長輸天然氣管道工控系統安全防護措施及相關建議

王 磊，魏 娜

(中石油管道有限責任公司西氣東輸分公司，上海 200122)

0 概述

在長輸天然氣管道快速發展的今天，隨著骨干網絡的建成，天然氣作為清潔能源在居民日常生活和工業生產活動中扮演著越來越重要的角色，更加凸顯管道安全運行的重要性。長輸天然氣管道壓力等級高、地理跨度長，整體呈線型走向，用于截斷的閥室和用于增壓、分輸的站場沿管道呈點狀離散分布。伴隨著管道智能化水平的提升，目前長輸天然氣管道采用以計算機為核心的SCADA(Supervisory Control and Data Acquisition)系統用于數據采集和監控，通過工業控制系統進行站場設備數據的采集、處理和控制，并通過專用網絡將現場數據上傳至調控中心，以實現管道設備的遠程數據監視和控制。

由于當年技術條件限制或其他原因，部分工控設備出廠后或多或少會存在一些漏洞，隨著時間的推移和技術的發展，這些潛在的漏洞存在被惡意利用的風險。目前，針對工控系統網絡設備的攻擊對工業生產、國計民生已經造成嚴重影響，例如著名的伊朗核電站“震網”事件、烏克蘭電網大面積停電事件等。

長輸天然氣管道的集中調度、參數控制、異常報警等智能化功能的實現均以工控系統網絡及設備為載體，因此，工控系統網絡的安全運行是管道平穩運行的必要前提。近年來，隨著網絡安全事件的高發，特別是針對工控系統網絡的攻擊時有發生，為長輸天然氣管道工控系統網絡安全敲響了警鐘。

1 工控系統概況

1.1 工控設備概況

目前長輸天然氣管道使用的工控系統設備主要為國際主流廠商提供的產品，用于現場數據的采集、運算、控制，如施耐德、AB、BB、霍尼韋爾、西門子、西斯奈特等公司提供的工業可編程控制器，思科、赫斯曼等廠家提供的路由器、交換機，人機交互系統硬件主要為Windows操作系統的工控計算機，軟件主要包括PKS、IFIX、CIMPILICITY、INTOUCH、OASYS、VIEWSTAR等產品。一些國內廠商也可提供部分工控產品，如華為、中興、浙江中控、中油龍慧等。另外，中石油獨立知識產權的人機交互軟件PCS目前已進入工業化試驗階段。

按照目前各廠家發出的通知，部分工控系統產品如果存在一定的漏洞，廠商會從技術層面給出一定的解決方案，但是部分升級方案由于其本身限制性或者升級過程可能對現場正常運行的系統造成一定影響而不具備可執行性。

1.2 工控網絡特點

長輸天然氣管道站場內設備獨立構成局域網，通過光纖、DDN或衛星等通信網絡將數據傳輸至控制中心，沿線分布的站場、閥室與控制中心構成“樹”狀分布的網絡結構[1]。典型的工控系統網絡拓撲如圖1所示：

圖1 典型網絡拓撲圖

圖1中SCS(Station Control System)為站場控制系統，包括可編程控制器、安全儀表系統以及配套的網絡通信設備。RTU(Remote Terminal Unit)為閥室控制系統，用于閥室數據的采集和控制。SCS和RTU分別采集站場和閥室的數據，通過冗余專網上傳至控制中心，并接受中心下達的指令。OAD(Operation and Display)為設置在地區管理處的數據顯示終端，用于所轄站場和閥室的數據監視[2]。

長輸天然氣管道工控網絡原則上獨立成網，嚴禁與互聯網進行連接，不同站場之間不允許互相訪問。由于工業控制網絡專網專用、不允許與互聯網進行連接的特性，導致基于互聯網進行升級的各類漏洞、補丁無法或者不便于進行升級[3]。

