吳亞鳳（中國(guó)勞動(dòng)關(guān)系學(xué)院，北京 100048）

1 問題的提出

當(dāng)今的SCADA(Supervisory Control And Data Acquisition)系統(tǒng)已經(jīng)成為電力、石化、市政、管網(wǎng)、交通運(yùn)輸?shù)雀鱾€(gè)領(lǐng)域的控制神經(jīng)中樞，它運(yùn)行的安全與否直接決定了其被控裝置能否正常運(yùn)行。而隨著2010年10月發(fā)生在伊朗核電站的“震網(wǎng)”(Stuxnet)病毒事件，以往被認(rèn)為SCADA系統(tǒng)是專用系統(tǒng)難于受外部侵入的觀念被打破，SCADA信息安全問題被推向了有史以來最為嚴(yán)峻的地步，工信部隨后發(fā)451號(hào)通知，明確提出工業(yè)控制系統(tǒng)信息安全面臨的嚴(yán)峻形勢(shì)，要求加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理工作。

在IEC62443中針對(duì)工業(yè)控制系統(tǒng)對(duì)信息安全的定義是[1]：保護(hù)系統(tǒng)所采取的措施；由建立和維護(hù)保護(hù)系統(tǒng)的措施所得到的系統(tǒng)狀態(tài)；能夠免于對(duì)系統(tǒng)資源的非授權(quán)訪問和非授權(quán)或意外的變更、破壞或者損失；基于計(jì)算機(jī)系統(tǒng)的能力，能夠保證非授權(quán)人員和系統(tǒng)既無法修改軟件及其數(shù)據(jù)也無法訪問系統(tǒng)功能，卻保證授權(quán)人員和系統(tǒng)不被阻止；防止對(duì)工業(yè)控制系統(tǒng)的非法或有害入侵，或者干擾其正確和計(jì)劃的操作。

針對(duì)SCADA系統(tǒng)的信息安全防范內(nèi)容就是防止有意或者無意、非授權(quán)的對(duì)系統(tǒng)進(jìn)行訪問、修改或者破壞。

2 SCADA系統(tǒng)與IT系統(tǒng)

一個(gè)最基本的SCADA系統(tǒng)一般由以下幾個(gè)部分組成：

數(shù)據(jù)服務(wù)器：它為SCADA系統(tǒng)提供各種數(shù)據(jù)服務(wù)，包括：實(shí)時(shí)數(shù)據(jù)庫(kù)和實(shí)時(shí)數(shù)據(jù)服務(wù)、歷史數(shù)據(jù)服務(wù)、報(bào)警管理服務(wù)、日志服務(wù)、用戶和授權(quán)管理等。

客戶監(jiān)控站：它提供給操作人員一個(gè)人機(jī)交互的界面（HM I），使得操作人員在其上完成對(duì)現(xiàn)場(chǎng)被控對(duì)象的各種監(jiān)視和操作任務(wù)。

通訊站（前端機(jī)）：通訊站是SCADA與現(xiàn)場(chǎng)單元之間的交互接口，按照其協(xié)議不同，又可分為很多種類。

其他站點(diǎn)：包括計(jì)算站、WEB服務(wù)站、移動(dòng)接入設(shè)備（如手持終端、便攜機(jī)、ipad）等。

現(xiàn)場(chǎng)單元：指的是直接與被控物理裝置連接的設(shè)備單元，包括但不限于：可編程邏輯控制器（PLC）、集散控制系統(tǒng)（DCS）、遠(yuǎn)程測(cè)控終端（RTU）、智能電子設(shè)備（IED）等。

