工控安全監(jiān)測技術(shù)在燃氣SCADA系統(tǒng)中的應(yīng)用

天然氣作為一種清潔、低排放的高效能源，在發(fā)電、交通運輸、化工等方面都有著對傳統(tǒng)能源良好的替代性?！笆濉逼陂g，國家層面的能源結(jié)構(gòu)優(yōu)化和環(huán)境污染治理將成為天然氣消費最主要的推動力。我國將持續(xù)提高天然氣在一次性能源消費中所占的比例，增加天然氣發(fā)電的投資規(guī)模、加速天然氣配套基礎(chǔ)設(shè)施建設(shè)、開展分布式能源利用項目將成為未來幾年天然氣應(yīng)用市場發(fā)展的重點。

城市燃氣高壓管網(wǎng)中的工業(yè)控制系統(tǒng)主要以SCADA系統(tǒng)為主。SCADA系統(tǒng)連接整個燃氣工業(yè)控制網(wǎng)絡(luò)內(nèi)的相關(guān)設(shè)備，通過數(shù)據(jù)采集及相關(guān)通信技術(shù)可以對現(xiàn)場的運行的設(shè)備進行監(jiān)視和控制，以實現(xiàn)數(shù)據(jù)采集、設(shè)備控制、測量、參數(shù)調(diào)節(jié)，以及各類信號報警等各項功能。現(xiàn)場控制系統(tǒng)主要是接收調(diào)度中心和現(xiàn)場控制人員的控制指令，以及自定義控制的策略，進行對現(xiàn)場閥門或者其它執(zhí)行機構(gòu)的控制和保護功能，并能實時地把運行數(shù)據(jù)傳輸至遠程調(diào)度中心。

然而，現(xiàn)有的絕大多數(shù)工控系統(tǒng)網(wǎng)絡(luò)包括SCADA系統(tǒng)都缺乏相關(guān)的安全防護規(guī)劃與設(shè)計，在“兩化融合”的大背景下幾乎完全裸露在外部網(wǎng)絡(luò)環(huán)境中。工業(yè)控制系統(tǒng)的脆弱性凸顯，所面臨的威脅不斷加劇，主要表現(xiàn)如下：用于工業(yè)控制的通信協(xié)議在設(shè)計之初是沒有考慮安全因素的，大多采用明文傳輸，沒有加密機制，這樣控制信息在傳輸?shù)臅r候就有可能會被偵測到，一旦掌握這些信息，就有可能為進一步的攻擊提供有價值的信息。

以往的工業(yè)控制協(xié)議是沒有身份驗證機制的，無論是誰，只要按照協(xié)議規(guī)定發(fā)送信息到控制單元控制單元都會根據(jù)接收到的信息發(fā)送命令到執(zhí)行部件，比如閥門?？刂茊卧菬o法核實該命令是否是有權(quán)限的合法指令。

在很多通信軟件的開發(fā)過程中，只注意一致性的檢查而沒有對產(chǎn)品的健壯性進行測試，在協(xié)議報文出現(xiàn)變形時，不能及時處理造成設(shè)備掛起或死機的現(xiàn)象時有發(fā)生。由于沒有身份驗證，非法的惡意報文也導(dǎo)致設(shè)備崩潰。工業(yè)設(shè)備一旦安裝，工作正常，固件從不更新的情況也十分常見。工業(yè)設(shè)備的漏洞呈上升趨勢，通常設(shè)備提供商在得知產(chǎn)品的漏洞時都會對其產(chǎn)品做修復(fù)處理。如果不及時更新固件，攻擊者可以輕易采用已知漏洞對設(shè)備進行攻擊。

通過燃氣仿真平臺的搭建，真實還原天然氣高壓管網(wǎng)中子站的實際狀態(tài)。在燃氣仿真平臺中，利用小管徑管道模擬燃氣管道，PLC控制電磁閥門的開關(guān)，管道中流動的是壓縮空氣來模擬天然氣。正常運行狀態(tài)下，由SCADA控制中心收集管道、閥門中的各類參數(shù)。當(dāng)工控網(wǎng)絡(luò)被入侵時，黑客可以關(guān)閉管道中電磁閥導(dǎo)致供氣停止，影響下游居民、企業(yè)用氣，造成惡劣影響。

在本案例中，我們通過在內(nèi)部網(wǎng)絡(luò)中加入一個微型4G接口設(shè)備，攻擊工控網(wǎng)絡(luò)內(nèi)部設(shè)備。

