【正文】 統(tǒng)可以獲得最短總線循環(huán)時間。在多站系統(tǒng)中，幾個主站可以同時連接到總線上。每個主站既可以和其指定的從站組成獨立的子系統(tǒng)，也可以作為附加的組態(tài)和診斷設(shè)備。任何一個主站均可讀取 DP從站的輸入和輸出映像，但只有一個主站可對 DP 從站寫入輸出數(shù)據(jù)。多主站系統(tǒng)的總線循環(huán)時間比單主站長。 和 DP 從站之間的循環(huán)數(shù)據(jù)傳輸：DPM1 和其 DP 從站間的數(shù)據(jù)傳輸由DPM1 按照定義的順序自動執(zhí)行。當(dāng)系統(tǒng)組態(tài)時，操作者向 DPM1 指定 DP 從站，這些從站將被包括在用戶數(shù)據(jù)循環(huán)傳輸中。DPM1 和 DP 從站間數(shù)據(jù)傳輸分為三個階段；參數(shù)設(shè)置、組態(tài)、數(shù)據(jù)傳輸。 和組態(tài)設(shè)備之間的數(shù)據(jù)傳輸：PROFIBUSDP 的主主通信功能，該功能用于 DPMl 和編程或組態(tài)設(shè)備(DPM2)之間的通信。這些功能使用戶可以通過總線組態(tài) DPM1 設(shè)備。 除了上載、下載功能外，主主通信功能允許動態(tài)使能和禁止 DPM1 和某個 DP從站之間的用戶數(shù)據(jù)傳輸。DPM1 的運行狀態(tài)也可被改變。（二） 、PROFIBUSDP 的擴(kuò)展功能 DP 擴(kuò)展功能允許非循環(huán)讀寫功能和并行于循環(huán)數(shù)據(jù)傳輸?shù)闹袛啻_認(rèn)。另外，診斷和操作控制站(DPM2)可以用此功能非循環(huán)訪問從站的參數(shù)和測量數(shù)據(jù)。使用這些功能，PROFIBUSDP 能夠滿足運行期間經(jīng)常需要設(shè)置參數(shù)的復(fù)雜設(shè)備的要求，例如過程自動化的現(xiàn)場設(shè)備、智能操作控制設(shè)備、監(jiān)視設(shè)備、變頻器等。這些設(shè)備的參數(shù)和循環(huán)性測量數(shù)據(jù)相比很少改變。因此，和高速循環(huán)用戶數(shù)據(jù)相比，這些參數(shù)的傳輸具有低優(yōu)先級。 DP 的擴(kuò)展功能可選，與 DP 基本功能相兼容。DP 擴(kuò)展通常采用軟件方法進(jìn)行更新。以下分兩個方面簡介 DP 擴(kuò)展功能： 和從站之間的擴(kuò)展數(shù)據(jù)通信 DPM1 和 DP 從站之間的非循環(huán)通信功能是通過補充服務(wù)訪問點 51 執(zhí)行的。在該服務(wù)過程中，DPMl 與從站建立稱為 MSAC C1 的連接。連接的建立與 DPM1 和從站問的循環(huán)數(shù)據(jù)傳輸緊密地聯(lián)系在一起。當(dāng)連接成功建立后，DPM1 可以分別通過 MSCY_Cl 和 MSAC_Cl 連接執(zhí)行循環(huán)數(shù)據(jù)傳輸和非循環(huán)數(shù)據(jù)傳輸。 (1)DDLM 的非循環(huán)讀寫功能 這些功能用來讀寫從站中任何期望的數(shù)據(jù)塊。第 2 層的 SRD 服務(wù)被使用。在DDLM 讀寫請求被傳送之后，主站用 SRD 報文探詢從站，直到 DDLM 讀寫響應(yīng)出現(xiàn)。 功能單元(模塊)的形式。此模型用于循環(huán)數(shù)據(jù)傳送的 DP 基本功能，其中每個模塊輸入和輸出字節(jié)數(shù)是常量，并在用戶數(shù)據(jù)報文中按固定位置來傳送。尋址基于標(biāo)識符(即輸入或輸出，數(shù)據(jù)類型等)，從站的所有標(biāo)識報文組成從站的配置，并在啟動時由 DPM1 進(jìn)行檢查。該模型也用作新的非循環(huán)讀寫服務(wù)的基礎(chǔ)。一切能進(jìn)行讀或?qū)懙臄?shù)據(jù)塊被認(rèn)為是屬于某個模塊的。