等级的智能变电站进行调节,能够解决高电压线路中大容量点电能传输所存在的问题,保证我国高压输电网架的稳定,促进我国电力建设的完善。第四,通过中低压智能变电站,可以同时支持风能发电、太阳能发电等清洁分布式电源的接入,为智能电网提供了中间歇性电源“即插即用”的功能。第五,为智能电网的实时监督提供了保障。在智能变电站中,通过大量先进电子设备的应用,可以获取到电网中的运行数据,对设备的维护检修提供基础,提高了系统的实用性。
1.2智能变电站与数字变电站
数字变电站是确保智能变电站实现的基础,相比之下,数字变电站更注重过程,而智能变电站更注重结果。和数字变电站有所区别,智能变电站强调的是物理集成和逻辑集成。强调了智能设备在智能变电站中的应用,不仅可以负责传统设备的测量、控制以及监测等各项功能,还可以进行相应的计量和保护等。智能设备是由一次设备和智能组件之间的组合,有着测量数字化、控制网络化、状态可视化等特征。而逻辑集成指的是智能变电站注重逻辑集成,通过对系统的虚拟装置,可以根据实际情况,选择对智能变电站的区域性或总体性的协调,支持在线决策、协同互动等多种应用。智能变电站和数字变电站的区别可以分为两个方面:
第一,出发点不同。数字化变电站的目的是满足变电站的自身需求,通过建立统一的信息通信平台,在变电站内部实现一次、二次设备的通信,注重的是变电站内部的设备和相互之间的联系。而智能变电站是建立在整体电网的要求上,建立全网统一的信息通信平台,更加注重电网中各个智能变电站之间的联系,以及变电站和控制中心之间的通信,提高电网中的通信水平。另一方面,智能电网中还可以支持风能发电、太阳能发电等多种清洁分布式电源,满足“即插即用”的要求。
第二,设备集成化程度不同。数字变电站具备一定的设备集成和功能优化,在以太网技术的基础上,将一次、二次设备之间相融合,符合了智能电子装置的标准。和数字变电站相比,智能变电站的设备集成化程度更高,智能设备体现的更加全面,促进了一次、二次设备的一体化进程[2]。
二、智能变电站数据通信网络性能要求
通信网络是变电站自动化系统内部和其他系统之间进行交流的重要途径,数据通信网络是否稳定、高效、实时是判断系统信息化、自动化的重要标准。在智能变电站中,数据通信网络是各种设备与系统之间的信息传输纽带,要满足相应的国际标准和规范,建立统一的通信接口。随着变电站自动化技术的不断发展,需要进行传输的数据越来越多,对数据通信网络的要求也在不断提高。数据通信网络必须能够应对目前大量的电量数据、操作数据以及故障数据等。另一方面,目前对数据通信网络的实时性和稳定性要求非常高,因此在对数据通信网络进行设计时,要考虑到网络的冗余性能和无扰恢复能力。从总体来说,对智能变电站通信要求的性能要求可以分为以下四方面:
第一,分层结构。智能变电站的分层结构是由分层架构决定的,数据通信网络的分层是确保智能变电站分层架构的前提,根据对智能变电站的不同需求,要选择相对应的网络通信技术和结构。
第二。实时性。在智能变电站中,需要对大量的实时运行信息和操作控制信息进行处理,这些信息往往都具备一定的实时性,所以在建立数据通信平台时要注重数据传输的实时性。
第三,可靠性。电力系统有着连续运行的特点,这就意味着智能变电站的数据通信系统也要一直处在运行状态,一旦数据通信系统出现运行故障,会对智能变电站的整体运行产生影响,造成巨大的经济损失,甚至伤及人们的人身安全。因此,数据通信系统的可靠性是在设计时要考虑的重要因素。
第四,电磁兼容性。变电站在日常的运营中会受到多方面因素的影响,例如电源、雷击、跳闸等,使得通信系统常常要在强磁干扰的环境下工作,因此对网络的电磁兼容性有着一定的要求,要避免强磁干扰而产生的通信障碍。
三、智能变电站数据通信结构体系
3.1智能变电站结构设计
根据我国电网公司对智能电网出台的相关规定,在建立智能变电站时,要包括过程层、间隔层和站控层。在过程中包括变压器、断路器、隔离开关等一次设备;在间隔层中包括继电保护装置、系统测控装置等二次设备以及一些控制器和传感器通信系统;站控层中包括各种自动化监视控制系统,对通信系统中的实时情况进行监督,对智能变电站中的设备进行全方位的监视、控制以及信息交互,保证变电站数据采集、监视控制、电能量采集等多项工作的正常进行。
