giao thuc scada
TRANSCRIPT
Diễn biến của
Giao thức SCADA
Để cho hai hoặc nhiều đơn vị để giao tiếp, họ phải nói như vậy
ngôn ngữ (giao thức) và tuân thủ các quy tắc nhất định để bắt đầu, tiến hành, và
kết thúc truyền thông. Chương này đánh giá các giao thức phổ biến nhất
để giao tiếp thông tin qua mạng như Internet và
tìm hiểu giao thức độc quyền và mở thiết kế đặc biệt để sử dụng trong
Hệ thống SCADA.
Sự phát triển của giao thức SCADA
Giao thức SCADA phát triển ra khỏi sự cần thiết để gửi và nhận dữ liệu và kiểm soát
thông tin tại địa phương và trên một khoảng cách trong thời gian xác định. Deterministicin
bối cảnh này đề cập đến khả năng dự đoán số lượng thời gian cần thiết cho một
giao dịch sẽ diễn ra khi tất cả các yếu tố liên quan được biết và hiểu rõ.
Để thực hiện truyền thông trong thời gian xác định cho các ứng dụng trong nhà máy lọc dầu, công ty
điện lực, và người sử dụng khác của các hệ thống SCADA, các nhà sản xuất thiết bị điều khiển, chẳng hạn
như PLC, phát triển giao thức và thông tin liên lạc của mình
cấu trúc bus. Bảng 3-1 tóm tắt một số các nhà sản xuất và họ
các giao thức tương ứng.
Diễn biến của
Giao thức SCADA
CHƯƠNG
3
Bảng 3-1 Các giao thức SCADA
SẢN XUẤT PROTOCOL
Allen Bradley (Rockwell) DeviceNet, ControNet, DF1, dữ liệu đường cao tốc +,
Dữ liệu quốc lộ 485
Siemens Profibus
Modicon MODBUS, MODBUS Plus, MODBUS TCP / IP
Nhiều người trong số các giao thức này là độc quyền. Trong những năm 1990, kiểm soát ngành công
nghiệp
nhóm và các tổ chức tiêu chuẩn bắt đầu phát triển các giao thức mở cho các hệ thống điều khiển sẽ
nonproprietary và không độc quyền cho một nhà sản xuất. Sau đó, khi Internet trở nên phổ biến, các
công ty đã tìm cách tiến
lợi dụng các giao thức và các công cụ phát triển cho Internet, chẳng hạn như
TCP / IP gia đình của các giao thức và các trình duyệt Internet. Ngoài ra, các nhà sản xuất
và các tổ chức tiêu chuẩn mở sửa đổi rất phổ biến và hiệu quả
Công nghệ Ethernet LAN để sử dụng trong việc thực hiện thu thập dữ liệu và kiểm soát các mạng cục bộ.
Công nghệ nền tảng của các Nghị định thư SCADA
Để cho bất kz đơn vị để giao tiếp, một giao thức để truyền thông
đã được thành lập. Một giao thức định nghĩa các định dạng của các thông điệp và
quy tắc cho việc trao đổi các thông điệp.
Mô hình cao cấp được sử dụng để xác định nơi mà các giao thức được áp dụng và
compartmentalize các chức năng cần thiết để gửi và nhận tin nhắn. Các
mô hình kiến trúc lớp đã được áp dụng rộng rãi và rất hiệu quả. Trong
mô hình này, các yếu tố cần thiết cho giao tiếp được chia thành các lớp
với giao diện được xác định giữa mỗi lớp. Hai trong số các mô hình tham chiếu thông tin liên lạc lớp sử
dụng rộng rãi nhất là hệ thống mở kết nối
(OSI) mô hình và giao thức giao thức điều khiển truyền dẫn / Internet (TCP / IP)
mô hình.
Tổng quan về mô hình OSI
Các hệ thống kết nối mở (OSI) mô hình tham chiếu được phát triển bởi
Tổ chức Tiêu chuẩn Quốc tế (ISO) vào đầu những năm 1980.
Trong mô hình này, các dữ liệu từ một lớp cấp cao hơn được đóng gói bởi tiếp theo
lớp thấp hơn như nó được thông qua từ lớp dưới cao hơn để. Ví dụ, một
gói dữ liệu từ một cấp cao hơn sẽ được đóng gói bởi các lớp thấp hơn tiếp theo
bằng cách thêm thông tin tiêu đề xung quanh các gói dữ liệu. Hình 3-1 minh họa một
quá trình đóng gói cơ bản.
44 Chương 3
Hình 3-1 Đóng gói
Các lớp mô hình OSI được mô tả trong hình 3-2.
Hình 3-2 Bảy lớp của mô hình OSI
Lớp 7
ÁP DỤNG
Lớp 6
TRÌNH BÀY
Lớp 5
PHẦN
Lớp 4
VẬN TẢI
Lớp 3
MẠNG
Lớp 2
DỮ LIỆU LINK
Lớp 1
THỂ
Dữ liệu
Dữ liệu tiêu đề
Dữ liệu tiêu đề tiêu đề lớp N-2
Lớp N
Lớp N-1
Diễn biến của SCADA giao thức 45
Trong mô hình OSI, lớp ứng dụng, lớp 7, là giao diện cho người dùng.
Dữ liệu đi qua các mô hình giảm từ lớp 7 đến lớp 1, nơi một tin nhắn
gói tin được truyền qua một môi trường như một dây hoặc cáp quang như
xung điện hoặc quang học, tương ứng. Ngày kết thúc nhận, thủ tục ngược lại diễn ra, với gói tin đi qua
các mô hình từ lớp 1
lên đến lớp 7. Như đã thảo luận trước đó, các dữ liệu được đóng gói khi nó di chuyển
xuống thông qua các lớp mô hình tại nút phát. Khi nhận
nút, đóng gói được tước từ các tin nhắn vì nó hoạt động theo cách của nó lên đến
lớp 7.
Bảng 3-2 tóm tắt các chức năng thực hiện trong mỗi lớp của OSI
mô hình.
Bảng 3-2 Chức năng của Mô hình OSI Layers
CHỨC NĂNG TẦNG
7 ứng dụng Lớp ứng dụng là lớp cấp cao nhất trong mô hình OSI. Nó
thực hiện kiểm soát lưu lượng mạng và hỗ trợ ứng dụng chức năng.
Điều này khẳng định rằng người nhận dự định (mục tiêu của
thông tin liên lạc) có sẵn.
6 Trình bày lớp trình bày thực hiện chuyển đổi và bản dịch
lớp ứng dụng. Nó cũng thực hiện mã hóa, giải mã, và
hoạt động nén. Ví dụ, lớp này chuyển dữ liệu
mã hóa trong Luật Tiêu chuẩn Mỹ trao đổi thông tin
(ASCII) và mở rộng Binary Coded Decimal Interchange
Mã (EBCDIC).
5-Session Các tầng phiên thiết lập và chạy phiên mạng.
Cụ thể, lớp này thiết lập các thông tin liên lạc mong muốn
kết nối, quản lý việc truyền dữ liệu trong phiên,
và phát hành kết nối. Tầng phiên hỗ trợ simplex,
bán song công, và thông tin liên lạc song công.
4-Giao thông vận tải Các lớp truyền tải là hướng kết nối trong đó một viện
kết nối hợp lý giữa các nút truyền và nhận.
Lớp này thiết lập toàn vẹn end-to-end của truyền thông
phiên và đảm bảo rằng dữ liệu sẽ được chuyển giao cho
nhận máy chủ.
3 mạng Lớp mạng thực hiện định tuyến, địa chỉ, phát hiện lỗi,
và nút điều khiển giao thông.
