工業(yè)控制SCADA（Supervisory Control And Data Acquisition，數(shù)據(jù)采集與監(jiān)控）系統(tǒng)能夠?qū)ΜF(xiàn)場運行的設備進行監(jiān)視和控制，以實現(xiàn)數(shù)據(jù)采集、設備控制、測量、參數(shù)調(diào)節(jié)以及各類信號報警等功能。它是電力、石油、冶金、天然氣、鐵路、供水、化工等關(guān)系國家命脈的基礎(chǔ)產(chǎn)業(yè)的神經(jīng)中樞。隨著計算機技術(shù)和網(wǎng)絡通信技術(shù)廣泛應用于工業(yè)控制系統(tǒng)，帶來了工業(yè)控制網(wǎng)絡的諸多安全問題，如病毒、信息泄漏和篡改、系統(tǒng)不能使用等。近年來，對工業(yè)控制系統(tǒng)的攻擊呈快速增長趨勢，據(jù)國外安全專家的報告，2000年以來對工業(yè)控制系統(tǒng)的成功攻擊數(shù)量增長了近10倍，2002年上半年就有70％的能源與電力公司至少經(jīng)歷了一次網(wǎng)絡攻擊。美國國土安全部2004年發(fā)現(xiàn)了1700個SCADA設施存有外部可以攻擊的漏洞，這些設施包括化工、購物中心、水壩和橋梁等。2003年震蕩波蠕蟲病毒在全球肆虐期間，美國俄亥俄州核電站企業(yè)網(wǎng)感染蠕蟲并擴散到核電站的運行網(wǎng)，引發(fā)了網(wǎng)絡堵塞。造成了監(jiān)視核電廠關(guān)鍵安全指示的計算機控制板崩潰，最后導致核電廠處理計算機癱瘓。2010年“震網(wǎng)”病毒攻擊伊朗核電站，病毒對西門子公司的數(shù)據(jù)采集與監(jiān)控系統(tǒng)SIMATIC WinCC進行攻擊；2011年全球獨立安全檢測機構(gòu)NssLabs發(fā)布報告稱，西門子的一個工業(yè)控制系統(tǒng)存在新的漏洞，該漏洞易受黑客攻擊。

SCADA系統(tǒng)是工業(yè)控制系統(tǒng)的核心，是國家關(guān)鍵基礎(chǔ)設施的重要組成部分。加強SCADA系統(tǒng)的安全防護是我國信息安全保障建設的重大課題。為了加強國內(nèi)工控系統(tǒng)的信息安全。2011年９月29日工業(yè)和信息化部印發(fā)《關(guān)于加強工業(yè)控制系統(tǒng)信息安全管理的通知》，要求切實加強工業(yè)控制系統(tǒng)信息安全管理，以保障工業(yè)生產(chǎn)運行安全、國家經(jīng)濟安全和人民生命財產(chǎn)安全。

１、工業(yè)控制SCADA系統(tǒng)的主要安全風險

1.1 SCADA系統(tǒng)結(jié)構(gòu)

現(xiàn)代SCADA系統(tǒng)不僅直接面向工業(yè)生產(chǎn)過程，還要完成與企業(yè)信息系統(tǒng)的數(shù)據(jù)交換和傳遞，覆蓋從底層現(xiàn)場設備到上層信息網(wǎng)絡的不同層面。因此，我們可以將整個SCADA系統(tǒng)劃分為３層結(jié)構(gòu)，如圖1，自下而上分別是現(xiàn)場設備層、過程監(jiān)控層和業(yè)務管理層，每層都具有不同響應時間的特點。

最底層是現(xiàn)場設備層，這一層包括各種傳感器、儀器儀表、動作器等現(xiàn)場設備，采用開放的現(xiàn)場總線協(xié)議，各種現(xiàn)場設備以網(wǎng)絡節(jié)點的形式掛接在現(xiàn)場總線網(wǎng)絡上，構(gòu)成實時的網(wǎng)絡化的現(xiàn)場控制系統(tǒng)。這一層負責工業(yè)過程現(xiàn)場數(shù)據(jù)的系統(tǒng)采集以及控制指令的執(zhí)行。

中間是過程監(jiān)控層，這一層包括SCADA系統(tǒng)的主控服務器、備份服務器、數(shù)據(jù)庫服務器、人機界面、現(xiàn)場網(wǎng)絡和以太網(wǎng)的轉(zhuǎn)換設備等。這一層從現(xiàn)場設備層獲取工業(yè)過程的數(shù)據(jù)，完成運行參數(shù)監(jiān)視、報警和趨勢分析等功能，并發(fā)送各種控制指令。過程監(jiān)控的功能一般由上位的控制計算機完成，它與現(xiàn)場總線相連，或者通過專門的現(xiàn)場總線接口轉(zhuǎn)換器實現(xiàn)現(xiàn)場總線網(wǎng)段與以太網(wǎng)段的連接。

