1、SCADA系统概述

各位同学,咱们今天聊聊SCADA系统。说实话,这玩意儿在工控圈子里,就像人的中枢神经一样重要。我最早接触SCADA是在一个水处理项目上,当时看着大屏上跳动的数据,心里就一个感觉——这系统要是瘫了,半个城市的供水都得停。

1.1 SCADA系统的基本概念

SCADA,全称是Supervisory Control And Data Acquisition,翻译过来就是「监控与数据采集系统」。说白了,它就是个远程监控和控制的平台。你坐在控制室里,就能知道几百公里外变电站的电压是多少,还能远程合个闸、断个闸。

我个人习惯把SCADA理解成三个字:看、控、管。

  • :实时采集现场数据,比如压力、温度、流量。
  • :远程下发指令,比如启动电机、关闭阀门。
  • :历史数据存储、报警记录、报表生成。

嗯,这里要注意一点:SCADA不是PLC,也不是DCS。PLC是执行单元,DCS是过程控制,而SCADA是站在更高层面做集中监控。我在项目中遇到过有人把PLC和SCADA混为一谈,结果方案设计时走了不少弯路。

1.2 SCADA系统的组成架构

SCADA系统的架构,我习惯把它分成四层。你想想看,就像盖楼一样,一层一层往上搭。

层级 名称 典型设备 我的理解
第一层 现场设备层 传感器、执行器、RTU、PLC 就是那些干活儿的「手脚」
第二层 控制层 PLC控制器、RTU主站 负责逻辑判断和本地控制
第三层 通信层 交换机、路由器、串口服务器 相当于系统的「血管」
第四层 监控层 SCADA服务器、操作员站、工程师站 就是咱们坐的「驾驶舱」

我记得有一次去一个老旧电厂做安全评估,他们的SCADA系统居然还是第一层直接连第四层,中间没有任何隔离。我当时就倒吸一口凉气——这要是被攻击了,整个厂区都得停摆。

1.3 SCADA系统的通信协议

通信协议这块,是咱们做工业防火墙配置的重中之重。说白了,防火墙要能看懂这些协议,才能做精细化的访问控制。我重点讲三个最常见的。

Modbus协议

Modbus,工控界的「普通话」。它简单、开放、好实现。但问题也出在这里——它太简单了,几乎没有安全机制。

Modbus有两种传输模式:RTU(二进制)和TCP(以太网)。RTU走串口,TCP走网络。我建议你在做防火墙策略时,重点关注Modbus的功能码。比如03读保持寄存器、06写单个寄存器、16写多个寄存器。有些攻击就是通过非法的功能码搞破坏的。

避坑指南:我曾经遇到过一个案例,攻击者利用Modbus的广播功能码,同时向所有从站发送停机指令。防火墙如果只做了IP和端口过滤,根本拦不住。所以一定要做协议深度解析。

DNP3协议

DNP3在电力行业用得特别多。它比Modbus复杂,支持时间戳、事件上报、数据分片。DNP3有个好东西叫「确认机制」,但很多现场为了省带宽,把确认给关了。你想想看,这就像寄快递不签收,丢了都不知道。

我个人习惯在配置DNP3的防火墙规则时,重点关注以下几点:

  • 应用层功能码是否合法
  • 数据对象类型是否匹配
  • 点号范围是否越界
  • 时间戳是否异常

IEC 61850协议

IEC 61850是智能变电站的标配。它用MMS(制造报文规范)和GOOSE(面向通用对象的变电站事件)两种报文。GOOSE报文是组播的,延迟要求极高,通常在3毫秒以内。这就给防火墙带来了挑战——你不能在防火墙上做太多处理,否则延迟就超标了。

嗯,这里要注意:IEC 61850的防火墙配置,我建议采用白名单策略。只允许已知的IED设备之间通信,其他的一律拒绝。我在一个数字化变电站项目中就是这么做的,效果还不错。

1.4 SCADA系统的安全风险分析

说到安全风险,我得先泼盆冷水。很多企业觉得SCADA系统是封闭的,外网进不来,所以很安全。但实际情况呢?

警告:根据我多年的安全评估经验,90%以上的SCADA系统存在以下风险:

  • 默认密码未修改(admin/admin、123456比比皆是)
  • 系统补丁长期不更新(怕影响生产,不敢打补丁)
  • 网络边界模糊(办公网和工控网混在一起)
  • 远程维护通道无防护(VPN裸奔)
  • 协议本身缺乏认证和加密

我给大家讲个真实案例。有一次我去某石化企业做安全审计,发现他们的SCADA系统居然可以通过一个公网IP直接访问。一问才知道,是第三方运维公司为了方便远程调试,在防火墙上开了个端口映射。结果呢?那个端口被扫描到了,差点出事。

SCADA系统的安全风险,我总结成三类:

  1. 网络层风险:非法访问、DDoS攻击、中间人攻击
  2. 协议层风险:协议漏洞、功能码滥用、报文篡改
  3. 应用层风险:恶意软件、权限滥用、数据泄露

我的建议:做SCADA安全,别想着一步到位。先从网络隔离做起,再逐步上协议过滤、入侵检测、安全审计。饭要一口一口吃,路要一步一步走。

好了,第一章的内容就到这里。SCADA系统的基本概念、架构、协议和安全风险,咱们都过了一遍。下一章我会重点讲工业防火墙在SCADA网络中的部署位置和选型要点。有什么问题,咱们课后交流。

公众号:蓝海资料掘金营,微信deep3321