基于VPN技术的SCADA系统

刘 鹏，吴海峰，李 冰，陈 泽，孙 鑫

（航天长征化学工程股份有限公司，北京 101111）

随着计算机技术和现代通信技术的迅速发展，SCADA系统的重要性正在逐渐被人们所认识和重视。该系统可以使企业决策层在第一时间及时、准确地掌握生产第一线的情况。但是，基于Internet的远程SCADA系统实现信息资源的极大共享和便利的同时，也存在着安全隐患。为了解决数据传输过程中的安全性和可靠性问题，本文结合项目需求，采用VPN技术建立了SCADA系统，解决了远程用户、分公司与总公司的数据采集和传输的问题，保证了系统的安全连接和数据的可靠传输。通过该系统，可以把DCS作为SCADA系统的从站，通过工业以太网从DCS数据库中采集数据，然后通过VPN发送到远程数据中心，最后通过上位机可随时监测和跟踪各装置的运行状态和运行数据[1]。

1 SCADA系统概述

SCADA（supervisory control and data acquisition）系统[2]，即数据采集与监视控制系统。SCADA系统是以计算机为基础的DCS监控系统；它应用领域很广，可以应用于电力、冶金、石油、化工等领域的数据采集与监视控制以及过程控制。不同的应用领域对SCADA系统要求也不同，所以各SCADA系统发展也不完全相同。在流程控制领域中，SCADA系统应用最为广泛，技术发展也最为成熟。SCADA系统结构图如图1所示。

图1 SCADA系统的组成结构Fig.1 Structure of the SCADA system

在此系统中，上位机侧重监控功能。上位机系统通常包括SCADA服务器、工程师、WEB服务器等，这些设备通常采用以太网联网。实际的SCADA系统上位机系统到底如何配置还是根据系统规模和要求而定。根据安全性要求，上位机系统还可实现冗余，即配置2台SCADA服务器，当1台出现故障时，系统自动切换到另外一台工作。

下位机侧重于数据采集功能。下位机配置各种输入设备（DI、AI等）进行数据采集。下位机接收上位机的监控，并且向上位机传输各种现场数据。通信网络实现上、下位机数据交换。通信网络实现SCADA系统的数据通信，是SCADA系统的重要组成部分。与一般的过程监控相比，通信网络在SCADA系统中扮演的作用更为重要，这主要因为SCADA系统监控的过程大多具有地理分散的特点，如各子公司、分公司的数据采集和监控等。

2 远程数据采集和监控系统的构成

远程数据传输主要包括基于有线的远程数据传输和基于无线的远程数据传输。随着网络带宽的发展和稳定性提高，通过网络进行远程数据传输越来越现实和可行，而且也越来越得到广泛应用。尤其是基于VPN的远程数据采集技术越来越得到生产企业的广泛应用。VPN技术指的是利用开放的公用网络（指Internet）作为用户信息传输的媒体，通过隧道封装、信息加密、用户认证和访问控制等安全技术实现对信息传输过程的安全保护，从而向用户提供类似专用网络的安全性能[3-4]。

本项目的重点内容是通过VPN技术建设一个SCADA系统，通过该系统，可以实现在北京的数据中心对生产现场的数据进行远程监视和数据分析优化。通过远程数据采集系统可以实现对生产现场数据进行统一实时采集，通过网络传输，把收集到的数据存储到实时数据库中，进行集成管理和处理，以流程监控、报警、报表、查询等方式，使自控、工艺部门和相关领导可以在办公室或远程也能够确切掌握实际生产状况，充分掌握仪表、设备使用情况。

本文中的远程数据采集及传输系统结构由远程数据采集、VPN数据传输和远程数据显示分析3大模块构成。远程终端是由现场检测仪表、DCS数据服务器、智能隔离网闸、现场数据采集服务器所组成的数据采集系统。数据传输和通讯网络采用IPsec VPN和SSL VPN 2种技术相结合的网络进行，是现场数据采集站与数据监控中心之间数据传输的桥梁，数据服务器将终端收集的数据按照VPN网络传送到远程数据监控中心的数据服务器计中。远程数据采集和传输系统的结构图如图2所示。