通過在仿真系統(tǒng)中部署全網(wǎng)監(jiān)測預(yù)警平臺，可自主發(fā)現(xiàn)網(wǎng)絡(luò)中所有已知和未知的網(wǎng)絡(luò)資源，并可對采集獲取的流量數(shù)據(jù)進行統(tǒng)計分析，并以圖表等簡單直觀的方式顯示，被動在線監(jiān)測工控網(wǎng)絡(luò)中的數(shù)據(jù)信息，并實時進行流量分析，發(fā)現(xiàn)、預(yù)警、分析工控網(wǎng)絡(luò)威脅，實現(xiàn)多方式實時報警。全網(wǎng)監(jiān)測預(yù)警平臺能夠監(jiān)視系統(tǒng)記錄黑客攻擊路線，為后續(xù)的應(yīng)急響應(yīng)和防護研究提供有效的參考資料。

立思辰新技術(shù)有限公司開發(fā)并研制搭建了一套完整的燃氣高壓官網(wǎng)SCADA系統(tǒng)，并部署了工業(yè)控制系統(tǒng)安全防護產(chǎn)品工控全網(wǎng)監(jiān)測預(yù)警平臺，提供國家基礎(chǔ)設(shè)施仿真環(huán)境的安全測試環(huán)境。

立思辰搭建了一套完整的城市高壓管網(wǎng)SCADA系統(tǒng)仿真環(huán)境，包含一套調(diào)度控制中心的仿真，27個燃氣管網(wǎng)子站（其中包含各類門站、大型調(diào)壓站）的仿真和通信方式的仿真。

建立完善的入侵檢測機制，在攻擊者入侵后，可以研究黑客的攻擊途徑和方法，以及攻擊源，隨時了解針對工控系統(tǒng)發(fā)動的最新偵測方法和攻擊手段，并且通過在“蜜罐”中部署的監(jiān)視系統(tǒng)記錄黑客攻擊路線，為后續(xù)的應(yīng)急響應(yīng)和防護研究提供有效的資料。

城市燃氣管網(wǎng)SCADA系統(tǒng)，包括：門站、高中壓調(diào)壓站、中低壓調(diào)壓站、重點客戶調(diào)壓站、閥室的工藝系統(tǒng)和輔助系統(tǒng)的儀控裝置、設(shè)備、軟件、HMI和數(shù)據(jù)庫，實現(xiàn)以燃氣管道調(diào)度控制中心對全線生產(chǎn)運行的調(diào)度管理，遠程控制和管理，調(diào)度、管理和優(yōu)化運行整個管道。

本方案中搭建了一套完整的城市高壓管網(wǎng)SCADA系統(tǒng)仿真環(huán)境，包含一套調(diào)度控制中心的仿真，27個燃氣管網(wǎng)子站（其中包含各類門站、儲備站、大型調(diào)壓站）的仿真和通信信道的仿真。在27個燃氣管網(wǎng)的子站中，選取典型的4類子站做實際仿真，其余各個子站采取計算器軟件虛擬仿真的技術(shù)，對其余各個子站的功能進行仿真搭建。從而能夠更加全面地對城市高壓管網(wǎng)SCADA系統(tǒng)進行仿真。

系統(tǒng)網(wǎng)絡(luò)采用Client/Server結(jié)構(gòu)。整個系統(tǒng)分為兩級，第一級為調(diào)度中心的控制管理級，調(diào)度中心設(shè)在燃氣公司的調(diào)度大樓里，由計算機、網(wǎng)絡(luò)等設(shè)備構(gòu)成局域網(wǎng)；第二級為現(xiàn)場控制站的過程控制級（PLC、RTU），分別位于門站、儲配站、各級調(diào)壓站、管網(wǎng)監(jiān)測點、樓棟調(diào)壓箱處；通信網(wǎng)絡(luò)是保證SCADA 系統(tǒng)數(shù)據(jù)能否實時、可靠的關(guān)鍵，通信網(wǎng)絡(luò)的介質(zhì)選擇是有線方式通信。

SCADA數(shù)據(jù)采集與監(jiān)控仿真子系統(tǒng)包含了SCADA數(shù)據(jù)采集與監(jiān)控仿真平臺、Web服務(wù)器、FTP服務(wù)器、操作員站、主控室顯示大屏等。其中最主要的SCADA數(shù)據(jù)采集與監(jiān)控仿真平臺主要實現(xiàn)調(diào)度控制中心的一系列功能。

