摘　要：中国石油天然气股份有限公司的长输油气管道在北京油气调控中心实施集中调度，逐渐形成了依托于通信网络的分布式SCADA系统，对安全提出了更高的要求。当前油气管道SCADA系统的数据传输过程中存在的主要风险因素有：缺少接入控制、使用开放的标准协议、采用明文传输并接入了大量不安全的网络设备，而相应的防护措施不多，特别是中控系统和站控系统之间的数据传输依托光纤网、卫星和公网，使用基于以太网TCP＼IP的应用层协议，存在较大风险。为此，结合国内外已有的SCADA安全相关的标准和一些学者提出的防护策略，提出了一种安全防护解决方案，即通过建立基于认证和权限控制的接入控制机制、部署硬件防火墙和加密网关、加强对外安全等方法进行安全防护。该方案可为工程设计提供参考。

关键词：油气管道  SCADA系统  安全  数据传输  协议  接入控制  认证  权限  加密

Abstract：As the Beijing Oil and Gas Control Center plays its role in undertaking the centralized control of long-distance pipelines operated by PetroChina，a distributed SCADA systenl relying on communication network is gradually formed，for which securitv is highly requlred. There exist many risks in data transmission of such a SCADA system at present：lacking access control，using open standard protocols,transmlttlng in plain texts，and connecting a plenty of insecure network devices without appropriate protection measures,E8pecially，a potential higher risk even threatens the data transmission between the central control system and station control system with an application layer protocol based on Ethernet and TCP／IP，which relies on the optical flber network，satellite and public network.In view of this，according to the standards published at home and abroad associated with SCADA securitv and many security protectlon strategies proposed by some scholars，this paper presents the following countermeasures：setting up an access control mechanlsmsbased on authentication and authority control，deploying hardware firewalls and cncryption gateways，strengthening the exterior security，etc．This study will be a rcference for engineering design．

Keywords：oil and gas pipeline，SCADA，security，data transmission，protocol，access control，authentication，privilege,encryption

油气管道SCADA(Supervisory Control And Data Acquisition，监视控制与数据采集)系统，是一种针对油气长输过程进行数据采集、监视和控制的工业控制系统，通过对现场设备信号进行实时采集、加工、汇总、计算和展示，以实现设备监控、参数调节以及信号报警等远程监控功能^[1]。

中国石油北京油气调控中心(以下简称调控中心)针对中国石油天然气股份有限公司所属的长输油气管道实施集中式的远程监控、操作运行、调度管理和应急协调，以优化管道运营管理体制，提高油气管输效率。目前中国石油油气管道SCADA系统已完成从集中式到分布式的过渡发展，管网调度实行三级控制，即中心控制(以下简称中控)、站场控制(以下简称站控)和就地控制。分布式的SCADA系统运行需要依托通信网络。

随着油气调度一体化、网络化的发展，SCADA系统安全成为保证油气管道生产平稳运行的关键因素，直接影响石油工业生产运行乃至国家经济命脉安全。据美国仪器系统和自动化协会(ISA)的一份报告称，当前各种SCADA系统普遍存在弱点，安伞评估和风险防范迫在眉睫^[2]，重点区域和重要环节的安全防护已经成为一项重要的研究课题。以往有针对调控中心的安全防护研究，较常见的策略有冗余、灾备^[3]。

笔者将针对油气管道SCADA系统在数据传输环节中存在的风险进行分析，结合国内外已有的标准和先进技术，提出了有效的安全防护解决方案。

油气管道SCADA系统采用分布式架构，可以分为中控系统、站控系统和通信系统等3个主要部分，如图1所示。

 

为保证调控需要，日常生产过程中SCADA系统内全天24h不间断地传输着大量实时数据。这些数据可粗略分为两类：即上行数据和下行数据。上行主要是采集的量测数据，下行主要是控制指令。数据传输过程可以分为两个阶段：①站场内站控系统和现场设备之间的数据交换；②中控系统和站拧系统之间的数据交换。数据传输过程的实时性、安全性和可靠性要求都非常高。

