摘　要：中國(guó)石油天然氣股份有限公司的長(zhǎng)輸油氣管道在北京油氣調(diào)控中心實(shí)施集中調(diào)度，逐漸形成了依托于通信網(wǎng)絡(luò)的分布式SCADA系統(tǒng)，對(duì)安全提出了更高的要求。當(dāng)前油氣管道SCADA系統(tǒng)的數(shù)據(jù)傳輸過(guò)程中存在的主要風(fēng)險(xiǎn)因素有：缺少接入控制、使用開(kāi)放的標(biāo)準(zhǔn)協(xié)議、采用明文傳輸并接入了大量不安全的網(wǎng)絡(luò)設(shè)備，而相應(yīng)的防護(hù)措施不多，特別是中控系統(tǒng)和站控系統(tǒng)之間的數(shù)據(jù)傳輸依托光纖網(wǎng)、衛(wèi)星和公網(wǎng)，使用基于以太網(wǎng)TCP＼IP的應(yīng)用層協(xié)議，存在較大風(fēng)險(xiǎn)。為此，結(jié)合國(guó)內(nèi)外已有的SCADA安全相關(guān)的標(biāo)準(zhǔn)和一些學(xué)者提出的防護(hù)策略，提出了一種安全防護(hù)解決方案，即通過(guò)建立基于認(rèn)證和權(quán)限控制的接入控制機(jī)制、部署硬件防火墻和加密網(wǎng)關(guān)、加強(qiáng)對(duì)外安全等方法進(jìn)行安全防護(hù)。該方案可為工程設(shè)計(jì)提供參考。

關(guān)鍵詞：油氣管道??SCADA系統(tǒng)??安全??數(shù)據(jù)傳輸??協(xié)議??接入控制??認(rèn)證??權(quán)限??加密

Abstract：As the Beijing Oil and Gas Control Center plays its role in undertaking the centralized control of long-distance pipelines operated by PetroChina，a distributed SCADA systenl relying on communication network is gradually formed，for which securitv is highly requlred. There exist many risks in data transmission of such a SCADA system at present：lacking access control，using open standard protocols,transmlttlng in plain texts，and connecting a plenty of insecure network devices without appropriate protection measures,E8pecially，a potential higher risk even threatens the data transmission between the central control system and station control system with an application layer protocol based on Ethernet and TCP／IP，which relies on the optical flber network，satellite and public network.In view of this，according to the standards published at home and abroad associated with SCADA securitv and many security protectlon strategies proposed by some scholars，this paper presents the following countermeasures：setting up an access control mechanlsmsbased on authentication and authority control，deploying hardware firewalls and cncryption gateways，strengthening the exterior security，etc．This study will be a rcference for engineering design．

Keywords：oil and gas pipeline，SCADA，security，data transmission，protocol，access control，authentication，privilege,encryption

油氣管道SCADA(Supervisory Control And Data Acquisition，監(jiān)視控制與數(shù)據(jù)采集)系統(tǒng)，是一種針對(duì)油氣長(zhǎng)輸過(guò)程進(jìn)行數(shù)據(jù)采集、監(jiān)視和控制的工業(yè)控制系統(tǒng)，通過(guò)對(duì)現(xiàn)場(chǎng)設(shè)備信號(hào)進(jìn)行實(shí)時(shí)采集、加工、匯總、計(jì)算和展示，以實(shí)現(xiàn)設(shè)備監(jiān)控、參數(shù)調(diào)節(jié)以及信號(hào)報(bào)警等遠(yuǎn)程監(jiān)控功能^[1]。

中國(guó)石油北京油氣調(diào)控中心(以下簡(jiǎn)稱調(diào)控中心)針對(duì)中國(guó)石油天然氣股份有限公司所屬的長(zhǎng)輸油氣管道實(shí)施集中式的遠(yuǎn)程監(jiān)控、操作運(yùn)行、調(diào)度管理和應(yīng)急協(xié)調(diào)，以優(yōu)化管道運(yùn)營(yíng)管理體制，提高油氣管輸效率。目前中國(guó)石油油氣管道SCADA系統(tǒng)已完成從集中式到分布式的過(guò)渡發(fā)展，管網(wǎng)調(diào)度實(shí)行三級(jí)控制，即中心控制(以下簡(jiǎn)稱中控)、站場(chǎng)控制(以下簡(jiǎn)稱站控)和就地控制。分布式的SCADA系統(tǒng)運(yùn)行需要依托通信網(wǎng)絡(luò)。

