王雁冰（1972-）

男，河南沈丘人，工程師，1993年畢業(yè)于西南石油學(xué)院，現(xiàn)于中石化天然氣川氣東送管道分公司工程技術(shù)部工作，負(fù)責(zé)公司工程、技術(shù)和科研等工作。

摘要：文章首先從SCADA系統(tǒng)的狹義安全性和廣義安全性入手，針對(duì)一般系統(tǒng)的硬件和軟件結(jié)構(gòu)進(jìn)行了圖文論述，文章重點(diǎn)對(duì)SCADA系統(tǒng)的結(jié)構(gòu)、硬件、軟件、通信、管理和操作等六個(gè)方面進(jìn)行了闡述。本文與常規(guī)SCADA系統(tǒng)的安全性有較大的區(qū)別，對(duì)系統(tǒng)的安全管理與日常安全維護(hù)有一定的指導(dǎo)意義。

關(guān)鍵詞：SCADA；多重安全性

Abstract: Firstly the article started from the narrow security and general security of the
 the SCADA system, and then illustrated for the general system of hardware and software 
architecture, the paper focused on the SCADA system of hardware, software, communications, 
management and operation and so on. In this paper, it told the great difference from the 
conventional SCADA systems safety ,and showed some opinions of the safety management and 
maintenance.

Key words: SCADA; Multiple security

    SCADA (Supervisory Control And Data Acquisition)系統(tǒng)，即數(shù)據(jù)采集與監(jiān)督控制系統(tǒng)，它是以計(jì)算機(jī)技術(shù)、網(wǎng)絡(luò)技術(shù)和自動(dòng)化技術(shù)為基礎(chǔ)的生產(chǎn)過程控制與調(diào)度自動(dòng)化系統(tǒng)。系統(tǒng)通過對(duì)站場運(yùn)行設(shè)備和工況的監(jiān)督和控制，以實(shí)現(xiàn)數(shù)據(jù)采集、設(shè)備控制、狀態(tài)檢測、參數(shù)調(diào)節(jié)以及各類信號(hào)報(bào)警、歷史數(shù)據(jù)查詢等多項(xiàng)功能。

1 SCADA系統(tǒng)多重安全性概述

    安全簡單地定義為不受威脅，沒有危險(xiǎn)、危害、損失等。SCADA系統(tǒng)的安全性是指系統(tǒng)免疫遭受內(nèi)部或外部威脅、攻擊、破壞的一種特性，這種特性對(duì)外表現(xiàn)為能正常完成系統(tǒng)的全部功能和較強(qiáng)的穩(wěn)定性。通過對(duì)系統(tǒng)安全性的剖析，盡可能地減少或避免不必要的危險(xiǎn)是工程技術(shù)和系統(tǒng)工程追求目標(biāo)。

    從狹義上來講，SCADA系統(tǒng)的安全是保證系統(tǒng)信息數(shù)據(jù)和功能免遭攻擊或破壞?，F(xiàn)場應(yīng)用的計(jì)算機(jī)和過程控制器都具有一定的網(wǎng)絡(luò)通訊能力，這使得對(duì)數(shù)據(jù)和信息的存取權(quán)限和方式十分重要。在結(jié)構(gòu)上，一般的SCADA系統(tǒng)構(gòu)架在冗余的本地局域網(wǎng)中，核心工作站通常都設(shè)計(jì)成兩套，在某一操作站的硬件或應(yīng)用程序出現(xiàn)問題時(shí)，另一臺(tái)計(jì)算機(jī)可以立即接管正在處理的運(yùn)行過程，提高系統(tǒng)的安全性。一般地講，常規(guī)的SCADA系統(tǒng)安全如圖1所示。

