Diễn biến của

Giao thức SCADA

Để cho hai hoặc nhiều đơn vị để giao tiếp, họ phải nói như vậy

ngôn ngữ (giao thức) và tuân thủ các quy tắc nhất định để bắt đầu, tiến hành, và

kết thúc truyền thông. Chương này đánh giá các giao thức phổ biến nhất

để giao tiếp thông tin qua mạng như Internet và

tìm hiểu giao thức độc quyền và mở thiết kế đặc biệt để sử dụng trong

Hệ thống SCADA.

Sự phát triển của giao thức SCADA

Giao thức SCADA phát triển ra khỏi sự cần thiết để gửi và nhận dữ liệu và kiểm soát

thông tin tại địa phương và trên một khoảng cách trong thời gian xác định. Deterministicin

bối cảnh này đề cập đến khả năng dự đoán số lượng thời gian cần thiết cho một

giao dịch sẽ diễn ra khi tất cả các yếu tố liên quan được biết và hiểu rõ.

Để thực hiện truyền thông trong thời gian xác định cho các ứng dụng trong nhà máy lọc dầu, công ty

điện lực, và người sử dụng khác của các hệ thống SCADA, các nhà sản xuất thiết bị điều khiển, chẳng hạn

như PLC, phát triển giao thức và thông tin liên lạc của mình

cấu trúc bus. Bảng 3-1 tóm tắt một số các nhà sản xuất và họ

các giao thức tương ứng.

Diễn biến của

Giao thức SCADA

CHƯƠNG

3

Bảng 3-1 Các giao thức SCADA

SẢN XUẤT PROTOCOL

Allen Bradley (Rockwell) DeviceNet, ControNet, DF1, dữ liệu đường cao tốc +,

Dữ liệu quốc lộ 485

Siemens Profibus

Modicon MODBUS, MODBUS Plus, MODBUS TCP / IP

Nhiều người trong số các giao thức này là độc quyền. Trong những năm 1990, kiểm soát ngành công

nghiệp

nhóm và các tổ chức tiêu chuẩn bắt đầu phát triển các giao thức mở cho các hệ thống điều khiển sẽ

nonproprietary và không độc quyền cho một nhà sản xuất. Sau đó, khi Internet trở nên phổ biến, các

công ty đã tìm cách tiến

lợi dụng các giao thức và các công cụ phát triển cho Internet, chẳng hạn như

TCP / IP gia đình của các giao thức và các trình duyệt Internet. Ngoài ra, các nhà sản xuất

và các tổ chức tiêu chuẩn mở sửa đổi rất phổ biến và hiệu quả

Công nghệ Ethernet LAN để sử dụng trong việc thực hiện thu thập dữ liệu và kiểm soát các mạng cục bộ.

Công nghệ nền tảng của các Nghị định thư SCADA

Để cho bất kz đơn vị để giao tiếp, một giao thức để truyền thông

đã được thành lập. Một giao thức định nghĩa các định dạng của các thông điệp và

quy tắc cho việc trao đổi các thông điệp.

Mô hình cao cấp được sử dụng để xác định nơi mà các giao thức được áp dụng và

compartmentalize các chức năng cần thiết để gửi và nhận tin nhắn. Các

mô hình kiến trúc lớp đã được áp dụng rộng rãi và rất hiệu quả. Trong

mô hình này, các yếu tố cần thiết cho giao tiếp được chia thành các lớp

với giao diện được xác định giữa mỗi lớp. Hai trong số các mô hình tham chiếu thông tin liên lạc lớp sử

dụng rộng rãi nhất là hệ thống mở kết nối

(OSI) mô hình và giao thức giao thức điều khiển truyền dẫn / Internet (TCP / IP)

mô hình.

Tổng quan về mô hình OSI

Các hệ thống kết nối mở (OSI) mô hình tham chiếu được phát triển bởi

Tổ chức Tiêu chuẩn Quốc tế (ISO) vào đầu những năm 1980.

Trong mô hình này, các dữ liệu từ một lớp cấp cao hơn được đóng gói bởi tiếp theo

lớp thấp hơn như nó được thông qua từ lớp dưới cao hơn để. Ví dụ, một

gói dữ liệu từ một cấp cao hơn sẽ được đóng gói bởi các lớp thấp hơn tiếp theo

bằng cách thêm thông tin tiêu đề xung quanh các gói dữ liệu. Hình 3-1 minh họa một

quá trình đóng gói cơ bản.

44 Chương 3

Hình 3-1 Đóng gói

Các lớp mô hình OSI được mô tả trong hình 3-2.

Hình 3-2 Bảy lớp của mô hình OSI

Lớp 7

ÁP DỤNG

Lớp 6

TRÌNH BÀY

Lớp 5

PHẦN

Lớp 4

VẬN TẢI

Lớp 3

MẠNG

Lớp 2

DỮ LIỆU LINK

Lớp 1

THỂ

Dữ liệu

Dữ liệu tiêu đề

Dữ liệu tiêu đề tiêu đề lớp N-2

Lớp N

Lớp N-1

Diễn biến của SCADA giao thức 45

Trong mô hình OSI, lớp ứng dụng, lớp 7, là giao diện cho người dùng.

Dữ liệu đi qua các mô hình giảm từ lớp 7 đến lớp 1, nơi một tin nhắn

gói tin được truyền qua một môi trường như một dây hoặc cáp quang như

xung điện hoặc quang học, tương ứng. Ngày kết thúc nhận, thủ tục ngược lại diễn ra, với gói tin đi qua

các mô hình từ lớp 1

lên đến lớp 7. Như đã thảo luận trước đó, các dữ liệu được đóng gói khi nó di chuyển

xuống thông qua các lớp mô hình tại nút phát. Khi nhận

nút, đóng gói được tước từ các tin nhắn vì nó hoạt động theo cách của nó lên đến

lớp 7.

Bảng 3-2 tóm tắt các chức năng thực hiện trong mỗi lớp của OSI

mô hình.

Bảng 3-2 Chức năng của Mô hình OSI Layers

CHỨC NĂNG TẦNG

7 ứng dụng Lớp ứng dụng là lớp cấp cao nhất trong mô hình OSI. Nó

thực hiện kiểm soát lưu lượng mạng và hỗ trợ ứng dụng chức năng.

Điều này khẳng định rằng người nhận dự định (mục tiêu của

thông tin liên lạc) có sẵn.

6 Trình bày lớp trình bày thực hiện chuyển đổi và bản dịch

lớp ứng dụng. Nó cũng thực hiện mã hóa, giải mã, và

hoạt động nén. Ví dụ, lớp này chuyển dữ liệu

mã hóa trong Luật Tiêu chuẩn Mỹ trao đổi thông tin

(ASCII) và mở rộng Binary Coded Decimal Interchange

Mã (EBCDIC).

5-Session Các tầng phiên thiết lập và chạy phiên mạng.

Cụ thể, lớp này thiết lập các thông tin liên lạc mong muốn

kết nối, quản lý việc truyền dữ liệu trong phiên,

và phát hành kết nối. Tầng phiên hỗ trợ simplex,

bán song công, và thông tin liên lạc song công.

4-Giao thông vận tải Các lớp truyền tải là hướng kết nối trong đó một viện

kết nối hợp lý giữa các nút truyền và nhận.

Lớp này thiết lập toàn vẹn end-to-end của truyền thông

phiên và đảm bảo rằng dữ liệu sẽ được chuyển giao cho

nhận máy chủ.

3 mạng Lớp mạng thực hiện định tuyến, địa chỉ, phát hiện lỗi,

và nút điều khiển giao thông.