2-Data Link Lớp liên kết dữ liệu bao gồm hai lớp con, việc tiếp cận phương tiện truyền thông
kiểm soát (MAC) và điều khiển liên kết logic lớp con, và chịu trách nhiệm
cho truyền lỗi của gói tin. Lớp này chuyển đổi gói tin
vào hình thức chút để chuẩn bị cho truyền tải và quản lý
dữ liệu khung giữa các lớp vật lý và mạng lưới.
46 Chương 3
Bảng 3-2 (tiếp theo)
CHỨC NĂNG TẦNG
Các lớp vật lý 1-vật lý kết nối máy tính vào mạng vật lý
phương tiện truyền thông truyền tải. Như vậy, nó có trách nhiệm chuyển đổi
dữ liệu gói với các tín hiệu điện hoặc xung quang và cũng định nghĩa
các giao diện điện và cơ khí vào mạng. EIA-232
và thông số kỹ thuật EIA-422 là những ví dụ tiêu chuẩn như vậy
giao diện.
Mỗi lớp trong mô hình OSI sử dụng giao thức cụ thể để thực hiện chức năng của mình. Bảng 3-3 cung
cấp các ví dụ về một số các giao thức liên quan
mỗi lớp.
Bảng 3-3 OSI Giao thức
Giao thức lớp
7 ứng dụng FTP (giao thức truyền file): Hỗ trợ chuyển các tập tin giữa
máy tính.
SMTP (mail đơn giản giao thức vận chuyển): Hỗ trợ việc gửi và
nhận tin nhắn e-mail.
SNMP (giao thức quản lý mạng đơn giản): Thu thập mạng
thông tin và trình bày nó để nối mạng quản lý game.
6 Trình bày HTTP (giao thức truyền siêu văn bản): Các giao thức được sử dụng bởi các
World Wide Web (WWW). HTTP là một giao thức không quốc tịch ở chỗ nó
thực hiện lệnh của nó mà không cần bất kz kiến thức về trạng thái trước đó
và bất kz trước đây thực hiện lệnh. HTTP xác định
định dạng để truyền thông điệp và cách phản ứng với các trình duyệt
hướng dẫn.
JPEG (Photographic Experts phần Tập đoàn): Một tiêu chuẩn được xác định cho
đồ họa.
MPEG (Motion Pictures Experts Group): Tiêu chuẩn mã hóa và
nén video hình ảnh chuyển động.
5 phiên RPC (Remote Procedure Call): Trong mô hình client-server, một
giao thức hỗ trợ một yêu cầu dịch vụ từ một máy tính
trên mạng từ một máy tính khác trên mạng.
NFS (hệ thống tập tin mạng): Hỗ trợ chia sẻ file
4-Giao thông vận tải TCP (Transmission Control Protocol): Cung cấp các dòng theo định hướng,
kết nối đáng tin cậy, sửa lỗi, và kiểm soát dòng chảy, mà
ngăn chặn lỗi tràn bộ đệm.
UDP (sử dụng giao thức gói tin): Không giống như TCP, UDP không thực hiện
sửa lỗi; UDP cung cấp tin nhắn trong một cơ sở tốt nhất nỗ lực.
(Tiếp theo)
Diễn biến của SCADA giao thức 47
Bảng 3-3 (tiếp theo)
Giao thức lớp
3 mạng IP (giao thức Internet): Gán địa chỉ IP của người gửi và người
người nhận để các gói dữ liệu được sử dụng trong việc định tuyến thông điệp đến
thu dự kiến. IP không đảm bảo cung cấp đáng tin cậy của
gói dữ liệu.
ICMP (kiểm soát Internet thông điệp giao thức): Một quản lý
giao thức được sử dụng để xác định đường lây truyền từ một nguồn tới
một máy chủ đích và để kiểm tra sự sẵn có của một máy chủ để nhận được
tin nhắn. Một trong những tiện ích ICMP PING, được sử dụng để
kiểm tra kết nối của máy chủ mạng.
2-liên kết dữ liệu ARP (giao thức phân giải địa chỉ): Xác định các phần cứng MAC
địa chỉ của một máy chủ đích từ địa chỉ IP của nó.
PPP (giao thức điểm-điểm): Một full-duplex, đóng gói
giao thức IP để gửi tin nhắn trên point-to-point.
1-Vật lý EIA-422-B (RS-422): tiêu chuẩn Hiệp hội doanh nghiệp điện tử
xác định các đặc tính điện của một giao diện cân bằng
mạch được thiết kế cho chế độ chung chống nhiễu cao
và tốc độ dữ liệu ít hơn 0,5 Mbps.
EIA-232C (RS-232C): tiêu chuẩn Hiệp hội doanh nghiệp điện tử
cho nối tiếp trao đổi dữ liệu nhị phân.
Tổng quan về mô hình TCP / IP
Giao thức giao thức điều khiển truyền dẫn / Internet (TCP / IP) đã được phát triển
trong những năm 1970 của Bộ Quốc phòng Mỹ để thực hiện mạng đáng tin cậy
thông tin liên lạc. Quyền hạn TCP / IP Internet và khả năng khác nhau của Internet dựa trên giao thức
TCP / IP.
Mô hình OSI được phát triển sau khi TCP / IP, nhưng nó đã cố gắng để duy trì
một số điểm tương đồng với mô hình TCP / IP. Bốn lớp TCP / IP được minh họa
trong Hình 3-3 và chức năng của họ được đưa ra trong Bảng 3-4.
Kiến trúc Hình 3-3 Các giao thức TCP / IP lớp
Lớp 4
ÁP DỤNG
Lớp 3
HOST-TO-HOST hoặc VẬN TẢI
Lớp 2
INTERNET
Lớp 1
TRUY CẬP MẠNG
48 Chương 3
Bảng 3-4 Chức năng của giao thức TCP / IP Mô hình lớp
CHỨC NĂNG TẦNG
4 ứng dụng như trong các lớp mô hình OSI 7, lớp ứng dụng là giao diện
cho người sử dụng. Nó hỗ trợ các ứng dụng mạng sử dụng và
thực hiện điều khiển luồng và phục hồi lỗi.
3-Host-to-Host Lớp host-to-host lắp ráp dữ liệu trong các gói tin, cung cấp cho
hoặc Giao thông vận tải hướng kết nối end-to-end truyền thông, hỗ trợ errorfree và giao hàng đáng tin
cậy của các gói tin, và kiểm soát
mạng dữ liệu dòng chảy.
2-Internet lớp Internet thực hiện định tuyến và giải quyết.
1-Mạng Lớp truy cập mạng bao gồm các chức năng của liên kết dữ liệu
Truy cập và vật lý lớp của mô hình OSI. Nó chuyển đổi các gói tin vào bit
để truyền trên các phương tiện vật lý và chịu trách nhiệm
giao hàng lỗi của khung hình.
Các lớp TCP / IP cũng kết hợp các giao thức để thực hiện các chức năng của các lớp. Ví dụ về các giao
thức được liệt kê trong bảng 3-5.
Giao thức bảng 3-5 TCP / IP
Giao thức lớp
4 ứng dụng FTP (giao thức truyền file): Hỗ trợ chuyển các tập tin giữa
máy tính.
SMTP (mail đơn giản giao thức vận chuyển): Hỗ trợ việc gửi và
nhận tin nhắn e-mail.
SNMP (giao thức quản lý mạng đơn giản): Thu thập mạng
thông tin và trình bày nó để nối mạng quản lý game.
Telnet: Sử dụng mô phỏng terminal, Telnet cung cấp một khách hàng với
khả năng truy cập vào một máy tính từ xa.
3-Host-to-Host TCP (giao thức điều khiển truyền dẫn): Cung cấp các dòng theo định hướng,
Giao thông vận tải hoặc các kết nối đáng tin cậy, sửa lỗi, và kiểm soát dòng chảy, mà
ngăn chặn lỗi tràn bộ đệm.