图2 远程数据采集和传输系统的组成结构Fig.2 Structure of the data acquisition and transmission system

2.1 现场装置数据的采集

通过DCS将现场各种检测仪表的运行参数采集到DCS服务器的数据库中。DCS数据库中的数据通过智能隔离网闸将数据单向传输到现场的数据转发服务器中。数据转发服务器通过IPsec VPN网络将实时数据通过联通的宽带网络传输至北京的数据中心。北京的数据中心只是通过远程数据采集和监控系统对现场装置的生产过程和生产工艺数据进行监视，但不进行操作。在进行远程数据采集和传输过程中，由于担心控制网被攻击，SCADA系统要求将控制网和管理网络完全隔离，只允许DCS控制网络中采集的数据流向管理网，不容许任何管理网络中的数据返回到控制网络。考虑到本项目的特殊性，采用智能单向隔离网闸进行数据采集，隔离网闸集成了针对不同DCS系统设计的数据采集程序，负责从各个DCS中采集数据，同时以硬隔离的方式实现对控制系统的安全防护，把现场数据送到实时数据库中。从技术上大幅提高系统的安全性，智能单向隔离网闸工作原理如图3所示。

图3 智能隔离网闸工作原理Fig.3 Principle of the intelligent gateway

隔离网闸Gateway内置2台主机，从主机1到主机2是绝对单向物理隔离电路，从物理层进行了隔离，信息只能从主机1单向传输到主机2，从根本上杜绝了病毒和恶意攻击。该设备具体工作流程如下：主机1的一个以太网口连接DCS系统，主机1运行OPC2数采程序，OPC2数采通过OPC协议从DCS系统获取的实时数据发送到绝对单向物理隔离电路上，如果DCS系统没有OPC Server软件，则可在主机1上安装一套该DCS系统的OPC Server软件，主机1和DCS系统之间可通过TCP/IP进行通讯。主机2的一个以太网口连接实时数据库服务器，主机2运行OPC4、CIM-IO For OPC 2个程序，OPC4从绝对单向物理隔离电路上接收到从主机1发送来的DCS系统实时数据，包装成OPC Server，CIM-IO For OPC将OPC4中的实时数据通过网络传输，并且写入实时数据库服务器中。

该设备的控制系统侧采集山东瑞星现场DCS控制系统中的实时数据，将DCS实时数据通过绝对单向物理隔离传输到管理信息系统侧，重新包装成OPCServer，将DCS实时数据提供给SCADA实时数据库系统。该设备为双主机系统，采用专利网络隔离技术，从物理层彻底隔断外网与DCS网络的连接，保证了DCS等控制系统的安全。

2.2 现场装置与数据中心的数据传输

通过分析和对比几种数据传输方式的优劣点，结合项目的特点，采用基于VPN的有线网络传输方式进行数据的远程传输。IPsecVPN和SSLVPN是目前2种主流的VPN技术。在构建VPN网络时，必须首先充分了解这2种技术的原理以及各自的适用情况，才能做出正确的选择[4]。

（1）IPSec VPN

IPSec（IPSeucriyt）在过去几年来一直是受欢迎的技术，提供站点间以及远程访问的安全联机，是一种成熟的标准，其特点如下。安全性：IPSec提供3种不同的形式来保护通过公有或私有IP网络传送的数据，可以确定所接受的数据与所发送的数据是一致的，同时可以确定申请发送者是真实发送者，而不是伪装的；数据完整：保证数据从原发地到目的地的传送过程中没有任何不可检测的数据丢失与改变；机密性：使相应的接收者能获取发送的真正内容，而无意获取数据的接收者无法获知数据的真正内容。

