摘要：数据采集与监控系统系统（SCADA）广泛应用于工业生产过程的数据采集与监控系统。过程可以是工业、基础设施或设施。本文旨在研究火电厂 SCADA 网络的网络安全问题。因此，我们一方面简要讨论了 SCADA 系统应用的不同步骤及其难点，另一方面采用基于面向对象规划方案（OOPP）的系统方法对 TPP 中 SCADA 网络的网络安全进行了分析。因此，提出了一个实时过程监控系统的功能。

关键词：数据采集与监控系统系统（SCADA）     火力发电厂       信息安全管理

一．SCADA系统

1.1 SCADA系统的介绍

数据采集与监控系统系统（SCADA）系统用于观察和监督各种工业自动化应用中的车间

设备。SCADA 软件使用的是上世纪80年代使用的 DOS 和 UNIX 操作系统，是一种基于报警的程序，具有相当简单的可视化界面。SCADA系统通常由以下子系统组成：

· 人机界面（MMI）是向人类操作员呈现过程数据的设备，通过它，人类操作员监视和控制过程。

· 一个监控系统，获取有关过程的数据并向过程发送命令。

· 远程终端单元（RTU）在此过程中连接到传感器，将传感器信号转换为数字数据，并将数字数据发送到监控系统。

· 将监控系统连接到 RTU 的通信基础设施。

事实上，大多数控制动作是由 RTU 或可编程逻辑控制器（PLC）自动执行的。主机控制功能通常局限于基本的重写或监督级别的干预。例如，PLC 可以控制冷却水流过工业过程的一部分，但是 SCADA 系统可以允许操作人员改变流量的设定点，并允许显示和记录报警条件，如流量损失和高温。反馈控制回路通过 RTU 或 PLC，同时 SCADA 系统监控回路的整体性能。

1.2 SCADA系统应用中的网络安全问题

随着电子技术和软件技术的发展，SCADA 系统在工业设备自动化中得到了广泛的应用。它提供了一个有效的工具，以监测和控制设备的制造过程在线。SCADA 自动化系统包括信号传感、控制、人机界面、管理和联网等功能。SCADA 系统的网络安全已成为电力部门的一个关键问题。通过利用网络组件的漏洞，入侵控制中心、公司、变电站的局域网，或者通过向通信链路注入虚假信息，攻击者能够窃听关键数据，重新配置设备，并向控制系统断路器的智能电子设备发送跳闸命令。电力系统的可靠性因此会受到各种网络攻击的影响。

同时，SCADA 通信消息具有敏感信息，因为它们用于监视和控制车间设备。 例如，在供水和污水处理系统中，通信消息用于升高和降低水箱水位或打开和关闭安全阀。由于这些控制设备是远程操作和监控的，它们可以使它们成为攻击者发起各种网络攻击的高价值目标，从而危及控制系统、通信和紧急服务。因此，SCADA 系统的关键方面之一是消息的安全传输，以便它们在通信过程中不会被篡改。 此外，SCADA 设备必须经过身份验证，并在传输过程中保持信息的机密性，以免拦截者滥用系统。

最初，SCADA 系统的目标是集中在工厂车间准确和有效的过程执行，而不是旨在保证通信的安全。虽然通过 SCADA 系统远程访问工厂机械加速了工业过程，但是它通过将系统暴露给外部世界而损害了安全。因此，未经授权的团体，如黑客、外国智能代理人和企业破坏者，可以利用这些弱点来危害工业系统。通常，一般的保障措施包括有限的周界，补丁管理，强密码学，最重要的是，通过防御深度机制将控制网络和公司网络分离。然而，由于遗留下来的安全弱点，这些安保人员难以部署，这大大增加了在实时通信期间可能被利用的可能性。

此外，诸如 PLC、 RTU 和 IED 等 SCADA 现场设备具有资源和计算能力的限制，这使得复杂的安全特性的部署具有挑战性[9]。此外，可用性、完整性和机密性是 SCADA 通信的三个基本安全需求[19]。为了规避这些安全需求的威胁，需要一个针对密钥管理方案和轻量级加密技术的健壮的安全框架。尽管已经提出了许多密钥管理和加密技术，但用于点对点通信的安全密钥交换方法很少，而有些方法专门用于广播和组播通信。而且，这些方案都不能完全满足 SCADA 安全通信和实时请求-响应机制的要求。一些基于私钥的方法提供完整性和可用性，而一些基于公钥的方法提供身份验证和机密性。因此，无论是基于私钥还是基于公钥的方法都不够。

