国产欧美日韩精品a在线观看-国产欧美日韩精品一区二区三区-国产欧美日韩精品综合-国产欧美中文字幕-一区二区三区精品国产-一区二区三区精品国产欧美

王雁冰（1972-）

男，河南沈丘人，工程師，1993年畢業于西南石油學院，現于中石化天然氣川氣東送管道分公司工程技術部工作，負責公司工程、技術和科研等工作。

摘要：文章首先從SCADA系統的狹義安全性和廣義安全性入手，針對一般系統的硬件和軟件結構進行了圖文論述，文章重點對SCADA系統的結構、硬件、軟件、通信、管理和操作等六個方面進行了闡述。本文與常規SCADA系統的安全性有較大的區別，對系統的安全管理與日常安全維護有一定的指導意義。

關鍵詞：SCADA；多重安全性

Abstract: Firstly the article started from the narrow security and general security of the
 the SCADA system, and then illustrated for the general system of hardware and software 
architecture, the paper focused on the SCADA system of hardware, software, communications, 
management and operation and so on. In this paper, it told the great difference from the 
conventional SCADA systems safety ,and showed some opinions of the safety management and 
maintenance.

Key words: SCADA; Multiple security

    SCADA (Supervisory Control And Data Acquisition)系統，即數據采集與監督控制系統，它是以計算機技術、網絡技術和自動化技術為基礎的生產過程控制與調度自動化系統。系統通過對站場運行設備和工況的監督和控制，以實現數據采集、設備控制、狀態檢測、參數調節以及各類信號報警、歷史數據查詢等多項功能。

1 SCADA系統多重安全性概述

    安全簡單地定義為不受威脅，沒有危險、危害、損失等。SCADA系統的安全性是指系統免疫遭受內部或外部威脅、攻擊、破壞的一種特性，這種特性對外表現為能正常完成系統的全部功能和較強的穩定性。通過對系統安全性的剖析，盡可能地減少或避免不必要的危險是工程技術和系統工程追求目標。

    從狹義上來講，SCADA系統的安全是保證系統信息數據和功能免遭攻擊或破壞?，F場應用的計算機和過程控制器都具有一定的網絡通訊能力，這使得對數據和信息的存取權限和方式十分重要。在結構上，一般的SCADA系統構架在冗余的本地局域網中，核心工作站通常都設計成兩套，在某一操作站的硬件或應用程序出現問題時，另一臺計算機可以立即接管正在處理的運行過程，提高系統的安全性。一般地講，常規的SCADA系統安全如圖1所示。

    從廣義上來講，SCADA系統安全性是指系統的設計、選型、建設、調試、管理和維護等各個環節的安全相關的總括。在不同環節中，都存在著對系統安全性的影響，只是所占影響權重大小不同。廣義的SCADA系統的安全主要包括系統的結構、硬件、軟件、通信、管理和操作等六個方面，如圖2所示。

    SCADA系統多重安全性可以細化完整性、機密性和可用性。完整性要求數據必須是正確和完整的，而且能夠免受非授權、意料之外或無意的更改。機密性要求系統信息免受非授權的交流，涉及到數據和程序文件讀取的控制?？捎眯砸笙到y信息在需要時能夠及時獲得以滿足業務需求，確保用戶不受干擾地獲得諸如數據、程序和設備之類的系統信息和資源。

2 SCADA系統的一般結構

2.1 硬件結構

    SCADA系統主要由設在控制中心的主機/服務器、設在各站的遠程控制終端（RTU）或智能控制設備（LED）或可編程邏輯控制（PLC）和高性能的通信系統構成分布式控制系統組成。系統的硬件配置形式如圖3所示。

2.2 軟件結構

    SCADA軟件主要分為通信與網絡軟件、操作系統、實時數據庫、組態軟件和應用軟件等5個方面，其中操作系統是所有軟件的基礎，通信與網絡軟件是聯系硬件設備的紐帶，實時數據庫是系統信息交換的平臺，組態軟件是系統架構的工具，應用軟件則是SCADA系統功能的體現。SCADA軟件的結構如圖4所示：

3 多重安全性的討論

3.1 結構

    隨著網絡技術的發展，Internet正在把全世界的計算機系統、通信系統逐漸集成起來，形成信息高速公路，形成公用數據網絡?？刂葡到y的結構從最初的CCS（計算機集中控制系統），到第二代的DCS（集散控制系統），發展到現在流行的FCS（現場總線控制系統）。

    典型的DCS可分為操作站級、過程控制級和現場儀表3級。這種控制系統的特點是“集中管理，分散控制”。其結構是多級主從關系，底層相互間進行信息傳遞必須經過主機，從而造成主機負荷過重，效率低下，并且主機一旦發生故障，整個系統就會“癱瘓”。其次DCS的現場儀表仍然使用傳統的4～20mA電流模擬信號，傳輸可靠性差，成本高。另外各廠家的DCS自成標準，通訊協議封閉，極大地制約了系統的集成與應用。