2 工控系統安全防護現狀及措施

2011年9月工信部發布《關于加強工業控制系統信息安全管理的通知》，國內各行各業對工控系統網絡安全認知逐漸提升，地方政府、行業組織定期開展安全檢查活動。2014年國家成立中央網絡安全和信息化領導小組，從頂層設計定位“網絡安全和信息化是事關國家安全和國家發展、事關廣大人民群眾工作生活的重大戰略問題”，另外在其他會議中也指出“特別是國家關鍵信息基礎設施面臨較大風險隱患，網絡安全防控能力薄弱，難以有效應對國家級、有組織的高強度網絡攻擊，應加快構建關鍵信息基礎設置安全保障體系”。2017年6月1日，《中華人民共和國網絡安全法》正式實施，明確指出“國家對公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域，以及其他一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施，在網絡安全等級保護制度的基礎上，實行重點保護”。由此可見，作為關鍵信息基礎設施的一部分，長輸天然氣管道工控系統網絡安全保護已從法律層面進行明確。

據了解，國外已成形的工業控制系統信息安全標準主要包括IEC 62443系列《工業過程測量、控制和自動化網絡與系統信息安全》、ISO/IEC TR 27019《基于ISO/IEC 27002的用于能源行業過程控制系統的信息安全管理指南》、NIST SP 800-82《工業控制系統(ICS)安全指南》等。目前，國內發布的用于工控網絡安全防護、評估的文件主要包括工業和信息化部2016年10月17日印發《工業控制系統信息安全防護指南》，國家規范有GB/T 32919-2016《信息安全技術工業控制系統安全控制應用指南》、GB/T 30976.1-2014《工業控制系統信息安全 第1部分：評估規范》、GB/T 30976.1-2014《工業控制系統信息安全 第2部分：驗收規范》、GB/T 20984-2007《信息安全技術 信息安全風險評估規范》等。

目前行業尚欠缺具體的、細化的、可用于指導工控網絡安全建設、檢查、驗收、評估的規范。由于針對工控網絡安全的要求暫不完善，各家公司多依據各自生產經驗進行工控網絡安全防護的管理和策略設置。目前,常用的基本安全防護措施主要包括以下方面：

2.1 邊界安全防護

工控網絡一般獨立成網，需要與其他工控網絡進行連接時，應通過工控網絡邊界防護設備來進行，禁止直接與互聯網、其他工控網絡或企業信息網連接。工控網絡邊界安全防護設備包括工業防火墻、工業網閘、單向隔離設備及企業定制的邊界安全防護網關等。

工控網絡數據應用應根據其業務需求進行劃分，對于需要大批量、持續性使用SCADA系統的情況，應在區域之間設置邊界安全防護措施，配置專用數據傳輸服務器，通過數據傳輸服務器對外統一發布數據。

2.2 終端病毒防護

基于Windows操作系統的客戶端、服務器等工作站存在病毒防護需求。由于工控系統網絡不允許與互聯網進行連接，導致常規的病毒查殺軟件無法自動進行病毒庫升級，從而使病毒查殺軟件失去抵御新病毒的能力。而若采用離線升級的方式進行病毒庫升級，對于站場分布廣且數量多的情況存在很大的不便利性，耗費較多人力，且在多點離線升級時，無法掌控每點的作業質量，同時還可能在設備接入過程中帶入其他風險。

為解決病毒庫無法升級的情況，可以在與每個站點均有通訊的中心設置病毒庫升級服務器，該服務器只接入工控網絡而不接入互聯網，每次只對中心設置的服務器進行離線升級，然后各個站點的工作站通過連接中心服務器實現自動升級。需要特別注意的是，在對中心服務器進行離線升級的過程中，一定要確保移動介質本體的安全性，且此方式需要對病毒庫進行測試，在確定不影響現場工控軟件運行后方可實施。

另外一種解決方案，可以在客戶端、服務器等工作站上安裝基于白名單的防病毒軟件，對于設備運行的信任程序一次性加入白名單，對于白名單以外的任何程序均禁止運行。

2.3 身份認證

工控網絡設備在出廠時一般均設置默認賬號和密碼，在系統建設期間，廠商為了方便使用，一般不對默認賬號和密碼進行更改，或統一更改為一致的賬號、密碼。在系統投入正常運行后，要及時對默認賬號和密碼進行更改，定期對密碼進行更改。另外，應合理分類設置賬戶權限，以最小特權原則分配賬戶權限，確保賬號丟失后造成損失的最小化[4]。