網(wǎng)絡(luò)：SCADA系統(tǒng)的網(wǎng)絡(luò)是最為復(fù)雜的，一般包括：連接各個(gè)現(xiàn)場(chǎng)設(shè)備的現(xiàn)場(chǎng)總線網(wǎng)絡(luò)，連接數(shù)據(jù)服務(wù)器、通訊站與現(xiàn)場(chǎng)設(shè)備的控制網(wǎng)絡(luò)，連接SCADA系統(tǒng)的各類服務(wù)器、監(jiān)控站、工程師站和打印機(jī)等節(jié)點(diǎn)的系統(tǒng)網(wǎng)絡(luò)，連接其他站點(diǎn)（如手持終端、便攜機(jī)、ipad）的遠(yuǎn)程接入網(wǎng)絡(luò)，以及用于連接企業(yè)上層管控系統(tǒng)（如MES、ERP）的管理網(wǎng)絡(luò)。

在一些比較大型的SCADA系統(tǒng)中，又有分級(jí)的概念，如城鐵SCADA系統(tǒng)中分為變電所、車站、控制中心三級(jí)。在上一級(jí)上可以監(jiān)控下一級(jí)的全部設(shè)備，在上一級(jí)系統(tǒng)里有下一級(jí)的全部數(shù)據(jù)庫(kù)以及各項(xiàng)服務(wù)。

早期的SCADA系統(tǒng)一般是由設(shè)備制造商封閉開發(fā)的，它有如下特點(diǎn)：采用專有通訊網(wǎng)絡(luò)、專有操作系統(tǒng)、甚至專有的操作站硬件、專用的存儲(chǔ)設(shè)備與存儲(chǔ)介質(zhì)、不使用通用以太網(wǎng)、沒有Internet的接入等特點(diǎn)，從信息安全的角度來看，這個(gè)系統(tǒng)是“本質(zhì)安全”的。

隨著計(jì)算機(jī)技術(shù)、互聯(lián)網(wǎng)的飛速發(fā)展，SCADA系統(tǒng)越來越多地采用了大量通用IT技術(shù)和設(shè)備，表現(xiàn)出如下特點(diǎn)：采用通用的計(jì)算機(jī)硬件設(shè)備，以太網(wǎng)無處不在、無線設(shè)備與無線網(wǎng)絡(luò)接入、遠(yuǎn)程配置與遠(yuǎn)程控制、Windows和Linux通用操作系統(tǒng)的使用、通用基礎(chǔ)軟件（數(shù)據(jù)庫(kù)軟件、Office軟件）、商務(wù)供應(yīng)訂單系統(tǒng)在線連接等，從網(wǎng)絡(luò)安全的角度來看，這一系統(tǒng)“有巨大的挑戰(zhàn)，很容易被利用”，并且采用的是通用設(shè)備與通用技術(shù)，其技術(shù)更容易被人掌握。

但是SCADA系統(tǒng)與通用IT系統(tǒng)在信息安全方面還有很多差異點(diǎn)，如表1所示[2]。

表1 SCADA與IT系統(tǒng)的信息安全差異

這些差異點(diǎn)就造成SCADA系統(tǒng)信息安全防護(hù)技術(shù)和管理理念與IT系統(tǒng)是不盡相同的，不能套用IT系統(tǒng)的防范手段。

3 SCADA信息安全風(fēng)險(xiǎn)和安全目標(biāo)

現(xiàn)在SCADA系統(tǒng)由于其開放性的設(shè)計(jì)，采用了大量IT技術(shù)與通用IT設(shè)備，使得SCADA系統(tǒng)不再是一個(gè)封閉的系統(tǒng)，這些變化包括：

采用通用IT硬件，包括：服務(wù)器/計(jì)算機(jī)、交換機(jī)、網(wǎng)卡、顯示器、輸入/輸出設(shè)備、標(biāo)準(zhǔn)以太網(wǎng)等。

采用通用的軟件，如數(shù)據(jù)庫(kù)軟件、Office軟件、Windows操作系統(tǒng)、TCP/IP協(xié)議、OPC技術(shù)等。

惡意入侵：來自界外有意識(shí)的侵入，以竊取和破壞為目的。

“兩網(wǎng)融合”和SCADA系統(tǒng)開放接口造成的安全沖擊，給系統(tǒng)帶來巨大的風(fēng)險(xiǎn)。

高級(jí)系統(tǒng)應(yīng)用功能，例如：遠(yuǎn)程配置與維護(hù)管理、生產(chǎn)制造執(zhí)行系統(tǒng)（MES）連接、商務(wù)現(xiàn)場(chǎng)供應(yīng)（訂單批量配方生成）。

