SCADA系统在水资源安全监控中的作用

SCADA系统在水资源安全监控中的作用
2009-12-09 16:27:36
来源：Bristol Babcock
Practices typical in SCADA provide security for the system, itself:
• Backup power systems
• Redundant networks
• Distributed operator workstations
• Alarm system alerts operators to failures of SCADA components
• Typically private networks that are not accessible to the outside world
• Password security
• Dialup and paging
随着安全形式和合适方法的应用，逐渐引起了水资源工业的注意。

我们一直致力于研究技术怎样才能转化为生产力。

我们广泛征求用户的意见、复查他们一直以来使用的定型的方法并讨论了他们的最新计划。

这些用户中有很多人想要拥有一个可以通过网络连通整个企业的理想的监控系统。

该系统可提供对所有边远地区的不间断监控。

一旦有安全问题或者异常的操作出现，该监控系统将会马上报警。

它将减少日常值班的必需条件并极大减少对偏远地区的检查频率。

该系统对影响其正常工作的干扰有很好的容错能力。

即使电源断电或者某条通信线路被严重损害，它也将继续运行。

对于不能人为控制或被迫取消的操作，它都能进行操作。

它还能对黑客入侵提供安全保护。

该系统也能够自动的对某些环境条件作出反应并采取控制措施。

这些措施可以安全停止生产过程或者将水资源分流系统进行隔离。

很可能你意识到这并不是什么科幻小说甚至不是对某种正在诞生的技术的阐述。

事实上，应用在这样一套系统上的技术已经不是什么新事务了。

其中大部分的技术都已在当前的水资源工业中得到应用了。

可能你正在使用这样一个系统，它就是你的SCADA系统。

简单回顾
其缩写表明了一切，“SCADA”即“supervisory control and data acquisition”（监视控制与数据采集）。

本质上，SCADA系统是过程监视和自动化操作和管理的分布式计算机系统。

如图1所示，SCADA通信网络遍布水资源分流系统。

往往是基于个人计算机并位于某个处理工厂的控制室的工作站使得操作人员能够察看整个生产过程并采取控制措施。

在工厂的内部，过程控制器或者可编程序控制器（PLC）监控某个环节的生产，例如化学处理和过滤器，并将这些控制器和工作站连接到局域网（如以太网）。

远程终端单元（Remote Terminal Units (RTU)）用于边远地区甚至人迹罕至的地区，例如泵站、储水池、阀拱顶和处理设备。

目前，远程终端单元是过程控制器的简略版本并运行在室外环境中。

如下图所示，远程终端单元通常在以无线电系统为特征的城域网上通信。

传统上使用的是电话呼叫或者租赁的电话线系统，但现在城域网更多的被用于无线电通信。

事实上，大部分的SCADA系统并不满足这种理想的情况。

并不是所有的泵站都装备了RTU。

并不是所有边远的地区都被该网络覆盖。

幸运的是，对系统扩展并不像以前那么难。

这对于私人拥有的系统也是一样的。

以前，将一个被放置高处的水箱或者泵站连接至网络中意味着减少租赁的电话线。

从长远看，这代价不菲且安装不够及时。

如今，这个唯一的问题在所有的无线通讯方案中都被解决了。

即使你需要一个新的RTU，目前的设备都是高性价比的，适用开放式的体系结构，并可从许多的系统供应商那里采购。

这些供应商都能将该设备可靠的接入到你现有的系统。

提高SCADA系统的性能
将SCADA系统的性能发挥到极致是水资源公司利用现有基础设施和可利用资源的最佳方法。

有如此的性能和覆盖范围时刻为你所用，SCADA系统不应该仅仅是在安全评估时作为你需要考虑的运行的一部分。

许多公司已经决定要将SCADA系统作为他们整个安全计划的重中之重。

SCADA系统一个主要优势在于其安全控制方法是与操作相协调的。

许多安全系统与其说是人们所推荐的控制方法，并不是一定强制要求具有协调性，而且这样做事半功倍。

连接至外围监控设备的SCADA系统或者能够极大地减少或者消除人为巡逻的需求。

与巡逻不一样，SCADA系统能够对所有位置进行连续的监控。

包括视频摄像头、运动探测器、接触
式开关、面板输入设备和读卡器在内的安全系统或者设备能方便的直接接入或者通过附近的远程终端单元（RTU）连接到该SCADA网络。

安全故障以和过程故障相同的方式通过嵌入所有SCADA的报警系统报告给操作人员。