    從廣義上來講，SCADA系統(tǒng)安全性是指系統(tǒng)的設(shè)計(jì)、選型、建設(shè)、調(diào)試、管理和維護(hù)等各個(gè)環(huán)節(jié)的安全相關(guān)的總括。在不同環(huán)節(jié)中，都存在著對(duì)系統(tǒng)安全性的影響，只是所占影響權(quán)重大小不同。廣義的SCADA系統(tǒng)的安全主要包括系統(tǒng)的結(jié)構(gòu)、硬件、軟件、通信、管理和操作等六個(gè)方面，如圖2所示。

    SCADA系統(tǒng)多重安全性可以細(xì)化完整性、機(jī)密性和可用性。完整性要求數(shù)據(jù)必須是正確和完整的，而且能夠免受非授權(quán)、意料之外或無意的更改。機(jī)密性要求系統(tǒng)信息免受非授權(quán)的交流，涉及到數(shù)據(jù)和程序文件讀取的控制?？捎眯砸笙到y(tǒng)信息在需要時(shí)能夠及時(shí)獲得以滿足業(yè)務(wù)需求，確保用戶不受干擾地獲得諸如數(shù)據(jù)、程序和設(shè)備之類的系統(tǒng)信息和資源。

2 SCADA系統(tǒng)的一般結(jié)構(gòu)

2.1 硬件結(jié)構(gòu)

    SCADA系統(tǒng)主要由設(shè)在控制中心的主機(jī)/服務(wù)器、設(shè)在各站的遠(yuǎn)程控制終端（RTU）或智能控制設(shè)備（LED）或可編程邏輯控制（PLC）和高性能的通信系統(tǒng)構(gòu)成分布式控制系統(tǒng)組成。系統(tǒng)的硬件配置形式如圖3所示。

2.2 軟件結(jié)構(gòu)

    SCADA軟件主要分為通信與網(wǎng)絡(luò)軟件、操作系統(tǒng)、實(shí)時(shí)數(shù)據(jù)庫、組態(tài)軟件和應(yīng)用軟件等5個(gè)方面，其中操作系統(tǒng)是所有軟件的基礎(chǔ)，通信與網(wǎng)絡(luò)軟件是聯(lián)系硬件設(shè)備的紐帶，實(shí)時(shí)數(shù)據(jù)庫是系統(tǒng)信息交換的平臺(tái)，組態(tài)軟件是系統(tǒng)架構(gòu)的工具，應(yīng)用軟件則是SCADA系統(tǒng)功能的體現(xiàn)。SCADA軟件的結(jié)構(gòu)如圖4所示：

3 多重安全性的討論

3.1 結(jié)構(gòu)

    隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，Internet正在把全世界的計(jì)算機(jī)系統(tǒng)、通信系統(tǒng)逐漸集成起來，形成信息高速公路，形成公用數(shù)據(jù)網(wǎng)絡(luò)?？刂葡到y(tǒng)的結(jié)構(gòu)從最初的CCS（計(jì)算機(jī)集中控制系統(tǒng)），到第二代的DCS（集散控制系統(tǒng)），發(fā)展到現(xiàn)在流行的FCS（現(xiàn)場總線控制系統(tǒng)）。

    典型的DCS可分為操作站級(jí)、過程控制級(jí)和現(xiàn)場儀表3級(jí)。這種控制系統(tǒng)的特點(diǎn)是“集中管理，分散控制”。其結(jié)構(gòu)是多級(jí)主從關(guān)系，底層相互間進(jìn)行信息傳遞必須經(jīng)過主機(jī)，從而造成主機(jī)負(fù)荷過重，效率低下，并且主機(jī)一旦發(fā)生故障，整個(gè)系統(tǒng)就會(huì)“癱瘓”。其次DCS的現(xiàn)場儀表仍然使用傳統(tǒng)的4～20mA電流模擬信號(hào)，傳輸可靠性差，成本高。另外各廠家的DCS自成標(biāo)準(zhǔn)，通訊協(xié)議封閉，極大地制約了系統(tǒng)的集成與應(yīng)用。