1)数据传输吞吐量大、实时性强，据粗略统计，系统并行监控的数据点总数接近百万，时间精度通常为毫秒级。

2)进行数据交换的设备之间通常存在上位、下位关系^[4]。上位设备是可以对其他设备下发指令进行操作控制的一类设备，例如SCADA服务器、PLC。下位设备负责发送数据给上位设备并执行收到的操作指令，例如传感器、驱动器。需要特别说明的是，上位、下位是相对的概念，并不是绝对的分类，例如PLC相对于SCADA服务器是下位设备，相对于传感器、驱动器则是上位设备。某些上位设备之间也存在数据交换，例如SCADA服务站之间需要进行数据共享。

3)数据传输具有不对称性^[5]。例如，从下位发往上位的采集数据远远大于卜位发往下位的控制指令。

4)数据传输还具有优先级特性和可选择性^[4]。例如ESD等应急指令应当较普通控制指令优先下发；某些设备仅接收报警等关键信息。

5)数据传输依托于通信网络，需要使用特定的通信协议，协议的选择需要考虑满足上述的数据传输特点。

SCADA数据传输使用的通信协议，应能保证数据在限定时间内正确送达。根据美国燃气协会(AGA)发布的AGA-12：1标准^[6]，SCADA系统中使用的协议有近200个，大都是由不同厂商研发提供的私有协议。经过多年的发展，一些开放的标准协议在工业界得到广泛应用。表1中列举了油气管道SCADA系统中最常用的几种标准协议。

 

目前，一些工业级标准协议中已经明确提出了安全相关内容^[7]，比如最新版本的DNP3标准中就加入了安全相关内容，支持在进行关键信息交换时以“质疑—回应”(challenge response)机制进行认证。

站控系统和现场设备通常都部署在同一站场内，站场内一般建有百兆／千兆的局域网或串行通讯连接，并与外界网络进行了物理隔离。

站控系统可分为SCADA工作站和PLC两部分，工作站上安装了服务端、客户端一体化的站控SCADA软件。此外，可能还配备一个数据通信网关(GW)用以协议转换。

站控系统通过PLC连接现场传感器、驱动器等设备，并进行信号采集和控制，常用的协议有MODBUSRTU、DeviceNct等。PLC之间可以使用M()DBUSPLUS或ControlNet协议进行数据交换。PLC和GW、SCADA工作站之间的数据传输使用MODBUSTCP或CIP协议。GW和SCADA工作站之间的数据传输可以使用IEC-104、DNP3、MODBUS TCP、CIP等协议。

根据不同的数据流策略，数据可以在PLC、GW或SCADA工作站等不同处实现汇聚，如图2所示。

 

中控系统和站控系统通常部署在相距很远的不同地方，之间利用通信系统进行数据传输。油气管道SCADA通信系统主要以光纤通信为主信道，卫星或租用公网为备用信道。一些没有进行光通信改造的管道，仍利用微波、公网等通信系统。中控系统和站控系统之间的通信采用IEC l04、DNP3、MODBUS TCP、CIP等多种协议。

中控系统可分为SCADA服务器和客户端工作站两部分，此外还配备一个总数据通信网关(MGW)。

中控系统和站控系统之间的数据传输，一般有两种方式，如图3所示。

 

一种方式是，中控系统的SCADA服务器使用MODBUS TCP、CIP等协议直接采集和控制站控系统的PLC，或者使用IEC-104、DNP3、MODBUS TCP、CIP等协议采集站控系统GW上的数据或下发指令。

另一种方式是，中控系统通过MGW使用IEC-104、DNP3、MODBUS TCP、CIP等协议实现对所有站控系统的数据采集和控制指令下发。

此外，中控系统的多台SCADA服务器之间还可以使用“用于过程控制的对象连接与嵌入”(OPC)协议进行数据交换。