    FCS綜合了數字通信技術、計算機技術、自動控制技術、網絡技術和智能儀表等多種技術手段，構成一種全分散、全數字化、智能、雙向、互連、多變量、多接點的通信與控制系統。目前FCS存在的主要問題：首先是現場總線不統一，性價比差別較大，應用領域和層次區別較大。二是現場總線本身存在的技術問題：① 當總線電纜截斷時，整個系統有可能癱瘓。② 本安防爆理論的制約?，F有的防爆規定限制總線的長度和總線上負載的數量。這就是限制了現場總線節省線纜優點的發揮。③ 系統組態參數過于復雜，組態參數很多，不容易掌握，但組態參數設定得好壞，對系統性能影響很大。

    目前常用的SCADA架構的方式是基于DCS和FCS的結合。如圖5所示。

                                       圖五 常規SCADA結構方式

    在以后的發展趨勢來看，工業以太網是信息高速的紐帶。就安全性討論來說，以太網的主要缺陷，首先是不確定性。由于以太網的MAC層協議是CSMA/CD，該協議使得在網絡上存在沖突，特別是在網絡負荷過大時，更加明顯。二是非實時性。以太網存在的CSMA/CD機制，當發生沖突的時候，就得重發數據，最多可以嘗試16次之多。很明顯這種解決沖突的機制是以付出時間為代價的。三是現場的不可靠性。它應用到工業現場，面對惡劣的工況，嚴重的線間干擾等，這些都必然會引起其可靠性降低。

    目前的改進方式主要表現在以下方面，一是交換技術。采用以太網交換機（switch），將共享的局域網進行有效的沖突域劃分技術，以減少CSMA/CD機制帶來的沖突問題和錯誤傳輸。二是高速以太網。當網絡中的負載越大的時候，發生沖突的慨率也就越大，顯然提高以太網的通信速度，就可以有效降低網絡的負荷。三是IEEE1588校時機制。定義的精確網絡同步協議實現了網絡中的高度同步，使得在分配控制工作時無需再進行專門的同步通信，從而達到了通信時間模式與應用程序執行時間模式分開的效果。

    第三方通信協議是指通信雙方的一種約定，主要包括對數據格式、同步方式、傳送速度、傳送步驟、檢糾錯方式以及控制字符定義等問題做出統一規定。分為異步協議和同步協議，相對來說通信速率較低，一般用來傳遞信息，不做控制用途。

    合理地規劃SCADA系統的數據流向，即可滿足就地、站控、中心控制的功能要求，也可以保證控制數據、監視數據等信息的暢通無阻，更能保證數據在傳遞和交換過程的安全性。常規的數據流向如圖6所示。

                                         圖六 SCADA數據流向
3.2 硬件

    系統硬件的安全性主要是指控制器、IO卡件、服務器、網絡設備、儀器儀表和電纜及施工的質量。硬件的性能指標與性能價格比率是系統硬件設備選型的主要內容。控制器的常規性能主要體現存儲容量、I/O點數、掃描速度、指令的功能與數量、內部元件的種類與數量、特殊功能單元和可擴展能力等方面；IO卡件的安全性表現為是否有隔離功能、自診斷功能和自保護功能等；服務器和操作站的性能主要為處理器（處理器類型、處理器緩存、配置參數、主頻），總線、內存（類型和容量）、磁盤（類型、容量及方式）和I/0擴展等；通訊設備的主要性能為機架類型（插槽數、擴展槽數、可堆疊數、端口數等），支持的網絡類型（支持快速以太網、ATM、令牌環及FDDI等），支持協議和標準（路由信息協議RIP、距離矢量多播路由協議DVMRP、開放式最短路徑優先多播路由協議MOSPF等）。執行機構主要性能有響應時間、保護方式、反饋信息、防護級別等。儀器儀表主要性能有精度、采集方式、防護級別等。電纜及施工主要是指電纜規格型號、抗干擾能力和鋪設方式等。

3.3 軟件

    軟件安全性主要包括操作系統軟件、服務器系統軟件、SCADA軟件、第三方軟件、編制的應用軟件等。系統安全性涉及系統保護與保密兩個方面，旨在保障系統中數據的完整性、可用性和機密性，涉及到技術、管理、法律、道德等問題。