UDP (sử dụng giao thức gói tin): Không giống như TCP, UDP không thực hiện
sửa lỗi và cung cấp các tin nhắn trên cơ sở nỗ lực tốt nhất.
IP 2-Internet (giao thức Internet): Gán địa chỉ IP của người gửi và người
người nhận để các gói dữ liệu được sử dụng trong định tuyến các thông điệp tới nó
nhận định. IP không đảm bảo cung cấp đáng tin cậy của dữ liệu
gói tin.
ICMP (kiểm soát Internet thông điệp giao thức): Một quản lý
giao thức được sử dụng để xác định đường lây truyền từ một nguồn tới
một máy chủ đích và để kiểm tra sự sẵn có của một máy chủ để nhận được
tin nhắn. Một trong những tiện ích ICMP PING, được sử dụng để
kiểm tra kết nối của máy chủ mạng.
(Tiếp theo)
Diễn biến của SCADA giao thức 49
Bảng 3-5 (tiếp theo)
Giao thức lớp
2-Internet ARP (giao thức phân giải địa chỉ): Xác định các phần cứng MAC
địa chỉ của một máy chủ đích từ địa chỉ IP của nó.
PPP (giao thức điểm-điểm): Một full-duplex, đóng gói
giao thức IP để gửi tin nhắn trên point-to-point.
1-mạng IEEE 802.2 Logical Link Control: Quản lý thông tin liên lạc liên kết dữ liệu
Truy cập giữa các thiết bị và thực hiện kiểm tra trên khung nhận lỗi.
EIA-422-B (RS-422): tiêu chuẩn Hiệp hội doanh nghiệp điện tử
xác định các đặc tính điện của một giao diện cân bằng
mạch được thiết kế để cho chế độ chung chống nhiễu cao
và tốc độ dữ liệu ít hơn 0,5 Mbps.
EIA-232C (RS-232C): tiêu chuẩn Hiệp hội doanh nghiệp điện tử
cho nối tiếp trao đổi dữ liệu nhị phân.
Sử dụng nền tảng này trên các mô hình lớp và các giao thức liên quan, chúng tôi
bây giờ có thể khám phá các mô hình SCADA có liên quan và các giao thức trong những điều sau đây
phần.
Giao thức SCADA
Các giao thức hệ thống SCADA tiến hóa từ phần cứng đắn và phần mềm
thiết kế đặc biệt cho các hệ thống SCADA. Các giao thức được phát triển ra
cần thiết để phục vụ cho thị trường đang phát triển cho các ứng dụng máy tính trong các tình huống
kiểm soát thời gian thực. Sau đó, trong một nỗ lực để tận dụng lợi thế của mạng mới
phát triển, các giao thức SCADA tích hợp phiên bản của Internet và địa phương
công nghệ mạng. Động thái này dẫn đến một số tiêu chuẩn, nhưng cũng
tiếp xúc với hệ thống SCADA các cuộc tấn công thường được sử dụng chống lại các công nghệ
trong môi trường CNTT.
MODBUS mẫu
Trong cuối những năm 1970, Modicon, Incorporated, phát triển giao thức MODBUS.
MODBUS là vị trí trong lớp 7 (lớp ứng dụng của mô hình OSI) và
hỗ trợ thông tin liên lạc client-server trong PLC Modicon và các thiết bị nối mạng khác. Giao thức
MODBUS xác định phương pháp cho một PLC
được truy cập vào một PLC, một PLC để đáp ứng với các thiết bị khác, và các phương tiện
phát hiện và báo cáo lỗi. Các giao thức hỗ trợ giao thức khác như
như không đồng bộ truyền master-slave, Modicon MODBUS Plus, và
Ethernet. Để tận dụng lợi thế của các công cụ hỗ trợ, phần cứng, và
50 Chương 3
phần mềm được sử dụng cho Internet, MODBUS / TCP cũng được phát triển. Nó
quá được dựa trên mô hình OSI, mặc dù không phải tất cả các lớp được sử dụng. Các lớp thông tin liên
lạc trong những triển khai giao thức MODBUS khác nhau được đưa ra trong
Hình 3-4.
Một giao dịch MODBUS điển hình bao gồm các bước sau:
1. Các giao thức ứng dụng MODBUS bộ dạng của một khách hàng khởi xướng
yêu cầu.
2. Mã chức năng trong một đơn vị dữ liệu MODBUS, như các gói tin được gọi là,
chỉ đạo các máy chủ để thực hiện một hành động cụ thể.
3. Một trường dữ liệu trong thông báo cung cấp thêm thông tin được sử dụng bởi các
máy chủ để thực hiện hành động được yêu cầu.
4. Nếu không có lỗi trong việc trao đổi, máy chủ hoàn thành
yêu cầu hành động, điển hình là việc gửi dữ liệu trở lại cho khách hàng.
5. Nếu lỗi xảy ra, máy chủ đọc một mã số ngoại lệ trong các đơn vị dữ liệu
xác định các hành động tiếp theo sẽ được thực hiện.
Hình 3-4 lớp truyền thông MODBUS
THIẾT BỊ SỬ DỤNG HỒ SƠ
(Van, ổ đĩa AC, Bộ điều khiển, vv)
ÁP DỤNG
Ứng dụng MODBUS Nghị định thư
MODBUS
Thêm
MODBUS
TCP
THỂ
Ethernet
VẬN TẢI
Truyền
Kiểm soát
Nghị định thư
MẠNG
Internet
Nghị định thư
DỮ LIỆU LINK
Ethernet
802.2, 802.3
Nối tiếp
Master / Slave
THỂ
Ethernet
THỂ
EIA-232-F
EIA-485-A
Diễn biến của SCADA giao thức 51
Nghị định thư DNP3
DNP3 là một giao thức SCADA mở được sử dụng cho giao tiếp nối tiếp hoặc IP
giữa các thiết bị kiểm soát. Nó được sử dụng rộng rãi bởi các tiện ích như các công ty nước
và nhà cung cấp điện cho việc trao đổi dữ liệu và kiểm soát hướng dẫn
giữa các đài mastercontrol và máy tính từ xa hoặc điều khiển được gọi là outstations. Lệnh điển hình do
trạm kiểm soát tổng thể là "mở một
van "," bắt đầu một động cơ ", và" cung cấp dữ liệu về một trạm kiểm soát đặc biệt. "Các
trạm kiểm soát tổng thể cũng có thể cung cấp tín hiệu đầu ra tương tự với outstation.
Một outstation cung cấp các trạm kiểm soát tổng thể với các thông tin như
áp lực, trạng thái của một cầu dao hoặc recloser, tín hiệu tương tự đại diện
các hạng mục như nhiệt độ hay sức mạnh, và các tập tin thông tin.
DNP3 cũng đã thích nghi với công nghệ Internet bằng cách sử dụng giao thức TCP / IP cho
trao đổi thông điệp DNP3. Một TCP / IP kiến trúc lớp DNP3 điển hình
cho thấy việc trao đổi dữ liệu giữa một trạm kiểm soát tổng thể và outstation
được đưa ra trong hình 3-5.
