SCADA系统信息安全技术 .pdfVIP

SCADA系统信息安全技术

吴亚凤

【摘要】本文通过对SCADA系统结构的分析和与传统IT系统的对比,总结了当今

SCADA系统在信息安全方面面临的主要风险,提出SCADA系统信息安全的分层防

护理念,并且重点探讨了SCADA内部信息安全保护技术.

【期刊名称】《自动化博览》

【年(卷),期】2013(000)002

【总页数】4页(P98-100,114)

【关键词】SCADA;信息安全;分层防护

【作者】吴亚凤

【作者单位】中国劳动关系学院,北京100048

【正文语种】中文

【中图分类】TP393.08

1问题的提出

当今的SCADA(SupervisoryControlAndDataAcquisition)系统已经成为电力、

石化、市政、管网、交通运输等各个领域的控制神经中枢，它运行的安全与否直接

决定了其被控装置能否正常运行。而随着2010年10月发生在伊朗核电站的“震

网”(Stuxnet)病毒事件，以往被认为SCADA系统是专用系统难于受外部侵入的

观念被打破，SCADA信息安全问题被推向了有史以来最为严峻的地步，工信部随

后发451号通知，明确提出工业控制系统信息安全面临的严峻形势，要求加强工

业控制系统信息安全管理工作。

在IEC62443中针对工业控制系统对信息安全的定义是[1]：保护系统所采取的措

施；由建立和维护保护系统的措施所得到的系统状态；能够免于对系统资源的非授

权访问和非授权或意外的变更、破坏或者损失；基于计算机系统的能力，能够保证

非授权人员和系统既无法修改软件及其数据也无法访问系统功能，却保证授权人员

和系统不被阻止；防止对工业控制系统的非法或有害入侵，或者干扰其正确和计划

的操作。

针对SCADA系统的信息安全防范内容就是防止有意或者无意、非授权的对系统进

行访问、修改或者破坏。

2SCADA系统与IT系统

一个最基本的SCADA系统一般由以下几个部分组成：

数据服务器：它为SCADA系统提供各种数据服务，包括：实时数据库和实时数据

服务、历史数据服务、报警管理服务、日志服务、用户和授权管理等。

客户监控站：它提供给操作人员一个人机交互的界面（HMI），使得操作人员在

其上完成对现场被控对象的各种监视和操作任务。

通讯站（前端机）：通讯站是SCADA与现场单元之间的交互接口，按照其协议不

同，又可分为很多种类。

其他站点：包括计算站、WEB服务站、移动接入设备（如手持终端、便携机、

ipad）等。

现场单元：指的是直接与被控物理装置连接的设备单元，包括但不限于：可编程逻

辑控制器（PLC）、集散控制系统（DCS）、远程测控终端（RTU）、智能电子设

备（IED）等。

网络：SCADA系统的网络是最为复杂的，一般包括：连接各个现场设备的现场总

线网络，连接数据服务器、通讯站与现场设备的控制网络，连接SCADA系统的各

类服务器、监控站、工程师站和打印机等节点的系统网络，连接其他站点（如手持

终端、便携机、ipad）的远程接入网络，以及用于连接企业上层管控系统（如

MES、ERP）的管理网络。

在一些比较大型的SCADA系统中，又有分级的概念，如城铁SCADA系统中分为

变电所、车站、控制中心三级。在上一级上可以监控下一级的全部设备，在上一级

系统里有下一级的全部数据库以及各项服务。

早期的SCADA系统一般是由设备制造商封闭开发的，它有如下特点：采用专有通

讯网络、专有操作系统、甚至专有的操作站硬件、专用的存储设备与存储介质、不

使用通用以太网、没有Internet的接入等特点，从信息安全的角度来看，这个系

统是“本质安全”的。

随着计算机技术、互联网的飞速发展，SCADA系统越来越多地采用了大量通用IT

技术和设备，表现出如下特点：采用通用的计算机硬件设备，以太网无处不在、无

线设备与无线网络接入、远程配置与远程控制、Windows