復(fù)雜的網(wǎng)絡(luò)構(gòu)架，如廣域網(wǎng)接入、工業(yè)無線網(wǎng)絡(luò)、異構(gòu)網(wǎng)絡(luò)等。

設(shè)備故障：設(shè)備故障帶來的主要是“無意性”的安全風(fēng)險(xiǎn)，會(huì)導(dǎo)致系統(tǒng)信息可用性降低、甚至喪失，最終導(dǎo)致系統(tǒng)癱瘓，對(duì)被控裝置帶來災(zāi)難性的后果。

SCADA系統(tǒng)的上述特點(diǎn)與變化，決定了它會(huì)存在以下的信息安全風(fēng)險(xiǎn)：

第一類信息安全風(fēng)險(xiǎn)，可稱之為狹義的信息安全風(fēng)險(xiǎn)，是通用計(jì)算機(jī)網(wǎng)絡(luò)信息安全，是與常規(guī)IT系統(tǒng)相同的，但防范手段會(huì)有差異，包括：

黑客入侵類：信息竊取、篡改、破壞；

病毒類：蠕蟲（資源消耗）、破壞（拒絕服務(wù)）、木馬（信息竊取）；

系統(tǒng)漏洞：包括操作系統(tǒng)漏洞、平臺(tái)軟件漏洞（如數(shù)據(jù)庫(kù)軟件）、SCADA軟件本身漏洞。

功能異常類：如設(shè)備損壞導(dǎo)致系統(tǒng)癱瘓、異常保護(hù)（回路環(huán)風(fēng)暴）；

第二類信息安全風(fēng)險(xiǎn)，可稱之為SCADA特有的信息安全風(fēng)險(xiǎn)，包括：

數(shù)據(jù)自然損壞：由于SCADA系統(tǒng)運(yùn)行環(huán)境復(fù)雜，干擾源多、雜、強(qiáng)等特點(diǎn)，系統(tǒng)數(shù)據(jù)在傳輸、加工、存儲(chǔ)等環(huán)節(jié)極易出錯(cuò)，導(dǎo)致系統(tǒng)可用性問題；

時(shí)序失序和實(shí)時(shí)性：SCADA系統(tǒng)是工業(yè)控制系統(tǒng)，它對(duì)系統(tǒng)響應(yīng)的實(shí)時(shí)性要求非常高，不同于常規(guī)IT系統(tǒng)，且動(dòng)作執(zhí)行的時(shí)序性要求也高，當(dāng)前的多任務(wù)操作系統(tǒng)、防病毒軟件會(huì)對(duì)它帶來風(fēng)險(xiǎn)。

人為失誤和人為破壞：SCADA系統(tǒng)的高可靠性要求系統(tǒng)能盡可能地防范人為失誤以及人為破壞，如二次確認(rèn)功能。

對(duì)于SCADA系統(tǒng)而言，信息安全一般至少要實(shí)現(xiàn)以下三個(gè)目標(biāo)：

可用性：保證系統(tǒng)在任何外界環(huán)境下，能不喪失原有設(shè)計(jì)的各項(xiàng)功能；

正確性：包含信息的完整性和準(zhǔn)確性；

保密性：包括信息不被未經(jīng)授權(quán)的人獲取、刪除、篡改、冒充等。

SCADA系統(tǒng)信息安全首要考慮的是所有系統(tǒng)部件的可用性。正確性則在第二位，保密性通常都在最后考慮。因?yàn)槟壳暗腟CADA系統(tǒng)的通訊數(shù)據(jù)都是原始格式，需要配合有關(guān)使用環(huán)境進(jìn)行分析才能獲取其價(jià)值。而系統(tǒng)的可用性則直接影響到企業(yè)生產(chǎn)，生產(chǎn)線停機(jī)或者誤動(dòng)作都可能導(dǎo)致巨大經(jīng)濟(jì)損失，甚至是人員生命危險(xiǎn)和環(huán)境的破壞。