和数字化变电站相比,智能化变电站的设备集成化程度更高,更好的实现了智能设备的作用,将一次、二次设备一体化,提高了变电站的工作效率。除了过程层中的测量和控制功能不变之外,智能化变电站通过集成将间隔层中的保护、控制与监视融合到过程层中。这样一来,这些智能设备除了能够进行测量和控制之外,还具备保护、监视的功能;另一方面,智能设备通过标准化接口接入电网的高速网络后,能够更好的实现智能设备和变电站之间的信息交流。在此基础上,可以对智能变电站中的数据通信网络进行结构设计[3]。
3.2智能变电站总线设计
在传统的数字变电站中,总线设计分为站级总线和过程总线两种方式。站级总线指的是变电站层和变电站层之间的通信方式,通过站级总线,各个变电站之间能够进行数据通信,并可以和上级运行中心以及调度控制中心相联,传输相应的数据信息。
过程总线指的是在过程层和间隔层之间的通信。通过过程总线,这两者之间可以进行数据通信,具有一定的稳定性和实时性。如非常规互感器采样值的传输、保护装置控制命令的传输等。根据站级总线和过程总线的特点,数字变电站中有两种组网模式:独立过程总线模式、站级总线与过程总线结合模式。独立过程总线模式中,间隔层的智能电子设备要通过两套以太网接口,分别接入站级总线和过程总线。在这种模式下间隔层和过程层的数据难以进行共享;站级总线与过程总线组合模式下,变电站中的一切智能设备同时接入同一个物理网络。无论是变电站层之间的装置还是智能电子装置之间,都能实现共性和交互,但是由于网站中存在大量的数据信息,因此很容易引发网络资源竞争问题。
和数字变电站相比,智能变电站中只有站级总线一种总线模式。在智能变电站中,逐渐开始淡化过程总线的概念,间隔层和过程层之间的数据信息传输通过变电站中的智能设备进行。设备以及系统之间的数据通信通过以太网技术实现,保证了数据通信传输的稳定性和可靠性。
3.3安全结构设计
智能变电站中的数据通信是建立在以太网技术上的,有效降低了变电站的成本。但是在智能变电站中,面临着各种网络安全威胁。其中既有变电站内部的威胁,也有来自变电站外部的威胁,其中主要包括非法使用、截获信息、篡改数据信息、恶意程序、权限管理不当等。智能变电站是以TCP/ IP协议为基础的以太网技术建设的,通过加密技术、数字签名技术、容错技术等多种方式对安全结构进行完善[4]。
四、结语
随和我国社会经济的不断发展,对电力系统的要求越来越高,智能变电站开始兴起,智能变电站中数据通信网络系统有着重要的作用,负责变电站中各类数据的传输。在智能变电站中逐渐将智能设备一体化,提高了智能变电站的工作效率,促进了我国电力行业的发展。
参 考 文 献
[1]毕艳冰. 面向智能电网的通信中间件的关键技术研究[D].山东大学,2013.
[2]姜文婷. 数字化变电站通信网络研究[D].华南理工大学,2014.
关键字:第二平面;自动化信息;接入方案
中图分类号: TM63 文献标识码: A
根据江苏省电力公司电力调度控制中心的接入要求,地区第二平面变电站自动化信息接入总体原则为:主备用调度自动化系统分别以双平面通道接入全部厂站。主备用调度自动化系统面网络故障不影响系统正常运行。
一、目前地区备用调度自动化系统建设模式:1、独立建设模式 :主备用系统为两套独立系统,备用系统前置
服务器独立运行,后台服务器独立处理、存储历史数据,与主用系统
实现自动模型同步,全网数据有一定差别。
2、一体化建设模式:主备用系统为一套系统,系统前置服务器
同组或分组(热备用)运行,正常情况下后台与主用系统实现模型、
数据同步,当主备用系统解列时数据独立存储,网络恢复后进行模型、
数据同步。
3、 调控中心主站系统接入方式:(一)主用系统:主用系统前置网络接入调度数据网骨干网地调
节点。 过渡期在前置网络配置硬件防火墙、路由器等设备,双前置服务器以地址映射的方式分别接入第一、第二平面骨干网路由器, 通过双平面网络与所有厂站通信。(二)备用系统:建设地区备调第一、 二平面骨干网络和省级接入网的灾备节点,备用系统前置网络接入调度数据网骨干网备调节点,双前置服务器分别通过双平面网络与所有厂站通信。过渡期备调骨干网通道从地调骨干网设备支接。 4、变电站系统接入配置方式:
变电站自动化系统按照厂站双总控正常以双主机方式运行,分别
接入双平面调度数据网;双总控不具备双主机方式运行条件的厂站, 过渡期采用交叉连接方式接入双平面调度数据网;单总控的厂站配置第二网络通信口接入第二平面调度数据网。