（2）SSL VPN

SSL指的是以HTTPS（以SSL为基础的HTTP）为基础的VPN技术。SSL协议是基于WEB应用的安全协议，它包括：服务器认证、客户认证（可选）、SSL链路上的数据完整性和SSL链路上的数据保密性。对于内、外部应用来说，使用SSL可保证信息的真实性、完整性和保密性。目前SSL协议被广泛应用于各种浏览器应用，也可以应用于Outlook等使用TCP协议传输数据的C/S应用。正因为SSL协议被内置于IE等浏览器中，使用SSL协议进行认证和数据加密的VPN就可免于安装客户端。

因此根据网络需求和网络特点，瑞星装置现场侧的数据传输采用IPSec技术VPN，选用深信服的VPN-1200网关机，数据的安全性能得到保证。而北京数据中心由于有很多上位机需要通过WEB应用的方式去访问和处理远程传输过来的数据，所以采用基于SSL技术的VPN，选用深信服VPN-2050网关。2种VPN相结合，可满足不同功能的需要，构建合理的传输网络。数据传输网络图如图4所示。

2.3 数据接收和处理系统

北京数据中心的上位机系统采用基于WEB方式的智能化管理和监控平台对远程接收的数据进行分析和处理，这种（B/S）体系结构的主要特点是集中管理，也就是说软件程序、数据库以及其他一些组件都集中在服务器端，保证了数据的一致性、及时性和完整性。采用基于B/S架构的3层体系结构，分别为数据采集接口层、数据服务管理层和客户应用层。通过本平台可以为所有在线的生产过程系统、数据分析系统及基于WEB的可视化组件提供全面系统的集成。数据处理和分析结构如图5所示[5]。

图4 数据传输网络Fig.4 Network of the data transmission

图5 数据处理和分析功能Fig.5 Function diagram of the data processing and analysing

上位机系统中的实时数据库系统是SCADA系统的中枢，是管理信息系统和自动控制系统之间的桥梁，可以对生产数据通过立体流程图、报表等方式进行全面实时监控，可以给管理信息系统提供生产实时数据，也可以为企业各个角色提供各自所关心的关键指标，比如企业生产负责人可以了解生产数据的统计，以及重大生产事件的信息；可以进行工艺参数分析，改进工艺，提高生产效率；生产调度可以浏览整个生产流程，自动生成调度报表；车间仪表和工艺技术员则可以浏览各自车间的生产流程，自动生成生产报表，监控设备运转情况。通过实时数据库可集成 MES、DMS、ERP、MIS、模拟与优化等应用程序，在业务管理和实时生产之间起到桥梁作用，实现企业数字化管理。

3 结语

基于VPN技术的SCADA系统，利用DCS和数据采集服务器的数据库，通过VPN技术的宽带网络，完成了远程数据采集和监控系统的开发和调试。解决了航天粉煤气化装置与公司数据中心之间数据传输的安全问题，实现了生产过程的信息资源共享。在公司的数据中心通过实时数据库软件登陆指定服务器，就可观察到项目现场装置的流程画面，实时采集和处理现场数据，并对数据进行在线分析和处理，从而实现了北京数据中心对各生产装置的在线远程监控和在线数据传输。

[1] 刘锋光.基于VPN的水电站远程监控系统的研究与应用[D].浙江：浙江工业大学，2005.

[2] 王华忠.监控与数据采集（SCADA）系统及其应用[M].北京：电子工业出版社，2012.

[3] 何莉.企业分支机构VPN解决方案的设计与实现[C]//创新型煤炭企业发展与信息化高峰论坛论文集，2010.

[4] 韩桥良.浅析VPN技术及在油田企业中的应用[J].内蒙古石油化工，2009（7）：115-116.

[5] 吴锋，李成铁，何风行，等.基于Web技术的远程监控系统研究[J].仪器仪表学报，2005（z2）：241-243.