Trao đổi dữ liệu Hình 3-5 DNP3 TCP / IP
Outstation
THIẾT BỊ USER
HỒ SƠ VÀ SỬ DỤNG
Mã
(Van, ổ đĩa AC,
Bộ điều khiển, vv)
ÁP DỤNG
DNP3
DỮ LIỆU LINK
DNPS
THỂ
(Thông thường EIA-232 hoặc EIA-485)
DNP
PSEUDOTRANSPORT
Điều khiển truyền
Nghị định thư
Master
THIẾT BỊ USER
HỒ SƠ VÀ SỬ DỤNG
Mã
(Van, ổ đĩa AC,
Bộ điều khiển, vv)
ÁP DỤNG
DNP3
DỮ LIỆU LINK
DNPS
THỂ
(Thông thường EIA-232 hoặc EIA-485)
DNP
PSEUDOTRANSPORT
Điều khiển truyền
Nghị định thư
52 Chương 3
Một khung DNP3 bao gồm một tiêu đề và dữ liệu. Tiêu đề bao gồm các
sau đây:
■ ■ địa chỉ thiết bị nguồn DNP3
■ ■ địa chỉ thiết bị đích DNP3
■ ■ Khung hình kích thước
■ ■ thông tin điều khiển liên kết dữ liệu
Phần dữ liệu của tiêu đề chứa dữ liệu đi qua các lớp
từ cao nhất đến thấp nhất lớp.
UCA 2.0 và tiêu chuẩn IEC61850
Trong những năm 1990, Viện nghiên cứu Điện lực Mỹ (EPRI) đã quyết định rằng một
nỗ lực là cần thiết để xác định một tiêu chuẩn mạnh mẽ hơn DNP3 để phục vụ
Nhu cầu SCADA của công ty điện lực. Kết quả là tiện ích Truyền thông Kiến trúc (UCA). UCA phiên bản
2.0 là một gia đình của giao thức truyền thông nhằm đáp ứng nhu cầu của các công ty điện lực. UCA 2.0
dựa trên
Đặc điểm kỹ thuật sản xuất tin nhắn (MMS) từ ISO tiêu chuẩn ISO
9506-1:2000 và ISO 9506-2:2000. Vào năm 1999, với UCA 2,0 di cư đến tiêu chuẩn IEC
IEC61850 cho trạm biến áp tự động hóa. IEC61850 là một phần của thông tin mô hình chung (CIM) được
phát triển bởi Ủy ban kỹ thuật IEC 57 cũng bao gồm
các tiêu chuẩn sau đây:
■ ■ IEC61970: hệ thống điện và giao diện lập trình cho việc tích hợp
ứng dụng tiện ích
■ ■ IEC61968: thiết bị phân phối và quy trình
■ ■ IEC60870-5: Phân bố
■ ■ IEC60870-6: Truyền tải
IEC61850 là một tiêu chuẩn kiến trúc lớp phân cách các chức năng
cần thiết cho các ứng dụng tiện ích điện từ các nhiệm vụ mạng cấp dưới.
Kiến trúc lớp minh họa việc tách chức năng được hiển thị trong
Hình 3-6.
Diễn biến của SCADA giao thức 53
Kiến trúc Hình 3-6 IEC61850 lớp
Controller Area Network
Mạng điều khiển (CAN) giao thức (tiêu chuẩn ISO 11.898-1) đã được phát triển cho ngành công nghiệp ô
tô của Robert Bosch, GMBH, vào giữa những năm 1980
để sử dụng trong truyền thông nối tiếp lên đến 1 Mbps. CAN hỗ trợ lên đến 110 nút
trên hai dây, mạng lưới bán song công.
Các giao thức hoạt động ở lớp 1, lớp vật lý, và lớp 2, liên kết dữ liệu
lớp, của mô hình OSI.
CAN thông tin liên lạc dựa trên nhiều cảm nhận sóng mang Ethernet
truy cập với va chạm phát hiện (CSMA / CD) phương pháp. Với CSMA / CD, nhiều thiết bị cạnh tranh để
truyền tải thông tin trên một chiếc xe bu{t thông thường. Khi một
thiết bị cảm nhận rằng xe buýt là miễn phí (không có tín hiệu tàu sân bay trên xe buýt), nó sẽ cố gắng để
truyền tải trên các xe bu{t. Trong trường hợp thiết bị khác cố gắng để giao tiếp trên xe buýt
đồng thời, các thiết bị phát hiện va chạm này, trở lại-off, và thử lại vào một
thời gian ngẫu nhiên sau đó. Như vậy, với phương pháp này, thời gian truyền cụ thể trên
mạng không được đảm bảo. Để bù đắp cho tình trạng này, CAN
cung cấp các ưu tiên truyền cho nút bằng cách sử dụng CSMA / CD + AMP (trọng tài trên ưu tiên tin
nhắn) chương trình. CSMA / CD + AMP sử dụng một độc đáo
định bao gồm một đánh giá ưu tiên trong một tin nhắn thay vì nguồn và
địa chỉ đích nút được sử dụng trong các trọng tài CSMA / CD thông thường
phương pháp. Thấp hơn giá trị của các định danh, cao hơn các ưu tiên đó là
giao cho tin nhắn. Chiều dài của định danh này khác nhau, là 11 bit trong
THỂ đặc điểm kỹ thuật phần A và dài 29 bit cho đặc điểm kỹ thuật CAN phần B. Sử dụng
giá trị ưu tiên định danh, các thuật toán truyền CAN gồm các bước sau:
1. Một thông điệp có định danh ưu tiên cao nhất được cấp quyền truy cập
truyền.
IEC61850-7-3 và IEC61850-7-4
Thiết bị đối tượng Mô hình
IEC61850-7-2
Tóm tắt Mô hình dịch vụ
IEC61850-8-1
Lập bản đồ để MMS / UCA 2.0 Nghị định thư
OSI giao thức TCP / IP giao thức
54 Chương 3
2. Mỗi nút ngang bằng tin nhắn kiểm tra định danh duy nhất để
xác định xem các tin nhắn được gửi đến nút đó.
3. Nếu một thông báo dành cho nút đó, nút xử lý thông báo.
Tin nhắn với một định ưu tiên thấp hơn sau khi được truyền đi thông điệp higherpriority theo giá trị
định danh của họ.
Kiểm soát và thông tin Nghị định thư
Common giao thức công nghiệp (CIP) là một gia đình mở của giao thức là
thực hiện các lớp ứng dụng, trình bày, và phiên họp của OSI
mô hình. Vì vậy, CIP tạo thành một lớp trên phổ biến của các giao thức có thể được sử dụng
trên lớp thấp khác nhau, chẳng hạn như những người sử dụng EtherNet / IP, DeviceNet,
và ControlNet, tất cả đều được thảo luận trong phần sau. Nó cũng
bao gồm một giao thức tin nhắn hỗ trợ nhắn tin rõ ràng và I / O. CIP là
duy trì bởi ControlNet quốc tế (CI) và DeviceNet Vendor Mở
Hiệp hội (ODVA).
Giá trị của CIP là nó làm cho các đối tượng được xác định trước và truyền thông
tiêu chuẩn có sẵn cho các lớp dưới của mô hình OSI. CIP bao gồm các đối tượng giao tiếp, được sử dụng
để xác định giá trị dữ liệu tối đa, loại và
đặc điểm của kết nối, và thời gian kết nối. Nó cũng cung cấp
một thư viện đối tượng 46 lớp, trong đó bao gồm các đối tượng giám sát kiểm soát, các đối tượng cổng,
đối tượng nhận dạng, đối tượng điểm đầu ra tương tự, các đối tượng tham số, đầu vào rời rạc
các đối tượng, đối tượng cảm biến vị trí, và AC / DC đối tượng ổ đĩa.
Mối quan hệ giữa CIP, CAN, và các giao thức khác được minh họa trong
Hình 3-7.