二、目前地区变电站接入现状情况分类 :(1)单总控配置,单通道传输信息时,变电站自动化监控系统系统通过单通道(专线或网络)与主站系统建立通信连接。
(2)单总控配置,双通道传输信息时,厂站系统通过两路通道(专线或网络) 与主站系统建立通信连接。
(3)双总控配置,主备机运行方式时 ,厂站系统两台总控装置以主备机方式运行(热备),值班主机负责与主站建立通信连接, 当值班主机故障时备机升为主机与主站通信。(4)双总控配置, 双机并列运行方式时,厂站系统两台总控装置以双机并列方式运行(双主机),分别与主站前置采集系统服务器 A、 B 同时通信,值班通道由主站系统确定。
三、变电站自动化监控系统接入配置方式 :
主备用调度监控系统系统的双前置服务器分别通过第一、 二平面
调度数据网与变电站总控通信,其中的一路通道可作为将来新系统接入通道。县域范围内新建厂站,原则上不再接入县调前置网络,以规范统一地县厂站接入方式, 降低调度自动化系统运维复杂程度, 原非网络通道接入厂站结合技术改造逐步取消。
下面以镇江地区110kV金山变自动化第二平面信息接入为例,详细讨论地区变电站第二平面自动化信息接入的一种方式。
110kV金山变扩建于2008年,当地自动化监控系统采用的是国电南瑞科技公司NS2000自动化监控系统,其自动化信息接入第二平面 方案如下:
1、金山变远动通信装置NSC200总控单元概述:
NSC200总控单元一般使用于220kV及以下变电站综合自动化系统.可以通过2种方式接入:①测控装置采用CAN总线或者485接入总控,②以太网103直接接入,再由总控装置将信息通过以太网接口送给后台机,通过232串口或者网络送给各级调度。与调度或集控中心通信,最多可以提供8个串行通信接口、2个网络接口。8个调度串口通信接口,可以构成多种模式, 8个通信接口支持与多种通道设备接口,如调制解调器、数字微波等,网络104方式可以支持6~8条链路同时连接。
NSC200 总控配置为NSC200主单元(4U 机箱)+NSC222显示单元(4U 机箱)+调制解调及RS232板(4U 机箱)组成。由于该型号总控硬件软件设计较早,无法同时接入两路104路由,不支持目前增加二平面功能。
图1 110kV金山变网络结构示意图
2、目前主流远动通信装置NSC301V总控单元概述:
NSC301V总控单元一般使用于110kV及以上变电站综合自动化系统.可以通过2种方式接入:①测控装置采用CAN总线或者485接入总控,②以太网103直接接入,再由总控装置将信息通过以太网接口送给后台机,通过232串口或者网络送给各级调度。与调度或集控中心通信,最多可以提供8个串行通信接口、2个网络接口。8个调度串口通信接口,可以构成多种模式,如形成四组主备通道,分别接往四个调度、集控中心;也可由用户自行组合。8个通信接口支持与多种通道设备接口,如调制解调器、数字微波等,网络104方式可以支持8条链路同时连接。
图2NSC301V总控双机配置正面图
图3 NSC301V总控双机配置背面图(串口使用RJ45口)
NSC301V 总控配置一般为NSC301V主单元(6U 机箱)+调制解调NSC311(2U 机箱)组成。一般为双机模式配置,两总控单元在软上相互独立,具有独立的电源模块,硬件上串口之间相互独立,端子排插梳可以双机同一串口共同接入也可独立接入。正常工作情况下,NSC301V 双机配置模式总控可以根据用户要求配置为一主一备模式或者双主模式。2种模式的选择方式:硬件方面接线不同,软件方面可以通过参数设置来实现。具体情况如下:
图4 站内网络结构图
3、金山变远动装置双主机模式改造:
硬件增加
将原来的1台NSC200总控换成2台NSC301V总控(双主模式)及1台NSC311调制解调器。
实施方案
现场远动配置通过组态工具申请出来,保证远动机转发表、结点信息表不变,故只需对104调度通道配置文件par文件进行升级,由于调度转发表配置在par文件内,由于遥控转发表从进行软件导出后再导入。
4、金山变第二平面自动化信息核对工作:
现场安全措施
现场运行人员检查工作票所列安全措施是否符合现场实际情况,所做安全措施是否正确完备;进行现场人员工作分配,安全优质完成现场调试工作;及时处理、汇报调试过程中出现的问题。
现场技术措施