最上層是業(yè)務管理層，這一層主要是企業(yè)信息網(wǎng)絡，通常與互聯(lián)網(wǎng)聯(lián)通，是普通的IP網(wǎng)絡。網(wǎng)絡中包括各種通用的服務器、主機、網(wǎng)絡設備、安全防護設備等，提供WEB、FTP、郵件等網(wǎng)絡服務。另外，這一層通常還存在遠程用戶訪問點，允許遠程用戶通過瀏覽器等方式查詢網(wǎng)絡運行狀態(tài)以及現(xiàn)場設備的狀況，對生產(chǎn)過程進行實時監(jiān)控。對于有權(quán)限的用戶

還可以遠程修改各種設備參數(shù)和運行參數(shù)，從而在廣域網(wǎng)范圍實現(xiàn)工業(yè)過程的遠程監(jiān)控。在SCADA控制網(wǎng)絡模型中，現(xiàn)場設備層與過程監(jiān)控層、業(yè)務管理層之間通過數(shù)據(jù)傳輸與交互，實現(xiàn)了控制網(wǎng)絡與信息網(wǎng)絡的緊密集成。

1.2 針對SCADA系統(tǒng)的結(jié)構(gòu)特點可以看出SCADA系統(tǒng)在網(wǎng)絡、平臺、安全防護等幾個方面存在風險。

１）SCADA網(wǎng)絡通信存在的風險

根據(jù)SCADA系統(tǒng)的層次模型，其網(wǎng)絡類型包括現(xiàn)場總線網(wǎng)絡、工業(yè)以太網(wǎng)和企業(yè)信息網(wǎng)絡，采用的協(xié)議包括工業(yè)控制協(xié)議和普通的TCP/IP網(wǎng)絡協(xié)議。

在SCADA系統(tǒng)的現(xiàn)場設備層和過程控制層，主要使用現(xiàn)場總線協(xié)議和工業(yè)以太網(wǎng)協(xié)議?，F(xiàn)場總線協(xié)議在設計時大多沒有考慮安全因素，通常缺少認證、授權(quán)和加密機制，數(shù)據(jù)和控制信息以明文方式傳遞。工業(yè)以太網(wǎng)協(xié)議也只是對控制協(xié)議進行筒單封裝，如CIP封裝為EtherNet/IP、Modbus封裝為Modbus/TCP。一些協(xié)議的設計給攻擊者提供了收集SCADA系統(tǒng)信息、發(fā)動拒絕服務攻擊的條件。

SCADA系統(tǒng)過程控制層通常會為用戶提供遠程訪問接口，如通過互聯(lián)網(wǎng)和VPN訪問等，遠程訪問接口常常存在安全措施不足或存在安全管理問題，給攻擊者提供了入侵SCADA系統(tǒng)的通道。SCADA系統(tǒng)的業(yè)務管理層通常與企業(yè)網(wǎng)絡互相連接，進而與互聯(lián)網(wǎng)相連，并具有公開的訪問入口，來自互聯(lián)網(wǎng)的攻擊活動成功占領(lǐng)企業(yè)網(wǎng)絡中的節(jié)點后就有可能通過企業(yè)網(wǎng)絡進入SCADA系統(tǒng)進行破壞。

２）SCADA系統(tǒng)平臺存在的風險

目前SCADA系統(tǒng)中大量使用已知存在風險的標準軟硬件平臺，也包括一些專門用于工業(yè)控制領(lǐng)域的平臺、操作系統(tǒng)以及應用軟件。SCADA系統(tǒng)的主控單元通常是一臺普通的計算機，使用UNIX或Windows操作系統(tǒng)，操作系統(tǒng)存在的風險可能導致SCADA系統(tǒng)遭受攻擊。

３）SCADA系統(tǒng)安全防護方面存在的風險

由于SCADA系統(tǒng)是用于工業(yè)控制領(lǐng)域，并且最初大量使用專用軟硬件平臺和協(xié)議，因此SCADA系統(tǒng)與普通IT系統(tǒng)相比缺乏足夠的信息安全措施。另外，由于長期以來對SCADA系統(tǒng)的信息安全問題認識不足，導致SCADA系統(tǒng)通常缺少完善的安全策略和安全規(guī)程，操作系統(tǒng)采用默認的配置，開放了很多不安全和不必要的服務， 沒有配備定期的病毒檢測，口令沒有更新時間、字符長度、字符類型等方面的限制，沒有及時更新操作系統(tǒng)安全補丁等， 這些都為SCADA系統(tǒng)埋下了安全隱患。