2-Data Link Lớp liên kết dữ liệu bao gồm hai lớp con, việc tiếp cận phương tiện truyền thông

kiểm soát (MAC) và điều khiển liên kết logic lớp con, và chịu trách nhiệm

cho truyền lỗi của gói tin. Lớp này chuyển đổi gói tin

vào hình thức chút để chuẩn bị cho truyền tải và quản lý

dữ liệu khung giữa các lớp vật lý và mạng lưới.

46 Chương 3

Bảng 3-2 (tiếp theo)

CHỨC NĂNG TẦNG

Các lớp vật lý 1-vật lý kết nối máy tính vào mạng vật lý

phương tiện truyền thông truyền tải. Như vậy, nó có trách nhiệm chuyển đổi

dữ liệu gói với các tín hiệu điện hoặc xung quang và cũng định nghĩa

các giao diện điện và cơ khí vào mạng. EIA-232

và thông số kỹ thuật EIA-422 là những ví dụ tiêu chuẩn như vậy

giao diện.

Mỗi lớp trong mô hình OSI sử dụng giao thức cụ thể để thực hiện chức năng của mình. Bảng 3-3 cung

cấp các ví dụ về một số các giao thức liên quan

mỗi lớp.

Bảng 3-3 OSI Giao thức

Giao thức lớp

7 ứng dụng FTP (giao thức truyền file): Hỗ trợ chuyển các tập tin giữa

máy tính.

SMTP (mail đơn giản giao thức vận chuyển): Hỗ trợ việc gửi và

nhận tin nhắn e-mail.

SNMP (giao thức quản lý mạng đơn giản): Thu thập mạng

thông tin và trình bày nó để nối mạng quản lý game.

6 Trình bày HTTP (giao thức truyền siêu văn bản): Các giao thức được sử dụng bởi các

World Wide Web (WWW). HTTP là một giao thức không quốc tịch ở chỗ nó

thực hiện lệnh của nó mà không cần bất kz kiến thức về trạng thái trước đó

và bất kz trước đây thực hiện lệnh. HTTP xác định

định dạng để truyền thông điệp và cách phản ứng với các trình duyệt

hướng dẫn.

JPEG (Photographic Experts phần Tập đoàn): Một tiêu chuẩn được xác định cho

đồ họa.

MPEG (Motion Pictures Experts Group): Tiêu chuẩn mã hóa và

nén video hình ảnh chuyển động.

5 phiên RPC (Remote Procedure Call): Trong mô hình client-server, một

giao thức hỗ trợ một yêu cầu dịch vụ từ một máy tính

trên mạng từ một máy tính khác trên mạng.

NFS (hệ thống tập tin mạng): Hỗ trợ chia sẻ file

4-Giao thông vận tải TCP (Transmission Control Protocol): Cung cấp các dòng theo định hướng,

kết nối đáng tin cậy, sửa lỗi, và kiểm soát dòng chảy, mà

ngăn chặn lỗi tràn bộ đệm.

UDP (sử dụng giao thức gói tin): Không giống như TCP, UDP không thực hiện

sửa lỗi; UDP cung cấp tin nhắn trong một cơ sở tốt nhất nỗ lực.

(Tiếp theo)

Diễn biến của SCADA giao thức 47

Bảng 3-3 (tiếp theo)

Giao thức lớp

3 mạng IP (giao thức Internet): Gán địa chỉ IP của người gửi và người

người nhận để các gói dữ liệu được sử dụng trong việc định tuyến thông điệp đến

thu dự kiến. IP không đảm bảo cung cấp đáng tin cậy của

gói dữ liệu.

ICMP (kiểm soát Internet thông điệp giao thức): Một quản lý

giao thức được sử dụng để xác định đường lây truyền từ một nguồn tới

một máy chủ đích và để kiểm tra sự sẵn có của một máy chủ để nhận được

tin nhắn. Một trong những tiện ích ICMP PING, được sử dụng để

kiểm tra kết nối của máy chủ mạng.

2-liên kết dữ liệu ARP (giao thức phân giải địa chỉ): Xác định các phần cứng MAC

địa chỉ của một máy chủ đích từ địa chỉ IP của nó.

PPP (giao thức điểm-điểm): Một full-duplex, đóng gói

giao thức IP để gửi tin nhắn trên point-to-point.

1-Vật lý EIA-422-B (RS-422): tiêu chuẩn Hiệp hội doanh nghiệp điện tử

xác định các đặc tính điện của một giao diện cân bằng

mạch được thiết kế cho chế độ chung chống nhiễu cao

và tốc độ dữ liệu ít hơn 0,5 Mbps.

EIA-232C (RS-232C): tiêu chuẩn Hiệp hội doanh nghiệp điện tử

cho nối tiếp trao đổi dữ liệu nhị phân.

Tổng quan về mô hình TCP / IP

Giao thức giao thức điều khiển truyền dẫn / Internet (TCP / IP) đã được phát triển

trong những năm 1970 của Bộ Quốc phòng Mỹ để thực hiện mạng đáng tin cậy

thông tin liên lạc. Quyền hạn TCP / IP Internet và khả năng khác nhau của Internet dựa trên giao thức

TCP / IP.

Mô hình OSI được phát triển sau khi TCP / IP, nhưng nó đã cố gắng để duy trì

một số điểm tương đồng với mô hình TCP / IP. Bốn lớp TCP / IP được minh họa

trong Hình 3-3 và chức năng của họ được đưa ra trong Bảng 3-4.

Kiến trúc Hình 3-3 Các giao thức TCP / IP lớp

Lớp 4

ÁP DỤNG

Lớp 3

HOST-TO-HOST hoặc VẬN TẢI

Lớp 2

INTERNET

Lớp 1

TRUY CẬP MẠNG

48 Chương 3

Bảng 3-4 Chức năng của giao thức TCP / IP Mô hình lớp

CHỨC NĂNG TẦNG

4 ứng dụng như trong các lớp mô hình OSI 7, lớp ứng dụng là giao diện

cho người sử dụng. Nó hỗ trợ các ứng dụng mạng sử dụng và

thực hiện điều khiển luồng và phục hồi lỗi.

3-Host-to-Host Lớp host-to-host lắp ráp dữ liệu trong các gói tin, cung cấp cho

hoặc Giao thông vận tải hướng kết nối end-to-end truyền thông, hỗ trợ errorfree và giao hàng đáng tin

cậy của các gói tin, và kiểm soát

mạng dữ liệu dòng chảy.

2-Internet lớp Internet thực hiện định tuyến và giải quyết.

1-Mạng Lớp truy cập mạng bao gồm các chức năng của liên kết dữ liệu

Truy cập và vật lý lớp của mô hình OSI. Nó chuyển đổi các gói tin vào bit

để truyền trên các phương tiện vật lý và chịu trách nhiệm

giao hàng lỗi của khung hình.

Các lớp TCP / IP cũng kết hợp các giao thức để thực hiện các chức năng của các lớp. Ví dụ về các giao

thức được liệt kê trong bảng 3-5.

Giao thức bảng 3-5 TCP / IP

Giao thức lớp

4 ứng dụng FTP (giao thức truyền file): Hỗ trợ chuyển các tập tin giữa

máy tính.

SMTP (mail đơn giản giao thức vận chuyển): Hỗ trợ việc gửi và

nhận tin nhắn e-mail.

SNMP (giao thức quản lý mạng đơn giản): Thu thập mạng

thông tin và trình bày nó để nối mạng quản lý game.

Telnet: Sử dụng mô phỏng terminal, Telnet cung cấp một khách hàng với

khả năng truy cập vào một máy tính từ xa.

3-Host-to-Host TCP (giao thức điều khiển truyền dẫn): Cung cấp các dòng theo định hướng,

Giao thông vận tải hoặc các kết nối đáng tin cậy, sửa lỗi, và kiểm soát dòng chảy, mà

ngăn chặn lỗi tràn bộ đệm.