    FCS綜合了數(shù)字通信技術(shù)、計(jì)算機(jī)技術(shù)、自動(dòng)控制技術(shù)、網(wǎng)絡(luò)技術(shù)和智能儀表等多種技術(shù)手段，構(gòu)成一種全分散、全數(shù)字化、智能、雙向、互連、多變量、多接點(diǎn)的通信與控制系統(tǒng)。目前FCS存在的主要問題：首先是現(xiàn)場總線不統(tǒng)一，性價(jià)比差別較大，應(yīng)用領(lǐng)域和層次區(qū)別較大。二是現(xiàn)場總線本身存在的技術(shù)問題：① 當(dāng)總線電纜截?cái)鄷r(shí)，整個(gè)系統(tǒng)有可能癱瘓。② 本安防爆理論的制約?，F(xiàn)有的防爆規(guī)定限制總線的長度和總線上負(fù)載的數(shù)量。這就是限制了現(xiàn)場總線節(jié)省線纜優(yōu)點(diǎn)的發(fā)揮。③ 系統(tǒng)組態(tài)參數(shù)過于復(fù)雜，組態(tài)參數(shù)很多，不容易掌握，但組態(tài)參數(shù)設(shè)定得好壞，對(duì)系統(tǒng)性能影響很大。

    目前常用的SCADA架構(gòu)的方式是基于DCS和FCS的結(jié)合。如圖5所示。

                                       圖五 常規(guī)SCADA結(jié)構(gòu)方式

    在以后的發(fā)展趨勢來看，工業(yè)以太網(wǎng)是信息高速的紐帶。就安全性討論來說，以太網(wǎng)的主要缺陷，首先是不確定性。由于以太網(wǎng)的MAC層協(xié)議是CSMA/CD，該協(xié)議使得在網(wǎng)絡(luò)上存在沖突，特別是在網(wǎng)絡(luò)負(fù)荷過大時(shí)，更加明顯。二是非實(shí)時(shí)性。以太網(wǎng)存在的CSMA/CD機(jī)制，當(dāng)發(fā)生沖突的時(shí)候，就得重發(fā)數(shù)據(jù)，最多可以嘗試16次之多。很明顯這種解決沖突的機(jī)制是以付出時(shí)間為代價(jià)的。三是現(xiàn)場的不可靠性。它應(yīng)用到工業(yè)現(xiàn)場，面對(duì)惡劣的工況，嚴(yán)重的線間干擾等，這些都必然會(huì)引起其可靠性降低。

    目前的改進(jìn)方式主要表現(xiàn)在以下方面，一是交換技術(shù)。采用以太網(wǎng)交換機(jī)（switch），將共享的局域網(wǎng)進(jìn)行有效的沖突域劃分技術(shù)，以減少CSMA/CD機(jī)制帶來的沖突問題和錯(cuò)誤傳輸。二是高速以太網(wǎng)。當(dāng)網(wǎng)絡(luò)中的負(fù)載越大的時(shí)候，發(fā)生沖突的慨率也就越大，顯然提高以太網(wǎng)的通信速度，就可以有效降低網(wǎng)絡(luò)的負(fù)荷。三是IEEE1588校時(shí)機(jī)制。定義的精確網(wǎng)絡(luò)同步協(xié)議實(shí)現(xiàn)了網(wǎng)絡(luò)中的高度同步，使得在分配控制工作時(shí)無需再進(jìn)行專門的同步通信，從而達(dá)到了通信時(shí)間模式與應(yīng)用程序執(zhí)行時(shí)間模式分開的效果。

    第三方通信協(xié)議是指通信雙方的一種約定，主要包括對(duì)數(shù)據(jù)格式、同步方式、傳送速度、傳送步驟、檢糾錯(cuò)方式以及控制字符定義等問題做出統(tǒng)一規(guī)定。分為異步協(xié)議和同步協(xié)議，相對(duì)來說通信速率較低，一般用來傳遞信息，不做控制用途。