隨著油氣調(diào)度一體化、網(wǎng)絡(luò)化的發(fā)展，SCADA系統(tǒng)安全成為保證油氣管道生產(chǎn)平穩(wěn)運(yùn)行的關(guān)鍵因素，直接影響石油工業(yè)生產(chǎn)運(yùn)行乃至國(guó)家經(jīng)濟(jì)命脈安全。據(jù)美國(guó)儀器系統(tǒng)和自動(dòng)化協(xié)會(huì)(ISA)的一份報(bào)告稱，當(dāng)前各種SCADA系統(tǒng)普遍存在弱點(diǎn)，安傘評(píng)估和風(fēng)險(xiǎn)防范迫在眉睫^[2]，重點(diǎn)區(qū)域和重要環(huán)節(jié)的安全防護(hù)已經(jīng)成為一項(xiàng)重要的研究課題。以往有針對(duì)調(diào)控中心的安全防護(hù)研究，較常見(jiàn)的策略有冗余、災(zāi)備^[3]。

筆者將針對(duì)油氣管道SCADA系統(tǒng)在數(shù)據(jù)傳輸環(huán)節(jié)中存在的風(fēng)險(xiǎn)進(jìn)行分析，結(jié)合國(guó)內(nèi)外已有的標(biāo)準(zhǔn)和先進(jìn)技術(shù)，提出了有效的安全防護(hù)解決方案。

油氣管道SCADA系統(tǒng)采用分布式架構(gòu)，可以分為中控系統(tǒng)、站控系統(tǒng)和通信系統(tǒng)等3個(gè)主要部分，如圖1所示。

?

為保證調(diào)控需要，日常生產(chǎn)過(guò)程中SCADA系統(tǒng)內(nèi)全天24h不間斷地傳輸著大量實(shí)時(shí)數(shù)據(jù)。這些數(shù)據(jù)可粗略分為兩類：即上行數(shù)據(jù)和下行數(shù)據(jù)。上行主要是采集的量測(cè)數(shù)據(jù)，下行主要是控制指令。數(shù)據(jù)傳輸過(guò)程可以分為兩個(gè)階段：①站場(chǎng)內(nèi)站控系統(tǒng)和現(xiàn)場(chǎng)設(shè)備之間的數(shù)據(jù)交換；②中控系統(tǒng)和站擰系統(tǒng)之間的數(shù)據(jù)交換。數(shù)據(jù)傳輸過(guò)程的實(shí)時(shí)性、安全性和可靠性要求都非常高。

1)數(shù)據(jù)傳輸吞吐量大、實(shí)時(shí)性強(qiáng)，據(jù)粗略統(tǒng)計(jì)，系統(tǒng)并行監(jiān)控的數(shù)據(jù)點(diǎn)總數(shù)接近百萬(wàn)，時(shí)間精度通常為毫秒級(jí)。

2)進(jìn)行數(shù)據(jù)交換的設(shè)備之間通常存在上位、下位關(guān)系^[4]。上位設(shè)備是可以對(duì)其他設(shè)備下發(fā)指令進(jìn)行操作控制的一類設(shè)備，例如SCADA服務(wù)器、PLC。下位設(shè)備負(fù)責(zé)發(fā)送數(shù)據(jù)給上位設(shè)備并執(zhí)行收到的操作指令，例如傳感器、驅(qū)動(dòng)器。需要特別說(shuō)明的是，上位、下位是相對(duì)的概念，并不是絕對(duì)的分類，例如PLC相對(duì)于SCADA服務(wù)器是下位設(shè)備，相對(duì)于傳感器、驅(qū)動(dòng)器則是上位設(shè)備。某些上位設(shè)備之間也存在數(shù)據(jù)交換，例如SCADA服務(wù)站之間需要進(jìn)行數(shù)據(jù)共享。

3)數(shù)據(jù)傳輸具有不對(duì)稱性^[5]。例如，從下位發(fā)往上位的采集數(shù)據(jù)遠(yuǎn)遠(yuǎn)大于卜位發(fā)往下位的控制指令。

4)數(shù)據(jù)傳輸還具有優(yōu)先級(jí)特性和可選擇性^[4]。例如ESD等應(yīng)急指令應(yīng)當(dāng)較普通控制指令優(yōu)先下發(fā)；某些設(shè)備僅接收?qǐng)?bào)警等關(guān)鍵信息。

5)數(shù)據(jù)傳輸依托于通信網(wǎng)絡(luò)，需要使用特定的通信協(xié)議，協(xié)議的選擇需要考慮滿足上述的數(shù)據(jù)傳輸特點(diǎn)。