做好110kV金山变现场:1)通道组织;2)数据备份;3)规约调
试;
4)遥信试验:对所有信号,在测控屏进行二次安全设置的情况下,
采用模拟短接的方法进行信号核对,模拟短接时应一人操作,专人监护。对于存在软报文发信方式的遥信信息(交流屏、直流屏)必要时,由变电检修班工作人员采用实际发信方式进行信息核对。
5)遥测试验:本站为运行变电所,遥测量由运行人员与当地后台机核对。
6)遥控试验:将所有遥控压板脱开,将所有开关的远方就地切换开关打至就地位置,所有开关由监控中心进行置反做遥控试验。遥控点号检查方法采用查看测控装置,保护测控一体化装置内遥控执行告情况(遥控试验前,将装置内遥控记录清除)。
关键词:医院信息管理系统;远程联网;VPN技术
中图分类号:TN948.61 文献标识码:A 文章编号:1672-3198(2009)07-0260-02
1 VPN技术在医院信息管理系统应用中的特点
1.1 成本低、实用性强
VPN利用现有互联网络发达的网络构架组建医疗系统的VPN网络,一次性低额投入,无运营成本,从而为医院节省了大量的投资成本及后续的运营维护成本,而在Inter-net上,医院可以控制自己与社区卫生服务站的联系来完成医保数据传输等业务工作,真正完成社区卫生服务站的联网工作。
1.2 安全性高、网络风险低
锐捷VPN采用自主设计的安全操作系统,使用三个方面的技术保证了通信的安全性:通道协议、身份验证和数据加密,经过简单配置即可方便地在医院和社区卫生服务站之间建立安全的信息传输通道,对传输的数据进行有效的安全保护。
1. 3 稳定性高、数据传输通畅
通过可靠协议进行IP地址交换,避免了使用动态DNS方式中可靠性无法保证的问题,保障医务数据不间断进行。多线路绑定复用功能,可成倍提高带宽,提高VPN互联速度,VPN的硬件设备,有效解决了软件易遭病毒攻击等不稳定因素。
1.4 使用方便,易于管理
由于医院通过公共网络连接社区卫生服务站,工作由公共网络服务提供商来承担,从而减轻了医院内部网络的管理负担,较少的网络设备和线路使得网络的管理和维护更加容易。
同时支持各种上网方式,无论线路采取X,25、ADSL、Cable modem等形式,都可以构建VPN,支持动态IP寻址,在管理上,锐捷VPN将复杂的功能用简单的界面体现出来,使得设有经过专业训练的人员也可以维护复杂的网络,从而减少维护成本和减少维护不当带来的安全风险。
2 在医院中的VPN的技术实现
医院需要通过广域网链路与众多的社区卫生服务站进行互联,实现远程医保联网结算等服务,为广大患者提供快捷、方便的就医服务,如何通过远程互联网络实现医院与社区卫生服务站之间的安全、快速的互联,列举我医院的VPN的网络设计方案。
我医院下属七个社区卫生服务站,医院使用医院管理系统(HIS),总院和社区卫生服务站运用了锐捷VPN解决方案,共享收费信息和诊疗信息。
医院采用锐捷VPN设备作为医院连接该地区社区卫生服务站网络接人的建设总节点,同时也作为该中心对外访问的安全出口之一。医院设备在一定基础上肩负着整体网络的安全性能,通常以集成防火墙模块设计的高安全防护标准的产品为主。一方面体现了对网络非安全协议的接人与对来自外网非法访问的有效防御;另一方面体现在天规模集群或大规模用户访问接人的有效控制监测上,为中心的安全管理提供完备的数据依据与安全应对策略,因此,网络结构采用星型,医院总部与医保信息中心专线互联,医院和各个社区卫生服务站都安放VPN安全网关,以ADSL线路为接入方式,且均通过VPN隧道与医院总部连接,实现各社区卫生服务站通过医院信息管理系统医保刷卡,医保数据通过医院的医保结算网络上报医保数据。
锐捷VPN网关是集成了VPN、防火墙、入侵防御和流量控制技术的软硬件一体化专用安全设备,有效地实现了“主/被动安全防御”的完美结合,锐捷VPN网关采用自主设计的安全操作系统,具有高可用性、高易用性、高扩展性和高安全性。