1.3 SCADA系统网络安全问题的分析

在过去的几年中，许多密钥管理技术已经发布以保护 SCADA 通信，即 SCADA 密钥建立（SKE）、SCADA 密钥管理架构（SKMA）、高级 SCADA 密钥管理架构（ASKMA）、混合密钥管理架构（HKMA） ） 和高级混合 SCADA 密钥管理架构 （AHSKMA）、有限自愈密钥分发 （LiSH）。 这些技术分为两大类，即集中式密钥管理和分散式密钥管理方案。

此外，这些类别中的每一个都使用三种方法来生成和提取会话密钥，即对称、非对称和混合。 集中式方案的缺点是如果密钥分发中心 （KDC） 宕机，通信就会被切断，这在 SCADA 系统中是不可接受的。 在分散式方法中，密钥是使用密钥材料创建的，并且可能只会在发生故障时影响单个通信链路。

基于对称密钥的方法在消息完整性和高可用性方面是有效的，但不提供身份验证和机密性。 另一方面，非对称密钥提供消息完整性、身份验证和隐私，但可能会损害可用性。 因此，混合技术更适用于 SCADA 系统。目前，已经提出了一些使用混合方法的关键管理技术。

一种是先进的混合密钥管理架构（HSKMA），它改进了 之前提出的密钥管理架构。 但是，它使用集中式 KDC 来分发密钥。此外，MTU 和子 MTU 之间的通信是使用基于椭圆曲线密码术 （ECC） 的非对称密钥密码术建立的，而子 MTU 和 RTU 之间的通信使用 Rivest–Shamir–Adleman （RSA） 非对称密钥密码术进行通信。也有方案是，使用 ECC 刷新主密钥，并使用对称密码术进行加密、解密和会话密钥更新。但是，此方案不验证消息完整性和身份验证。 此外，以前的方法都没有实际的实施证明可以提供对所有攻击的免疫力。

总之，没有一种技术涵盖所有安全方面。

1.4 相关网络安全问题的解决

1.4.1密钥技术

上述讨论需要一种有效的密码解决方案，以防止这些系统受到潜在的破坏。本文的目的是为火电厂等自动化行业提出一个强大且低成本的安全框架，以减轻各种安全漏洞和网络攻击。

目前的技术旨在通过结合对称和非对称密钥加密技术，为工业基础设施提供多层安全框架。 这种新颖的方法遵循分层架构，其中 MTU 和子 MTU 可以在整个会话中使用混合技术进行通信，而子 MTU 和 RTU 可以在会话密钥安全交换后使用对称密钥加密进行通信。 此外，还提出了一种使用新的密码而不是使用现有方法（如 3DES、AES 等）生成对称密钥的新方法。此外，所提出的方案通过支持广播和点对点通信。

SCADA 网络通常使用不支持安全数据通信的专有协议进行配置，例如 Modbus、IEC 61850、IEC 60870、DNP3 和 Profinet。此外，远程过程调用 （RPC） 遵循开放式链接通信，随后的漏洞的实时示例之一是一些无法避免的网络漏洞。 此外，可以免费使用许多网络工具来查看和收集网络流量。因此，安全的数据传输是SCADA系统的重要要求之一。 密钥管理和加密在确保 SCADA 通信安全方面起着至关重要的作用。 通常，在 SCADA 通信中，MTU 向 RTU 发送控制信号来控制车间设备，这需要三种类型的通信，即广播、多播和点对点。 然而，控制器 RTU 可能需要操作其他现场 RTU。 在紧急停机的情况下，为了获取时钟信息或同步，MTU 将信号广播到所有控制设备，如 RTU、IED 和 PLC。

为了操作特定的变电站设备，MTU 需要多播通信，而监测和控制机械设备通常需要点对点通信。 因此，在为 SCADA 网络设计安全框架时，覆盖所有三种通信类型至关重要。