UDP (sử dụng giao thức gói tin): Không giống như TCP, UDP không thực hiện

sửa lỗi và cung cấp các tin nhắn trên cơ sở nỗ lực tốt nhất.

IP 2-Internet (giao thức Internet): Gán địa chỉ IP của người gửi và người

người nhận để các gói dữ liệu được sử dụng trong định tuyến các thông điệp tới nó

nhận định. IP không đảm bảo cung cấp đáng tin cậy của dữ liệu

gói tin.

ICMP (kiểm soát Internet thông điệp giao thức): Một quản lý

giao thức được sử dụng để xác định đường lây truyền từ một nguồn tới

một máy chủ đích và để kiểm tra sự sẵn có của một máy chủ để nhận được

tin nhắn. Một trong những tiện ích ICMP PING, được sử dụng để

kiểm tra kết nối của máy chủ mạng.

(Tiếp theo)

Diễn biến của SCADA giao thức 49

Bảng 3-5 (tiếp theo)

Giao thức lớp

2-Internet ARP (giao thức phân giải địa chỉ): Xác định các phần cứng MAC

địa chỉ của một máy chủ đích từ địa chỉ IP của nó.

PPP (giao thức điểm-điểm): Một full-duplex, đóng gói

giao thức IP để gửi tin nhắn trên point-to-point.

1-mạng IEEE 802.2 Logical Link Control: Quản lý thông tin liên lạc liên kết dữ liệu

Truy cập giữa các thiết bị và thực hiện kiểm tra trên khung nhận lỗi.

EIA-422-B (RS-422): tiêu chuẩn Hiệp hội doanh nghiệp điện tử

xác định các đặc tính điện của một giao diện cân bằng

mạch được thiết kế để cho chế độ chung chống nhiễu cao

và tốc độ dữ liệu ít hơn 0,5 Mbps.

EIA-232C (RS-232C): tiêu chuẩn Hiệp hội doanh nghiệp điện tử

cho nối tiếp trao đổi dữ liệu nhị phân.

Sử dụng nền tảng này trên các mô hình lớp và các giao thức liên quan, chúng tôi

bây giờ có thể khám phá các mô hình SCADA có liên quan và các giao thức trong những điều sau đây

phần.

Giao thức SCADA

Các giao thức hệ thống SCADA tiến hóa từ phần cứng đắn và phần mềm

thiết kế đặc biệt cho các hệ thống SCADA. Các giao thức được phát triển ra

cần thiết để phục vụ cho thị trường đang phát triển cho các ứng dụng máy tính trong các tình huống

kiểm soát thời gian thực. Sau đó, trong một nỗ lực để tận dụng lợi thế của mạng mới

phát triển, các giao thức SCADA tích hợp phiên bản của Internet và địa phương

công nghệ mạng. Động thái này dẫn đến một số tiêu chuẩn, nhưng cũng

tiếp xúc với hệ thống SCADA các cuộc tấn công thường được sử dụng chống lại các công nghệ

trong môi trường CNTT.

MODBUS mẫu

Trong cuối những năm 1970, Modicon, Incorporated, phát triển giao thức MODBUS.

MODBUS là vị trí trong lớp 7 (lớp ứng dụng của mô hình OSI) và

hỗ trợ thông tin liên lạc client-server trong PLC Modicon và các thiết bị nối mạng khác. Giao thức

MODBUS xác định phương pháp cho một PLC

được truy cập vào một PLC, một PLC để đáp ứng với các thiết bị khác, và các phương tiện

phát hiện và báo cáo lỗi. Các giao thức hỗ trợ giao thức khác như

như không đồng bộ truyền master-slave, Modicon MODBUS Plus, và

Ethernet. Để tận dụng lợi thế của các công cụ hỗ trợ, phần cứng, và

50 Chương 3

phần mềm được sử dụng cho Internet, MODBUS / TCP cũng được phát triển. Nó

quá được dựa trên mô hình OSI, mặc dù không phải tất cả các lớp được sử dụng. Các lớp thông tin liên

lạc trong những triển khai giao thức MODBUS khác nhau được đưa ra trong

Hình 3-4.

Một giao dịch MODBUS điển hình bao gồm các bước sau:

1. Các giao thức ứng dụng MODBUS bộ dạng của một khách hàng khởi xướng

yêu cầu.

2. Mã chức năng trong một đơn vị dữ liệu MODBUS, như các gói tin được gọi là,

chỉ đạo các máy chủ để thực hiện một hành động cụ thể.

3. Một trường dữ liệu trong thông báo cung cấp thêm thông tin được sử dụng bởi các

máy chủ để thực hiện hành động được yêu cầu.

4. Nếu không có lỗi trong việc trao đổi, máy chủ hoàn thành

yêu cầu hành động, điển hình là việc gửi dữ liệu trở lại cho khách hàng.

5. Nếu lỗi xảy ra, máy chủ đọc một mã số ngoại lệ trong các đơn vị dữ liệu

xác định các hành động tiếp theo sẽ được thực hiện.

Hình 3-4 lớp truyền thông MODBUS

THIẾT BỊ SỬ DỤNG HỒ SƠ

(Van, ổ đĩa AC, Bộ điều khiển, vv)

ÁP DỤNG

Ứng dụng MODBUS Nghị định thư

MODBUS

Thêm

MODBUS

TCP

THỂ

Ethernet

VẬN TẢI

Truyền

Kiểm soát

Nghị định thư

MẠNG

Internet

Nghị định thư

DỮ LIỆU LINK

Ethernet

802.2, 802.3

Nối tiếp

Master / Slave

THỂ

Ethernet

THỂ

EIA-232-F

EIA-485-A

Diễn biến của SCADA giao thức 51

Nghị định thư DNP3

DNP3 là một giao thức SCADA mở được sử dụng cho giao tiếp nối tiếp hoặc IP

giữa các thiết bị kiểm soát. Nó được sử dụng rộng rãi bởi các tiện ích như các công ty nước

và nhà cung cấp điện cho việc trao đổi dữ liệu và kiểm soát hướng dẫn

giữa các đài mastercontrol và máy tính từ xa hoặc điều khiển được gọi là outstations. Lệnh điển hình do

trạm kiểm soát tổng thể là "mở một

van "," bắt đầu một động cơ ", và" cung cấp dữ liệu về một trạm kiểm soát đặc biệt. "Các

trạm kiểm soát tổng thể cũng có thể cung cấp tín hiệu đầu ra tương tự với outstation.

Một outstation cung cấp các trạm kiểm soát tổng thể với các thông tin như

áp lực, trạng thái của một cầu dao hoặc recloser, tín hiệu tương tự đại diện

các hạng mục như nhiệt độ hay sức mạnh, và các tập tin thông tin.

DNP3 cũng đã thích nghi với công nghệ Internet bằng cách sử dụng giao thức TCP / IP cho

trao đổi thông điệp DNP3. Một TCP / IP kiến trúc lớp DNP3 điển hình

cho thấy việc trao đổi dữ liệu giữa một trạm kiểm soát tổng thể và outstation

được đưa ra trong hình 3-5.