數(shù)據(jù)塊通過槽號和索引進(jìn)行尋址。每個數(shù)據(jù)塊可以包括多達(dá) 256 個字節(jié)的數(shù)據(jù)。涉及模塊時，模塊的槽號是指定的，模塊槽號從 1 開始順序遞增分配，槽號0 留給設(shè)備本身。利用讀寫請求中的長度信息，可以讀寫數(shù)據(jù)塊的一部分。如果數(shù)據(jù)塊訪問成功，DP 從站返回肯定的讀寫響應(yīng)；否則 DP 從站給出否定的響應(yīng)，并指出問題的準(zhǔn)確類型。(2)報警確認(rèn)PROFIBUSDP 的基本功能允許 DP 從站通過診斷信息自發(fā)地向主站傳送事件。當(dāng)診斷數(shù)據(jù)變化很快時，有必要將傳送頻率調(diào)整到 PLC 的速度。 與從站間的擴(kuò)展數(shù)據(jù)傳送 DP 擴(kuò)展允許一個或幾個 DPM2 對 DP 從站的任何數(shù)據(jù)塊進(jìn)行非循環(huán)讀寫服務(wù)。這種通信是面向連接的，稱為 MSAC C2。新的 MSAC C2 用于在數(shù)據(jù)開始傳輸之前建立連接。從站用確認(rèn)響應(yīng)確認(rèn)連接成功。連接成功后，通過 DDLM Read 和 LM Write 服務(wù)，該連接就可以用于用戶數(shù)據(jù)傳輸了，在用戶數(shù)據(jù)傳輸之間，可以有任何長度的間歇。需要的話，在間歇期間，主站可以自動插入監(jiān)視報文 Idle PDUs。這樣，MSAC C2 連接具有連接的時間自動監(jiān)視功能。從站上的服務(wù)訪問點 40—48 和 DPM2 上的服務(wù)訪問點 50 為MSAC C2 連接保留。 系統(tǒng)信息安全一、信息安全的范圍本網(wǎng)絡(luò)系統(tǒng)在進(jìn)行信息安全設(shè)計時，其信息安全范圍主要考慮以下五個方面：：包括主服務(wù)器、現(xiàn)場工作站。：包括訪問安全控制、病毒的防范、軟件開發(fā)的安全考慮。：包括進(jìn)出機(jī)房人員的管制、使用或操控人員的安全訓(xùn)練與道德教育，離職人員的控管。；包括系統(tǒng)簽入程序的安全設(shè)計、系統(tǒng)資源的備份、系統(tǒng)遭受意外的恢復(fù)、系統(tǒng)的訪問記錄，攻擊的識別與避免。：包括防火墻策略、身份驗證。 二、網(wǎng)絡(luò)安全技術(shù)在任何—個網(wǎng)絡(luò)中，計算機(jī)系統(tǒng)、網(wǎng)絡(luò)和數(shù)據(jù)處理設(shè)備都是至關(guān)重要的資源，但是對一個公司來說也可能會帶來潛在的安全隱患?，F(xiàn)在許多公司采用了一種跨越不同地點(有時可能位于不同的洲)的開放互連網(wǎng)工作系統(tǒng)。由于全球網(wǎng)絡(luò)結(jié)構(gòu)的分散性，事實上任何人都可以對其進(jìn)行訪問，這樣對數(shù)據(jù)傳輸?shù)陌踩?、保密性和完整性的要求變得日益?yán)格。數(shù)據(jù)的安全問題包含下面幾個方面的內(nèi)容：? 信息的保密性和完整性，例如第三方?jīng)Q不能訪問和操縱數(shù)據(jù)。? 此外，必須保證通訊信息是經(jīng)過認(rèn)定和授權(quán)過的信息，必須準(zhǔn)確無誤地對訪問者的身份進(jìn)行認(rèn)定。? 在任何時刻信息的獲取和系統(tǒng)功能都必須得到認(rèn)可。單一的安全措施不足以應(yīng)付所遇到的安全隱患。一個全面的安全問題解決方案應(yīng)結(jié)合各種不同的保護(hù)措施來防止未被授權(quán)用戶對機(jī)密數(shù)據(jù)的訪問?？梢圆捎孟旅姘踩a(chǎn)品和軟件，例如防火墻系統(tǒng)，安全掃描器和入侵檢測系統(tǒng)，或者各種加密軟件和相對安全的通訊協(xié)議。