油氣管道SCADA系統(tǒng)安全淺

析許威

(中石化石油工程設(shè)計有限公司 北京分公司，北京 102200)

油氣管道SCADA系統(tǒng)安全淺

析許威

(中石化石油工程設(shè)計有限公司 北京分公司，北京 102200)

介紹了石油天然氣管道SCADA系統(tǒng)的組織結(jié)構(gòu)，分析了系統(tǒng)結(jié)構(gòu)及管理中存在的安全隱患，結(jié)合工程實際情況，從硬件及網(wǎng)絡(luò)架構(gòu)、軟件、管理層三個角度提出了提高SCADA系統(tǒng)安全性的措施，即： 站控系統(tǒng)嚴(yán)控跨域訪問，控制中心實行縱向分層防護，橫向部署安全平臺，實現(xiàn)所有安全日志可追溯。SCADA系統(tǒng)內(nèi)所有工作站安裝工業(yè)防火墻安全衛(wèi)士，定期更新病毒庫和掃描安全隱患并修復(fù)；加強對系統(tǒng)操作人員的培訓(xùn)，制訂相關(guān)操作規(guī)程，從管理層面上降低系統(tǒng)安全風(fēng)險。

數(shù)據(jù)采集與監(jiān)控系統(tǒng) 非法入侵 安全隱患 工業(yè)防火墻 網(wǎng)閘

隨著互聯(lián)網(wǎng)的普及，工業(yè)4.0、大數(shù)據(jù)、數(shù)字化工程等技術(shù)的推廣，工業(yè)信息系統(tǒng)網(wǎng)絡(luò)安全面臨的設(shè)備高危漏洞、進口設(shè)備后門、病毒、無線技術(shù)應(yīng)用等帶來的威脅及風(fēng)險將越來越大。近年來工控系統(tǒng)安全事件頻發(fā)，工控安全防范迫在眉睫。油氣管道數(shù)據(jù)采集與監(jiān)控系統(tǒng)(SCADA)通過對現(xiàn)場設(shè)備信號進行實時采集、加工、匯總、計算和展示，實現(xiàn)了設(shè)備監(jiān)控、參數(shù)調(diào)節(jié)、信號報警等遠(yuǎn)程監(jiān)控功能[1]。文中通過分析典型油氣管道SCADA系統(tǒng)中存在的安全隱患，從硬件及網(wǎng)絡(luò)架構(gòu)、軟件、管理層三個方面提出如何提高SCADA系統(tǒng)安全性的措施。

1 典型油氣管道SCADA系統(tǒng)結(jié)構(gòu)

典型的油氣管道SCADA系統(tǒng)由前端和后端兩部分組成。

1) 前端。由站場本地控制系統(tǒng)、閥室遠(yuǎn)程終端單元 (RTU)組成。

a) 站場本地控制系統(tǒng)。包括工藝過程控制系統(tǒng)(PCS)、安全儀表系統(tǒng)(SIS)、火氣系統(tǒng)(FGS)等，而PCS及SIS由各種現(xiàn)場傳感器、探測器、最終執(zhí)行元件及邏輯控制單元組成。

b) 閥室RTU。RTU是安裝在遠(yuǎn)程閥室現(xiàn)場的電子設(shè)備，用來監(jiān)視和測量安裝在遠(yuǎn)程閥室的傳感器和設(shè)備，負(fù)責(zé)對現(xiàn)場信號、工業(yè)設(shè)備的監(jiān)測和控制。

2) 后端。主要由控制中心的各種數(shù)據(jù)庫服務(wù)器及操作員工作站組成。前端站場數(shù)據(jù)信號通過有線或無線通信方式集中到后端控制中心進行集中管理及控制。