2.4 設備接入

在對工控系統設備進行維護的過程中，不可避免地存在外部設備的臨時接入，日常工作中應嚴格要求用于系統維護的調試終端專本專用，禁止用于其他活動，統一安裝殺毒軟件，并保證其病毒庫為最新版本，及時更新系統補丁，確保調試筆記本的本體安全。

用于數據拷貝的移動存儲介質，在接入工控系統設備之前必須在調試筆記本進行數據掃描、病毒查殺，確保移動存儲介質的安全性。工作站上不需要使用的USB、光驅等容易被攻擊接口,應進行拆除或封閉處理。

2.5 數據多渠道備份

在日常系統維護中定期對工控系統設備的數據進行備份，包括程序、配置文件等，實行數據的多渠道保存，在工控系統遇到攻擊或其他故障時，可以及時調取存檔數據，第一時間恢復系統運行。

3 工控系統安全防護面臨的形勢

目前，按照已公布的數據和案例，工控系統存在安全漏洞，且黑客的攻擊手段越來越有針對性，而政府、行業對工控系統網絡安全認知及應急手段尚存在一定的欠缺，工控系統網絡安全防護形勢嚴峻[5]。

3.1 安全漏洞多、風險程度高

按照國家信息安全漏洞共享平臺公布的數據來看，自2000年以來，2010年前工控系統漏洞均為個位數，2010年以后數量急劇增多。2000-2016年工控漏洞數量請詳見圖2。

圖2 2000-2016年工控漏洞數量

按照漏洞危險等級分為低危、中危、高危，其中低危占比6%、中危占比46%、高危占比48%，詳見圖3。

圖3 各類漏洞所占比例

從以上數據可以看出工控系統安全漏洞自2010年以來一直維持在較多的數量，且基本均為中、高危險程度的漏洞，形勢不容樂觀。

3.2 攻擊更有針對性、手段更加專業

由于工控網絡直接用于控制工業生產活動，一旦生產活動受到控制，將產生巨大的經濟影響或者社會影響，網絡黑客正是看到了業主害怕造成重大損失而存在巨大的勒索空間，因此越來越多的攻擊活動瞄準了工控系統網絡。

2017年初，喬治亞理工學院的研究員演示了一種新研發的、可感染工控設施的勒索軟件LogicLocker，攻擊對象是ICS和SCADA等基礎設施，通過LogicLocker感染PLC并修改密碼鎖定合法用戶，對工業生產過程發出惡意的指令，從而造成惡劣的后果。LogicLocker主要針對Schneider Modicon M221、Allen Bradley MicroLogix 1400和Schneider Modicon M241，利用API接口掃描工控系統內已知安全漏洞設備，通過感染和繞過方式突破安全機制，鎖定設備合法用戶，修改PLC代碼破壞工控設備或設置程序邏輯炸彈觸發更嚴重的安全威脅。2017年4月初CRITIFENCE“關鍵基礎設施和SCADA/ICS網絡威脅”研究小組展示了一款概念型勒索軟件ClearEnergy驗證模型，攻擊對象是SCADA、ICS系統，意在勒索關鍵資產和基礎設施。ClearEnergy是基于CVE-2017-6032、CVE-2017-6034漏洞發起的攻擊，影響范圍非常大，包括Schneider Electric Unity系列PLC和2.6版及更高版本的Unity OS。

上述事例說明，工控系統網絡中的設備存在的漏洞可以被專業人員利用，進行惡意攻擊后可以對工業生產過程造成影響，而如此專業的、有針對性的攻擊其背后的人員技術力量非常強大。

3.3 人員配置不足、思想認識欠缺

由于國內工控系統網絡安全近年來剛起步，企業內部的工控系統網絡安全管理均未配置專職人員，一般均為工控相關專業人員兼職管理，而相關的培訓及知識普及較少，管理人員普遍缺乏專業的、系統的培訓，針對工控系統網絡安全的知識體系不完善，認識存在欠缺。

日常運行過程中，短期可能無法直接感受到工控系統網絡安全投入帶來的直接收益，也無法直接看到立竿見影的效果，只有當系統受到攻擊，影響了正常生產，才能意識到帶來的嚴重后果，而彼時為時已晚。

