油氣管道SCADA系統安全淺

析許威

(中石化石油工程設計有限公司 北京分公司，北京 102200)

油氣管道SCADA系統安全淺

析許威

(中石化石油工程設計有限公司 北京分公司，北京 102200)

介紹了石油天然氣管道SCADA系統的組織結構，分析了系統結構及管理中存在的安全隱患，結合工程實際情況，從硬件及網絡架構、軟件、管理層三個角度提出了提高SCADA系統安全性的措施，即： 站控系統嚴控跨域訪問，控制中心實行縱向分層防護，橫向部署安全平臺，實現所有安全日志可追溯。SCADA系統內所有工作站安裝工業防火墻安全衛士，定期更新病毒庫和掃描安全隱患并修復；加強對系統操作人員的培訓，制訂相關操作規程，從管理層面上降低系統安全風險。

數據采集與監控系統 非法入侵 安全隱患 工業防火墻 網閘

隨著互聯網的普及，工業4.0、大數據、數字化工程等技術的推廣，工業信息系統網絡安全面臨的設備高危漏洞、進口設備后門、病毒、無線技術應用等帶來的威脅及風險將越來越大。近年來工控系統安全事件頻發，工控安全防范迫在眉睫。油氣管道數據采集與監控系統(SCADA)通過對現場設備信號進行實時采集、加工、匯總、計算和展示，實現了設備監控、參數調節、信號報警等遠程監控功能[1]。文中通過分析典型油氣管道SCADA系統中存在的安全隱患，從硬件及網絡架構、軟件、管理層三個方面提出如何提高SCADA系統安全性的措施。

1 典型油氣管道SCADA系統結構

典型的油氣管道SCADA系統由前端和后端兩部分組成。

1) 前端。由站場本地控制系統、閥室遠程終端單元 (RTU)組成。

a) 站場本地控制系統。包括工藝過程控制系統(PCS)、安全儀表系統(SIS)、火氣系統(FGS)等，而PCS及SIS由各種現場傳感器、探測器、最終執行元件及邏輯控制單元組成。

b) 閥室RTU。RTU是安裝在遠程閥室現場的電子設備，用來監視和測量安裝在遠程閥室的傳感器和設備，負責對現場信號、工業設備的監測和控制。

2) 后端。主要由控制中心的各種數據庫服務器及操作員工作站組成。前端站場數據信號通過有線或無線通信方式集中到后端控制中心進行集中管理及控制。

整個SCADA系統前、后端沒有設置相關的網絡安全設備。

2 典型油氣管道SCADA系統安全隱患

2.1網絡結構隱患

“兩化融合”后，SCADA系統和企業網通過邏輯隔離的方式隔離，而企業網中信息網一般在控制中心會連接互聯網,SCADA系統面臨來自企業網和互聯網的雙重威脅。管道SCADA系統應用基于TCP/IP以太網通信的OPC技術及工業以太環網進行SCADA系統的集成，PC服務器、操作系統和數據庫大多使用通用的系統，很容易遭到來自企業網或互聯網的病毒、木馬、黑客的攻擊[2]。同時，系統采用開放式和標準化協議，不同系統間共享主站數據和功能成果，在更廣的范圍內實現了系統的分布式功能[3]，但同時也使得共享網絡變得更脆弱。

SCADA系統廠商使用維護設備對系統設備進行遠程維護時，維護設備與SCADA系統直接相連，若使用的維護設備自身遭受病毒攻擊，就會間接導致病毒攻擊擴散到SCADA系統中，存在一定的安全隱患。

2.2軟件方面隱患

2.2.1操作系統隱患

考慮到工控軟件與操作系統補丁兼容性的問題，系統開車后一般不會對Windows平臺打補丁，導致系統帶著風險運行。雖然企業管理信息網與控制網進行了邏輯隔離，部分惡意程序不能直接攻擊到控制網絡，但對于能夠利用Windows系統隱患的網絡蠕蟲及病毒等，這種配置并沒有作用，病毒會在信息網和控制網之間互相傳播[4]。

2.2.2殺毒軟件安裝及升級更新隱患

用于生產控制系統的Windows操作系統基于工控軟件與殺毒軟件的兼容性設置，通常不再安裝殺毒軟件，給病毒與惡意代碼傳染與擴散留下了空間。即使有的安裝了殺毒軟件，也只能對部分病毒或攻擊有所抑制，但病毒庫更新存在滯后問題，無法從根本上進行防護。

2.3管理體系

制度管理不完善，在SCADA系統中使用U盤、光盤等移動介質導致病毒傳播，所有的站控系統、控制中心服務器等均在同一個網絡中，一旦感染病毒，SCADA內部會相互感染，甚至導致系統停車。