整個SCADA系統(tǒng)前、后端沒有設(shè)置相關(guān)的網(wǎng)絡(luò)安全設(shè)備。

2 典型油氣管道SCADA系統(tǒng)安全隱患

2.1網(wǎng)絡(luò)結(jié)構(gòu)隱患

“兩化融合”后，SCADA系統(tǒng)和企業(yè)網(wǎng)通過邏輯隔離的方式隔離，而企業(yè)網(wǎng)中信息網(wǎng)一般在控制中心會連接互聯(lián)網(wǎng),SCADA系統(tǒng)面臨來自企業(yè)網(wǎng)和互聯(lián)網(wǎng)的雙重威脅。管道SCADA系統(tǒng)應(yīng)用基于TCP/IP以太網(wǎng)通信的OPC技術(shù)及工業(yè)以太環(huán)網(wǎng)進行SCADA系統(tǒng)的集成，PC服務(wù)器、操作系統(tǒng)和數(shù)據(jù)庫大多使用通用的系統(tǒng)，很容易遭到來自企業(yè)網(wǎng)或互聯(lián)網(wǎng)的病毒、木馬、黑客的攻擊[2]。同時，系統(tǒng)采用開放式和標(biāo)準(zhǔn)化協(xié)議，不同系統(tǒng)間共享主站數(shù)據(jù)和功能成果，在更廣的范圍內(nèi)實現(xiàn)了系統(tǒng)的分布式功能[3]，但同時也使得共享網(wǎng)絡(luò)變得更脆弱。

SCADA系統(tǒng)廠商使用維護設(shè)備對系統(tǒng)設(shè)備進行遠(yuǎn)程維護時，維護設(shè)備與SCADA系統(tǒng)直接相連，若使用的維護設(shè)備自身遭受病毒攻擊，就會間接導(dǎo)致病毒攻擊擴散到SCADA系統(tǒng)中，存在一定的安全隱患。

2.2軟件方面隱患

2.2.1操作系統(tǒng)隱患

考慮到工控軟件與操作系統(tǒng)補丁兼容性的問題，系統(tǒng)開車后一般不會對Windows平臺打補丁，導(dǎo)致系統(tǒng)帶著風(fēng)險運行。雖然企業(yè)管理信息網(wǎng)與控制網(wǎng)進行了邏輯隔離，部分惡意程序不能直接攻擊到控制網(wǎng)絡(luò)，但對于能夠利用Windows系統(tǒng)隱患的網(wǎng)絡(luò)蠕蟲及病毒等，這種配置并沒有作用，病毒會在信息網(wǎng)和控制網(wǎng)之間互相傳播[4]。

2.2.2殺毒軟件安裝及升級更新隱患

用于生產(chǎn)控制系統(tǒng)的Windows操作系統(tǒng)基于工控軟件與殺毒軟件的兼容性設(shè)置，通常不再安裝殺毒軟件，給病毒與惡意代碼傳染與擴散留下了空間。即使有的安裝了殺毒軟件，也只能對部分病毒或攻擊有所抑制，但病毒庫更新存在滯后問題，無法從根本上進行防護。

2.3管理體系

制度管理不完善，在SCADA系統(tǒng)中使用U盤、光盤等移動介質(zhì)導(dǎo)致病毒傳播，所有的站控系統(tǒng)、控制中心服務(wù)器等均在同一個網(wǎng)絡(luò)中，一旦感染病毒，SCADA內(nèi)部會相互感染，甚至導(dǎo)致系統(tǒng)停車。

對SCADA系統(tǒng)的操作行為沒有監(jiān)控和響應(yīng)措施，系統(tǒng)中的異常行為或人為行為會給系統(tǒng)帶來很大的風(fēng)險。

3 SCADA系統(tǒng)安全防護措施

通過以上對SCADA系統(tǒng)安全現(xiàn)狀的分析，可以看到SCADA系統(tǒng)的自身缺陷和采用通用平臺及協(xié)議，使得SCADA系統(tǒng)面臨著極大風(fēng)險，而“兩化融合”及操作人員對于SCADA系統(tǒng)的維護管理疏漏，又無形中加大了SCADA系統(tǒng)的安全風(fēng)險[5]?；赟CADA系統(tǒng)網(wǎng)絡(luò)架構(gòu)和存在的安全隱患，應(yīng)從硬件及網(wǎng)絡(luò)架構(gòu)、軟件、管理層三個方面采取措施提升SCADA系統(tǒng)的安全性。

3.1硬件及網(wǎng)絡(luò)架構(gòu)

在系統(tǒng)中局域網(wǎng)邊界部署相關(guān)的網(wǎng)絡(luò)安全設(shè)備能對數(shù)據(jù)傳輸起到一定的保護作用，應(yīng)用在工控網(wǎng)中常見的設(shè)備有工業(yè)防火墻及安全隔離網(wǎng)閘。