4 SCADA信息安全分層

目前，越來越多的人關(guān)注SCADA系統(tǒng)的信息安全防范工作，也從不同角度給出了許多信息安全防護(hù)建議，如建立工業(yè)控制系統(tǒng)安全管理體系[3]，工業(yè)控制SCADA系統(tǒng)的安全防護(hù)體系[4]等。其基本思想是從宏觀和整體角度，給出SCADA系統(tǒng)從外層到里層的防護(hù)手段，包括：

隔離措施：防火墻技術(shù)、VPN技術(shù)、網(wǎng)關(guān)等；

防病毒軟件的監(jiān)控和安裝；

計(jì)算機(jī)的安全策略的實(shí)施；

基于操作系統(tǒng)的身份驗(yàn)證；

系統(tǒng)安全漏洞自動(dòng)更新；

安全管理和安全服務(wù)措施。

但是以上的這些角度都是延續(xù)傳統(tǒng)IT系統(tǒng)的信息安全防護(hù)技術(shù)與思想，面對(duì)SCADA這種工業(yè)控制系統(tǒng)所特有的一些要求，上述手段不全面、有效性差，也難于實(shí)施，甚至有些手段會(huì)帶來負(fù)面效應(yīng)（如常規(guī)的防病毒技術(shù)）。

從對(duì)SCADA系統(tǒng)信息安全風(fēng)險(xiǎn)分析和防護(hù)手段分析來看：SCADA信息安全可以分為兩類：一類是上述基于IT系統(tǒng)的信息安全防護(hù)技術(shù)，另一類是基于SCADA系統(tǒng)特性的防護(hù)技術(shù)，本文稱之為SCADA內(nèi)部信息安全的保護(hù)技術(shù)，即針對(duì)SCADA系統(tǒng)的特點(diǎn)以及它對(duì)信息安全的特殊要求，做特殊的防護(hù)設(shè)計(jì)，它主要是在SCADA系統(tǒng)設(shè)計(jì)時(shí)實(shí)現(xiàn)的，期望接近或者達(dá)到SCADA系統(tǒng)“本質(zhì)安全”的目標(biāo)。

因此，常規(guī)的信息安全防護(hù)手段作為SCADA系統(tǒng)的第一層防護(hù)，它強(qiáng)調(diào)的是系統(tǒng)外部信息安全，保證SCADA系統(tǒng)運(yùn)行環(huán)境的安全，例如：系統(tǒng)和網(wǎng)絡(luò)的隔離、操作系統(tǒng)的安全漏洞、進(jìn)入系統(tǒng)的安全策略等，本文不對(duì)這部分內(nèi)容做詳細(xì)介紹。第二層防護(hù)是提高SCADA系統(tǒng)本身對(duì)外部攻擊、侵入、破壞等的抵御能力，增強(qiáng)SCADA系統(tǒng)的信息安全度。

5 SCADA內(nèi)部信息安全的保護(hù)技術(shù)

SCADA系統(tǒng)內(nèi)部信息安全是在產(chǎn)品設(shè)計(jì)過程中完成的，這與外部信息安全防護(hù)技術(shù)不同，是一種“設(shè)計(jì)出來的安全功能”，它能對(duì)外界侵入、訪問、數(shù)據(jù)篡改、干擾有天然的保護(hù)。安全保護(hù)技術(shù)包括以下幾個(gè)方面：

（1）專用軟、硬件技術(shù)

最早期的SCADA系統(tǒng)是封閉的，全部軟、硬件都由產(chǎn)品制造商提供或者開發(fā)，因此產(chǎn)品對(duì)信息安全具有最高級(jí)別的控制能力，系統(tǒng)對(duì)外表現(xiàn)為封閉和本質(zhì)安全。后來隨著IT技術(shù)的發(fā)展以及產(chǎn)品開發(fā)、制造成本的壓力，開放和集成是必由之路。但是開放意味著安全風(fēng)險(xiǎn)增大，失去天然安全屏障。