    合理地規(guī)劃SCADA系統(tǒng)的數(shù)據(jù)流向，即可滿足就地、站控、中心控制的功能要求，也可以保證控制數(shù)據(jù)、監(jiān)視數(shù)據(jù)等信息的暢通無阻，更能保證數(shù)據(jù)在傳遞和交換過程的安全性。常規(guī)的數(shù)據(jù)流向如圖6所示。

                                         圖六 SCADA數(shù)據(jù)流向
3.2 硬件

    系統(tǒng)硬件的安全性主要是指控制器、IO卡件、服務(wù)器、網(wǎng)絡(luò)設(shè)備、儀器儀表和電纜及施工的質(zhì)量。硬件的性能指標(biāo)與性能價(jià)格比率是系統(tǒng)硬件設(shè)備選型的主要內(nèi)容?？刂破鞯某Ｒ?guī)性能主要體現(xiàn)存儲(chǔ)容量、I/O點(diǎn)數(shù)、掃描速度、指令的功能與數(shù)量、內(nèi)部元件的種類與數(shù)量、特殊功能單元和可擴(kuò)展能力等方面；IO卡件的安全性表現(xiàn)為是否有隔離功能、自診斷功能和自保護(hù)功能等；服務(wù)器和操作站的性能主要為處理器（處理器類型、處理器緩存、配置參數(shù)、主頻），總線、內(nèi)存（類型和容量）、磁盤（類型、容量及方式）和I/0擴(kuò)展等；通訊設(shè)備的主要性能為機(jī)架類型（插槽數(shù)、擴(kuò)展槽數(shù)、可堆疊數(shù)、端口數(shù)等），支持的網(wǎng)絡(luò)類型（支持快速以太網(wǎng)、ATM、令牌環(huán)及FDDI等），支持協(xié)議和標(biāo)準(zhǔn)（路由信息協(xié)議RIP、距離矢量多播路由協(xié)議DVMRP、開放式最短路徑優(yōu)先多播路由協(xié)議MOSPF等）。執(zhí)行機(jī)構(gòu)主要性能有響應(yīng)時(shí)間、保護(hù)方式、反饋信息、防護(hù)級(jí)別等。儀器儀表主要性能有精度、采集方式、防護(hù)級(jí)別等。電纜及施工主要是指電纜規(guī)格型號(hào)、抗干擾能力和鋪設(shè)方式等。

3.3 軟件

    軟件安全性主要包括操作系統(tǒng)軟件、服務(wù)器系統(tǒng)軟件、SCADA軟件、第三方軟件、編制的應(yīng)用軟件等。系統(tǒng)安全性涉及系統(tǒng)保護(hù)與保密兩個(gè)方面，旨在保障系統(tǒng)中數(shù)據(jù)的完整性、可用性和機(jī)密性，涉及到技術(shù)、管理、法律、道德等問題。