Hình 3-7 Mối quan hệ giữa CIP và các giao thức khác
CHUNG CÔNG NGHIỆP
Nghị định thư
(Hồ sơ thiết bị thông thường,
Phổ biến Object Library)
CAN
KHÁC
THÔNG
PROTOCOLS
(FTP, HTTP, SMP)
TCP / IP / UDP
ControlNet
DeviceNet
Ethernet / IP
802.3
Diễn biến của SCADA giao thức 55
DeviceNet
DeviceNet là một chuẩn mở được sử dụng để kết nối các thiết bị như
khởi động động cơ, cảm biến, điều khiển van, màn hình, giao diện điều hành, và
máy tính kiểm soát mức độ cao hơn và PLC. DeviceNet được dựa trên giao thức CAN. Nó cũng sử dụng
gia đình CIP các giao thức, bao gồm các thư viện đối tượng của nó và
hồ sơ đối tượng để cấu hình và kiểm soát của các thiết bị và để có được
dữ liệu từ các thiết bị địa phương thông qua các giao thức CAN tại liên kết dữ liệu và
lớp vật l{. Để thực hiện một cuộc trao đổi thông tin, ví dụ,
DeviceNet thiết lập một ví dụ kết nối sử dụng một đối tượng nhận dạng, một đối tượng nhắn router,
một đối tượng DeviceNet, và một đối tượng kết nối. Bản sắc
đối tượng có chứa các thông tin như hồ sơ cá nhân thiết bị, số phiên bản, và
thông tin nhà cung cấp. Thông báo bộ định tuyến các tuyến đường đối tượng thông điệp đến đúng
lớp thấp đích và đối tượng DeviceNet DeviceNet cửa hàng thông tin như mã số MAC. Đối tượng kết nối
quản lý
kết nối tin nhắn. DeviceNet hỗ trợ tốc độ truyền thông
125kbps, 250kbps, 500kbps và lên đến 64 nút.
Hình 3-8 minh họa các lớp DeviceNet và sử dụng của họ với CIP.
Lớp truyền hình 3-8 DeviceNet
ÁP DỤNG
CIP ứng dụng Object Library
VẬN TẢI
DeviceNet Transport Layer
DỮ LIỆU LINK
CAN CSMA / CD với Trọng tài về tin nhắn ưu tiên
THỂ
DeviceNet lớp vật lý
TRÌNH BÀY
Quản lý dữ liệu CIP
I / O thông điệp
PHẦN
CIP tin định tuyến
Quản lý kết nối
56 Chương 3
ControlNet
ControlNet là một mạng mở để sử dụng trong thời gian thực, SCADA xác định
các ứng dụng. Nó cũng sử dụng các khả năng đối tượng giao thức CIP và có thể hỗ trợ
lên đến 99 nút trên mạng với tốc độ dữ liệu của 5 Mbps. Nó được thiết kế cho các ứng dụng bao gồm
nhiều bộ điều khiển và giao diện điều hành, và nó hỗ trợ việc trao đổi thời gian thực I / O dữ liệu cũng
như thông tin tin nhắn.
Các định mệnh của ControlNet xuất phát từ sự kết hợp của Multiple Access (CTDMA) thuật toán đồng
thời Thời gian Domain cho phép một nút
trên mạng để truyền tải tại một khoảng thời gian quy định được gọi là thời gian cập nhật mạng
hoặc NUT. Do đó, thông tin quan trọng được truyền trong một khoảng thời gian trong khi NUT
thông tin không quan trọng được gửi trong khoảng thời gian định trước, khi có sẵn.
CTDMA được minh họa trong hình 3-9.
Các lớp ControlNet truyền thông được đưa ra trong hình 3-10.
EtherNet / IP
EtherNet / IP cũng áp dụng CIP bằng cách mã hóa thông điệp CIP trong khung Ethernet. Trong
Ngoài các lớp đối tượng cơ bản CIP, EtherNet / IP sử dụng một đối tượng TCP / IP cho
thực hiện các giao thức TCP / IP và một đối tượng liên kết Ethernet bao gồm
các thông số để thiết lập một liên kết EtherNet / IP. CIP hoạt động ở lớp ứng dụng cung cấp các thư viện
đối tượng ứng dụng, tại các lớp trình bày
cung cấp dịch vụ nhắn tin, và tại lớp phiên hỗ trợ tin nhắn
định tuyến và quản lý kết nối. Các giao diện lớp session cho việc vận chuyển và mạng lưới lớp, trong đó
thực hiện đóng gói và áp dụng một trong hai
TCP hoặc UDP ở lớp vận chuyển và giao thức IP tại tầng mạng. Các dữ liệu hoàn tất quá trình chuyển đổi
từ trên xuống tại lớp liên kết dữ liệu,
mà thực hiện CSMA / CD và lớp vật lý Ethernet, kết nối với các phương tiện truyền dẫn.
Hình 3-9 ControlNet CTDMA sơ đồ thời gian
Mạng Cập nhật Interval
Dự kiến
Truyền
Thời gian
Đột xuất
Vụ
Mạng Cập nhật Interval
Dự kiến
Truyền
Đột xuất
Vụ
Diễn biến của SCADA giao thức 57
Hình 3-10 ControlNet
Bởi vì Ethernet sử dụng CSMA / CD, mà hoạt động bằng cách phát hiện va chạm, sao lưu ra, và cố gắng
để gửi lại trong khoảng thời gian ngẫu nhiên, thông tin liên lạc
không xác định. Tình trạng này đặt ra vấn đề cho thu thập dữ liệu thời gian thực và kiểm soát. Để giảm
thiểu tình trạng này, EtherNet / IP áp dụng lớp
2 công tắc để phân vùng các lĩnh vực va chạm vào các nút đơn hoặc nhóm nhỏ.
Sự phân chia này làm giảm đáng kể va chạm CSMA / CD. Ngoài ra, những tiến bộ trong
Công nghệ Ethernet, đặc biệt là Fast Ethernet (100 Mbps) và Gigabit Ethernet
(10 Gbps), làm giảm đáng kể độ trễ truyền thông không xác định
lần.
Một yếu tố giảm nhẹ thứ ba là sự sẵn có của các giao thức sử dụng gói
(UDP), mà truyền các gói tin trên một cơ sở tốt nhất nỗ lực và không mang
chi phí liên quan đến truyền TCP, trong đó khẳng định các kết nối thông tin liên lạc và kiểm tra các lỗi
trong truyền dẫn.
Cuối cùng, IEEE đã phát triển các đặc điểm kỹ thuật 802.1P để ưu tiên lưu lượng mạng bằng cách kết
hợp một lĩnh vực tiêu đề 3-bit ưu tiên thông điệp
và cho phép nhóm các gói dữ liệu vào các lớp học giao thông ưu tiên khác nhau.
Hình 3-11 cho thấy lớp EtherNet / IP và mối quan hệ của họ để CIP.
ÁP DỤNG
CIP ứng dụng Object Library
VẬN TẢI
ControlNet Transport Layer
DỮ LIỆU LINK
CTDMA
THỂ
ControlNet vật lý lớp
TRÌNH BÀY
Quản lý dữ liệu CIP
I / O thông điệp
PHẦN
CIP tin định tuyến
Quản lý kết nối
58 Chương 3
Hình 3-11 EtherNet / IP
FFB
Quá trình linh hoạt khối chức năng (FFB) là một điều khiển mạng lưới xe buýt bán song công.
Nó được phát triển bởi Fieldbus Foundation, mà là một tập đoàn của 130
tổ chức tự động hóa. Mục tiêu của tập đoàn là phát triển một mở,
hai dây tiêu chuẩn quốc tế cho các ứng dụng quá trình tự động hóa. Nó đặc biệt hữu ích cho việc kiểm
soát các thiết bị như van và các thiết bị máy phát.