1) 工業(yè)防火墻。該設(shè)備是一種兼容OPC，Modbus，DNPS等工業(yè)控制協(xié)議的特制防火墻，具有軟件防火墻的所有功能，并具有內(nèi)容過濾(CF)、入侵偵測(IDS)、入侵防護(IPS)以及虛擬專用網(wǎng)絡(luò)(VPN)等功能[6]，可以在應(yīng)用系統(tǒng)訪問控制、流量控制、防病毒網(wǎng)關(guān)、用戶權(quán)限控制、惡意代碼的阻止、異常行為阻斷等方面對SCADA網(wǎng)絡(luò)進行控制。

2) 安全隔離網(wǎng)閘。采用雙主機與隔離硬件結(jié)構(gòu)實現(xiàn)網(wǎng)絡(luò)隔離時，從數(shù)據(jù)層斷開，阻斷所有基于TCP/IP的網(wǎng)絡(luò)通信，有效阻斷了基于TCP/IP的木馬病毒入侵[7]。

3.1.1前端防御

在站控系統(tǒng)及閥室RTU部署工業(yè)防火墻進行隔離防護，阻止來自企業(yè)信息網(wǎng)的病毒擴散。防火墻設(shè)置白名單模式，只有可信任的訪問才能被允許。工業(yè)級防火墻可以將SCADA系統(tǒng)網(wǎng)絡(luò)與企業(yè)內(nèi)部網(wǎng)絡(luò)及互聯(lián)網(wǎng)隔離開,為SCADA系統(tǒng)提供更高級別的安全防護[8]。

3.1.2后端防御

控制中心網(wǎng)絡(luò)按照重要級別劃分為控制網(wǎng)絡(luò)層、數(shù)據(jù)監(jiān)控層、信息管理層。在信息管理層與數(shù)據(jù)監(jiān)控層之間，主要進行身份鑒別、訪問控制、檢測審計、鏈路冗余、內(nèi)容檢測等安全防護。在數(shù)據(jù)監(jiān)控層和控制網(wǎng)絡(luò)層之間，主要避免信息管理層直接對控制網(wǎng)絡(luò)層的訪問，保證數(shù)據(jù)監(jiān)控層對控制網(wǎng)絡(luò)層的操作唯一性，保證只有可信、合規(guī)的終端和服務(wù)器才可以在兩個區(qū)域之間進行安全的數(shù)據(jù)交換。整個數(shù)據(jù)交換過程接受監(jiān)控、審計，任何非法的訪問，通過監(jiān)控管理平臺會產(chǎn)生實時報警信息，使故障問題在原始發(fā)生區(qū)域被迅速地發(fā)現(xiàn)和解決。控制中心SCADA系統(tǒng)網(wǎng)絡(luò)如圖1所示。

圖1 控制中心SCADA系統(tǒng)網(wǎng)絡(luò)分層示意

1) 第一層防護。在SCADA系統(tǒng)與外部網(wǎng)絡(luò)邊界，即信息管理層與Web服務(wù)器及外網(wǎng)連接處設(shè)置單向網(wǎng)閘，采用非網(wǎng)絡(luò)的方式使數(shù)據(jù)從控制系統(tǒng)單向傳輸至外部網(wǎng)絡(luò)，杜絕了來自外網(wǎng)的網(wǎng)絡(luò)攻擊。

2) 第二層防護。通過在信息網(wǎng)絡(luò)層和數(shù)據(jù)監(jiān)控層之間部署工業(yè)防火墻，可以阻止來自信息管理層的病毒傳播及非法入侵；管控OPC客戶端與服務(wù)器的通信，實現(xiàn)區(qū)域隔離及通信管控。

3) 第三層防護。通過在數(shù)據(jù)監(jiān)控層和控制網(wǎng)絡(luò)層之間部署工業(yè)防火墻，過濾信息網(wǎng)絡(luò)層與數(shù)據(jù)監(jiān)控層兩個區(qū)域的通信，使網(wǎng)絡(luò)故障控制在最初發(fā)生的區(qū)域內(nèi)，而不會影響到核心控制網(wǎng)。

