蔡 亚

(万家寨水务控股集团有限公司 调度中心，山西 太原 030012)

1 引黄一期SCADA系统

山西省万家寨引黄工程作为一项世界级的引水工程，其SCADA系统(计算机监视控制系统)由澳大利亚FOXBORO公司设计制作完成，代表当时业内顶尖的技术水平，其设计之严谨、结构之复杂、功能之强大，令人叹为观止。时至今日，该系统仍担负着引黄一期工程的运行监控任务，为引黄工程的安全稳定输水立下汗马功劳。

引黄SCADA系统数据测点几乎囊括了一期工程沿线的泵站、阀室、变电站的电气、水机等系统设备，以及沿线隧洞、管线及相关的各种水工设施。以SCADA终端作为人机交互界面，实时监控系统的运行状态，并实现对电气开关、刀闸、泵站机组、转速调节等各种远程操作控制。按设计要求，除了各站点的站控级系统外，在调度中心和备用调度中心分别设置了全系统监控终端。引黄调度中心调度值班员通过SCADA终端操作员机，实现全线的调度指挥与远程监控。通过SCADA终端登录系统，按不同身份登录用户名，不同的身份拥有不同的操作权限。以“操作员”为例，一般由调度值班员使用，通过操作员身份登录系统，实现对系统监控和设备远程控制的功能，但无权进行系统的后台设置、修改等。

2 增设新终端系统带来的安全问题

为安全起见，引黄SCADA系统拥有独立的内网，网内设备对号入座，拥有固定唯一的IP地址。但由于工作需要，除初始设计的终端外，后期还需不断地在不同的地点(如相关职能部门、分管领导办公室等)增加一些终端监控。新接入的终端可能会给整个系统带来各种安全隐患，如计算机病毒感染或者通过新终端的人员入侵与破坏等等，因此为保证SCADA系统的硬件、软件和信息不受自然和人为因素的破坏，首先要解决由于延伸终端的功能实现导致的网络安全等问题。

3 增设终端网络安全问题的解决措施

作为引黄生产系统的内部网络，网络系统的安全是首要的。在内网贸然接入新设备、新终端，容易带来病毒传播、人为破坏或误操作等安全隐患。如果内网安全出现问题，会影响到整个供电、输水系统的安全稳定运行。由于安装终端可能处在不同的地点，而周边环境也各不相同，如何避免从终端导入系统安全隐患成为必须解决的问题。在实际操作过程中，本着简洁安全实用的原则，对新接入的终端做了一些设置与处理。

3.1 对接入的终端进行软、硬件的简单处理

初始时将终端操作系统设置成最简洁模式(原SCADA系统为UNIX，后接入的终端系统是以WINDOWS系统为平台并与之兼容的SCADA系统访问程序)，除必要的系统程序和SCADA访问程序外，全部精简;然后将CD-ROM、USB等物理输入设备屏蔽，从硬件上防止隐患的导入;最后，在线路接入方面，采用各自独立的专用信道、路由，直接由服务器接入终端，避免外网的可能干扰。

3.2 通过物理防火墙对外网终端访问者身份进行甄别

上述措施技术要求和安全级别不高，为确保安全有效，还需从软件上进行进一步的设置，最终在出口处设置了专用的物理防火墙设备，通过防火墙对进出数据进行甄别防护。该防火墙与平常电脑上用的防火墙不同，它是由软件和硬件设备组合而成，是在内部网和外部网之间的界面上构造的保护屏障，因此我们主要探讨的是基于路由的防火墙设置。