典型站控系統(tǒng)由操作員工作站（運行SCADA軟件）、PLC、交換機、路由器、打印機等設(shè)備組成站控局域網(wǎng)。

仿真系統(tǒng)平臺搭建完成后，能夠在監(jiān)控中心監(jiān)視各個子站的通信信息，并能監(jiān)視各個遠程子站的運行狀態(tài)，重要監(jiān)測數(shù)據(jù)和報警信息等。同時還可以通過子站控制頁面對遠程子站的閥門進行控制。

門站區(qū)域控制站能夠完成對門站內(nèi)各種工藝設(shè)備的監(jiān)控和管理，同時負責(zé)將有關(guān)信息上傳給調(diào)度控制中心，并接受和執(zhí)行其下達的命令。方案共設(shè)計27個門站子系統(tǒng)，其中選取燃氣行業(yè)使用國內(nèi)目前市場占有率前四的PLC/RTU做真實物理仿真，其它系統(tǒng)用仿真系統(tǒng)來實現(xiàn)模擬仿真，以實現(xiàn)其它23個子系統(tǒng)的控制通信效果。

工控全網(wǎng)監(jiān)測預(yù)警平臺（xAlert）能夠被動在線監(jiān)測工控網(wǎng)絡(luò)中的數(shù)據(jù)信息，并實時進行流量分析，能夠?qū)θ肭衷O(shè)備檢測，發(fā)現(xiàn)、預(yù)警、分析工控網(wǎng)絡(luò)威脅，并能實現(xiàn)多方式實時報警。工控全網(wǎng)監(jiān)測預(yù)警平臺（xAlert）能夠監(jiān)視系統(tǒng)記錄黑客攻擊路線，對整個入侵過程進行記錄，為后續(xù)的應(yīng)急響應(yīng)和防護研究提供有效的資料。支持資產(chǎn)自動發(fā)現(xiàn)，支持網(wǎng)絡(luò)資產(chǎn)可視化，支持工控網(wǎng)絡(luò)數(shù)據(jù)流向監(jiān)測，支持工控協(xié)議深度檢測，支持PLC/DCS工控設(shè)備關(guān)鍵操作監(jiān)測，支持PLC/DCS工控設(shè)備探測與Dos攻擊報警，支持PLC/DCS工控設(shè)備自身異常行為預(yù)警，支持工控網(wǎng)絡(luò)基線白名單環(huán)境確定，支持工控網(wǎng)絡(luò)行為異常監(jiān)測及智能預(yù)警，支持Email、手機、Pad多種方式實時報警，分布式平臺，易部署、易操作，工控網(wǎng)絡(luò)環(huán)境零干預(yù)。

部署了工控全網(wǎng)監(jiān)測預(yù)警平臺能使網(wǎng)絡(luò)安全管理人員把握網(wǎng)絡(luò)系統(tǒng)的整體運行情況，及時對網(wǎng)絡(luò)安全的態(tài)勢進行評估和預(yù)測，盡可能在早期識別并清除對網(wǎng)絡(luò)安全的威脅，將網(wǎng)絡(luò)惡意行為扼殺在萌芽狀態(tài)。

通過在高壓燃氣SCADA仿真系統(tǒng)中的實際應(yīng)用，利用工控全網(wǎng)監(jiān)測預(yù)警平臺能夠?qū)崟r發(fā)現(xiàn)工控網(wǎng)絡(luò)中關(guān)鍵操作，并對所有的操作根據(jù)制定的規(guī)則劃分報警等級，能使企業(yè)管理人員迅速發(fā)現(xiàn)網(wǎng)絡(luò)內(nèi)存在的安全問題，及時響應(yīng)，做出相應(yīng)的安全防護措施。工控全網(wǎng)監(jiān)測預(yù)警平臺能夠被動在線監(jiān)測工控網(wǎng)絡(luò)中的數(shù)據(jù)信息，并實時進行流量分析，發(fā)現(xiàn)、預(yù)警、分析工控網(wǎng)絡(luò)威脅，并能實現(xiàn)多方式實時報警。工控全網(wǎng)監(jiān)測預(yù)警平臺能夠監(jiān)視系統(tǒng)記錄黑客攻擊路線，為后續(xù)的應(yīng)急響應(yīng)和防護研究提供有效的參考資料。endprint