4) 第四層防護。在控制網(wǎng)絡(luò)層通道入口部署工業(yè)級OPC通信協(xié)議防火墻，防止來自企業(yè)信息網(wǎng)針對管線SCADA系統(tǒng)的攻擊和病毒感染，杜絕來自企業(yè)內(nèi)部網(wǎng)絡(luò)的木馬、病毒及非法入侵。

在控制網(wǎng)絡(luò)層部署1套安全配置平臺，對網(wǎng)絡(luò)中所有工業(yè)硬件防火墻進行組態(tài)和管控。在信息網(wǎng)絡(luò)層部署1套安全管理平臺，統(tǒng)一部署網(wǎng)絡(luò)通信監(jiān)控策略，統(tǒng)一收集來自網(wǎng)絡(luò)中所有工業(yè)防火墻的通信日志，通過可視化流程圖界面，實現(xiàn)監(jiān)控、日志存儲、檢索、查詢及智能報警分析等功能，并將這些日志存儲在本地磁盤上或通過Syslog文件形式傳輸?shù)竭h(yuǎn)程數(shù)據(jù)庫服務(wù)器上，實現(xiàn)日志的可追溯。

3.1.3SCADA系統(tǒng)中工業(yè)級防火墻功能

1) 工業(yè)協(xié)議深度包檢測，包括網(wǎng)絡(luò)層和應(yīng)用層基于白名單策略的訪問控制，支持TCP/IP，Modbus TCP，OPC，Profinet，DNP3.0等多種工業(yè)控制網(wǎng)絡(luò)協(xié)議。

2) 支持靜態(tài)路由、策略路由等多路由協(xié)議，支持針對工業(yè)協(xié)議采用深度包檢測技術(shù)及應(yīng)用層通信跟蹤技術(shù)。

3) 抗攻擊滲透能力、檢測記錄端口掃描、抵御拒絕服務(wù)攻擊、抵御源IP地址欺騙攻擊及IP碎片包攻擊等。

4) 自身支持多種用戶登錄認(rèn)證機制；具有嚴(yán)格的安全審計功能，如實記錄用戶操作行為，為企業(yè)的安全提供強有力的依據(jù)。

5) 支持IPSEC VPN訪問。

3.2軟件防護

在SCADA系統(tǒng)內(nèi)的工程師工作站、操作員工作站、調(diào)度員工作站上安裝工業(yè)防火墻安全衛(wèi)士，定期更新病毒庫和掃描安全隱患并修復(fù)。SCADA 系統(tǒng)應(yīng)對主機操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、通用應(yīng)用服務(wù)等進行安全配置，解決由于系統(tǒng)漏洞或不安全配置所引入的安全隱患。針對操作員工作站應(yīng)采取以下防護措施：

1) 內(nèi)存保護。非授權(quán)的程序運行及隱患可以被阻斷并報告。

2) 文件篡改監(jiān)控。任何文件的改變、添加、改名、改屬性、改訪問控制等，都將被記錄并告警。

3) 寫保護。對硬盤的寫入僅授權(quán)給操作系統(tǒng)，限于應(yīng)用配置及日志文件，其他的寫操作被禁止。

4) 讀保護。對文件的讀操作僅限于特定文件、目錄、卷、腳本，其他讀操作將被禁止。

3.3管理層防護

系統(tǒng)操作人員在工作期間的誤操作會直接影響數(shù)據(jù)的準(zhǔn)確性和流程的正確運行。某些SCADA系統(tǒng)對操作人員的操作記錄未加數(shù)字簽名就存放在數(shù)據(jù)庫中，這樣記錄容易被篡改，不具備不可抵賴性[9]。

規(guī)范化管理是SCADA系統(tǒng)安全的保障。以“三分技術(shù)，七分管理”為原則，建立信息安全組織保證體系，落實責(zé)任制，明確各有關(guān)部門的工作職責(zé)，實行安全責(zé)任追究制度；建立健全各種安全管理制度，保證SCADA 系統(tǒng)的安全運行；建立安全培訓(xùn)機制，對所有人員進行信息安全基本知識，相關(guān)法律法規(guī)，實際使用安全產(chǎn)品的工作原理、安裝、使用、維護和故障處理等的培訓(xùn)，以強化安全意識，提高技術(shù)水平和管理水平[10]。