對SCADA系統的操作行為沒有監控和響應措施，系統中的異常行為或人為行為會給系統帶來很大的風險。

3 SCADA系統安全防護措施

通過以上對SCADA系統安全現狀的分析，可以看到SCADA系統的自身缺陷和采用通用平臺及協議，使得SCADA系統面臨著極大風險，而“兩化融合”及操作人員對于SCADA系統的維護管理疏漏，又無形中加大了SCADA系統的安全風險[5]?；赟CADA系統網絡架構和存在的安全隱患，應從硬件及網絡架構、軟件、管理層三個方面采取措施提升SCADA系統的安全性。

3.1硬件及網絡架構

在系統中局域網邊界部署相關的網絡安全設備能對數據傳輸起到一定的保護作用，應用在工控網中常見的設備有工業防火墻及安全隔離網閘。

1) 工業防火墻。該設備是一種兼容OPC，Modbus，DNPS等工業控制協議的特制防火墻，具有軟件防火墻的所有功能，并具有內容過濾(CF)、入侵偵測(IDS)、入侵防護(IPS)以及虛擬專用網絡(VPN)等功能[6]，可以在應用系統訪問控制、流量控制、防病毒網關、用戶權限控制、惡意代碼的阻止、異常行為阻斷等方面對SCADA網絡進行控制。

2) 安全隔離網閘。采用雙主機與隔離硬件結構實現網絡隔離時，從數據層斷開，阻斷所有基于TCP/IP的網絡通信，有效阻斷了基于TCP/IP的木馬病毒入侵[7]。

3.1.1前端防御

在站控系統及閥室RTU部署工業防火墻進行隔離防護，阻止來自企業信息網的病毒擴散。防火墻設置白名單模式，只有可信任的訪問才能被允許。工業級防火墻可以將SCADA系統網絡與企業內部網絡及互聯網隔離開,為SCADA系統提供更高級別的安全防護[8]。

3.1.2后端防御

控制中心網絡按照重要級別劃分為控制網絡層、數據監控層、信息管理層。在信息管理層與數據監控層之間，主要進行身份鑒別、訪問控制、檢測審計、鏈路冗余、內容檢測等安全防護。在數據監控層和控制網絡層之間，主要避免信息管理層直接對控制網絡層的訪問，保證數據監控層對控制網絡層的操作唯一性，保證只有可信、合規的終端和服務器才可以在兩個區域之間進行安全的數據交換。整個數據交換過程接受監控、審計，任何非法的訪問，通過監控管理平臺會產生實時報警信息，使故障問題在原始發生區域被迅速地發現和解決?？刂浦行腟CADA系統網絡如圖1所示。

圖1 控制中心SCADA系統網絡分層示意

1) 第一層防護。在SCADA系統與外部網絡邊界，即信息管理層與Web服務器及外網連接處設置單向網閘，采用非網絡的方式使數據從控制系統單向傳輸至外部網絡，杜絕了來自外網的網絡攻擊。

2) 第二層防護。通過在信息網絡層和數據監控層之間部署工業防火墻，可以阻止來自信息管理層的病毒傳播及非法入侵；管控OPC客戶端與服務器的通信，實現區域隔離及通信管控。

3) 第三層防護。通過在數據監控層和控制網絡層之間部署工業防火墻，過濾信息網絡層與數據監控層兩個區域的通信，使網絡故障控制在最初發生的區域內，而不會影響到核心控制網。

4) 第四層防護。在控制網絡層通道入口部署工業級OPC通信協議防火墻，防止來自企業信息網針對管線SCADA系統的攻擊和病毒感染，杜絕來自企業內部網絡的木馬、病毒及非法入侵。

在控制網絡層部署1套安全配置平臺，對網絡中所有工業硬件防火墻進行組態和管控。在信息網絡層部署1套安全管理平臺，統一部署網絡通信監控策略，統一收集來自網絡中所有工業防火墻的通信日志，通過可視化流程圖界面，實現監控、日志存儲、檢索、查詢及智能報警分析等功能，并將這些日志存儲在本地磁盤上或通過Syslog文件形式傳輸到遠程數據庫服務器上，實現日志的可追溯。

3.1.3SCADA系統中工業級防火墻功能

1) 工業協議深度包檢測，包括網絡層和應用層基于白名單策略的訪問控制，支持TCP/IP，Modbus TCP，OPC，Profinet，DNP3.0等多種工業控制網絡協議。

2) 支持靜態路由、策略路由等多路由協議，支持針對工業協議采用深度包檢測技術及應用層通信跟蹤技術。

3) 抗攻擊滲透能力、檢測記錄端口掃描、抵御拒絕服務攻擊、抵御源IP地址欺騙攻擊及IP碎片包攻擊等。

4) 自身支持多種用戶登錄認證機制；具有嚴格的安全審計功能，如實記錄用戶操作行為，為企業的安全提供強有力的依據。

5) 支持IPSEC VPN訪問。

3.2軟件防護

在SCADA系統內的工程師工作站、操作員工作站、調度員工作站上安裝工業防火墻安全衛士，定期更新病毒庫和掃描安全隱患并修復。SCADA 系統應對主機操作系統、數據庫管理系統、通用應用服務等進行安全配置，解決由于系統漏洞或不安全配置所引入的安全隱患。針對操作員工作站應采取以下防護措施：