Trao đổi dữ liệu Hình 3-5 DNP3 TCP / IP

Outstation

THIẾT BỊ USER

HỒ SƠ VÀ SỬ DỤNG

Mã

(Van, ổ đĩa AC,

Bộ điều khiển, vv)

ÁP DỤNG

DNP3

DỮ LIỆU LINK

DNPS

THỂ

(Thông thường EIA-232 hoặc EIA-485)

DNP

PSEUDOTRANSPORT

Điều khiển truyền

Nghị định thư

Master

THIẾT BỊ USER

HỒ SƠ VÀ SỬ DỤNG

Mã

(Van, ổ đĩa AC,

Bộ điều khiển, vv)

ÁP DỤNG

DNP3

DỮ LIỆU LINK

DNPS

THỂ

(Thông thường EIA-232 hoặc EIA-485)

DNP

PSEUDOTRANSPORT

Điều khiển truyền

Nghị định thư

52 Chương 3

Một khung DNP3 bao gồm một tiêu đề và dữ liệu. Tiêu đề bao gồm các

sau đây:

■ ■ địa chỉ thiết bị nguồn DNP3

■ ■ địa chỉ thiết bị đích DNP3

■ ■ Khung hình kích thước

■ ■ thông tin điều khiển liên kết dữ liệu

Phần dữ liệu của tiêu đề chứa dữ liệu đi qua các lớp

từ cao nhất đến thấp nhất lớp.

UCA 2.0 và tiêu chuẩn IEC61850

Trong những năm 1990, Viện nghiên cứu Điện lực Mỹ (EPRI) đã quyết định rằng một

nỗ lực là cần thiết để xác định một tiêu chuẩn mạnh mẽ hơn DNP3 để phục vụ

Nhu cầu SCADA của công ty điện lực. Kết quả là tiện ích Truyền thông Kiến trúc (UCA). UCA phiên bản

2.0 là một gia đình của giao thức truyền thông nhằm đáp ứng nhu cầu của các công ty điện lực. UCA 2.0

dựa trên

Đặc điểm kỹ thuật sản xuất tin nhắn (MMS) từ ISO tiêu chuẩn ISO

9506-1:2000 và ISO 9506-2:2000. Vào năm 1999, với UCA 2,0 di cư đến tiêu chuẩn IEC

IEC61850 cho trạm biến áp tự động hóa. IEC61850 là một phần của thông tin mô hình chung (CIM) được

phát triển bởi Ủy ban kỹ thuật IEC 57 cũng bao gồm

các tiêu chuẩn sau đây:

■ ■ IEC61970: hệ thống điện và giao diện lập trình cho việc tích hợp

ứng dụng tiện ích

■ ■ IEC61968: thiết bị phân phối và quy trình

■ ■ IEC60870-5: Phân bố

■ ■ IEC60870-6: Truyền tải

IEC61850 là một tiêu chuẩn kiến trúc lớp phân cách các chức năng

cần thiết cho các ứng dụng tiện ích điện từ các nhiệm vụ mạng cấp dưới.

Kiến trúc lớp minh họa việc tách chức năng được hiển thị trong

Hình 3-6.

Diễn biến của SCADA giao thức 53

Kiến trúc Hình 3-6 IEC61850 lớp

Controller Area Network

Mạng điều khiển (CAN) giao thức (tiêu chuẩn ISO 11.898-1) đã được phát triển cho ngành công nghiệp ô

tô của Robert Bosch, GMBH, vào giữa những năm 1980

để sử dụng trong truyền thông nối tiếp lên đến 1 Mbps. CAN hỗ trợ lên đến 110 nút

trên hai dây, mạng lưới bán song công.

Các giao thức hoạt động ở lớp 1, lớp vật lý, và lớp 2, liên kết dữ liệu

lớp, của mô hình OSI.

CAN thông tin liên lạc dựa trên nhiều cảm nhận sóng mang Ethernet

truy cập với va chạm phát hiện (CSMA / CD) phương pháp. Với CSMA / CD, nhiều thiết bị cạnh tranh để

truyền tải thông tin trên một chiếc xe bu{t thông thường. Khi một

thiết bị cảm nhận rằng xe buýt là miễn phí (không có tín hiệu tàu sân bay trên xe buýt), nó sẽ cố gắng để

truyền tải trên các xe bu{t. Trong trường hợp thiết bị khác cố gắng để giao tiếp trên xe buýt

đồng thời, các thiết bị phát hiện va chạm này, trở lại-off, và thử lại vào một

thời gian ngẫu nhiên sau đó. Như vậy, với phương pháp này, thời gian truyền cụ thể trên

mạng không được đảm bảo. Để bù đắp cho tình trạng này, CAN

cung cấp các ưu tiên truyền cho nút bằng cách sử dụng CSMA / CD + AMP (trọng tài trên ưu tiên tin

nhắn) chương trình. CSMA / CD + AMP sử dụng một độc đáo

định bao gồm một đánh giá ưu tiên trong một tin nhắn thay vì nguồn và

địa chỉ đích nút được sử dụng trong các trọng tài CSMA / CD thông thường

phương pháp. Thấp hơn giá trị của các định danh, cao hơn các ưu tiên đó là

giao cho tin nhắn. Chiều dài của định danh này khác nhau, là 11 bit trong

THỂ đặc điểm kỹ thuật phần A và dài 29 bit cho đặc điểm kỹ thuật CAN phần B. Sử dụng

giá trị ưu tiên định danh, các thuật toán truyền CAN gồm các bước sau:

1. Một thông điệp có định danh ưu tiên cao nhất được cấp quyền truy cập

truyền.

IEC61850-7-3 và IEC61850-7-4

Thiết bị đối tượng Mô hình

IEC61850-7-2

Tóm tắt Mô hình dịch vụ

IEC61850-8-1

Lập bản đồ để MMS / UCA 2.0 Nghị định thư

OSI giao thức TCP / IP giao thức

54 Chương 3

2. Mỗi nút ngang bằng tin nhắn kiểm tra định danh duy nhất để

xác định xem các tin nhắn được gửi đến nút đó.

3. Nếu một thông báo dành cho nút đó, nút xử lý thông báo.

Tin nhắn với một định ưu tiên thấp hơn sau khi được truyền đi thông điệp higherpriority theo giá trị

định danh của họ.

Kiểm soát và thông tin Nghị định thư

Common giao thức công nghiệp (CIP) là một gia đình mở của giao thức là

thực hiện các lớp ứng dụng, trình bày, và phiên họp của OSI

mô hình. Vì vậy, CIP tạo thành một lớp trên phổ biến của các giao thức có thể được sử dụng

trên lớp thấp khác nhau, chẳng hạn như những người sử dụng EtherNet / IP, DeviceNet,

và ControlNet, tất cả đều được thảo luận trong phần sau. Nó cũng

bao gồm một giao thức tin nhắn hỗ trợ nhắn tin rõ ràng và I / O. CIP là

duy trì bởi ControlNet quốc tế (CI) và DeviceNet Vendor Mở

Hiệp hội (ODVA).

Giá trị của CIP là nó làm cho các đối tượng được xác định trước và truyền thông

tiêu chuẩn có sẵn cho các lớp dưới của mô hình OSI. CIP bao gồm các đối tượng giao tiếp, được sử dụng

để xác định giá trị dữ liệu tối đa, loại và

đặc điểm của kết nối, và thời gian kết nối. Nó cũng cung cấp

một thư viện đối tượng 46 lớp, trong đó bao gồm các đối tượng giám sát kiểm soát, các đối tượng cổng,

đối tượng nhận dạng, đối tượng điểm đầu ra tương tự, các đối tượng tham số, đầu vào rời rạc

các đối tượng, đối tượng cảm biến vị trí, và AC / DC đối tượng ổ đĩa.

Mối quan hệ giữa CIP, CAN, và các giao thức khác được minh họa trong

Hình 3-7.