因此，提出一種“深度集成”的理念，借助與現(xiàn)代高度發(fā)達(dá)的CPU技術(shù)，要求系統(tǒng)所集成的產(chǎn)品開源、可編程或者可二次開發(fā)。借此達(dá)到硬件開放集成，固件或者軟件專用化，降低產(chǎn)品成本和開發(fā)成本，不降低系統(tǒng)開放性，提高系統(tǒng)安全性的目的。與網(wǎng)絡(luò)相關(guān)的有如下幾個(gè)方面：

接管操作系統(tǒng)的某些功能，如監(jiān)視可移動(dòng)設(shè)備的接入，開發(fā)定制網(wǎng)卡驅(qū)動(dòng)，監(jiān)視網(wǎng)卡數(shù)據(jù)，對(duì)其數(shù)據(jù)包進(jìn)行過濾和檢查；

二次開發(fā)專用交換機(jī)：目前某些交換機(jī)支持二次開發(fā)，可以對(duì)其固件進(jìn)行修改，使得合法的報(bào)文放行、合法的端口放行，所謂合法就是SCADA系統(tǒng)使用的報(bào)文或者端口，其他的一律阻止。

（2）內(nèi)部防病毒技術(shù)

通用防病毒技術(shù)對(duì)SCADA系統(tǒng)是不滿足的，它版本升級(jí)快，病毒庫(kù)需要隨時(shí)升級(jí)，每個(gè)版本與SCADA系統(tǒng)的兼容性無法保證，防病毒軟件從機(jī)制上不能滿足實(shí)時(shí)性和時(shí)序性要求，會(huì)造成SCADA系統(tǒng)數(shù)據(jù)交換的延遲、失序等問題。

在SCADA系統(tǒng)內(nèi)部，可以采用如下方式對(duì)各種類型的病毒進(jìn)行防范：

白名單技術(shù)：SCADA系統(tǒng)只接受自己能識(shí)別的訪問，不能識(shí)別的訪問一律拋棄；計(jì)算機(jī)系統(tǒng)上只放行系統(tǒng)識(shí)別的端口、任務(wù)、進(jìn)程，其他的一律禁止；

簽名：在訪問系統(tǒng)時(shí)需要簽名認(rèn)證，驗(yàn)證身份是否合法，保證訪問的合法性；

對(duì)異常數(shù)據(jù)包進(jìn)行過濾，例如異常的數(shù)據(jù)包類型，異常的訪問流量（如DOS攻擊）。

（3）數(shù)據(jù)合法性保護(hù)

目的是保證SCADA系統(tǒng)訪問、存儲(chǔ)、使用的數(shù)據(jù)是合法的，這些數(shù)據(jù)可能是來源于SCADA系統(tǒng)內(nèi)部，也可能來源于外部，但是都必須通過合法性驗(yàn)證之后，才能被使用；另外在生產(chǎn)這些數(shù)據(jù)時(shí)，也要保證數(shù)據(jù)的合法性。數(shù)據(jù)合法性保護(hù)包括：

數(shù)據(jù)的合法性加工、數(shù)據(jù)校驗(yàn)以驗(yàn)證其合法性；

編譯技術(shù)：對(duì)代碼合法性進(jìn)行判斷，采用簽名與驗(yàn)證技術(shù)；

運(yùn)算執(zhí)行保護(hù)：控制運(yùn)算的合法性判斷，漏洞保護(hù)（溢出、死循環(huán)、除零）、任務(wù)最大時(shí)間限制等。

（4）數(shù)據(jù)搬運(yùn)/傳輸保護(hù)