在过去的二十年中，提出了许多密钥管理方案，通常分为两类，即集中式密钥分发和去中心化方案。在集中式方案中，密钥分发中心（KDC）在生成和分发密钥以在通信各方之间建立安全通信方面起着至关重要的作用。相比之下，去中心化方案需要用于创建会话密钥的预共享密钥材料。使用密钥本质派生会话密钥后，将使用该密钥进行进一步的通信。此外，一些密钥管理方案使用基于公钥的技术来建立安全传输。虽然这种方法既耗时又省电，但各种研究表明，ECC是一种合适的公钥密码系统。

Sandia 实验室提出了一种 SCADA 密钥建立（SKE）方法，用于管理网络中的加密密钥。

提出了 MTU、子 MTU 和 RTU 之间的点对点通信方案，采用对称密钥技术建立子 MTU 和 RTU 之间的安全通信， MTU 和 MTU 之间采用公钥密码进行通信。对于对称密钥，会话密钥使用三种类型的密钥生成，即长期密钥（LTK）、通用种子密钥（GSK）和通用密钥（GK）。KDC 为每个子 MTU 和 MTU 分配公钥和私钥对。但是，这种方法不支持广播、多播和 RTU 到 RTU 的通信。此外，由于手动管理长期密钥，它增加了总体密钥存储开销和复杂性。另外，还提出了一种用于安全会话密钥管理的 SCADA 密钥管理体系结构（SKMA） ，它增强了 SKE 的能力。虽然 SKE 同时使用公钥算法和对称密钥算法，但 SKMA 仅使用对称加密算法。SKMA 使用伪随机函数生成会话密钥，该函数由节点密钥和基于会话持续时间的时间的键进行键控。SKMA 使用基于 ISO11770-2机制的密钥建立协议。然而，该方案不提供安全的消息广播，但支持 RTU-RTU 通信。此外，它不提供任何保密性和完整性。

1.4.2密钥技术系统的可用性问题

先进的 SCADA 密钥管理体系结构（ASKMA）支持消息广播和安全通信。此外，均匀分布的计算总量在高功率节点（MTU 或SUB-MTU 算法可以有效地避免性能瓶颈，并使低功耗节点（RTU）的负担最小。它使用 LKH （逻辑密钥层次协议）来构造对称密钥的逻辑树。每个成员都知道从其叶到根的所有对称密钥，如果有任何新节点加入该组，LKH 将更新从其叶到根的整个对称密钥集。虽然 ASKMA 的整体性能有很多优点，但在组播通信过程中效率可能较低。

为了解决这个问题，提出了 ASKMA +。ASKMA + 通过应用 IoLus 框架将每个类构造成一个逻辑密钥层次结构（LKH） ，将密钥结构划分为两个类。通过这种密钥结构，提出了一种更有效的密钥管理方案，该方案考虑了远程终端单元（RTU）中存储的密钥数量，支持有效的多播通信。但是，ASKMA + 没有解决 SCADA 中的可用性问题。

为了满足可用性需求，提出了混合密钥管理体系结构（Monetary Key Management Architecture）和高级混合 Scada 密钥管理体系结构（Advanced Fusion Scada Key Management Architecture，AHSKMA）[10] ，但是在更换现场控制设备期间，现场设备有可能停止工作。为了解决这个问题，前任提出了一个混合密钥管理方案。子 MTU 和 RTU 之间采用集中式密钥分配（CKD）协议，子 MTU 和 RTU 之间采用 LKH 协议。但是，如果集中式密钥分发服务器出现故障，则整个方法将无法执行协议。还有人使用了一种混合密钥管理方法，使用 ECC。以及有限自愈密钥分发（LiSH）技术 ，它为 SCADA 系统中的组通信提供了撤销功能和抗串扰能力。利用 LiSH + 解决了动态撤销机制，增强了 LiSH 的基本方法。还有一种基于预共享会话密钥的径向 SCADA 系统方案，该方案依赖于对称密钥加密。该解决方案利用主密钥概念提高了辐射式 SCADA 系统的性能。