Hình 3-7 Mối quan hệ giữa CIP và các giao thức khác

CHUNG CÔNG NGHIỆP

Nghị định thư

(Hồ sơ thiết bị thông thường,

Phổ biến Object Library)

CAN

KHÁC

THÔNG

PROTOCOLS

(FTP, HTTP, SMP)

TCP / IP / UDP

ControlNet

DeviceNet

Ethernet / IP

802.3

Diễn biến của SCADA giao thức 55

DeviceNet

DeviceNet là một chuẩn mở được sử dụng để kết nối các thiết bị như

khởi động động cơ, cảm biến, điều khiển van, màn hình, giao diện điều hành, và

máy tính kiểm soát mức độ cao hơn và PLC. DeviceNet được dựa trên giao thức CAN. Nó cũng sử dụng

gia đình CIP các giao thức, bao gồm các thư viện đối tượng của nó và

hồ sơ đối tượng để cấu hình và kiểm soát của các thiết bị và để có được

dữ liệu từ các thiết bị địa phương thông qua các giao thức CAN tại liên kết dữ liệu và

lớp vật l{. Để thực hiện một cuộc trao đổi thông tin, ví dụ,

DeviceNet thiết lập một ví dụ kết nối sử dụng một đối tượng nhận dạng, một đối tượng nhắn router,

một đối tượng DeviceNet, và một đối tượng kết nối. Bản sắc

đối tượng có chứa các thông tin như hồ sơ cá nhân thiết bị, số phiên bản, và

thông tin nhà cung cấp. Thông báo bộ định tuyến các tuyến đường đối tượng thông điệp đến đúng

lớp thấp đích và đối tượng DeviceNet DeviceNet cửa hàng thông tin như mã số MAC. Đối tượng kết nối

quản lý

kết nối tin nhắn. DeviceNet hỗ trợ tốc độ truyền thông

125kbps, 250kbps, 500kbps và lên đến 64 nút.

Hình 3-8 minh họa các lớp DeviceNet và sử dụng của họ với CIP.

Lớp truyền hình 3-8 DeviceNet

ÁP DỤNG

CIP ứng dụng Object Library

VẬN TẢI

DeviceNet Transport Layer

DỮ LIỆU LINK

CAN CSMA / CD với Trọng tài về tin nhắn ưu tiên

THỂ

DeviceNet lớp vật lý

TRÌNH BÀY

Quản lý dữ liệu CIP

I / O thông điệp

PHẦN

CIP tin định tuyến

Quản lý kết nối

56 Chương 3

ControlNet

ControlNet là một mạng mở để sử dụng trong thời gian thực, SCADA xác định

các ứng dụng. Nó cũng sử dụng các khả năng đối tượng giao thức CIP và có thể hỗ trợ

lên đến 99 nút trên mạng với tốc độ dữ liệu của 5 Mbps. Nó được thiết kế cho các ứng dụng bao gồm

nhiều bộ điều khiển và giao diện điều hành, và nó hỗ trợ việc trao đổi thời gian thực I / O dữ liệu cũng

như thông tin tin nhắn.

Các định mệnh của ControlNet xuất phát từ sự kết hợp của Multiple Access (CTDMA) thuật toán đồng

thời Thời gian Domain cho phép một nút

trên mạng để truyền tải tại một khoảng thời gian quy định được gọi là thời gian cập nhật mạng

hoặc NUT. Do đó, thông tin quan trọng được truyền trong một khoảng thời gian trong khi NUT

thông tin không quan trọng được gửi trong khoảng thời gian định trước, khi có sẵn.

CTDMA được minh họa trong hình 3-9.

Các lớp ControlNet truyền thông được đưa ra trong hình 3-10.

EtherNet / IP

EtherNet / IP cũng áp dụng CIP bằng cách mã hóa thông điệp CIP trong khung Ethernet. Trong

Ngoài các lớp đối tượng cơ bản CIP, EtherNet / IP sử dụng một đối tượng TCP / IP cho

thực hiện các giao thức TCP / IP và một đối tượng liên kết Ethernet bao gồm

các thông số để thiết lập một liên kết EtherNet / IP. CIP hoạt động ở lớp ứng dụng cung cấp các thư viện

đối tượng ứng dụng, tại các lớp trình bày

cung cấp dịch vụ nhắn tin, và tại lớp phiên hỗ trợ tin nhắn

định tuyến và quản lý kết nối. Các giao diện lớp session cho việc vận chuyển và mạng lưới lớp, trong đó

thực hiện đóng gói và áp dụng một trong hai

TCP hoặc UDP ở lớp vận chuyển và giao thức IP tại tầng mạng. Các dữ liệu hoàn tất quá trình chuyển đổi

từ trên xuống tại lớp liên kết dữ liệu,

mà thực hiện CSMA / CD và lớp vật lý Ethernet, kết nối với các phương tiện truyền dẫn.

Hình 3-9 ControlNet CTDMA sơ đồ thời gian

Mạng Cập nhật Interval

Dự kiến

Truyền

Thời gian

Đột xuất

Vụ

Mạng Cập nhật Interval

Dự kiến

Truyền

Đột xuất

Vụ

Diễn biến của SCADA giao thức 57

Hình 3-10 ControlNet

Bởi vì Ethernet sử dụng CSMA / CD, mà hoạt động bằng cách phát hiện va chạm, sao lưu ra, và cố gắng

để gửi lại trong khoảng thời gian ngẫu nhiên, thông tin liên lạc

không xác định. Tình trạng này đặt ra vấn đề cho thu thập dữ liệu thời gian thực và kiểm soát. Để giảm

thiểu tình trạng này, EtherNet / IP áp dụng lớp

2 công tắc để phân vùng các lĩnh vực va chạm vào các nút đơn hoặc nhóm nhỏ.

Sự phân chia này làm giảm đáng kể va chạm CSMA / CD. Ngoài ra, những tiến bộ trong

Công nghệ Ethernet, đặc biệt là Fast Ethernet (100 Mbps) và Gigabit Ethernet

(10 Gbps), làm giảm đáng kể độ trễ truyền thông không xác định

lần.

Một yếu tố giảm nhẹ thứ ba là sự sẵn có của các giao thức sử dụng gói

(UDP), mà truyền các gói tin trên một cơ sở tốt nhất nỗ lực và không mang

chi phí liên quan đến truyền TCP, trong đó khẳng định các kết nối thông tin liên lạc và kiểm tra các lỗi

trong truyền dẫn.

Cuối cùng, IEEE đã phát triển các đặc điểm kỹ thuật 802.1P để ưu tiên lưu lượng mạng bằng cách kết

hợp một lĩnh vực tiêu đề 3-bit ưu tiên thông điệp

và cho phép nhóm các gói dữ liệu vào các lớp học giao thông ưu tiên khác nhau.

Hình 3-11 cho thấy lớp EtherNet / IP và mối quan hệ của họ để CIP.

ÁP DỤNG

CIP ứng dụng Object Library

VẬN TẢI

ControlNet Transport Layer

DỮ LIỆU LINK

CTDMA

THỂ

ControlNet vật lý lớp

TRÌNH BÀY

Quản lý dữ liệu CIP

I / O thông điệp

PHẦN

CIP tin định tuyến

Quản lý kết nối

58 Chương 3

Hình 3-11 EtherNet / IP

FFB

Quá trình linh hoạt khối chức năng (FFB) là một điều khiển mạng lưới xe buýt bán song công.

Nó được phát triển bởi Fieldbus Foundation, mà là một tập đoàn của 130

tổ chức tự động hóa. Mục tiêu của tập đoàn là phát triển một mở,

hai dây tiêu chuẩn quốc tế cho các ứng dụng quá trình tự động hóa. Nó đặc biệt hữu ích cho việc kiểm

soát các thiết bị như van và các thiết bị máy phát.