SCADA數(shù)據(jù)傳輸使用的通信協(xié)議，應(yīng)能保證數(shù)據(jù)在限定時(shí)間內(nèi)正確送達(dá)。根據(jù)美國(guó)燃?xì)鈪f(xié)會(huì)(AGA)發(fā)布的AGA-12：1標(biāo)準(zhǔn)^[6]，SCADA系統(tǒng)中使用的協(xié)議有近200個(gè)，大都是由不同廠商研發(fā)提供的私有協(xié)議。經(jīng)過(guò)多年的發(fā)展，一些開(kāi)放的標(biāo)準(zhǔn)協(xié)議在工業(yè)界得到廣泛應(yīng)用。表1中列舉了油氣管道SCADA系統(tǒng)中最常用的幾種標(biāo)準(zhǔn)協(xié)議。

?

目前，一些工業(yè)級(jí)標(biāo)準(zhǔn)協(xié)議中已經(jīng)明確提出了安全相關(guān)內(nèi)容^[7]，比如最新版本的DNP3標(biāo)準(zhǔn)中就加入了安全相關(guān)內(nèi)容，支持在進(jìn)行關(guān)鍵信息交換時(shí)以“質(zhì)疑—回應(yīng)”(challenge response)機(jī)制進(jìn)行認(rèn)證。

站控系統(tǒng)和現(xiàn)場(chǎng)設(shè)備通常都部署在同一站場(chǎng)內(nèi)，站場(chǎng)內(nèi)一般建有百兆／千兆的局域網(wǎng)或串行通訊連接，并與外界網(wǎng)絡(luò)進(jìn)行了物理隔離。

站控系統(tǒng)可分為SCADA工作站和PLC兩部分，工作站上安裝了服務(wù)端、客戶端一體化的站控SCADA軟件。此外，可能還配備一個(gè)數(shù)據(jù)通信網(wǎng)關(guān)(GW)用以協(xié)議轉(zhuǎn)換。

站控系統(tǒng)通過(guò)PLC連接現(xiàn)場(chǎng)傳感器、驅(qū)動(dòng)器等設(shè)備，并進(jìn)行信號(hào)采集和控制，常用的協(xié)議有MODBUSRTU、DeviceNct等。PLC之間可以使用M()DBUSPLUS或ControlNet協(xié)議進(jìn)行數(shù)據(jù)交換。PLC和GW、SCADA工作站之間的數(shù)據(jù)傳輸使用MODBUSTCP或CIP協(xié)議。GW和SCADA工作站之間的數(shù)據(jù)傳輸可以使用IEC-104、DNP3、MODBUS TCP、CIP等協(xié)議。

根據(jù)不同的數(shù)據(jù)流策略，數(shù)據(jù)可以在PLC、GW或SCADA工作站等不同處實(shí)現(xiàn)匯聚，如圖2所示。

?

中控系統(tǒng)和站控系統(tǒng)通常部署在相距很遠(yuǎn)的不同地方，之間利用通信系統(tǒng)進(jìn)行數(shù)據(jù)傳輸。油氣管道SCADA通信系統(tǒng)主要以光纖通信為主信道，衛(wèi)星或租用公網(wǎng)為備用信道。一些沒(méi)有進(jìn)行光通信改造的管道，仍利用微波、公網(wǎng)等通信系統(tǒng)。中控系統(tǒng)和站控系統(tǒng)之間的通信采用IEC l04、DNP3、MODBUS TCP、CIP等多種協(xié)議。

中控系統(tǒng)可分為SCADA服務(wù)器和客戶端工作站兩部分，此外還配備一個(gè)總數(shù)據(jù)通信網(wǎng)關(guān)(MGW)。

中控系統(tǒng)和站控系統(tǒng)之間的數(shù)據(jù)傳輸，一般有兩種方式，如圖3所示。

?

一種方式是，中控系統(tǒng)的SCADA服務(wù)器使用MODBUS TCP、CIP等協(xié)議直接采集和控制站控系統(tǒng)的PLC，或者使用IEC-104、DNP3、MODBUS TCP、CIP等協(xié)議采集站控系統(tǒng)GW上的數(shù)據(jù)或下發(fā)指令。

另一種方式是，中控系統(tǒng)通過(guò)MGW使用IEC-104、DNP3、MODBUS TCP、CIP等協(xié)議實(shí)現(xiàn)對(duì)所有站控系統(tǒng)的數(shù)據(jù)采集和控制指令下發(fā)。

此外，中控系統(tǒng)的多臺(tái)SCADA服務(wù)器之間還可以使用“用于過(guò)程控制的對(duì)象連接與嵌入”(OPC)協(xié)議進(jìn)行數(shù)據(jù)交換。