SCADA 系统除了通过声音报警提醒操作人员外，还通过图形界面上的宽大的可视化指示灯给予提醒。

当前的SCADA系统进一步提供了报警管理。

这避免了操作人员的过度劳累，而这种情况下往往容易在短时间内发生大量的故障报警。

这也克服了很可能蒙骗操作人员的企图。

报警管理通过地点、逻辑分组或者优先权过滤发生的报警并使操作人员集中注意力。

以音频带存储且以时间为基准的报警记录使这些报警能够与其它诸如视频帧的基于时间的信息关联起来。

音频带对于事故追踪也非常重要。

SCADA系统还能够自动的对特定条件作出反应并采取相应的控制措施，例如说紧急关断进程、启动或者停止水泵、打开或关闭阀门等。

这些措施的指令可由任何网络节点执行。

SCADA系统是否允许采取这样的动作取决于管理的需要。

SCADA系统能够通过停止水泵并关闭阀门自动地将你的供水系统的某个工段隔离或者是能够将处理过程的条件告知操作人员并由他们
作出决定。

SCADA系统能否检测到生物危害或者化学污染物呢？在理想的情况下，在线分析仪会对所有的对水供应有污染的物品进行分析。

它们能够提供标准的接口，而这些接口使报警能够通过SCADA系统马上报告给操作人员。

现在，在市场上可采购能分析处理很大范围内的污染物的在线分析仪。

目前许多水资源系统使用诸如套色版这类设备检测许多种化学物的存在。

成熟的分析仪检测氯的成分并分解氧气。

用于检测诸如颜色/浑浊度、传导性、PH值（一种表示
物质酸碱程度的计量方法）、压力和温度的设备也可以在市场上购买。

但是，诸多的测试依
然是“离线”的且不提供接口。

此外，用于检测许多污染物的技术正在诞生研发。

我们唯愿新的传感技术能够应用到与SCADA相兼容的设备中。

可以肯定的是，身处SCADA领域的我们将乐于与任何开发这类重要设备的人进行合作。

实施站点安全控制方法
以下我们将阐述并演示安全控制方法如何能够被集成到一个现有的SCADA系统中。

泵站是边远地区的一个范例。

在这个边远地区通常都有一个RTU。

RTU的功能一般都是使用由流量或者水位传感器产生的输入信号对泵进行控制。

对泵的控制方法相当成熟。

RTU一直调节泵的转速，尽量避免峰值运行，使它的效率最大化。

RTU同样能产生很多报警，而这些报警使操作员知道泵的自动/手动状态、运行的改变和失效。

若泵站与储水池有关联，则RTU还能够对阈值或者水位变化率进行报警。

一般而言，某些读取控制或者报警设备是已安装好的，而其对RTU的接口也是如此。

例如，
用于大门、建筑物的门和RTU封闭门等的接触式开关（或者限位开关）用电缆连接至数字量输入并允许RTU在任何一个开关打开时发出一个报警。

如果任何水资源公司的工作人员没有被事先通知到某个现场，而该现场有任何的接触式开关被打开，这将引发报警。

直到最近，这种安全水平才被视为合理。

下图显示了这种架构，它提高了能阻止有企图攻破安全系统的高度信息化的监控系统的安全水平。

由于连线式接触开关易于攻破，该系统增加了这样的控制方法作为无键盘输入设备与运动检测器。

这两种设备都接入到远程终端单元（RTU）的数字量输入接口。

认为远程终端单元（RTU）拥有最少两个备用数字量输入接口其实并不是不可理喻的。

一般而言，对额外的报警进行重新编程也不是一件困难的事。

还可以选择更加成熟的使用串口的无键盘输入设备。

它们提供额外的信息，例如采集卡代码或者键盘代码。

远程终端单元（RTU）并不存在于能够打开门的控制环中。

相反的是，它把信息记录在音频带中并将该访问数据报告给操作人员。

但是问题是，对于很多现实远程终端单元（RTU）而言，它们不太可能像拥有数字量输入接口那样，有备用的串口。

图中还有视频摄像头。

传统的闭路电路电视（closed circuit television ，CCTV）并不与SCADA系统相连，而目前的数字式摄像头与个人电脑兼容并能够长时间接入到网络中。

从定义的角度看，支持互联网协议 (Internet Protocol，IP)摄像头是与互联网兼容的，但是将之引入到使用IP协议的SCADA网络中也应是容易的。

无线以太网（如图所示）与单元数字式封装数据是应用在SCADA世界里的IP网络的经典范例。

对于SCADA的非IP协议，某些数字式摄像头也提供RS232/调制解调器连接。

但是，如果将摄像头引入到某个私人网络则可能要涉及到一些工程上的额外付出。

使用单独的、无线IP网络可能更有效。

说到SCADA 系统，则IP摄像头技术还是崭新的。

目前，大部分的系统并不使用摄像头，而如果SCADA
系统支持文件传输协议 (file transfer protocol, FTP)，则摄像头很方便地就可以被采纳使用。