Trong hoạt động, mỗi thiết bị trên một mạng FFB lẽ vào xe buýt hai dây
cấu trúc. Một cách hợp lý, FFB hoạt động như một 31.25 Kbps mạng master-slave, nhưng
chức năng một thời gian ngắn như một chương trình thẻ đi qua. Trong master-slave
mô hình thông tin liên lạc, thiết bị chủ hoặc chính kiểm soát một số nô lệ
hoặc các thiết bị phụ. Chủ sẽ gửi tín hiệu điều khiển cho các thiết bị nô lệ
và họ trả lời theo hướng dẫn kiểm soát được. Các nô lệ có thể
gửi thông tin trở lại để làm chủ để lưu trữ, giải thích, và chế biến. Các chương trình mã thông báo qua là
một phương pháp được sử dụng để phân xử giữa các thiết bị
rằng mong muốn giao tiếp trên mạng. Không giống như các phương pháp CSMA / CD
ÁP DỤNG
CIP ứng dụng Object Library
VẬN TẢI
Đóng gói, TCP, UDP
MẠNG
IP
DỮ LIỆU LINK
Ethernet CSMA / CD
THỂ
Ethernet lớp vật lý
TRÌNH BÀY
Quản lý dữ liệu CIP
I / O thông điệp
PHẦN
CIP tin định tuyến
Quản lý kết nối
Diễn biến của SCADA giao thức 59
nơi va chạm có thể xảy ra khi các thiết bị cố gắng gửi tin nhắn đồng
thời gian, trong một mã thông báo qua mạng, chỉ có một thiết bị tại một thời điểm có thể truyền tải.
Một
thiết bị có thể truyền tải khi nó nhận được một mã thông báo điện tử (tương tự như một tin nhắn)
đó là thông qua xung quanh. Chỉ có một mã thông báo trên mạng, và khi một
thiết bị nhận mã thông báo từ người hàng xóm của nó, nó có thể truyền tải. Khi truyền tải hoàn tất hoặc
nếu thiết bị không cần phải truyền tải, mã thông báo là
thông qua vào các thiết bị tiếp theo. Sau đó, các thiết bị tiếp theo có thể truyền tải. Quá trình này
tiếp tục là mã thông báo là thông qua xung quanh mạng.
Liên quan đến mô hình OSI, FFB kết hợp một lớp ứng dụng người dùng, một đặc điểm kỹ thuật lớp nhắn
fieldbus, một lớp con truy cập bus, một lớp liên kết dữ liệu,
và một lớp vật lý. Lớp 3 đến 6 của mô hình OSI tương ứng là
không được sử dụng. Các lớp FFB được thể hiện trong hình 3-12.
Hình 3-12 Foundation fieldbus kiến trúc lớp
USER ÁP DỤNG
Lớp con ACCESS Fieldbus
Lớp 6
KHÔNG SỬ DỤNG
Lớp 5
KHÔNG SỬ DỤNG
Lớp 4
KHÔNG SỬ DỤNG
Lớp 3
KHÔNG SỬ DỤNG
Lớp 2
DỮ LIỆU LINK
Lớp 1
THỂ
IEC 61.158-2, ISA S50.02-1992
Lớp 7
Fieldbus THÔNG ĐIỆP Thông số kỹ thuật
60 Chương 3
Trong các lớp FFB, lớp ứng dụng bao gồm các tin nhắn Fieldbus
Đặc điểm kỹ thuật (FMS) và Fieldbus truy cập lớp con (FAS). FMS cung cấp cho
việc trao đổi thông điệp giữa các ứng dụng và hỗ trợ FAS FMS. Các
lớp liên kết dữ liệu sử dụng một hoạt động liên kết lịch (LAS) để kiểm soát việc gửi
thông điệp fieldbus. LAS là cơ chế FFB sử dụng để cung cấp định mệnh bằng cách duy trì một danh sách
các lần truyền mạng cho tất cả các thiết bị trên
mạng. Thiết bị truyền vào những thời điểm được chỉ định truyền của họ, và nếu có
được thời gian có sẵn giữa các lần truyền dự kiến, các thiết bị có thể truyền tải
trong những lần đột xuất. Lớp vật lý FFB sau tiêu chuẩn IEC
61.158-2 và ISA chuẩn S50.02-1992. Các đặc tính điện này
lớp bao gồm việc sử dụng mã hóa Manchester biphase của các tín hiệu kỹ thuật số và
một vòng lặp hiện tại ± 10 mA. Manchester mã hóa sử dụng quá trình chuyển đổi để đại diện cho những
người xung nhị phân và số không thay vì điện áp xung hoặc mức hiện nay. Các FFB
lớp vật l{ cũng cung cấp điện thế cung cấp 9-32 volt.
Profibus
Profibus (Process Fieldbus) là một bus nối tiếp tiêu chuẩn mạng mở để sử dụng
kiểm soát và thu thập dữ liệu các ứng dụng thời gian quan trọng. Nó thuộc
Tiêu chuẩn châu Âu quốc tế fieldbus, EN 50 170, và xác định các đặc điểm chức năng, điện, cơ khí của
một bus nối tiếp. Profibus là
tương tự như Foundation fieldbus, nhưng cung cấp tốc độ truyền của 31.25
Kbps, 1Mbps, và 2,5 Mbps trong lớp vật lý.
Vì Profibus là một tiêu chuẩn mở, nó có thể chứa các thiết bị từ các nhà sản xuất khác nhau. Profibus cư
trú tại các ứng dụng, liên kết dữ liệu, và vật lý
lớp của mô hình OSI. Nó cung cấp cho các ứng dụng định mệnh điều khiển thời gian và hỗ trợ mạng và
truyền thông đa chủ master-slave.
Có ba phiên bản của Profibus, được tóm tắt trong
Danh sách sau đây:
■ ■ Tự động hóa quá trình Profibus (PA): Kết nối các thiết bị thu thập dữ liệu và kiểm soát trên một chiếc
xe buýt nối tiếp phổ biến và hỗ trợ đáng tin cậy, bản chất
triển khai thực hiện an toàn. Nó cũng cung cấp nguồn cho thiết bị hiện trường thông qua
xe buýt. Profibus PA sử dụng các chức năng cơ bản và phần mở rộng có sẵn
trong Profibus DP.
■ ■ Profibus Nhà máy tự động hóa (thiết bị ngoại vi được phân cấp - DP): Cung cấp thông tin liên lạc tốc
độ cao giữa các hệ thống điều khiển và các thiết bị kiểm soát phân cấp. Nó sử dụng các tiêu chuẩn lớp
vật l{ khác nhau hơn
những người làm việc bằng Profibus PA. Tùy chọn và lên tương thích
phần mở rộng đã được thêm vào Profibus DP. Phiên bản mở rộng là
ký hiệu là Profibus-DPV1 và bao gồm chẩn đoán, tin nhắn báo động,
và tham số.
Diễn biến của SCADA giao thức 61
■ ■ Profibus Fieldbus tin nhắn Đặc điểm kỹ thuật (FMS): phát triển để hỗ trợ một số lượng lớn các ứng
dụng và mối liên kết mạng lưới cấp cao hơn giữa các ứng dụng với tốc độ truyền tải trung bình. Nó cung
cấp một
lựa chọn các chức năng và, nói chung, phức tạp hơn để
thực hiện hơn Profibus PA hoặc Profibus DP. Ba phiên bản Profibus
với các đặc tính chính của họ được đưa ra trong hình 3-13.
Hình 3-14 minh họa kiến trúc truyền thông của các phiên bản Profibus và cho thấy mối quan hệ của họ
trong mô hình OSI bảy lớp.