Trong hoạt động, mỗi thiết bị trên một mạng FFB lẽ vào xe buýt hai dây

cấu trúc. Một cách hợp lý, FFB hoạt động như một 31.25 Kbps mạng master-slave, nhưng

chức năng một thời gian ngắn như một chương trình thẻ đi qua. Trong master-slave

mô hình thông tin liên lạc, thiết bị chủ hoặc chính kiểm soát một số nô lệ

hoặc các thiết bị phụ. Chủ sẽ gửi tín hiệu điều khiển cho các thiết bị nô lệ

và họ trả lời theo hướng dẫn kiểm soát được. Các nô lệ có thể

gửi thông tin trở lại để làm chủ để lưu trữ, giải thích, và chế biến. Các chương trình mã thông báo qua là

một phương pháp được sử dụng để phân xử giữa các thiết bị

rằng mong muốn giao tiếp trên mạng. Không giống như các phương pháp CSMA / CD

ÁP DỤNG

CIP ứng dụng Object Library

VẬN TẢI

Đóng gói, TCP, UDP

MẠNG

IP

DỮ LIỆU LINK

Ethernet CSMA / CD

THỂ

Ethernet lớp vật lý

TRÌNH BÀY

Quản lý dữ liệu CIP

I / O thông điệp

PHẦN

CIP tin định tuyến

Quản lý kết nối

Diễn biến của SCADA giao thức 59

nơi va chạm có thể xảy ra khi các thiết bị cố gắng gửi tin nhắn đồng

thời gian, trong một mã thông báo qua mạng, chỉ có một thiết bị tại một thời điểm có thể truyền tải.

Một

thiết bị có thể truyền tải khi nó nhận được một mã thông báo điện tử (tương tự như một tin nhắn)

đó là thông qua xung quanh. Chỉ có một mã thông báo trên mạng, và khi một

thiết bị nhận mã thông báo từ người hàng xóm của nó, nó có thể truyền tải. Khi truyền tải hoàn tất hoặc

nếu thiết bị không cần phải truyền tải, mã thông báo là

thông qua vào các thiết bị tiếp theo. Sau đó, các thiết bị tiếp theo có thể truyền tải. Quá trình này

tiếp tục là mã thông báo là thông qua xung quanh mạng.

Liên quan đến mô hình OSI, FFB kết hợp một lớp ứng dụng người dùng, một đặc điểm kỹ thuật lớp nhắn

fieldbus, một lớp con truy cập bus, một lớp liên kết dữ liệu,

và một lớp vật lý. Lớp 3 đến 6 của mô hình OSI tương ứng là

không được sử dụng. Các lớp FFB được thể hiện trong hình 3-12.

Hình 3-12 Foundation fieldbus kiến trúc lớp

USER ÁP DỤNG

Lớp con ACCESS Fieldbus

Lớp 6

KHÔNG SỬ DỤNG

Lớp 5

KHÔNG SỬ DỤNG

Lớp 4

KHÔNG SỬ DỤNG

Lớp 3

KHÔNG SỬ DỤNG

Lớp 2

DỮ LIỆU LINK

Lớp 1

THỂ

IEC 61.158-2, ISA S50.02-1992

Lớp 7

Fieldbus THÔNG ĐIỆP Thông số kỹ thuật

60 Chương 3

Trong các lớp FFB, lớp ứng dụng bao gồm các tin nhắn Fieldbus

Đặc điểm kỹ thuật (FMS) và Fieldbus truy cập lớp con (FAS). FMS cung cấp cho

việc trao đổi thông điệp giữa các ứng dụng và hỗ trợ FAS FMS. Các

lớp liên kết dữ liệu sử dụng một hoạt động liên kết lịch (LAS) để kiểm soát việc gửi

thông điệp fieldbus. LAS là cơ chế FFB sử dụng để cung cấp định mệnh bằng cách duy trì một danh sách

các lần truyền mạng cho tất cả các thiết bị trên

mạng. Thiết bị truyền vào những thời điểm được chỉ định truyền của họ, và nếu có

được thời gian có sẵn giữa các lần truyền dự kiến, các thiết bị có thể truyền tải

trong những lần đột xuất. Lớp vật lý FFB sau tiêu chuẩn IEC

61.158-2 và ISA chuẩn S50.02-1992. Các đặc tính điện này

lớp bao gồm việc sử dụng mã hóa Manchester biphase của các tín hiệu kỹ thuật số và

một vòng lặp hiện tại ± 10 mA. Manchester mã hóa sử dụng quá trình chuyển đổi để đại diện cho những

người xung nhị phân và số không thay vì điện áp xung hoặc mức hiện nay. Các FFB

lớp vật l{ cũng cung cấp điện thế cung cấp 9-32 volt.

Profibus

Profibus (Process Fieldbus) là một bus nối tiếp tiêu chuẩn mạng mở để sử dụng

kiểm soát và thu thập dữ liệu các ứng dụng thời gian quan trọng. Nó thuộc

Tiêu chuẩn châu Âu quốc tế fieldbus, EN 50 170, và xác định các đặc điểm chức năng, điện, cơ khí của

một bus nối tiếp. Profibus là

tương tự như Foundation fieldbus, nhưng cung cấp tốc độ truyền của 31.25

Kbps, 1Mbps, và 2,5 Mbps trong lớp vật lý.

Vì Profibus là một tiêu chuẩn mở, nó có thể chứa các thiết bị từ các nhà sản xuất khác nhau. Profibus cư

trú tại các ứng dụng, liên kết dữ liệu, và vật lý

lớp của mô hình OSI. Nó cung cấp cho các ứng dụng định mệnh điều khiển thời gian và hỗ trợ mạng và

truyền thông đa chủ master-slave.

Có ba phiên bản của Profibus, được tóm tắt trong

Danh sách sau đây:

■ ■ Tự động hóa quá trình Profibus (PA): Kết nối các thiết bị thu thập dữ liệu và kiểm soát trên một chiếc

xe buýt nối tiếp phổ biến và hỗ trợ đáng tin cậy, bản chất

triển khai thực hiện an toàn. Nó cũng cung cấp nguồn cho thiết bị hiện trường thông qua

xe buýt. Profibus PA sử dụng các chức năng cơ bản và phần mở rộng có sẵn

trong Profibus DP.

■ ■ Profibus Nhà máy tự động hóa (thiết bị ngoại vi được phân cấp - DP): Cung cấp thông tin liên lạc tốc

độ cao giữa các hệ thống điều khiển và các thiết bị kiểm soát phân cấp. Nó sử dụng các tiêu chuẩn lớp

vật l{ khác nhau hơn

những người làm việc bằng Profibus PA. Tùy chọn và lên tương thích

phần mở rộng đã được thêm vào Profibus DP. Phiên bản mở rộng là

ký hiệu là Profibus-DPV1 và bao gồm chẩn đoán, tin nhắn báo động,

và tham số.

Diễn biến của SCADA giao thức 61

■ ■ Profibus Fieldbus tin nhắn Đặc điểm kỹ thuật (FMS): phát triển để hỗ trợ một số lượng lớn các ứng

dụng và mối liên kết mạng lưới cấp cao hơn giữa các ứng dụng với tốc độ truyền tải trung bình. Nó cung

cấp một

lựa chọn các chức năng và, nói chung, phức tạp hơn để

thực hiện hơn Profibus PA hoặc Profibus DP. Ba phiên bản Profibus

với các đặc tính chính của họ được đưa ra trong hình 3-13.

Hình 3-14 minh họa kiến trúc truyền thông của các phiên bản Profibus và cho thấy mối quan hệ của họ

trong mô hình OSI bảy lớp.