SCADA系統(tǒng)的運(yùn)行環(huán)境往往是惡劣的，有電磁干擾、腐蝕等，其網(wǎng)絡(luò)是復(fù)雜的，如有線網(wǎng)、無線網(wǎng)、異構(gòu)網(wǎng)絡(luò)，以及網(wǎng)絡(luò)地域分布廣泛，其網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)多變，節(jié)點(diǎn)設(shè)備種類多。這就使得數(shù)據(jù)在網(wǎng)絡(luò)以及SCADA系統(tǒng)內(nèi)部傳輸過程中，非常容易發(fā)生錯(cuò)位、失序、丟失、被竊取、被偽裝、篡改等各種風(fēng)險(xiǎn)。為了解決數(shù)據(jù)在搬運(yùn)和傳輸過程中的問題，一般可以采取如下的一些技術(shù)：

加密傳輸（防竊取、防偽裝、防篡改）；

校驗(yàn)與糾錯(cuò)（防失效、錯(cuò)位、丟失與不完整）；

內(nèi)存數(shù)據(jù)硬件校驗(yàn)ECC；

存儲(chǔ)器數(shù)據(jù)讀、寫CRC校驗(yàn)；

內(nèi)部總線數(shù)據(jù)傳輸奇偶校驗(yàn)或者CRC校驗(yàn)。一般來講，各種通訊協(xié)議都會(huì)在各層、各個(gè)環(huán)節(jié)進(jìn)行校驗(yàn)，但是這種校驗(yàn)是局部的，可以防范局部異常。作為SCADA系統(tǒng)設(shè)計(jì)而言，對(duì)數(shù)據(jù)的保護(hù)應(yīng)該是基于結(jié)果的校驗(yàn)，即數(shù)據(jù)校驗(yàn)制作在數(shù)據(jù)源頭執(zhí)行，數(shù)據(jù)檢驗(yàn)檢查在數(shù)據(jù)使用者完成，可以保證在數(shù)據(jù)搬運(yùn)/傳輸?shù)娜^程中是無差錯(cuò)的。

（5）數(shù)據(jù)冗余技術(shù)

為了保證系統(tǒng)訪問/數(shù)據(jù)的合法性與完整性，數(shù)據(jù)冗余技術(shù)是一種較好的設(shè)計(jì)思想，它是利用數(shù)據(jù)的冗余信息來保護(hù)自己。一般的方法是：

位冗余（如：BOOL類型數(shù)據(jù)采用55AA編碼技術(shù)），這可以有效地解決數(shù)據(jù)的“位變”難題。

數(shù)據(jù)質(zhì)量位，數(shù)據(jù)質(zhì)量位代表了該數(shù)據(jù)的質(zhì)量狀況，可以檢測(cè)、傳遞數(shù)據(jù)的質(zhì)量，避免系統(tǒng)使用錯(cuò)誤的數(shù)據(jù)。

數(shù)據(jù)縮略圖：在對(duì)數(shù)據(jù)有較高要求的場(chǎng)合，可以使用數(shù)據(jù)縮略圖的形式對(duì)數(shù)據(jù)進(jìn)行驗(yàn)證與保護(hù)。

6 小結(jié)

隨著SCADA系統(tǒng)的應(yīng)用日益廣泛，它的信息安全問題已經(jīng)成為系統(tǒng)能否長(zhǎng)期穩(wěn)定可靠運(yùn)行的主要問題，從對(duì)其應(yīng)用的電力、冶金、建材、化工、市政、交通等各個(gè)行業(yè)的影響來說，也是關(guān)系國(guó)計(jì)民生的大事。因此，對(duì)SCADA系統(tǒng)信息安全的研究工作是非常重要的。

[1] IEC 62443-2010,工控網(wǎng)絡(luò)與系統(tǒng)信息安全標(biāo)準(zhǔn)[S].

[2]徐金偉.工業(yè)領(lǐng)域基礎(chǔ)設(shè)施SCADA系統(tǒng)簡(jiǎn)介[J]. 計(jì)算機(jī)安全,2012,(01):4-8.

[3]張帥.工業(yè)控制系統(tǒng)安全風(fēng)險(xiǎn)分析[J].信息安全與通信保密,2012,(03):15-19.

[4]余勇,等.工業(yè)控制SCADA系統(tǒng)的信息安全防護(hù)體系研究[J].理論研究,2012,(05):74-76.