Hình 3-13 phiên bản Profibus
Hình 3-14 Profibus FMS, DP, PA và các giao thức lớp
TẦNG ÁP DỤNG
THÔNG ĐIỆP Fieldbus
Thông số kỹ thuật (FMS)
TẦNG ÁP DỤNG
KHÔNG SỬ DỤNG
TẦNG ÁP DỤNG
KHÔNG SỬ DỤNG
TẦNG VẬT LÝ
IEC 61.158-2
TẦNG VẬT LÝ
EIA-485, FIBER
Quang, RADIO
WAVES
TẦNG VẬT LÝ
EIA-485, FIBER
Quang, RADIO
WAVES
Người sử dụng lớp PA
Hồ sơ thiết bị PA,
DP chức năng cơ bản,
Mở rộng DP
PA ỨNG DỤNG ỨNG DỤNG DP FMS ỨNG DỤNG
Người sử dụng lớp DP
Hồ sơ thiết bị DP,
DP chức năng cơ bản,
Mở rộng DP
Lớp FMS người sử dụng
Hồ sơ FMS thiết bị
Data Link Layer
IEC Giao diện
Data Link Layer
DỮ LIỆU LINK Fieldbus Fieldbus DỮ LIỆU LINK
Data Link Layer
An toàn nội tại,
Đáng tin cậy,
Xe buýt Powered,
Quá trình
Ứng dụng
Profibus PA
Tốc độ cao,
Phân cấp
Ứng dụng
Profibus DP
Chung
Tự động hóa,
Số lớn
các ứng dụng
Profibus FMS
62 Chương 3
Trong hình 3-14, các lớp vật lý sử dụng hoặc tiêu chuẩn EIA-485 hoặc IEC
61.158-2 tiêu chuẩn. Nếu muốn, tất cả ba phiên bản Profibus có thể sử dụng cùng một xe buýt
dòng nếu họ sử dụng EIA-485 trong lớp vật lý. Tuy nhiên, nếu ứng dụng
yêu cầu mạch an toàn nội, IEC 61.158-2 phải được sử dụng. EIA-485 cung cấp tốc độ truyền tải 9,6-1200
Kbps trong khi IEC 61.158-2 hoạt động ở
31.25 Kbps.
Các hệ lụy an ninh của các Nghị định thư SCADA
Hầu hết các mạng, bao gồm cả các mạng SCADA, có một số an ninh chung
các vấn đề và điều khiển tương ứng. Một yếu tố quan trọng đối với hệ thống SCADA
mạng là họ không có đủ khả năng chậm trễ không xác định, cơ chế bảo mật đòi hỏi dung lượng bộ nhớ
lớn, khóa ra khỏi nhà điều hành, và thời gian xử l{ tương đối dài. Tuy nhiên, một số bảo mật cơ bản
các biện pháp có sẵn cho hệ thống SCADA cũng tương tự như sử dụng cho OSI và
TCP / IP kiến trúc lớp. Mạng lưới thực hành tốt nhất bao gồm bảo vệ
bảo mật, tính toàn vẹn, tính sẵn có (CIA) dữ liệu cùng với việc cung cấp việc chống chối bỏ, xác thực, và
dịch vụ truy cập.
Tường lửa
Một yếu tố an ninh quan trọng của bảo vệ được yêu cầu của bất kz mạng kết nối
với một mạng không đáng tin cậy, chẳng hạn như Internet, là một bức tường lửa. Một bức tường lửa
cung cấp
bảo vệ chống lại virus, sâu và các loại mã độc hại cũng như
khỏi sự xâm nhập mạng. Một vấn đề với tường lửa được áp dụng cho các hệ thống SCADA là
rằng hầu hết các bức tường lửa không hỗ trợ xử lý giao thức SCADA. Tình trạng này đang được nghiên
cứu bởi một số tổ chức và một số bức tường lửa SCADAaware đang được phát triển.
Một cấu hình mạng điển hình sử dụng một bức tường lửa giữa một bên
LAN và Internet được đưa ra trong hình 3-15.
Ba loại phổ biến của bức tường lửa là bức tường lửa lọc gói, trạng thái
tường lửa kiểm tra, và tường lửa proxy.
Gói lọc tường lửa
Một bức tường lửa lọc gói hoạt động ở lớp 3, lớp mạng, của OSI
mô hình và sử dụng các tiêu chí lọc để quyết định có cho phép hoặc từ chối các gói
nhập vào mạng nội bộ. Các bộ phận của gói tin được kiểm tra là
địa chỉ IP nguồn, địa chỉ IP đích, và các giao thức Internet thực hiện bởi các gói tin.
Diễn biến của SCADA giao thức 63
Hình 3-15 việc làm Firewall
Bằng cách kiểm tra địa chỉ IP nguồn của gói tin gửi đến, một gói tin lọc
tường lửa có thể ngăn chặn các gói tin IP từ các nguồn không mong muốn, chẳng hạn như các máy chủ
không đáng tin cậy,
các nhà quảng cáo, bưu phẩm và thư rác. Lọc dựa trên các tập tin cơ sở dữ liệu được biết đến
như danh sách kiểm soát truy cập (ACL) được lưu trữ bởi các bức tường lửa.
Bằng cách sử dụng bộ tương tự như các quy tắc, một bức tường lửa lọc gói có thể ngăn cấm giao thông
từ được gửi đến một địa chỉ IP đích nội bộ. Hành động này có thể ngăn ngừa
các thư được gửi đến máy tính chứa thông tin rất phân loại và giảm số lượng các tin nhắn được gửi đến
máy chủ cụ thể.
Một bộ lọc thứ ba là dựa vào kiểm tra các giao thức Internet thực hiện bởi các
gói. Một số các giao thức được kiểm tra là giao thức Internet thông thường
(IP), địa chỉ giao thức phân giải (ARP), đảo ngược địa chỉ giao thức phân giải
(RARP), giao thức điều khiển truyền dẫn (TCP), sử dụng giao thức gói tin (UDP),
và giao thức nhắn tin kiểm soát Internet (ICMP). Tường lửa có thể ngăn chặn các gói tin với giao thức cụ
thể xâm nhập vào mạng lưới đáng tin cậy.
Tường lửa
Internet
64 Chương 3
Stateful Inspection Firewall
Một trạng thái các cửa hàng kiểm tra tường lửa và duy trì thông tin từ một gói đi vào trong một bảng
trạng thái bộ nhớ động. Các bảng lưu trữ các nguồn và
thông tin kết nối điểm đến kết hợp với các quy tắc gói và sử dụng để
xác định các thông tin liên lạc nên được cho phép để tiến hành. Liên quan
Thông tin bao gồm địa chỉ đích và cổng và địa chỉ nguồn
và cổng. Bởi vì tốc độ hoạt động của tường lửa kiểm tra trạng thái là
xác định bởi thời gian cần để thực hiện một cuộc kiểm tra chi tiết hơn về
nhà nước gói và số lượng kết nối xử lý, xếp hàng chậm trễ might
xảy ra mà có thể gây bất lợi cho hoạt động của một hệ thống SCADA.
Proxy Firewall
Proxy hoặc tường lửa lớp ứng dụng hoạt động ở lớp 7 của mô hình OSI. Trong
từ điển, một proxy được định nghĩa là một người được ủy quyền cho người khác; một
đại lý hoặc thay thế. Như vậy, phần mềm proxy có thể được đặt giữa một người sử dụng và một
máy chủ để che giấu danh tính của người sử dụng. Các máy chủ proxy và thấy có thể không
xác định người sử dụng. Kịch bản cũng đúng trong tình hình ngược lại nơi
người sử dụng tương tác với phần mềm proxy ở phía trước của máy chủ và không thể xác định được
máy chủ hoặc mạng liên quan của nó. Một bức tường lửa proxy là hiệu quả trong việc che chắn một
mạng lưới từ một mạng lưới bên ngoài không đáng tin cậy, chẳng hạn như Internet.