1) 內存保護。非授權的程序運行及隱患可以被阻斷并報告。

2) 文件篡改監控。任何文件的改變、添加、改名、改屬性、改訪問控制等，都將被記錄并告警。

3) 寫保護。對硬盤的寫入僅授權給操作系統，限于應用配置及日志文件，其他的寫操作被禁止。

4) 讀保護。對文件的讀操作僅限于特定文件、目錄、卷、腳本，其他讀操作將被禁止。

3.3管理層防護

系統操作人員在工作期間的誤操作會直接影響數據的準確性和流程的正確運行。某些SCADA系統對操作人員的操作記錄未加數字簽名就存放在數據庫中，這樣記錄容易被篡改，不具備不可抵賴性[9]。

規范化管理是SCADA系統安全的保障。以“三分技術，七分管理”為原則，建立信息安全組織保證體系，落實責任制，明確各有關部門的工作職責，實行安全責任追究制度；建立健全各種安全管理制度，保證SCADA 系統的安全運行；建立安全培訓機制，對所有人員進行信息安全基本知識，相關法律法規，實際使用安全產品的工作原理、安裝、使用、維護和故障處理等的培訓，以強化安全意識，提高技術水平和管理水平[10]。

建立完善的移動介質控制措施，避免由于移動介質在SCADA系統中的使用而造成的隱患。組織對所有連接到SCADA系統的遠程站點的物理安全進行調查和評估，評估他們的安全性。遠程控制采用VPN方式。采用適當的賬號鎖死方式，以應對暴力破解；對用戶要求使用強密碼；對第三方供應商創建管理員級別賬號進行監控。

4 結束語

隨著數字化管道及數字化油田的建設，越來越多的管道基礎設施暴露于互聯網，網絡攻擊變得越來越容易，對于國家支柱產業的石油天然氣行業來說，保護SCADA系統免受攻擊，組建健康、安全的SCADA系統環境迫在眉睫。

[1] Marihart D J. Marihart Communications Technology Guidelines for EMS/SCADA Systems[J]. IEEE Transactions on Power Delivery， 2001， 16(02)： 181-188.

[2] Atzori L， Iera A， Morabito G. The Internet of Things： A Survey[J]. Computer Networks, 2010, 54(15)： 2787-2805.

[3] 韓英杰.交換式以太網在礦井監控系統中的應用[J].中國安全生產科學技術，2006，2(02)： 89-91.

[4] 亓璐，吳海峰，翟鵬，等.網絡蠕蟲掃描策略和檢測技術的研究[J].計算機安全，2010(05)： 11-13.

[5] 余勇，林為民.工業控制SCADA系統的信息安全防護體系研究[J].理論研究，2012(05)： 74-77.

[6] 黃河，張偉，祁國成，等.油氣管道SCADA系統數據傳輸的安全風險及其解決方案[J].安全與管理，2013,33(11)： 115-120.

[7] 桑圣潔.安全隔離網閘在油氣生產物聯網信息網絡安全中的應用探索[J].硅谷，2012(02)： 165-166.

[8] 徐洪華，張旭.網絡化SCADA系統安全防御策略[J].中國安全生產科學技術，2011，7(11)： 164-168.

[9] 聶文惠，鞠時光，呂霞.開放性SCADA系統中的資源分層管理策略[J].計算機工程，2009，35(05)： 221-223.

[10] 劉廣瀠.淺談長輸管道SCADA系統的安全性[J].甘肅科技，2014，30(17)： 63-64,160.

BriefAnalysisonSecurityofOil/GasPipelineSCADASystem

Xu Wei

(Beijing Branch, Sinopec Petroleum Engineering Corporation, Beijing, 102200, China)

The frame of oil/gas pipeline SCADA system is expounded.The security risks existing in the system structure and management are analyzed. Combining with actual situation, the countermeasures of improving the security of SCADA system is put forward from aspects of hardware and network structure, software and management. Such as restricting cross-domain access among the station control systems, designing a vertical hierarchical protection in the control center, deploying horizontal security platform to achieve tracing function of all security log. All workstations should be protected by installing industrial firewall security guards.Virus gene is updated and security risks are scanned and repaired regularly. Training for system operators should be stressed, relevant operational procedures should be formulated. System security risks would be reduced from management.

supervisory control and data acquisition system；illegal invasion;security risks;industrial firewall; gatekeeper

TP277

B

1007-7324(2017)05-0043-04

稿件收到日期： 2017-06-22，修改稿收到日期2017-07-28。

許威(1986—)，女，湖北英山人，2009年畢業于山東大學通信工程專業，獲學士學位，現就職于中石化石油工程設計有限公司北京分公司，從事通信工程設計工作，任工程師。