首先是身份的甄别。虽然采用了专用的网络通道，但并不能排除有其他电脑通过终端专用网络接入系统的可能。因此，必须确认来访者的身份是否合法。首先给每个合法的来访者都编了号，即每个终端设置了唯一的IP地址和计算机名，并将信息输入防火墙设备中记录在案。但是，如果入侵者也设置了同样的IP和计算机名，就有可能混入其中。为避免这种情况发生，我们在进行身份甄别时，还应确认来访者的身份证，即终端的物理地址，这是唯一的不可复制的。然后将每个终端的物理地址和对应的IP地址、计算机名进行了绑定，只有物理地址、计算机名和IP都能对应正确，来访者才可以进入。这样，能够进入网络的终端就锁定在了这几个特定终端上，有效地避免了其他任何一个非法终端的入侵。

3.3 通过防火墙设置程序访问端口实现程序的过滤

在此基础上，对由访问者带入的任何可疑的不相关的内容进行相关检查，并拒绝其携带入内。在这里采用硬件和软件结合的方式，在外网和内网之间建立起一个安全网关，以保护内网免受非法程序的侵入。简单地说，其实就是在入口处装入一个嵌有防火墙固件的包过滤路由器，通过对它的精密设置，实现符合规则的数据的正常交互和对不符合规则数据的过滤禁入。其工作原理为：在两个网段之间设置一个防火墙，一侧是UNIX系统，即SCADA监控系统，另一侧是PC终端;当单PC终端向SCADA系统发送远程访问请求时，PC终端中的远程访问程序产生一个TCP数据包并将此包传递给本地协议栈准备发送；协议栈把它填充到一个IP数据包里，然后通过PC终端的TCP/IP协议栈中定义的路径发送到SCADA系统；在通过防火墙之前，这个IP包不能到达SCADA系统。下面重点介绍一下访问端口的设置和防护原理。

众所周知，任何程序访问网络时，都需要通过特定的访问端口。该端口可以是一个或多个，甚至是个取值范围，如果将对应端口开放，程序数据就可以通过合法端口正常交互，来去自如；反之，如果将程序对应的端口屏蔽，就可以阻止其运行。这就需要提前识别程序运行的端口号。用一些专用的扫描端口或者抓包的软件进行试验，效果都不理想，只能扫出一部分端口。最后用防火墙专用软件进行访问跟踪记录，将每次访问时数据通过的端口号进行逐一记录，通过海量的实验数据，总结出了SCADA访问程序，也就是我们允许通过的程序的每个特定端口号和端口号变量的取值范围。扫出端口号后，接下来是定义规则。举个例子，假如某一个终端的计算机名为PC1，指定它允许访问的服务器为总三(引黄工程总干线第三级泵站的简称)SCADA一号服务器GM3SRV1(为避免过多用户同时访问同一个服务器造成信息拥堵，将各终端分别指定不同的访问服务器)，扫描出访问程序的访端口号为X、Y、Z1→Z2，端口号分別定义为A、B、C；回访端口号为x、y、z1→z2，端口号分别定义为a、b、c。那么这样定义其交互规则：PC1(源)→ANY(目的)，服务端口A、B、C，规则控制为允许;GM3SRV1(源)→PC1(目的)，服务端口a、b、c，规则控制为允许。这样，就实现了SCADA访问程序的交互。最后加一条ANY(源)→ANY(目的)，规则控制为不允许，以拒绝其他程序访问的要求。这样，通过防火墙软件控制，最终达到的效果是，合法终端允许通过的访问程序可以畅通无阻地进出，而任何不合法终端的任何程序或者合法终端的任何非法程序都无法与SCADA系统进行交互，这就为SCADA内网系统构筑了一道铜墙铁壁，避免了外部程序的恶意入侵。

4 结语

随着计算机网络的发展和广泛应用，网络安全已成为我们必须考虑和解决的问题，特别是一些工程项目的内网系统，安全要求非常高，直接关系到整个工程、系统的安全生产、运营，这样就对网络安全的级别和实用性提出了越来越高的要求。本文重点介绍的硬件防火墙技术不是解决网络安全的主观方法，只是网络安全策略的一部分。成熟的网络安全系统需不断更新升级技术，通过多种措施，从多角度多方位全面覆盖实现网络安全。