SCADA供应商将不得不通过更新版本而使这种功能能够为用户所用。

为了满足SCADA网络中的带宽限制，摄像头的分辨率、压缩与图祯率都要能自主设置。

实际运用中，除非有报警发生，大部分的操作人员都避免观看在线的视频图像，而这意味着视频并没有通过网络传送。

如图所示的配置中，IP摄像头甚至没有与远程终端单元（RTU）相
连接。

它只是简单的共享了无线以太网并将视频图像传送至SCADA工作站。

操作人员能够像观察其他窗口一样观看该视频图像。

该窗口以图像化的方式显示了泵站、一份报警列表和其他信息。

有些摄像头还提供了有限的报警系统。

当该系统检测到报警时将会发出信息。

一个接触式输入开关触发摄像头中的报警功能。

有些摄像头也可由内部运动检测器设置报警信息。

摄像头内部的缓冲器保存了报警前后时间祯上的许多图像。

对于泵站而言，是否使用摄像头是值得争议的。

狭窄且被封闭起来的区域或者泵房可通过接近控制方法，尤其是采用运动检测器。

摄像头更适合于外围监控和开放式区域。

在这种环境里，来自摄像头的视频可以将入侵者和动物还有其他不会引起报警的运动区分开来。

但是，即使是对于诸如泵站等这些小型的边远地区而言，现场视频给予了操作人员非常重要的信息。

对于成年人而言，视频系统还能够提供图象文档。

在另一种情况里，化学药品储存地点是缺乏SCADA覆盖的典型区域。

更别提很多情况下的安全问题。

尽管如此，这类站点能够经济地添加到该系统中。

如上图所示，远程终端单元（RTU）并不必要。

通过以太网或者串口，远程I/O模块能够将过程I/O和安全设备连接至SCADA
系统。

一个安全的SCADA系统
如果你打算在安全控制上依靠SCADA系统，那问题在于，SCADA系统本身能有多安全呢？有个应用经理提到，在他的公司的安全评估里，SCADA系统比整个运行的其他任何方面都要优秀。