Khu phi quân sự
Tường lửa có thể được sử dụng để thực hiện các kiến trúc an ninh mạng có
hiệu quả cho hệ thống SCADA. Các kiến trúc dựa trên khái niệm về
một khu phi quân sự DMZ hay. Một DMZ là khu vực cung cấp một sự tách biệt
giữa một mạng bên ngoài hoặc công cộng và mạng nội bộ hoặc tư nhân. Trong
để cho một bức tường lửa để hỗ trợ một DMZ, nó phải có nhiều giao diện bên ngoài
và danh sách kiểm soát truy cập tương ứng khi cần thiết. Khác nhau
kiến trúc sử dụng DMZs, nhưng có hai mà đặc biệt áp dụng đối với
thu thập dữ liệu và kiểm soát môi trường. Những kiến trúc là một đơn
tường lửa DMZ và tường lửa DMZ kép. Họ có thể phục vụ mục đích tách một mạng doanh nghiệp của
công ty từ mạng kiểm soát trong khi cung cấp một kết nối cho cả một mạng công cộng như Internet.
Diễn biến của SCADA giao thức 65
Đơn Firewall DMZ
Trong một bức tường lửa DMZ duy nhất, một bức tường lửa được sử dụng để lọc các gói dữ liệu từ, cho
Ví dụ, một mạng doanh nghiệp với mạng kiểm soát của địa phương và từ một mạng bên ngoài. DMZ
chứa các yếu tố đó phải được truy cập bởi các
máy tính doanh nghiệp cũng như kết nối với bên ngoài, mạng công cộng.
Kiến trúc này được thể hiện trong hình 3-16.
Vì không có bức tường lửa giữa DMZ và kiểm soát mạng lưới, mạng lưới kiểm soát là khả năng dễ bị tổn
thương nếu DMZ bị xuyên thủng bởi một cuộc tấn công
từ mạng bên ngoài hoặc thông qua các mạng doanh nghiệp.
Hai Firewall DMZ
An ninh của một mạng SCADA có thể được tăng lên bằng cách thêm một tường lửa thứ hai giữa mạng
kiểm soát và DMZ. Sự sắp xếp này thực hiện một bức tường lửa DMZ kép. Xem hình 3-17.
Nội quy chung cho các dịch vụ khác nhau Firewall
Bởi vì các yêu cầu nghiêm ngặt của hệ thống SCADA liên quan đến thời gian, sẵn sàng, và xử lý dữ liệu
với, quy tắc tường lửa phải được thiết kế riêng cho
giao thức khác nhau và các dịch vụ mạng. Hiệp hội công nghiệp tự động hóa mở mạng (IAONA) phát
triển hướng dẫn giao thức (Các IAONA
Sổ tay cho mạng Security-Draft/RFC v0.4, Magdeburg, Đức, 2003) cho
dịch vụ mạng phù hợp với đặc điểm hệ thống SCADA độc đáo. Những hướng dẫn cho truyền thông với
các hệ thống SCADA được tóm tắt trong Bảng 3-6. Các dịch vụ được cung cấp bởi các giao thức được
tóm tắt trong
Bảng 3-3 và 3-5.
66 Chương 3
Hình 3-16 đơn tường lửa DMZ cho SCADA
Tường lửa
Internet
Bộ định tuyến nội bộ hoặc chuyển đổi
Bộ định tuyến nội bộ hoặc chuyển đổi
DOANH MẠNG
KIỂM SOÁT MẠNG
Quá trình
thông tin
cơ sở dữ liệu
PLC RTU
DMZ
Diễn biến của SCADA giao thức 67
Hình 3-17 tường lửa kép DMZ cho SCADA
Tường lửa
Internet
Bộ định tuyến nội bộ hoặc chuyển đổi
Tường lửa
Bộ định tuyến nội bộ hoặc chuyển đổi
DOANH MẠNG
KIỂM SOÁT MẠNG
Quá trình
thông tin
cơ sở dữ liệu
PLC RTU
DMZ
68 Chương 3
Bảng 3-6 Firewall Rules Nghị định thư cho các dịch vụ khác nhau để hệ thống SCADA
Nghị định thư Quy tắc
File Transfer Protocol (FTP) FTP cho phép trên chỉ thông tin liên lạc ra bên ngoài.
Nên sử dụng một mã hóa đường hầm VPN và
mã thông báo thẩm định dựa trên hai yếu tố. Du lịch trong nước
thông tin liên lạc không được phép.
Trivial File Transfer TFTP không được phép.
Protocol (TFTP)
Mail Transfer đơn giản đi các tin nhắn e-mail cho phép; trong nước
Nghị định thư (SMTP) e-mail bị chặn.
Thông tin liên lạc telnet đi nên sử dụng một
mã hóa VPN đường hầm với các thiết bị được biết đến. Du lịch trong nước
thông tin liên lạc nên sử dụng một VPN được mã hóa
đường hầm và xác thực hai yếu tố thẻ của.
HyperText Transfer truyền thông Du lịch trong nước không được phép
Giao thức (HTTP) trừ khi cần thiết. Nếu cần thiết, HTTP nên được sử dụng
với các ổ cắm lớp an toàn (SSL)
(HTTP / S). SSL cung cấp mã hóa và
khả năng xác thực. Thông tin liên lạc từ
doanh nghiệp nên được cấu hình trong các bức tường lửa
để ngăn chặn Java và các kịch bản khác.
Đơn giản thông tin liên lạc quản lý mạng SNMP không được phép
Protocol (SNMP) trừ khi thực hiện trên một mạng lưới an toàn khác nhau.
SCADA và công nghiệp vì an ninh không được xem xét trong thiết kế
Giao thức của các giao thức, thông tin liên lạc nên được
bị cấm đến và đi từ các mạng doanh nghiệp và
giới hạn trong mạng điều khiển quá trình và có liên quan
mạng thông tin điều khiển quá trình.
Mạng riêng ảo
Một mạng riêng ảo VPN hoặc là một giải pháp có hiệu quả cao để truyền
dữ liệu một cách an toàn qua mạng Internet hoặc một mạng diện rộng. Một VPN được cho là tạo ra
một bảo đảm tunnelin một mạng không tin cậy và thông qua tường lửa, thông qua đó
dữ liệu nhạy cảm có thể được truyền đi.
Đường hầm được tạo ra bởi việc đóng gói, hoặc bằng cách đóng gói và mã hóa,
các dữ liệu và sau đó truyền nó qua mạng. Thông thường, dữ liệu được đóng gói bằng cách thêm một
tiêu đề và sau đó mã hóa trước khi được truyền đi. Một VPN
kết nối một cách an toàn hai mạng được minh họa trong hình 3-18.
Diễn biến của SCADA giao thức 69
Hình 3-18 VPN giữa hai mạng
Internet
Tường lửa
Máy chủ VPN
Máy chủ VPN
Tường lửa
Đường hầm
70 Chương 3
Tóm tắt
Các giao thức hỗ trợ thu thập dữ liệu thời gian thực và kiểm soát sản xuất
và các ứng dụng điều khiển quá trình đã bắt đầu như giải pháp độc quyền được cung cấp bởi
các nhà sản xuất thiết bị điều khiển. Các giao thức và thông tin liên lạc liên quan đến xe bu{t đáp ứng
được nhu cầu của người sử dụng và đã được áp dụng rộng rãi. Các bước tiếp theo trong
sự phát triển của giao thức SCADA là sự phát triển của chuẩn mở
giao thức và áp dụng công nghệ Ethernet và Internet. Với những
thay đổi, đặc biệt là việc sử dụng các yếu tố kiến trúc và kết nối Internet để truyền và nhận dữ liệu liên
quan đến hệ thống SCADA, an ninh
vấn đề bây giờ là mối quan tâm. Sử dụng hợp lý các giao thức kết hợp với hệ thống SCADA
thiết bị an ninh mạng như tường lửa có thể cung cấp người dùng với SCADA
an toàn, hiệu quả, và các phương tiện truyền thông hiệu quả