AGA-12，第2部分，提供了安全特性，提供了新的安全协议标准。它使用密码套件来保护 SCADA 现场设备之间的通信，包括身份验证、机密性和完整性。但是，它不能提供更快的执行速度。此外，它也不能预防量子攻击和分布式拒绝服务攻击攻击（DoS）。此外，AGA-12使用 RSA 算法进行加密，该算法最近被破解，也不提供密钥管理。其他安全标准，如 IEC 62210、 IEC 62351，不能提供对中间人攻击的安全性，也缺乏强有力的密钥管理。其中一种基于身份密码学的智能电网密钥分配方法采用混合方法对抗中间人攻击和重放攻击。但是，此方法不包括 SCADA 组件的身份验证。另外还有介绍了使用基于属性的访问控制的 SCADA 设备的身份验证和授权角色。

1.4.3 目前可用性技术

许多基于 SCADA 的工业系统，如水和污水控制、能源和发电厂以及天然气管道，都依赖于计算资源有限的实时通信。如果使用 Vernam 密码进行对称密钥加密，因为它被证明在理论上提供了绝对安全的解决方案，易于实现，并且通过使用低功耗和内存来加速加密和解密。因此，它是一种适合于嵌入式系统设备的解决方案。此外，Vernam 密码中使用的模2运算符（XOR）提供了更快的执行速度和机载硬件设计的灵活性。利用 Vernam 密码的这些特点，我们可以以较低的计算能力和内存利用率来保护数据。

Vernam 密码提供了完全的保密性，因为密钥是独一无二的，而且对于每条信息都是完全随机的。破解任何密码和篡改数据所需的时间量取决于对称密钥的大小和性质。然而，在 Vernam 密码中，由于每条信息的密钥都是随机且唯一的，即使拥有无限的计算能力，窃听者也无法猜到密钥。即使像 RSA 这样的非对称密码也可以用无限的时间和处理能力来破解。此外，Vernam 密码的频率分析是均匀分布的，因此密码分析不会产生任何有意义的信息。

由于 SCADA 通信依赖于实时的请求-响应机制，因此建议框架的重点是提供高度的安全性和高可用性。在对称密钥加密中应用 HMAC 可以取代数字签名和非对称密钥加密。

这种方法提供了消息身份验证和完整性，同时不会影响 MTU 和 RTU 之间通信的执行速度。通常，HMAC 依赖于一个共享的秘密密钥，在开始信息交换之前，发送方和接收方使用一个可信信道（在我们的例子中，我们使用了基于 NTRU 的非对称密钥加密）交换这个密钥，以便就同一个密钥达成一致。同一个密钥与 MAC 相结合，在两个通信设备上生成 HMAC。但是，HMAC 的加密强度取决于密钥的大小，因为强力攻击是针对 HMAC 的最常见攻击。

在一个典型的密钥分发场景中，密钥是通过可信通道分发的。相反，在我们提出的方法中，我们交换了 FSRP 和 CDT 的参数，如 FSRP 的索引和密钥盐，这些参数被用来生成密钥。而且，这些参数是可重用的，不仅可以用来生成会话密钥，而且可以用来生成 HMAC 的密钥。此外，HMAC 中使用的键取决于 FSRP 的值，即由随机素数生成器或素数计数器生成，以便为每条消息生成一个新密钥。这使得暴力攻击在计算上不可行，因为 HMAC 中使用的密钥是动态生成的。

本文的目的一方面是介绍 SCADA 网络安全，另一方面是分析网络安全，提出了一个全面的模型，建立一个安全的 SCADA 系统的框架。

二．现代火电厂的技术介绍

受智能制造思想的影响，21世纪初提出了“智能工厂、智能制造”的概念，以争夺高科技工业制造的前沿。 智能电厂的概念是基于美国的工业互联网、德国的工业4.0和中国制造2025的概念，结合当前电厂的实际情况和数字化进程提出的。 智能电厂是一种新型安全、高效、环保的电厂。 以物理电厂为基础，集智能设备、智能控制技术、先进网络技术和信息技术于一体，旨在实现生产、经营、管理全过程的高度数字化、信息化、智能化。

目前，现代大型火电企业在信息化建设方面做了大量工作。 火电厂的自动化和信息化系统已经比较完善，为智能电厂的推广打下了良好的基础。 但与智能电厂的要求还有很大差距。以电厂控制系统为例，控制设备广泛采用了智能控制系统，如集散控制系统（DCS）、可编程逻辑控制器（PLC）等。 但一方面，多种控制系统并存导致底层数据采集无法有效整合利用，另一方面，控制策略仍以基本控制策略为主，控制效果不佳 不满意。 此外，没有受控的测试和诊断。