防火墻防火墻是一種訪問控制技術(shù)，其原理是在局域網(wǎng)和外部公共網(wǎng)絡(luò)之間設(shè)立一道隔離墻，對用戶提出的服務(wù)請求進(jìn)行審查，其目標(biāo)是使私有網(wǎng)絡(luò)用戶(Intra)盡可能容易的訪問公用網(wǎng)絡(luò)(Inter)，同時又可以防止用戶自己的數(shù)據(jù)被未授權(quán)的外來者非法獲取。防火墻通常由多個硬件和軟件組成，它們可以由內(nèi)部用戶進(jìn)行功能設(shè)定，并且可以按照用戶需要的功能來進(jìn)行安全認(rèn)證。防火墻可以防止未經(jīng)過授權(quán)或未通過認(rèn)證的用戶對本地網(wǎng)進(jìn)行訪問，也可以控制對分發(fā)數(shù)據(jù)和網(wǎng)絡(luò)資源的訪問。并能對所有訪問活動進(jìn)行記錄。實現(xiàn)防火墻的主要技術(shù)如下：(1)、數(shù)據(jù)包過濾防火墻包過濾(Packet Filter)技術(shù)是在 OSI 架構(gòu)的網(wǎng)絡(luò)層與傳輸層中對數(shù)據(jù)包實施有選擇的通過。 依據(jù)系統(tǒng)內(nèi)事先設(shè)定的過濾邏輯, 檢查數(shù)據(jù)流中每個數(shù)據(jù)包后, 根據(jù)數(shù)據(jù)包的源地址、目的地址、所有的端口號及數(shù)據(jù)包頭中的各種標(biāo)志位等因素來確定是否允許數(shù)據(jù)包通過，其核心是安全策略即過濾算法的設(shè)計。數(shù)據(jù)包過濾防火墻邏輯簡單，價格便宜，易于安裝和使用，網(wǎng)絡(luò)性能和透明性好，它通常安裝在路由器上。(2)、應(yīng)用網(wǎng)關(guān)防火墻應(yīng)用網(wǎng)關(guān)防火墻又稱為代理服務(wù)防火墻，應(yīng)用網(wǎng)關(guān)(Application Gateway)技術(shù)建立在 OSI 架構(gòu)的應(yīng)用層上的協(xié)議過濾， 他在要保護(hù)的網(wǎng)絡(luò)系統(tǒng)與外界訪問之間建立一個虛擬連接，功能類似于一個數(shù)據(jù)轉(zhuǎn)發(fā)器，用戶對網(wǎng)絡(luò)系統(tǒng)的訪問通過應(yīng)用網(wǎng)關(guān)進(jìn)行檢查，即使連接建立，其通訊工作也是由應(yīng)用網(wǎng)關(guān)為代理者轉(zhuǎn)送數(shù)據(jù)，它針對特別的網(wǎng)絡(luò)應(yīng)用服務(wù)協(xié)議即數(shù)據(jù)過濾協(xié)議，并且能夠?qū)?shù)據(jù)包分析，登記和統(tǒng)計并形成相關(guān)的報告。內(nèi)部網(wǎng)絡(luò)只接受代理提出的服務(wù)請求，拒絕外部網(wǎng)絡(luò)其它接點的直接請求，從而達(dá)到隔離放火墻內(nèi)外計算機(jī)系統(tǒng)的作用。其優(yōu)點是把內(nèi)外網(wǎng)絡(luò)系統(tǒng)隔離開來，對外起保護(hù)內(nèi)部結(jié)構(gòu)的作用，從而增強(qiáng)了網(wǎng)絡(luò)的安全性。實際中的應(yīng)用網(wǎng)關(guān)通常安裝在專用工作站系統(tǒng)上。(3)、綜合防火墻為了使安全性達(dá)到更高的要求，常把基于包過濾的方法技術(shù)與基于應(yīng)用代理技術(shù)的方法結(jié)合起來，形成復(fù)合型防火墻。 安全掃描器安全掃描器的目標(biāo)是檢測低質(zhì)量軟件產(chǎn)品，管理員和用戶操作所引起的安全隱患。它起到事先防范的作用（指事故發(fā)生前對用戶進(jìn)行報警） ，對相應(yīng)安全隱患評估定量為：這個安全隱患是否已經(jīng)超過各個站點規(guī)定的安全警戒線，需要系統(tǒng)管理員采取相應(yīng)措施來挽救這個站點。