Hình 3-13 phiên bản Profibus

Hình 3-14 Profibus FMS, DP, PA và các giao thức lớp

TẦNG ÁP DỤNG

THÔNG ĐIỆP Fieldbus

Thông số kỹ thuật (FMS)

TẦNG ÁP DỤNG

KHÔNG SỬ DỤNG

TẦNG ÁP DỤNG

KHÔNG SỬ DỤNG

TẦNG VẬT LÝ

IEC 61.158-2

TẦNG VẬT LÝ

EIA-485, FIBER

Quang, RADIO

WAVES

TẦNG VẬT LÝ

EIA-485, FIBER

Quang, RADIO

WAVES

Người sử dụng lớp PA

Hồ sơ thiết bị PA,

DP chức năng cơ bản,

Mở rộng DP

PA ỨNG DỤNG ỨNG DỤNG DP FMS ỨNG DỤNG

Người sử dụng lớp DP

Hồ sơ thiết bị DP,

DP chức năng cơ bản,

Mở rộng DP

Lớp FMS người sử dụng

Hồ sơ FMS thiết bị

Data Link Layer

IEC Giao diện

Data Link Layer

DỮ LIỆU LINK Fieldbus Fieldbus DỮ LIỆU LINK

Data Link Layer

An toàn nội tại,

Đáng tin cậy,

Xe buýt Powered,

Quá trình

Ứng dụng

Profibus PA

Tốc độ cao,

Phân cấp

Ứng dụng

Profibus DP

Chung

Tự động hóa,

Số lớn

các ứng dụng

Profibus FMS

62 Chương 3

Trong hình 3-14, các lớp vật lý sử dụng hoặc tiêu chuẩn EIA-485 hoặc IEC

61.158-2 tiêu chuẩn. Nếu muốn, tất cả ba phiên bản Profibus có thể sử dụng cùng một xe buýt

dòng nếu họ sử dụng EIA-485 trong lớp vật lý. Tuy nhiên, nếu ứng dụng

yêu cầu mạch an toàn nội, IEC 61.158-2 phải được sử dụng. EIA-485 cung cấp tốc độ truyền tải 9,6-1200

Kbps trong khi IEC 61.158-2 hoạt động ở

31.25 Kbps.

Các hệ lụy an ninh của các Nghị định thư SCADA

Hầu hết các mạng, bao gồm cả các mạng SCADA, có một số an ninh chung

các vấn đề và điều khiển tương ứng. Một yếu tố quan trọng đối với hệ thống SCADA

mạng là họ không có đủ khả năng chậm trễ không xác định, cơ chế bảo mật đòi hỏi dung lượng bộ nhớ

lớn, khóa ra khỏi nhà điều hành, và thời gian xử l{ tương đối dài. Tuy nhiên, một số bảo mật cơ bản

các biện pháp có sẵn cho hệ thống SCADA cũng tương tự như sử dụng cho OSI và

TCP / IP kiến trúc lớp. Mạng lưới thực hành tốt nhất bao gồm bảo vệ

bảo mật, tính toàn vẹn, tính sẵn có (CIA) dữ liệu cùng với việc cung cấp việc chống chối bỏ, xác thực, và

dịch vụ truy cập.

Tường lửa

Một yếu tố an ninh quan trọng của bảo vệ được yêu cầu của bất kz mạng kết nối

với một mạng không đáng tin cậy, chẳng hạn như Internet, là một bức tường lửa. Một bức tường lửa

cung cấp

bảo vệ chống lại virus, sâu và các loại mã độc hại cũng như

khỏi sự xâm nhập mạng. Một vấn đề với tường lửa được áp dụng cho các hệ thống SCADA là

rằng hầu hết các bức tường lửa không hỗ trợ xử lý giao thức SCADA. Tình trạng này đang được nghiên

cứu bởi một số tổ chức và một số bức tường lửa SCADAaware đang được phát triển.

Một cấu hình mạng điển hình sử dụng một bức tường lửa giữa một bên

LAN và Internet được đưa ra trong hình 3-15.

Ba loại phổ biến của bức tường lửa là bức tường lửa lọc gói, trạng thái

tường lửa kiểm tra, và tường lửa proxy.

Gói lọc tường lửa

Một bức tường lửa lọc gói hoạt động ở lớp 3, lớp mạng, của OSI

mô hình và sử dụng các tiêu chí lọc để quyết định có cho phép hoặc từ chối các gói

nhập vào mạng nội bộ. Các bộ phận của gói tin được kiểm tra là

địa chỉ IP nguồn, địa chỉ IP đích, và các giao thức Internet thực hiện bởi các gói tin.

Diễn biến của SCADA giao thức 63

Hình 3-15 việc làm Firewall

Bằng cách kiểm tra địa chỉ IP nguồn của gói tin gửi đến, một gói tin lọc

tường lửa có thể ngăn chặn các gói tin IP từ các nguồn không mong muốn, chẳng hạn như các máy chủ

không đáng tin cậy,

các nhà quảng cáo, bưu phẩm và thư rác. Lọc dựa trên các tập tin cơ sở dữ liệu được biết đến

như danh sách kiểm soát truy cập (ACL) được lưu trữ bởi các bức tường lửa.

Bằng cách sử dụng bộ tương tự như các quy tắc, một bức tường lửa lọc gói có thể ngăn cấm giao thông

từ được gửi đến một địa chỉ IP đích nội bộ. Hành động này có thể ngăn ngừa

các thư được gửi đến máy tính chứa thông tin rất phân loại và giảm số lượng các tin nhắn được gửi đến

máy chủ cụ thể.

Một bộ lọc thứ ba là dựa vào kiểm tra các giao thức Internet thực hiện bởi các

gói. Một số các giao thức được kiểm tra là giao thức Internet thông thường

(IP), địa chỉ giao thức phân giải (ARP), đảo ngược địa chỉ giao thức phân giải

(RARP), giao thức điều khiển truyền dẫn (TCP), sử dụng giao thức gói tin (UDP),

và giao thức nhắn tin kiểm soát Internet (ICMP). Tường lửa có thể ngăn chặn các gói tin với giao thức cụ

thể xâm nhập vào mạng lưới đáng tin cậy.

Tường lửa

Internet

64 Chương 3

Stateful Inspection Firewall

Một trạng thái các cửa hàng kiểm tra tường lửa và duy trì thông tin từ một gói đi vào trong một bảng

trạng thái bộ nhớ động. Các bảng lưu trữ các nguồn và

thông tin kết nối điểm đến kết hợp với các quy tắc gói và sử dụng để

xác định các thông tin liên lạc nên được cho phép để tiến hành. Liên quan

Thông tin bao gồm địa chỉ đích và cổng và địa chỉ nguồn

và cổng. Bởi vì tốc độ hoạt động của tường lửa kiểm tra trạng thái là

xác định bởi thời gian cần để thực hiện một cuộc kiểm tra chi tiết hơn về

nhà nước gói và số lượng kết nối xử lý, xếp hàng chậm trễ might

xảy ra mà có thể gây bất lợi cho hoạt động của một hệ thống SCADA.

Proxy Firewall

Proxy hoặc tường lửa lớp ứng dụng hoạt động ở lớp 7 của mô hình OSI. Trong

từ điển, một proxy được định nghĩa là một người được ủy quyền cho người khác; một

đại lý hoặc thay thế. Như vậy, phần mềm proxy có thể được đặt giữa một người sử dụng và một

máy chủ để che giấu danh tính của người sử dụng. Các máy chủ proxy và thấy có thể không

xác định người sử dụng. Kịch bản cũng đúng trong tình hình ngược lại nơi

người sử dụng tương tác với phần mềm proxy ở phía trước của máy chủ và không thể xác định được

máy chủ hoặc mạng liên quan của nó. Một bức tường lửa proxy là hiệu quả trong việc che chắn một

mạng lưới từ một mạng lưới bên ngoài không đáng tin cậy, chẳng hạn như Internet.