建立完善的移動介質(zhì)控制措施，避免由于移動介質(zhì)在SCADA系統(tǒng)中的使用而造成的隱患。組織對所有連接到SCADA系統(tǒng)的遠(yuǎn)程站點的物理安全進行調(diào)查和評估，評估他們的安全性。遠(yuǎn)程控制采用VPN方式。采用適當(dāng)?shù)馁~號鎖死方式，以應(yīng)對暴力破解；對用戶要求使用強密碼；對第三方供應(yīng)商創(chuàng)建管理員級別賬號進行監(jiān)控。

4 結(jié)束語

隨著數(shù)字化管道及數(shù)字化油田的建設(shè)，越來越多的管道基礎(chǔ)設(shè)施暴露于互聯(lián)網(wǎng)，網(wǎng)絡(luò)攻擊變得越來越容易，對于國家支柱產(chǎn)業(yè)的石油天然氣行業(yè)來說，保護SCADA系統(tǒng)免受攻擊，組建健康、安全的SCADA系統(tǒng)環(huán)境迫在眉睫。

[1] Marihart D J. Marihart Communications Technology Guidelines for EMS/SCADA Systems[J]. IEEE Transactions on Power Delivery， 2001， 16(02)： 181-188.

[2] Atzori L， Iera A， Morabito G. The Internet of Things： A Survey[J]. Computer Networks, 2010, 54(15)： 2787-2805.

[3] 韓英杰.交換式以太網(wǎng)在礦井監(jiān)控系統(tǒng)中的應(yīng)用[J].中國安全生產(chǎn)科學(xué)技術(shù)，2006，2(02)： 89-91.

[4] 亓璐，吳海峰，翟鵬，等.網(wǎng)絡(luò)蠕蟲掃描策略和檢測技術(shù)的研究[J].計算機安全，2010(05)： 11-13.

[5] 余勇，林為民.工業(yè)控制SCADA系統(tǒng)的信息安全防護體系研究[J].理論研究，2012(05)： 74-77.

[6] 黃河，張偉，祁國成，等.油氣管道SCADA系統(tǒng)數(shù)據(jù)傳輸?shù)陌踩L(fēng)險及其解決方案[J].安全與管理，2013,33(11)： 115-120.

[7] 桑圣潔.安全隔離網(wǎng)閘在油氣生產(chǎn)物聯(lián)網(wǎng)信息網(wǎng)絡(luò)安全中的應(yīng)用探索[J].硅谷，2012(02)： 165-166.

[8] 徐洪華，張旭.網(wǎng)絡(luò)化SCADA系統(tǒng)安全防御策略[J].中國安全生產(chǎn)科學(xué)技術(shù)，2011，7(11)： 164-168.

[9] 聶文惠，鞠時光，呂霞.開放性SCADA系統(tǒng)中的資源分層管理策略[J].計算機工程，2009，35(05)： 221-223.

[10] 劉廣瀠.淺談長輸管道SCADA系統(tǒng)的安全性[J].甘肅科技，2014，30(17)： 63-64,160.

BriefAnalysisonSecurityofOil/GasPipelineSCADASystem

Xu Wei

(Beijing Branch, Sinopec Petroleum Engineering Corporation, Beijing, 102200, China)

The frame of oil/gas pipeline SCADA system is expounded.The security risks existing in the system structure and management are analyzed. Combining with actual situation, the countermeasures of improving the security of SCADA system is put forward from aspects of hardware and network structure, software and management. Such as restricting cross-domain access among the station control systems, designing a vertical hierarchical protection in the control center, deploying horizontal security platform to achieve tracing function of all security log. All workstations should be protected by installing industrial firewall security guards.Virus gene is updated and security risks are scanned and repaired regularly. Training for system operators should be stressed, relevant operational procedures should be formulated. System security risks would be reduced from management.

supervisory control and data acquisition system；illegal invasion;security risks;industrial firewall; gatekeeper

TP277

B

1007-7324(2017)05-0043-04

稿件收到日期： 2017-06-22，修改稿收到日期2017-07-28。

許威(1986—)，女，湖北英山人，2009年畢業(yè)于山東大學(xué)通信工程專業(yè)，獲學(xué)士學(xué)位，現(xiàn)就職于中石化石油工程設(shè)計有限公司北京分公司，從事通信工程設(shè)計工作，任工程師。