在正常的情況下，安全掃描的結(jié)果把所有薄弱環(huán)節(jié)詳細(xì)報告，使系統(tǒng)管理員采取相應(yīng)措施來更新防火墻，操作系統(tǒng)或配置軟件。入侵檢測系統(tǒng)入侵檢測系統(tǒng)是網(wǎng)絡(luò)安全系統(tǒng)的一個重要組成部分，這些舊系統(tǒng)可以監(jiān)測對系統(tǒng)的侵入，比如它可以運用特殊的簽名模式來監(jiān)控對網(wǎng)絡(luò)和系統(tǒng)可疑或惡意的行為。由于有了安全掃描器，基于網(wǎng)絡(luò)和基于主機(jī)的監(jiān)測系統(tǒng)功能存在一定的差異，網(wǎng)絡(luò) ID 系統(tǒng)可以在防火墻之前和之后立即發(fā)現(xiàn)網(wǎng)絡(luò)的阻塞，因此它可以及時阻止網(wǎng)絡(luò)入侵并提供進(jìn)一步的防范措施。依靠上述的解決方案，可采取多種防范措施，如通過電子郵件、尋呼機(jī)或 SNMP 給系統(tǒng)管理員發(fā)出警告；利用 TCP 的復(fù)位功能或防火墻的動態(tài)重配置可以迅速地阻止非善意行為的訪問。加密數(shù)據(jù)可以使用加密技術(shù)進(jìn)行加密并通過特殊形式進(jìn)行傳輸，沒有解碼的人是無法得到解密的數(shù)據(jù)。這意味著需保密的數(shù)據(jù)可以在不安全的網(wǎng)絡(luò)中傳輸或在存儲媒質(zhì)上無法任意讀取。虛擬專用網(wǎng)絡(luò)(VPN)對于那些在多處辦公或其職員具有高流動性的公司來說，如果租用專線或使用長途呼叫設(shè)備進(jìn)行聯(lián)系，那么公司的通訊成本會不斷激增。這就是為什么越來越多的公司建立 VPN 系統(tǒng)，因為此系統(tǒng)采用隧道技術(shù)和其它多種安全措施，可以保證機(jī)密數(shù)據(jù)如通過因特網(wǎng)在公共 IP 網(wǎng)絡(luò)上安全地傳輸。隧道是指將—個協(xié)議嵌入到另—個協(xié)議中，—般適用于以下情況：當(dāng)兩個網(wǎng)絡(luò)同時使用—個不兼容的暫時網(wǎng)絡(luò)或者它們由—個第三方的網(wǎng)絡(luò)控制，隧道技術(shù)可以在 IP 的環(huán)境中傳輸任何協(xié)議。眾所周知的隧道傳輸協(xié)議有 PPTP(點對點隧道傳輸協(xié)議)和 L2TP(第二層隧道傳輸協(xié)議)。三、系統(tǒng)信息安全應(yīng)用組成本系統(tǒng)構(gòu)建了一個基于防火端的網(wǎng)絡(luò)安全體制，采用包過濾和應(yīng)用網(wǎng)關(guān)兩種技術(shù)，如圖 29 防火墻系統(tǒng)所示。 外部網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)代理服務(wù)器 包過濾主機(jī)防火墻系統(tǒng)圖 29 防火墻系統(tǒng)該放火墻系統(tǒng)由一個代理服務(wù)器和一個包過濾主機(jī)組成。代理服務(wù)器上實現(xiàn)網(wǎng)絡(luò)訪問服務(wù)的代理功能，它本身具有的用戶身份認(rèn)證模塊和監(jiān)控記錄模塊分別對用戶合法性進(jìn)行認(rèn)證，并對所有數(shù)據(jù)流進(jìn)行監(jiān)控記錄，依據(jù)目的 IP、源 IP 地址和身份驗證控制內(nèi)外網(wǎng)絡(luò)訪問權(quán)限。包過濾主機(jī)連接代理服務(wù)器和外部網(wǎng)絡(luò)，實現(xiàn) IP 包過濾規(guī)則。系統(tǒng)中的代理服務(wù)器由應(yīng)用軟件 WinGate 完成，WinGate 是一個優(yōu)秀的代理服務(wù)器軟件，它不僅具有強(qiáng)大的代理功能，而且防火墻功能也非常出眾。