锐捷VPN安全性体现在访问控制方面,可对用户的访问进行控制,以vpn设备的ipsec协议为基础,vpn网关建立vpn通道之前进行协商,检查vpn连接请求的各种信息,是不是合法的,所以不知道具体信息的用户无法与vpn网关建立通道,在数据机密性上保证指定的接收方之外的任何的第三方都无法获取通过公网传输的加密数据的原文。在发送方与接收方间共享的唯一的密钥加密数据来保证数据的机密性,为了解决密钥的分配,rg-wall支持isakmp(internet security association and key management protocol)协议。在数据完整性方面,保证数据在公共网传输过程中不被任何外部因素(例如黑客)篡改,这是由于在vpn中采用了数据加密和数字签名的安全方法,数据在中间发生变化的时候,可以得到变化的信息,对数据源的认证方面可以有效辨认不是互联双方之外的用户。
网络优化方面体现在可以充分有效地利用有限的广域网资源,为重要数据提供可靠的带宽。广域网流量的不确定性使其带宽的利用率很低,在流量高峰时引起网络阻塞,产生网络瓶颈,使实时性要求高的数据得不到及时发送;而在流量低谷时又造成大量的网络带宽空闲。QoS通过流量预测与流量控制策略,可以按照优先级分配带宽资源,实现带宽管理,使得各类数据能够被合理地先后发送,并预防阻塞的发生。
在可用性方面,经过简单配置即可方便地在医院和各社区卫生服务站之间建立安全的信息传输通道,对传输的数据进行有效的安全保护。
3 VPN安全技术保证医院信息系统的安全
VPN由于使用了Internet作为连接链路的基础,通过Internet来进行数据的传送不得不考虑由此产生的安全隐患,锐捷产品结合多种安全技术,在隧道技术、接入用户身份验证、接人用户权限控制等方面为用户提供了全面的安全保障。
隧道技术;类似于点对点连接技术,它在公用网建立一条数据通道(隧道),让数据包通过这条隧道传输。隧道是由隧道协议形成的,分为第二、三层隧道协议。第二层隧道协议是先把各种网络协议封装到PPP中,再把整个数据包装人隧道协议中,这种双层封装方法形成的数据包靠第二层协议进行传输,第二层隧道协议有LZF、PPTP、L2TP等,L2TP协议是目前IETF的标准,由IETF融合PPTP与L2F而形成,第三层隧道协议有VTP、IPSec等,IPSec(IP Security)是由一组RFC文档组成,定义了一个系统来提供安全协议选择、安全算法,确定服务所使用密钥等服务,从而在HP层提供安全保障。
接入用户身份验证:当确认远程客户端符合安全策略后,系统需要确认客户端用户身份,可根据医院实际情况选择不同的认证手段,如口令密码、双因素身份认证方式(iKey身份认证令牌或RSASecurlD)、PKI方式。对于不同用户,其可访问内容也会有所区别,同的用户、角色和应用程序具有不同的访问权限。
接人用户权限控制:普通的VPN产品在用户接人后即
可随意访问局域网内任意资源,对于安全要求较高的单位来说,这种不受限制的访问容易造成极大的安全隐患,通过在VPN系统中设置更细致的服务访问权限来杜绝这些安全隐患,可以针对每个用户设定不同的接人访问权限,如某些用户只能访问总部的HIS系统,不能访问财务系统等,不同的VPN用户可以设定对不同资源的访问权限,避免因为VPN用户权限过大造成的安全隐患。
4 VPN技术在医院信息管理系统中实施的意义
近十年来医疗行业的信息化建设着重于医院信息系统的推广与应用,医院投入了大量的人力、物力、财力。随着医院信息化的基础研究和标准取得了一定进展,以及初步建立了医院基本数据集标注,目前人们已开始关注医疗信息共享,特别是为方便病人就近诊疗,大力发展社区卫生服务站的时候,就要求在社区卫生服务站能和医院的信息共享,实现医保联网结算,获取病人的有效信息来缩短诊治时间,降低病人费用,避免不必要的医疗纠纷。
在未使用VPN技术之前,总院和各个社区卫生服务站的医院信息管理系统是各自独立的,信息无法共享,只有总院可以进行医保实时结算,各社区卫生服务站没有医保结算功能,在社区卫生服务站看病的病人如需医保结算,就要等医务人员到总院进行结算,就诊的病人需等待多时或者往来社区卫生服务站多次,造成医保病人看病不方便,同时也造成了医院资源的浪费。现利用现代化计算机设备和安全高效的VPN虚拟专网技术,既可以使社区居民在社区卫生服务站的医疗就诊数据、医保费用等信息通过公用数据网络传输,来实现医保实时结算、总院实时控制、医疗信息共享等功能,同时可以节约大量人力、物力,提高管理质量和工作效率。
利用VPN技术,各分支、外出办公人员只要以任何方式接人Internet,便可以安全方便的接入医院总部,访问局域网内的相关资源和办公网络中的相关文档,和在局域网内一样使用医保应用系统。
购物车(0)