三．现代火力发电厂 的SCADA 系统展示

3.1 研究方法的介绍

火力发电厂（TPP）是以蒸汽驱动原动机的发电厂。水被加热，变成蒸汽，然后旋转蒸汽涡

轮机来驱动发电机。蒸汽通过涡轮后，在冷凝器中冷凝。TPP 设计上的最大变化是由于不同的燃料来源。有些人更喜欢使用“能量中心”这个术语，因为这种设施可以将热能转化为电能。

大多数TPP操作控制是自动的。然而，有时可能需要手动干预。因此，电厂配备了监测器和报警系统，当某些运行参数严重偏离其正常范围时，可向电厂操作员发出警报。这些站点属于高级网络以太网（10Mb/s）。原则上，该网络使得能够在站之间交换文件。避免了节点总线网的过载。事实上，SCADA系统是由通过通信网络交换信息的模块组成的。SCADA系统中存在三个层次：采集、处理和人机界面。

面向目标的项目计划（OOPP）方法，也称为逻辑框架方法（LFA） ，是一种结构化的过程。这种方法基于四个基本步骤： 问题分析、目标分析、备选方案分析和活动计划。它试图利用因果分析来确定当前的主要问题，并寻找缓解这些已确定问题的最佳战略。在对 SCADA 系统进行描述的基础上，建立了相应的 OOPP 模型。一个重要的观点必须被注意： 分析的观点是一个人没有在 TPP 的 SCADA 系统的具体经验，即只通过一本书般的知识，其目标是使用最终的模型设计监督显示器（监视，诊断显示器）。事实上，逻辑框架方法（LFA）也被称为 OOPP。这一方法旨在利用因果分析查明主要的现有问题，并寻求减轻这些已查明问题的最佳战略。

LFA 的设计方法是一个严格的过程，如果按照创建者的意图使用，就会在项目设计团队中强加一个逻辑纪律。如果过程被完整地使用，结果将是一个高质量的项目设计。这种方法并非没有局限性，但是只要谨慎地使用辅助技术，就可以避免其中的大部分局限性。在项目的实现阶段，很多事情都可能出错，但是如果设计有缺陷，那么实现就会遇到严重的障碍。

为了分析SCADA网络的网络安全，我们使用OOPP方法。事实上，分析的作为SCADA网络安全分析的总体目标（GO）使我们能够确定特定目标（SO1），该目标提出了改进所分析SCADA网络网络安全的不同步骤，包括：

·步骤重点在于提高SCADA网络安全性所需的规范；

·步骤侧重于管理行动，以建立有效的网络安全计划;

这里概述的步骤可以帮助任何组织提高其 SCADA 网络的安全性。它们分为两类： 改进执行的具体行动和建立基本的管理流程和政策的行动。

3.2火力发电厂SCADA系统的安全问题

出于效率、维护和经济原因，数据采集和控制平台已经从使用专门硬体和软件的孤立的厂内网络转移到使用标准软件、网络协议和互联网的基于个人电脑的系统。这种转变的缺点是使 SCADA 系统暴露于同样的漏洞和威胁，这些漏洞和威胁会感染基于 Windows 的个人电脑及其相关网络。SCADA 系统将分散的设施，如电力、石油和天然气管道以及水分配和废水收集系统联系在一起，其设计是开放的、强大的、易于操作和维修的，但不一定是安全的。从专有技术转向更标准化和开放的解决方案，加上 SCADA 系统、办公网络和互联网之间的连接数量增加，使它们更容易受到计算机安全中相对常见的网络类型的影响。“隐藏式安全”不再是 SCADA 安全的一个选项。

SCADA 系统是一个网络存在，面临着重大的威胁和漏洞。SCADA 系统最初并不打算在企业环境中运行。另一个问题是 SCADA 组件无法处理暴露于病毒、漏洞和恶意软件的问题，这些在当今企业网络中很常见。