    目前系統(tǒng)安全的分級(jí)管理機(jī)制主要是：

    （1）系統(tǒng)級(jí)管理（注冊(cè)、登錄、口令機(jī)制）。

    （2）用戶級(jí)管理（分類授權(quán)）。

    （3）目錄、文件級(jí)管理（設(shè)權(quán)限、屬性等）。

    影響系統(tǒng)安全性的因素主要包括：

    （1）人為破壞因素。有意、無意的非法操作、病毒破壞、黑客入侵等。

    （2）自然破壞因素?；馂?zāi)、水災(zāi)、震災(zāi)、戰(zhàn)爭和存儲(chǔ)介質(zhì)等硬、軟件損壞等。

    提高操作系統(tǒng)安全性的常規(guī)對(duì)策：

    （1）授權(quán)機(jī)制。文件的二級(jí)存取控制，對(duì)操作權(quán)限的識(shí)別，存取控制矩陣等。
 
    （2）防毒機(jī)制。采用防病毒軟件對(duì)系統(tǒng)進(jìn)行保護(hù)。

    （3）備份、轉(zhuǎn)儲(chǔ)、恢復(fù)機(jī)制。通過轉(zhuǎn)儲(chǔ)操作，可形成文件或文件系統(tǒng)的多個(gè)副本。

    （4）硬、軟件冗余機(jī)制。通過冗余的方式，保證系統(tǒng)在崩潰后啟用備用系統(tǒng)，保證操作系統(tǒng)的連續(xù)工作能力。

    （5）文件保密機(jī)制。主要有口令法、隱藏法和加密解密法等。

    （6）法制教育。對(duì)操作人員的職業(yè)道德、法制觀念進(jìn)行提高，減少系統(tǒng)操作人員的故意行為。

3.4 通信

    SCADA系統(tǒng)的通信安全性主要包括內(nèi)部通信、外部通信和第三方通信的不穩(wěn)定性和潛在的通信危險(xiǎn)。SCADA網(wǎng)絡(luò)安全，通常是針對(duì)互聯(lián)網(wǎng)（INTERNET）或企業(yè)內(nèi)部網(wǎng)（INTRANET）上網(wǎng)絡(luò)攻擊和病毒防范。在廣義的多重安全性中，網(wǎng)絡(luò)是多層面，交錯(cuò)而多接點(diǎn)，如圖7所示。

                          圖七 系統(tǒng)網(wǎng)絡(luò)示意圖

    首先確定網(wǎng)絡(luò)所有鏈接點(diǎn)，包括內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)，盡可能減少?zèng)]有必要的鏈接點(diǎn)（這里主要指可操作的監(jiān)控站），為了滿足多層次管理人員瀏覽和查看的要求，通過專用防火墻，可以無限制。在不同層的網(wǎng)絡(luò)鏈接處，根據(jù)應(yīng)用要求，建立風(fēng)險(xiǎn)評(píng)價(jià)機(jī)制，對(duì)相應(yīng)的數(shù)據(jù)和流量進(jìn)行動(dòng)態(tài)監(jiān)視，并建立日志。對(duì)所有具體操作權(quán)力的用戶設(shè)立安全操作記錄，不同層次的權(quán)力嚴(yán)格區(qū)分，并建立監(jiān)督機(jī)制。控制層網(wǎng)絡(luò)技術(shù)應(yīng)當(dāng)嚴(yán)格保密，包括技術(shù)文章的介紹，控制層與管理層數(shù)據(jù)的流量和數(shù)據(jù)包建立安全監(jiān)視機(jī)制，如兩層間建立映射數(shù)據(jù)的方法來保證控制層數(shù)據(jù)的安全等。對(duì)外部數(shù)據(jù)的交換，如計(jì)量交接、報(bào)表生成等，對(duì)數(shù)據(jù)進(jìn)行動(dòng)態(tài)分析與對(duì)比分析。在防火墻的設(shè)置上，最好采用自定義配置方式，通用型設(shè)置在保密上是沒有意義的。建立科學(xué)、合理、有效的技術(shù)和管理機(jī)制，防范于未然，是保證整個(gè)系統(tǒng)安全運(yùn)作的基礎(chǔ)。

    SCADA系統(tǒng)由很多任務(wù)組成，每個(gè)任務(wù)完成特定的功能（如圖8所示）。由圖8可以看出，SCADA系統(tǒng)的通信主要是服務(wù)器與上位機(jī)，服務(wù)器之間和服務(wù)與第三方應(yīng)用之間，其中接口通信是任務(wù)完成的基礎(chǔ)。服務(wù)器負(fù)責(zé)數(shù)據(jù)采集，數(shù)據(jù)處理（如量程轉(zhuǎn)換、濾波、報(bào)警檢查、計(jì)算、事件記錄、歷史存儲(chǔ)、執(zhí)行用戶腳本等）。服務(wù)器間可以相互通訊。各服務(wù)器邏輯上作為統(tǒng)一整體，但物理上可能放置在不同的機(jī)器上。分類劃分的好處是可以將多個(gè)服務(wù)器的各種數(shù)據(jù)統(tǒng)一管理、分工協(xié)作，缺點(diǎn)是效率較低，局部故障可能影響整個(gè)系統(tǒng)。

