摘　要：中國石油天然氣股份有限公司的長輸油氣管道在北京油氣調控中心實施集中調度，逐漸形成了依托于通信網絡的分布式SCADA系統，對安全提出了更高的要求。當前油氣管道SCADA系統的數據傳輸過程中存在的主要風險因素有：缺少接入控制、使用開放的標準協議、采用明文傳輸并接入了大量不安全的網絡設備，而相應的防護措施不多，特別是中控系統和站控系統之間的數據傳輸依托光纖網、衛星和公網，使用基于以太網TCP＼IP的應用層協議，存在較大風險。為此，結合國內外已有的SCADA安全相關的標準和一些學者提出的防護策略，提出了一種安全防護解決方案，即通過建立基于認證和權限控制的接入控制機制、部署硬件防火墻和加密網關、加強對外安全等方法進行安全防護。該方案可為工程設計提供參考。

關鍵詞：油氣管道??SCADA系統??安全??數據傳輸??協議??接入控制??認證??權限??加密

Abstract：As the Beijing Oil and Gas Control Center plays its role in undertaking the centralized control of long-distance pipelines operated by PetroChina，a distributed SCADA systenl relying on communication network is gradually formed，for which securitv is highly requlred. There exist many risks in data transmission of such a SCADA system at present：lacking access control，using open standard protocols,transmlttlng in plain texts，and connecting a plenty of insecure network devices without appropriate protection measures,E8pecially，a potential higher risk even threatens the data transmission between the central control system and station control system with an application layer protocol based on Ethernet and TCP／IP，which relies on the optical flber network，satellite and public network.In view of this，according to the standards published at home and abroad associated with SCADA securitv and many security protectlon strategies proposed by some scholars，this paper presents the following countermeasures：setting up an access control mechanlsmsbased on authentication and authority control，deploying hardware firewalls and cncryption gateways，strengthening the exterior security，etc．This study will be a rcference for engineering design．

Keywords：oil and gas pipeline，SCADA，security，data transmission，protocol，access control，authentication，privilege,encryption

油氣管道SCADA(Supervisory Control And Data Acquisition，監視控制與數據采集)系統，是一種針對油氣長輸過程進行數據采集、監視和控制的工業控制系統，通過對現場設備信號進行實時采集、加工、匯總、計算和展示，以實現設備監控、參數調節以及信號報警等遠程監控功能^[1]。

中國石油北京油氣調控中心(以下簡稱調控中心)針對中國石油天然氣股份有限公司所屬的長輸油氣管道實施集中式的遠程監控、操作運行、調度管理和應急協調，以優化管道運營管理體制，提高油氣管輸效率。目前中國石油油氣管道SCADA系統已完成從集中式到分布式的過渡發展，管網調度實行三級控制，即中心控制(以下簡稱中控)、站場控制(以下簡稱站控)和就地控制。分布式的SCADA系統運行需要依托通信網絡。

隨著油氣調度一體化、網絡化的發展，SCADA系統安全成為保證油氣管道生產平穩運行的關鍵因素，直接影響石油工業生產運行乃至國家經濟命脈安全。據美國儀器系統和自動化協會(ISA)的一份報告稱，當前各種SCADA系統普遍存在弱點，安傘評估和風險防范迫在眉睫^[2]，重點區域和重要環節的安全防護已經成為一項重要的研究課題。以往有針對調控中心的安全防護研究，較常見的策略有冗余、災備^[3]。

筆者將針對油氣管道SCADA系統在數據傳輸環節中存在的風險進行分析，結合國內外已有的標準和先進技術，提出了有效的安全防護解決方案。

油氣管道SCADA系統采用分布式架構，可以分為中控系統、站控系統和通信系統等3個主要部分，如圖1所示。

?