    目前系統安全的分級管理機制主要是：

    （1）系統級管理（注冊、登錄、口令機制）。

    （2）用戶級管理（分類授權）。

    （3）目錄、文件級管理（設權限、屬性等）。

    影響系統安全性的因素主要包括：

    （1）人為破壞因素。有意、無意的非法操作、病毒破壞、黑客入侵等。

    （2）自然破壞因素。火災、水災、震災、戰爭和存儲介質等硬、軟件損壞等。

    提高操作系統安全性的常規對策：

    （1）授權機制。文件的二級存取控制，對操作權限的識別，存取控制矩陣等。
 
    （2）防毒機制。采用防病毒軟件對系統進行保護。

    （3）備份、轉儲、恢復機制。通過轉儲操作，可形成文件或文件系統的多個副本。

    （4）硬、軟件冗余機制。通過冗余的方式，保證系統在崩潰后啟用備用系統，保證操作系統的連續工作能力。

    （5）文件保密機制。主要有口令法、隱藏法和加密解密法等。

    （6）法制教育。對操作人員的職業道德、法制觀念進行提高，減少系統操作人員的故意行為。

3.4 通信

    SCADA系統的通信安全性主要包括內部通信、外部通信和第三方通信的不穩定性和潛在的通信危險。SCADA網絡安全，通常是針對互聯網（INTERNET）或企業內部網（INTRANET）上網絡攻擊和病毒防范。在廣義的多重安全性中，網絡是多層面，交錯而多接點，如圖7所示。

                          圖七 系統網絡示意圖

    首先確定網絡所有鏈接點，包括內部網絡和外部網絡，盡可能減少沒有必要的鏈接點（這里主要指可操作的監控站），為了滿足多層次管理人員瀏覽和查看的要求，通過專用防火墻，可以無限制。在不同層的網絡鏈接處，根據應用要求，建立風險評價機制，對相應的數據和流量進行動態監視，并建立日志。對所有具體操作權力的用戶設立安全操作記錄，不同層次的權力嚴格區分，并建立監督機制。控制層網絡技術應當嚴格保密，包括技術文章的介紹，控制層與管理層數據的流量和數據包建立安全監視機制，如兩層間建立映射數據的方法來保證控制層數據的安全等。對外部數據的交換，如計量交接、報表生成等，對數據進行動態分析與對比分析。在防火墻的設置上，最好采用自定義配置方式，通用型設置在保密上是沒有意義的。建立科學、合理、有效的技術和管理機制，防范于未然，是保證整個系統安全運作的基礎。

    SCADA系統由很多任務組成，每個任務完成特定的功能（如圖8所示）。由圖8可以看出，SCADA系統的通信主要是服務器與上位機，服務器之間和服務與第三方應用之間，其中接口通信是任務完成的基礎。服務器負責數據采集，數據處理（如量程轉換、濾波、報警檢查、計算、事件記錄、歷史存儲、執行用戶腳本等）。服務器間可以相互通訊。各服務器邏輯上作為統一整體，但物理上可能放置在不同的機器上。分類劃分的好處是可以將多個服務器的各種數據統一管理、分工協作，缺點是效率較低，局部故障可能影響整個系統。

                                    圖八 系統內部通信

3.5 管理

    安全管理是對SCADA系統的綜合管理，主要包括制定、整理和實施保護系統的信息機密性、完整性和可用性的策略、標準、規程和指南；包括對數據分級、風險評估和風險分析等管理手段對威脅進行辨別；包括對系統缺陷進行評估，以便采取有效的安全控制手段等。要求從管理者的角度制定和實施安全策略及其相應的指南、標準和流程；對各級操作員工進行信息安全知識的教育和培訓，使員工了解與其工作有關的安全要求以及保護企業和個人信息機密的重要性；與員工合同、員工雇傭和員工離職相關的安全要求；在風險管理中如何對系統資源的風險進行甄別、評估和減少風險的發生機率。

3.6 操作

    SCDADA系統的操作分系統操作和指揮。操作安全包括如何對硬件和介質進行控制以及如何確定操作員對這些資源的訪問權限。指揮操作的安全性是指高級管理在系統升級、維護和重大故障時的處理方式。要求系統的管理在分級操作的基礎上，明確操作責任，劃清工作界面和掌握安全性要害點。對系統管理人員要求了解哪些資源需要受到保護，哪些權限需要進行限制，存在哪些控制手段，對控制的潛在威脅和相應對策，實施有效控制的原則等。

4 結束語

    SCADA系統的多重安全性是值得綜合研究的課題，它需要將計算機安全技術、信息網絡安全技術、自動化技術和相關專業知識進行融匯貫通，需要有多層面、多角度、多方式的系統考慮與應用，還需要與相關技術保持發展的同步性和先進性。同時，加強安全管理和落實責任，以達到系統較高的完整性、機密性和可用性指標。


參考文獻

[1] 謝孝宏. SCADA系統性能的探討，自動化技術與應用[J]. 2005. 24 (12).

[2]張麗娜, 鄭云萍, 楊春. SCADA系統的安全性分析及對策[J]. 自動化與儀表, 2005, 20(3) .

[3]謝安俊. 油氣管線SCADA系統調度控制中心的安全策略[J]. 天然氣工業, 2005, 25(6).

[4]李賓, 楊光鎮. 淺談SCADA系統的安全管理[J]. 水利水文自動化, 2003 (3).