在安裝好代理服務(wù)器后，再設(shè)計一個代理服務(wù)器配置文件，代理服務(wù)器根據(jù)該配置文件的源 IP 地址、目的 IP 地址和身份驗證控制內(nèi)外網(wǎng)絡(luò)的訪問權(quán)限，利用監(jiān)控記錄模塊實現(xiàn)對所有數(shù)據(jù)流的監(jiān)控，以提供網(wǎng)管所需的各種數(shù)據(jù)；系統(tǒng)中的包過濾主機(jī)由路由器硬件實現(xiàn)，通過設(shè)置路由器的過濾規(guī)則，對 IP 包進(jìn)行審查，實現(xiàn)對IP 包的過濾，其核心就是過濾規(guī)則的制定，包括過濾算法執(zhí)行的順序、IP 地址篩選規(guī)則、ACK 位的設(shè)置及協(xié)議類型等。本放火墻系統(tǒng)中由過濾主機(jī)提供第一級保護(hù)，再由代理服務(wù)器提供更高級的安全防護(hù)機(jī)制；一個工作在網(wǎng)絡(luò)層的安全過濾防護(hù)，一個是工作在應(yīng)用層的代理網(wǎng)關(guān)服務(wù)，提供比包過濾路由器更嚴(yán)格的安全策略。從而實現(xiàn)了一個安全可靠的放火墻系統(tǒng)。路由器的設(shè)置在完成了計算機(jī)網(wǎng)卡設(shè)定后,進(jìn)入路由器設(shè)定階段。打開桌面上的“Inter Explorer”圖標(biāo)。在地址欄輸入“” ，并擊回車鍵，當(dāng)出現(xiàn)有“文件名” ， “密碼”的提示窗口時，在用戶名處輸入“admin” ，在密碼處輸入 “admin”（出廠默認(rèn)值） ，并點擊確定。在圖片中按“上網(wǎng)向?qū)А边x擇您的外網(wǎng)類型和設(shè)置。在“網(wǎng)絡(luò)參數(shù)”菜單下面，共有“LAN 口設(shè)置” “MAC 地址克隆”和“PPPOE”設(shè)置三個子項。單擊某個子項，您即可進(jìn)行相應(yīng)的功能設(shè)置 。Web 的發(fā)布(1)首先設(shè)好本機(jī) IP 地址。例如：IP 地址： 子網(wǎng)掩碼： 網(wǎng)關(guān)： DNS： .,69(2)建立 Web 站點打開 WinCC 資源管理器，右鍵點擊 WEB 瀏覽器，選擇 WEB 組態(tài)器，按提示操作，選擇上面設(shè)定的 IP 地址作為 WEB 站點的地址。(3)設(shè)置用戶的授權(quán)為此，可刪除授權(quán)“ 完全控制 ”和“可修在 WinCC 資源管理器，右鍵點擊 WEB瀏覽器，選擇 WEB 管理器，添加用戶和密碼，并設(shè)置用戶權(quán)限。(4)發(fā)布頁面在 WinCC 資源管理器，右鍵點擊 WEB 瀏覽器，選擇 WEB 頁面發(fā)布器，按提示操作，將要發(fā)布的頁面轉(zhuǎn)化成網(wǎng)頁。(5)運行 WinCC，則在其它計算機(jī)上可通過瀏覽器監(jiān)控系統(tǒng)。WinCC 中設(shè)置不同人員的不同權(quán)限通過 Windows 管理可限制對工作文件夾的訪問權(quán)限：(1)關(guān)閉 WinCC 和所有的 WinCC 組件。(2)打開 Windows 下的工作站管理。(3)在瀏覽窗口中選擇條目“共享文件夾”“共享”。數(shù)據(jù)窗口將顯示所有未鎖定的文件夾“SCRIPTFCT”文件夾以“WinCC60_Project_Projektname”的文件夾均屬于 WinCC。(4)使用未鎖定 WinCC 文件夾的彈出菜單打開“屬性”對話框。(5)將本地 WinCC 組添加給未鎖定的授權(quán)標(biāo)簽，并定義所需要的授權(quán)。(6)如果有必要，可刪除用戶組“每個用戶”或限制該組改”。(7)如果需要，可定義未鎖定文件夾中其它用戶的授權(quán)。第三章 系統(tǒng)總體設(shè)計 系統(tǒng)總體結(jié)構(gòu)設(shè)計如圖 31 所示。I n t e r n e t P C 監(jiān)控主機(jī) 監(jiān)控從機(jī)遠(yuǎn)程用戶數(shù)據(jù)服務(wù)器W E B 服務(wù)器