                                    圖八 系統(tǒng)內(nèi)部通信

3.5 管理

    安全管理是對(duì)SCADA系統(tǒng)的綜合管理，主要包括制定、整理和實(shí)施保護(hù)系統(tǒng)的信息機(jī)密性、完整性和可用性的策略、標(biāo)準(zhǔn)、規(guī)程和指南；包括對(duì)數(shù)據(jù)分級(jí)、風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)分析等管理手段對(duì)威脅進(jìn)行辨別；包括對(duì)系統(tǒng)缺陷進(jìn)行評(píng)估，以便采取有效的安全控制手段等。要求從管理者的角度制定和實(shí)施安全策略及其相應(yīng)的指南、標(biāo)準(zhǔn)和流程；對(duì)各級(jí)操作員工進(jìn)行信息安全知識(shí)的教育和培訓(xùn)，使員工了解與其工作有關(guān)的安全要求以及保護(hù)企業(yè)和個(gè)人信息機(jī)密的重要性；與員工合同、員工雇傭和員工離職相關(guān)的安全要求；在風(fēng)險(xiǎn)管理中如何對(duì)系統(tǒng)資源的風(fēng)險(xiǎn)進(jìn)行甄別、評(píng)估和減少風(fēng)險(xiǎn)的發(fā)生機(jī)率。

3.6 操作

    SCDADA系統(tǒng)的操作分系統(tǒng)操作和指揮。操作安全包括如何對(duì)硬件和介質(zhì)進(jìn)行控制以及如何確定操作員對(duì)這些資源的訪問權(quán)限。指揮操作的安全性是指高級(jí)管理在系統(tǒng)升級(jí)、維護(hù)和重大故障時(shí)的處理方式。要求系統(tǒng)的管理在分級(jí)操作的基礎(chǔ)上，明確操作責(zé)任，劃清工作界面和掌握安全性要害點(diǎn)。對(duì)系統(tǒng)管理人員要求了解哪些資源需要受到保護(hù)，哪些權(quán)限需要進(jìn)行限制，存在哪些控制手段，對(duì)控制的潛在威脅和相應(yīng)對(duì)策，實(shí)施有效控制的原則等。

4 結(jié)束語

    SCADA系統(tǒng)的多重安全性是值得綜合研究的課題，它需要將計(jì)算機(jī)安全技術(shù)、信息網(wǎng)絡(luò)安全技術(shù)、自動(dòng)化技術(shù)和相關(guān)專業(yè)知識(shí)進(jìn)行融匯貫通，需要有多層面、多角度、多方式的系統(tǒng)考慮與應(yīng)用，還需要與相關(guān)技術(shù)保持發(fā)展的同步性和先進(jìn)性。同時(shí)，加強(qiáng)安全管理和落實(shí)責(zé)任，以達(dá)到系統(tǒng)較高的完整性、機(jī)密性和可用性指標(biāo)。


參考文獻(xiàn)

[1] 謝孝宏. SCADA系統(tǒng)性能的探討，自動(dòng)化技術(shù)與應(yīng)用[J]. 2005. 24 (12).

[2]張麗娜, 鄭云萍, 楊春. SCADA系統(tǒng)的安全性分析及對(duì)策[J]. 自動(dòng)化與儀表, 2005, 20(3) .

[3]謝安俊. 油氣管線SCADA系統(tǒng)調(diào)度控制中心的安全策略[J]. 天然氣工業(yè), 2005, 25(6).

[4]李賓, 楊光鎮(zhèn). 淺談SCADA系統(tǒng)的安全管理[J]. 水利水文自動(dòng)化, 2003 (3).