Khu phi quân sự

Tường lửa có thể được sử dụng để thực hiện các kiến trúc an ninh mạng có

hiệu quả cho hệ thống SCADA. Các kiến trúc dựa trên khái niệm về

một khu phi quân sự DMZ hay. Một DMZ là khu vực cung cấp một sự tách biệt

giữa một mạng bên ngoài hoặc công cộng và mạng nội bộ hoặc tư nhân. Trong

để cho một bức tường lửa để hỗ trợ một DMZ, nó phải có nhiều giao diện bên ngoài

và danh sách kiểm soát truy cập tương ứng khi cần thiết. Khác nhau

kiến trúc sử dụng DMZs, nhưng có hai mà đặc biệt áp dụng đối với

thu thập dữ liệu và kiểm soát môi trường. Những kiến trúc là một đơn

tường lửa DMZ và tường lửa DMZ kép. Họ có thể phục vụ mục đích tách một mạng doanh nghiệp của

công ty từ mạng kiểm soát trong khi cung cấp một kết nối cho cả một mạng công cộng như Internet.

Diễn biến của SCADA giao thức 65

Đơn Firewall DMZ

Trong một bức tường lửa DMZ duy nhất, một bức tường lửa được sử dụng để lọc các gói dữ liệu từ, cho

Ví dụ, một mạng doanh nghiệp với mạng kiểm soát của địa phương và từ một mạng bên ngoài. DMZ

chứa các yếu tố đó phải được truy cập bởi các

máy tính doanh nghiệp cũng như kết nối với bên ngoài, mạng công cộng.

Kiến trúc này được thể hiện trong hình 3-16.

Vì không có bức tường lửa giữa DMZ và kiểm soát mạng lưới, mạng lưới kiểm soát là khả năng dễ bị tổn

thương nếu DMZ bị xuyên thủng bởi một cuộc tấn công

từ mạng bên ngoài hoặc thông qua các mạng doanh nghiệp.

Hai Firewall DMZ

An ninh của một mạng SCADA có thể được tăng lên bằng cách thêm một tường lửa thứ hai giữa mạng

kiểm soát và DMZ. Sự sắp xếp này thực hiện một bức tường lửa DMZ kép. Xem hình 3-17.

Nội quy chung cho các dịch vụ khác nhau Firewall

Bởi vì các yêu cầu nghiêm ngặt của hệ thống SCADA liên quan đến thời gian, sẵn sàng, và xử lý dữ liệu

với, quy tắc tường lửa phải được thiết kế riêng cho

giao thức khác nhau và các dịch vụ mạng. Hiệp hội công nghiệp tự động hóa mở mạng (IAONA) phát

triển hướng dẫn giao thức (Các IAONA

Sổ tay cho mạng Security-Draft/RFC v0.4, Magdeburg, Đức, 2003) cho

dịch vụ mạng phù hợp với đặc điểm hệ thống SCADA độc đáo. Những hướng dẫn cho truyền thông với

các hệ thống SCADA được tóm tắt trong Bảng 3-6. Các dịch vụ được cung cấp bởi các giao thức được

tóm tắt trong

Bảng 3-3 và 3-5.

66 Chương 3

Hình 3-16 đơn tường lửa DMZ cho SCADA

Tường lửa

Internet

Bộ định tuyến nội bộ hoặc chuyển đổi

Bộ định tuyến nội bộ hoặc chuyển đổi

DOANH MẠNG

KIỂM SOÁT MẠNG

Quá trình

thông tin

cơ sở dữ liệu

PLC RTU

DMZ

Diễn biến của SCADA giao thức 67

Hình 3-17 tường lửa kép DMZ cho SCADA

Tường lửa

Internet

Bộ định tuyến nội bộ hoặc chuyển đổi

Tường lửa

Bộ định tuyến nội bộ hoặc chuyển đổi

DOANH MẠNG

KIỂM SOÁT MẠNG

Quá trình

thông tin

cơ sở dữ liệu

PLC RTU

DMZ

68 Chương 3

Bảng 3-6 Firewall Rules Nghị định thư cho các dịch vụ khác nhau để hệ thống SCADA

Nghị định thư Quy tắc

File Transfer Protocol (FTP) FTP cho phép trên chỉ thông tin liên lạc ra bên ngoài.

Nên sử dụng một mã hóa đường hầm VPN và

mã thông báo thẩm định dựa trên hai yếu tố. Du lịch trong nước

thông tin liên lạc không được phép.

Trivial File Transfer TFTP không được phép.

Protocol (TFTP)

Mail Transfer đơn giản đi các tin nhắn e-mail cho phép; trong nước

Nghị định thư (SMTP) e-mail bị chặn.

Thông tin liên lạc telnet đi nên sử dụng một

mã hóa VPN đường hầm với các thiết bị được biết đến. Du lịch trong nước

thông tin liên lạc nên sử dụng một VPN được mã hóa

đường hầm và xác thực hai yếu tố thẻ của.

HyperText Transfer truyền thông Du lịch trong nước không được phép

Giao thức (HTTP) trừ khi cần thiết. Nếu cần thiết, HTTP nên được sử dụng

với các ổ cắm lớp an toàn (SSL)

(HTTP / S). SSL cung cấp mã hóa và

khả năng xác thực. Thông tin liên lạc từ

doanh nghiệp nên được cấu hình trong các bức tường lửa

để ngăn chặn Java và các kịch bản khác.

Đơn giản thông tin liên lạc quản lý mạng SNMP không được phép

Protocol (SNMP) trừ khi thực hiện trên một mạng lưới an toàn khác nhau.

SCADA và công nghiệp vì an ninh không được xem xét trong thiết kế

Giao thức của các giao thức, thông tin liên lạc nên được

bị cấm đến và đi từ các mạng doanh nghiệp và

giới hạn trong mạng điều khiển quá trình và có liên quan

mạng thông tin điều khiển quá trình.

Mạng riêng ảo

Một mạng riêng ảo VPN hoặc là một giải pháp có hiệu quả cao để truyền

dữ liệu một cách an toàn qua mạng Internet hoặc một mạng diện rộng. Một VPN được cho là tạo ra

một bảo đảm tunnelin một mạng không tin cậy và thông qua tường lửa, thông qua đó

dữ liệu nhạy cảm có thể được truyền đi.

Đường hầm được tạo ra bởi việc đóng gói, hoặc bằng cách đóng gói và mã hóa,

các dữ liệu và sau đó truyền nó qua mạng. Thông thường, dữ liệu được đóng gói bằng cách thêm một

tiêu đề và sau đó mã hóa trước khi được truyền đi. Một VPN

kết nối một cách an toàn hai mạng được minh họa trong hình 3-18.

Diễn biến của SCADA giao thức 69

Hình 3-18 VPN giữa hai mạng

Internet

Tường lửa

Máy chủ VPN

Máy chủ VPN

Tường lửa

Đường hầm

70 Chương 3

Tóm tắt

Các giao thức hỗ trợ thu thập dữ liệu thời gian thực và kiểm soát sản xuất

và các ứng dụng điều khiển quá trình đã bắt đầu như giải pháp độc quyền được cung cấp bởi

các nhà sản xuất thiết bị điều khiển. Các giao thức và thông tin liên lạc liên quan đến xe bu{t đáp ứng

được nhu cầu của người sử dụng và đã được áp dụng rộng rãi. Các bước tiếp theo trong

sự phát triển của giao thức SCADA là sự phát triển của chuẩn mở

giao thức và áp dụng công nghệ Ethernet và Internet. Với những

thay đổi, đặc biệt là việc sử dụng các yếu tố kiến trúc và kết nối Internet để truyền và nhận dữ liệu liên

quan đến hệ thống SCADA, an ninh

vấn đề bây giờ là mối quan tâm. Sử dụng hợp lý các giao thức kết hợp với hệ thống SCADA

thiết bị an ninh mạng như tường lửa có thể cung cấp người dùng với SCADA

an toàn, hiệu quả, và các phương tiện truyền thông hiệu quả