SCADA领域里许多典型的做法实际上非常适合安全。

SCADA系统常使用诸如备份电源系统、冗余性、分布式工作站、口令安全和远程呼叫等控制策略。

例如，你可以中断某个远程终端单元（RTU）的主电源。

如果远程终端单元（RTU）配置了备用电源，它将继续运行并立刻发出电源故障的报警。

如果你使连接至某个边远地区的通信故障，SCADA系统将会马上检测到该故障：它无法与这个远程终端单元（RTU）通信。

这样系统会将该站点“打入冷宫”，这将马上引起注意。

当然，通信链路也可以是不可靠的。

但是，你的SCADA系统应该能够将即将出故障的线路与硬件上的通信故障区分开来。

SCADA协议族中有保证可靠传输的条文，包括握手、多目的和错误检测，并且能够处理即将出故障的通信问题。

用于增强网络可靠性的方法同样可以增强安全性能。

冗余性是一种常用的技术，尤其是对于工厂局域网而言。

还可以使用两个用于现场传播的网络。

如果其中一个受损，则通信将在另外一个网络上继续进行。

为了进一步提高可靠性，在冗余物理网络的不同的传输可使用不同的路由。

但是，额外的费用可能不值得，因为局域网损伤将会被作为警报报告上去且会被马上隔离。

如果网络被切断，控制器和远程终端单元（RTU）将会照常继续监控并控制他们各自的处理过程。

一旦通信重新建立，许多远程终端单元（RTU）将能够对该网络无法正常工作时的时间内的警报、事件和历史信息进行汇报。

远程站点例如泵站也可以使用冗余网络。

打比方说，CDPD或者拨号呼叫能够为所租租贽的线路提供支持。

使用两个不同的技术的通信网络将难以攻破。

一种出色的网络结合技术是使网络具有有线和无线两种通信方式。

这将使得该站点不会再被“打入冷宫“，但是你不得不考虑是否物有所值。

在许多SCADA系统中，网络是私人的这样一个事实提供了很大程度的安全性能。

黑客们无法通过任何远离站点的地方入侵该网络。

保持SCADA的电脑与包括互联网在内的外面的世界“隔绝”将使该系统远离不计其数的袭击风险。

现今，唯一的问题在于，与外面的世界连接好处实在太多。

通过互联网可以得到巨大的信息服务。

设备供应商可以通过网络实施维护。

你可以使得操作信息从世界的任何一个角落都可以访问。

如果你想让你的系统与“外面世界相连”，那么大量使用防火墙和网络安全防御方法将没有讨价还价的余地。

远离站点的工作站在控制室失效的情况下将非常有价值。

工作站不仅可以被放置在水资源系统的其他地方也可以放置在核心部分。

不管工作站身处何处，口令安全都是必备的。

为了保证这不是安全措施中最脆弱的环节，管理工作必须建立口令而不是沿用默认的口令，并周期性更换口令。

这对于远离站点的访问将非常重要。

命令集可以是私有的且受限的。

如果有诸如编程和下载等系统管理能力，黑客们将很可能进行大肆破坏。

即使没有使用远离站点的工作站，大部分的SCADA系统都具有相应的协议条文以保证远离站
点的工作人员能及时获取消息。

一天之内，很多设施至少有16个小时没有占用。

对于这类情况，许多SCADA系统使用拨号或者远程呼叫对报警进行处理。

有些系统可被编程设置以便在某些特定的高优先权的报警中进行拨号呼叫当地的警察。

此外，一些用户通过为某些站点添加独立的拨号呼叫单元为SCADA系统提供支持。

许多用户由于其系统的私人属性而觉得他们的系统安全。

“加密的”命令集、通信协议和编程工具这些入侵方式，其实是足够令人气馁的。

但是，我们已经见识了偏执的恐怖袭击者的“杰作”。

任何乐于耗时的人都能够破解私人网络。

问题在于，恐怖袭击者入侵该SCADA系统能做什么呢？事实上，他们能够通过改变过程操作造成大的令人烦恼的事情，破坏过程设备并中断对你客户的服务。

但是，这种行为在黑客和心中愤懑的雇员中更常见。

恐怖袭击者所寻求的能够引起大范围伤害的袭击只能够通过在水资源供应中引入外部的物体而完成。

增强对SCADA系统的使用
由于真正的风险不在于SCADA系统而在于过程中，如何能够进一步使用该SCADA系统减少过程中的风险呢？
在SCADA系统大部分简单的应用中，SCADA系统依然能够可靠的区分正常和异常的操作。

基本的监控功能包括上文所提到的离散性、有限性和报警率。

以在泵站为例，控制行动可被验证，而报警可被设置来提示故障。

报警限制也可动态的跟踪处理过程。

例如，如果氯化器的供料率不匹配水的流速，甚至是该供料率在设定的高和低限范围内，则可以设置报警比率。

如果有人篡改氯化器的设置，则该设置将会捕捉到这改动并报警。

值得注意的是，如果氯气分析仪处于更下游，则它也可以给该系统提供支持。

可能当SCADA系统与建模与仿真系统联合使用时，才能有最高级的功能。

假若SCADA系统与建模与仿真系统联网，则该系统能够提供现场的过程信息以形成你的整个分流系统的模型。

该模型可用于形成供料前向控制并使处理过程效率更高。

它还能够提供备份报警。

打比方说，如果泵故障的过程报警并不奏效，在该系统的其他地方引起的不可避免的影响还是会形成一个报警。

该报警将会把该泵故障作为最可能的起因。

安全事件使得仿真相对于过去而言变得不可或缺。

现在，使用模型对在系统的不同的地方添加污染物而污染物是如何流动的进行仿真的技术正在研发。

在一件真实的事件中，该方面的信息将能够辅助证实被污染的地点并决定诸如泵站等站点应采取的措施，将分流系统的某个部门隔离。

总结
由于大多数的水资源公司采用SCADA系统，因此扩大了现有的基础设施和可利用的资源。

SCADA系统贯穿于整个运行中，是水资源公司安全的中心，同时能够提供更高的运行效率从而带来更多价值。

SCADA系统能够：
• 协调安全控制方法与过程操作
• 减少甚至消除人力巡逻；提供不间断的监控
• 记录报警与事件
• 通过紧急关闭或者其他控制措施，自动对报警和事件作出反应
• 典型地，可通过额外的I/O点，远程终端单元（RTU）设备和网络连接，易于扩展。

SCADA为典型应用提供以下安全:
• 备用电源系统；
• 分布式操作员站
• 提醒操作员SCADA设备有故障的报警系统
• 提供内外网隔离
• 密码安全验证
• 拨号并呼叫
此外，如果SCADA系统引进诸如建模和仿真等高级功能，则SCADA系统的价值还能
得到增强。