引黃工程SCADA系統接入終端安全防護的探討

蔡 亞

(萬家寨水務控股集團有限公司 調度中心，山西 太原 030012)

1 引黃一期SCADA系統

山西省萬家寨引黃工程作為一項世界級的引水工程，其SCADA系統(計算機監視控制系統)由澳大利亞FOXBORO公司設計制作完成，代表當時業內頂尖的技術水平，其設計之嚴謹、結構之復雜、功能之強大，令人嘆為觀止。時至今日，該系統仍擔負著引黃一期工程的運行監控任務，為引黃工程的安全穩定輸水立下汗馬功勞。

引黃SCADA系統數據測點幾乎囊括了一期工程沿線的泵站、閥室、變電站的電氣、水機等系統設備，以及沿線隧洞、管線及相關的各種水工設施。以SCADA終端作為人機交互界面，實時監控系統的運行狀態，并實現對電氣開關、刀閘、泵站機組、轉速調節等各種遠程操作控制。按設計要求，除了各站點的站控級系統外，在調度中心和備用調度中心分別設置了全系統監控終端。引黃調度中心調度值班員通過SCADA終端操作員機，實現全線的調度指揮與遠程監控。通過SCADA終端登錄系統，按不同身份登錄用戶名，不同的身份擁有不同的操作權限。以“操作員”為例，一般由調度值班員使用，通過操作員身份登錄系統，實現對系統監控和設備遠程控制的功能，但無權進行系統的后臺設置、修改等。

2 增設新終端系統帶來的安全問題

為安全起見，引黃SCADA系統擁有獨立的內網，網內設備對號入座，擁有固定唯一的IP地址。但由于工作需要，除初始設計的終端外，后期還需不斷地在不同的地點(如相關職能部門、分管領導辦公室等)增加一些終端監控。新接入的終端可能會給整個系統帶來各種安全隱患，如計算機病毒感染或者通過新終端的人員入侵與破壞等等，因此為保證SCADA系統的硬件、軟件和信息不受自然和人為因素的破壞，首先要解決由于延伸終端的功能實現導致的網絡安全等問題。

3 增設終端網絡安全問題的解決措施

作為引黃生產系統的內部網絡，網絡系統的安全是首要的。在內網貿然接入新設備、新終端，容易帶來病毒傳播、人為破壞或誤操作等安全隱患。如果內網安全出現問題，會影響到整個供電、輸水系統的安全穩定運行。由于安裝終端可能處在不同的地點，而周邊環境也各不相同，如何避免從終端導入系統安全隱患成為必須解決的問題。在實際操作過程中，本著簡潔安全實用的原則，對新接入的終端做了一些設置與處理。

3.1 對接入的終端進行軟、硬件的簡單處理

初始時將終端操作系統設置成最簡潔模式(原SCADA系統為UNIX，后接入的終端系統是以WINDOWS系統為平臺并與之兼容的SCADA系統訪問程序)，除必要的系統程序和SCADA訪問程序外，全部精簡;然后將CD-ROM、USB等物理輸入設備屏蔽，從硬件上防止隱患的導入;最后，在線路接入方面，采用各自獨立的專用信道、路由，直接由服務器接入終端，避免外網的可能干擾。

3.2 通過物理防火墻對外網終端訪問者身份進行甄別

上述措施技術要求和安全級別不高，為確保安全有效，還需從軟件上進行進一步的設置，最終在出口處設置了專用的物理防火墻設備，通過防火墻對進出數據進行甄別防護。該防火墻與平常電腦上用的防火墻不同，它是由軟件和硬件設備組合而成，是在內部網和外部網之間的界面上構造的保護屏障，因此我們主要探討的是基于路由的防火墻設置。