為保證調控需要，日常生產過程中SCADA系統內全天24h不間斷地傳輸著大量實時數據。這些數據可粗略分為兩類：即上行數據和下行數據。上行主要是采集的量測數據，下行主要是控制指令。數據傳輸過程可以分為兩個階段：①站場內站控系統和現場設備之間的數據交換；②中控系統和站擰系統之間的數據交換。數據傳輸過程的實時性、安全性和可靠性要求都非常高。

1)數據傳輸吞吐量大、實時性強，據粗略統計，系統并行監控的數據點總數接近百萬，時間精度通常為毫秒級。

2)進行數據交換的設備之間通常存在上位、下位關系^[4]。上位設備是可以對其他設備下發指令進行操作控制的一類設備，例如SCADA服務器、PLC。下位設備負責發送數據給上位設備并執行收到的操作指令，例如傳感器、驅動器。需要特別說明的是，上位、下位是相對的概念，并不是絕對的分類，例如PLC相對于SCADA服務器是下位設備，相對于傳感器、驅動器則是上位設備。某些上位設備之間也存在數據交換，例如SCADA服務站之間需要進行數據共享。

3)數據傳輸具有不對稱性^[5]。例如，從下位發往上位的采集數據遠遠大于卜位發往下位的控制指令。

4)數據傳輸還具有優先級特性和可選擇性^[4]。例如ESD等應急指令應當較普通控制指令優先下發；某些設備僅接收報警等關鍵信息。

5)數據傳輸依托于通信網絡，需要使用特定的通信協議，協議的選擇需要考慮滿足上述的數據傳輸特點。

SCADA數據傳輸使用的通信協議，應能保證數據在限定時間內正確送達。根據美國燃氣協會(AGA)發布的AGA-12：1標準^[6]，SCADA系統中使用的協議有近200個，大都是由不同廠商研發提供的私有協議。經過多年的發展，一些開放的標準協議在工業界得到廣泛應用。表1中列舉了油氣管道SCADA系統中最常用的幾種標準協議。

?

目前，一些工業級標準協議中已經明確提出了安全相關內容^[7]，比如最新版本的DNP3標準中就加入了安全相關內容，支持在進行關鍵信息交換時以“質疑—回應”(challenge response)機制進行認證。

站控系統和現場設備通常都部署在同一站場內，站場內一般建有百兆／千兆的局域網或串行通訊連接，并與外界網絡進行了物理隔離。

站控系統可分為SCADA工作站和PLC兩部分，工作站上安裝了服務端、客戶端一體化的站控SCADA軟件。此外，可能還配備一個數據通信網關(GW)用以協議轉換。

站控系統通過PLC連接現場傳感器、驅動器等設備，并進行信號采集和控制，常用的協議有MODBUSRTU、DeviceNct等。PLC之間可以使用M()DBUSPLUS或ControlNet協議進行數據交換。PLC和GW、SCADA工作站之間的數據傳輸使用MODBUSTCP或CIP協議。GW和SCADA工作站之間的數據傳輸可以使用IEC-104、DNP3、MODBUS TCP、CIP等協議。

根據不同的數據流策略，數據可以在PLC、GW或SCADA工作站等不同處實現匯聚，如圖2所示。

?

中控系統和站控系統通常部署在相距很遠的不同地方，之間利用通信系統進行數據傳輸。油氣管道SCADA通信系統主要以光纖通信為主信道，衛星或租用公網為備用信道。一些沒有進行光通信改造的管道，仍利用微波、公網等通信系統。中控系統和站控系統之間的通信采用IEC l04、DNP3、MODBUS TCP、CIP等多種協議。

中控系統可分為SCADA服務器和客戶端工作站兩部分，此外還配備一個總數據通信網關(MGW)。

中控系統和站控系統之間的數據傳輸，一般有兩種方式，如圖3所示。

?

一種方式是，中控系統的SCADA服務器使用MODBUS TCP、CIP等協議直接采集和控制站控系統的PLC，或者使用IEC-104、DNP3、MODBUS TCP、CIP等協議采集站控系統GW上的數據或下發指令。

另一種方式是，中控系統通過MGW使用IEC-104、DNP3、MODBUS TCP、CIP等協議實現對所有站控系統的數據采集和控制指令下發。

此外，中控系統的多臺SCADA服務器之間還可以使用“用于過程控制的對象連接與嵌入”(OPC)協議進行數據交換。