监视关键基础设施的系统的安全性至关重要。关键基础设施服务中断的可能性将对更广泛的社会产生重大影响，因为它涉及能源、水、天然气、交通和更多的公用事业。由于信息和通信网络与电网高度互联，SCADA 系统的网络安全已成为电力部门的一个关键问题。通过利用网络组件的漏洞，入侵控制中心、公司、变电站的局域网，或者通过向通信链路注入虚假信息，攻击者能够窃听关键数据，重新配置设备，并向控制系统断路器的智能电子设备发送跳闸命令。电力系统的可靠性因此会受到各种网络攻击的影响。

四．总结

SCADA 系统用于监测和控制偏远地区的工业过程。它允许操作者在远程控制器上设定一个设定点，打开/关闭阀门/开关，监控警报，并收集仪器信息从一个本地过程到一个广泛分布的过程，如油气田，管道系统，或水力发电系统。在 SCADA 环境下，它是指控制系统对过程变化的响应，使之类似于虚拟环境中的实时控制系统。SCADA 网络安全现在是所有工业基础设施的主要关注点。威胁的性质要求迅速、准确和知情的决策，以确保安全、安保和行动效力得到维护，不管任何事件或事故可能发生。

保护关键工业基础设施免受网络攻击对于确保公共安全、安保和可靠性至关重要。SCADA 系统用于对这类工业控制系统进行控制和监测。在 SCADA 系统的设计中，一个强大的解决方案来加强这些系统对抗网络攻击的安全性是一个至关重要的要求。通过这项工作，我们的目标是涵盖工业控制系统景观的保护，为 SCADA 网络提供一个低成本和健壮的框架，从而保护它们免受各种网络攻击。在本文中，我们除了提出了轻量级多层加密技术之外，还提出了一个会话密钥协商。建立了一个基于 OOPP 方法的 SCADA 系统安全框架。该框架结合了对称密码和非对称密码，通过覆盖所有的安全机制来实现高速的计算。该安全模型旨在加强包含火力发电厂在内的水厂、污水处理厂、发电厂、化工厂、石油工业、产品制造单位和交通运输系统等工业部门的安全。这种模式的成功部署将使操作人员和技术人员能够远程监测和控制工厂设备，因为它将保护整个系统免遭潜在的破坏。

参考文献：

[1] 高耀岿，王林，高海东，等. 火电厂智能控制系统体系架构及关键技术[J]. 热力发电，2022，51（3）：166-174. DOI：10.19666/j.rlfd.202112254.

[2] 邓肖田田. 火电厂信息安全建设分析[J]. 信息与电脑（理论版），2012（6）：5-6.

[3] 江良成. 火电厂信息安全等级保护体系建设[C]. //2016年（第十届）发电企业信息技术与应用研讨会论文集. 2016：152-154.

[4] 周铁. 火电厂工控系统信息安全方案的探讨[J]. 信息通信，2020（8）：180-182. DOI：10.3969/j.issn.1673-1131.2020.08.077.

[5] 丁明，李晓静，张晶晶. 面向SCADA的网络攻击对电力系统可靠性的影响[J]. 电力系统保护与控制，2018，46（11）：37-45. DOI：10.7667/PSPC170784.

[6] 吴星，刘天琪，李兴源，等. 基于WAMS/SCADA数据兼容和改进FCM聚类算法的PMU最优配置[J]. 电网技术，2014（3）：756-761. DOI：10.13335/j.1000-3673.pst.2014.03.032.

[7] 李从善，刘天琪，李兴源，等. 用于电力系统状态估计的WAMS/SCADA混合量测数据融合方法[J]. 高电压技术，2013，39（11）：2686-2691. DOI：10.3969/j.issn.1003-6520.2013.11.016.

[8] 樊腾飞. 一种SCADA系统和视频与环境监控系统在电力系统中联动的应用方法[J]. 电子设计工程，2016，24（24）：113-115，118.

[9] 赵健. 浅谈SCADA系统在有色金属加工企业中的设计与应用[J]. 有色金属加工，2022，51（4）：61-63. DOI：10.3969/j.issn.1671-6795.2022.04.014.

[10] 刘维维，闫广涛，杨大贤. 含有多种型号风机的SCADA系统一体化设计及应用[J]. 工业控制计算机，2022，35（2）：21-23. DOI：10.3969/j.issn.1001-182X.2022.02.008.

作者简介：王勋茂（1992—5），男，汉族，海南澄迈县人，信息管理员，本科学历，单位：华能海南发电股份有限公司东方电厂，研究方向：网络信息方向。