首先是身份的甄別。雖然采用了專用的網絡通道，但并不能排除有其他電腦通過終端專用網絡接入系統的可能。因此，必須確認來訪者的身份是否合法。首先給每個合法的來訪者都編了號，即每個終端設置了唯一的IP地址和計算機名，并將信息輸入防火墻設備中記錄在案。但是，如果入侵者也設置了同樣的IP和計算機名，就有可能混入其中。為避免這種情況發生，我們在進行身份甄別時，還應確認來訪者的身份證，即終端的物理地址，這是唯一的不可復制的。然后將每個終端的物理地址和對應的IP地址、計算機名進行了綁定，只有物理地址、計算機名和IP都能對應正確，來訪者才可以進入。這樣，能夠進入網絡的終端就鎖定在了這幾個特定終端上，有效地避免了其他任何一個非法終端的入侵。

3.3 通過防火墻設置程序訪問端口實現程序的過濾

在此基礎上，對由訪問者帶入的任何可疑的不相關的內容進行相關檢查，并拒絕其攜帶入內。在這里采用硬件和軟件結合的方式，在外網和內網之間建立起一個安全網關，以保護內網免受非法程序的侵入。簡單地說，其實就是在入口處裝入一個嵌有防火墻固件的包過濾路由器，通過對它的精密設置，實現符合規則的數據的正常交互和對不符合規則數據的過濾禁入。其工作原理為：在兩個網段之間設置一個防火墻，一側是UNIX系統，即SCADA監控系統，另一側是PC終端;當單PC終端向SCADA系統發送遠程訪問請求時，PC終端中的遠程訪問程序產生一個TCP數據包并將此包傳遞給本地協議棧準備發送；協議棧把它填充到一個IP數據包里，然后通過PC終端的TCP/IP協議棧中定義的路徑發送到SCADA系統；在通過防火墻之前，這個IP包不能到達SCADA系統。下面重點介紹一下訪問端口的設置和防護原理。

眾所周知，任何程序訪問網絡時，都需要通過特定的訪問端口。該端口可以是一個或多個，甚至是個取值范圍，如果將對應端口開放，程序數據就可以通過合法端口正常交互，來去自如；反之，如果將程序對應的端口屏蔽，就可以阻止其運行。這就需要提前識別程序運行的端口號。用一些專用的掃描端口或者抓包的軟件進行試驗，效果都不理想，只能掃出一部分端口。最后用防火墻專用軟件進行訪問跟蹤記錄，將每次訪問時數據通過的端口號進行逐一記錄，通過海量的實驗數據，總結出了SCADA訪問程序，也就是我們允許通過的程序的每個特定端口號和端口號變量的取值范圍。掃出端口號后，接下來是定義規則。舉個例子，假如某一個終端的計算機名為PC1，指定它允許訪問的服務器為總三(引黃工程總干線第三級泵站的簡稱)SCADA一號服務器GM3SRV1(為避免過多用戶同時訪問同一個服務器造成信息擁堵，將各終端分別指定不同的訪問服務器)，掃描出訪問程序的訪端口號為X、Y、Z1→Z2，端口號分別定義為A、B、C；回訪端口號為x、y、z1→z2，端口號分別定義為a、b、c。那么這樣定義其交互規則：PC1(源)→ANY(目的)，服務端口A、B、C，規則控制為允許;GM3SRV1(源)→PC1(目的)，服務端口a、b、c，規則控制為允許。這樣，就實現了SCADA訪問程序的交互。最后加一條ANY(源)→ANY(目的)，規則控制為不允許，以拒絕其他程序訪問的要求。這樣，通過防火墻軟件控制，最終達到的效果是，合法終端允許通過的訪問程序可以暢通無阻地進出，而任何不合法終端的任何程序或者合法終端的任何非法程序都無法與SCADA系統進行交互，這就為SCADA內網系統構筑了一道銅墻鐵壁，避免了外部程序的惡意入侵。

4 結語

隨著計算機網絡的發展和廣泛應用，網絡安全已成為我們必須考慮和解決的問題，特別是一些工程項目的內網系統，安全要求非常高，直接關系到整個工程、系統的安全生產、運營，這樣就對網絡安全的級別和實用性提出了越來越高的要求。本文重點介紹的硬件防火墻技術不是解決網絡安全的主觀方法，只是網絡安全策略的一部分。成熟的網絡安全系統需不斷更新升級技術，通過多種措施，從多角度多方位全面覆蓋實現網絡安全。