此前，政府、行業本身未意識到工控網絡安全的重要性，國內科研院所的研究也相對偏少，技術企業也沒有有針對性地開發出實用型產品。雖然近年來國家對工控網絡安全的日漸重視，地方政府及公司每年對工控系統運行情況進行檢查，整體工控網絡安全情況有所好轉，但是目前的檢查大多停留在工控系統設備使用情況的摸排層面，方案針對性和實用性不強，現場檢查的深度及對應的整改措施尚有待提升完善。

3.4 應急手段不足

常規的信息網絡應急已經有一套相對成熟的危機應對機制以及經驗豐富的人才儲備，通過監測手段可以提前預測可能存在的風險，在風險發生后亦能短時間內組織專業人員分析原因、制定解決方案并及時公布應對措施，通過互聯網及時對問題進行有針對性的處理，以最快速度恢復系統、設備正常工作。

由于工控系統網絡的特殊性，目前針對其的安全防護體系研究尚無成熟措施，應急專業技術團隊建設更是欠缺。特別是對于企業，一旦發生大規模的工控系統網絡安全事件，可落實的措施及資源屈指可數。

4 安全防護相關建議

為了進一步加強工控系統網絡安全運行，落實事故發生后的應急處置措施及技術支持，結合工作經驗，建議從以下幾個方面進行考慮。

4.1 加快推進工控系統網絡安全相關標準建設

近年來工控網絡安全逐漸受到重視，并已開展相關研究，但是目前工控網絡安全方面標準規范尚不完善，建議盡快推進國家、行業、企業標準規范的編制工作，用于指導工控系統網絡安全的設計、建設、驗收、評估、升級、報廢等全生命周期的活動[6]。

4.2 建立專門的機構及專業應急隊伍

目前，國家信息安全漏洞共享平臺、中國國家信息安全漏洞庫對計算機系統及工控系統漏洞均進行及時公布，但是由于工控系統使用單位人員數量限制及人員針對工控系統網絡知識掌握的局限性，無時間也無能力在該平臺篩選出針對工控系統的升級補丁、解決方案是否適用于現場設備。即使能按照對應型號篩選出相關內容，在不進行模擬環境實際測試的情況下，也不敢貿然對工控系統現場運行設備進行升級。而模擬測試則需要一定的具備豐富網絡知識、工控設備知識的專業工程師，以及進行模擬測試的實驗室環境。

因此，建議設立專門工控系統網絡安全機構，以國家信息安全漏洞共享平臺、中國國家信息安全漏洞庫為依托，借助工控安全廠商、設備廠家力量，多途徑收集漏洞信息，并通過工控系統網絡安全專用信息發布平臺發布漏洞信息、補丁文件、解決方案等內容，根據實際情況對可能產生后果的嚴重程度進行評估，在進行測試論證后，對存在問題給出明確指導意見。

同時，培養一批專業技術支持人員，在發生工控系統網絡安全事件后，能及時有效地組織制定解決方案，發布應對措施，防止災害的進一步擴大，恢復受損系統的正常運行。

4.3 借鑒成熟的網絡技術防范手段

常規的信息網絡防護已經有一套成熟經驗，工控網絡安全防護可以借鑒其成功經驗，結合本身實際情況有選擇性的進行使用，如采取物理安全策略、訪問控制策略、系統防火墻、入侵檢測和網絡安全管理等，從外部對企圖共享信息資源的非法用戶和越權訪問進行封堵，對異常行為進行檢測并預警等。

4.4 加快企業人才培養及資金投入

為了確保工控系統網絡安全工作的高質量開展，建議配置專職人員，并對人員進行系統的培訓。根據現場實際情況，投入一定的資金用于支持保障工控系統網絡安全技術手段的建設，如邊界防護措施的落實、網絡安全狀況的評估及整改、網絡監測設備的布置等。

4.5 產品國產化開發勢在必行

長輸天然氣管道目前在用主要工業控制系統產品為國外產品，對于部分進口軟、硬件核心部件，很難發現設備中是否存在“后門”、“陷阱”、“隱蔽指令”、“漏洞”等安全威脅，如果存在且一旦這些漏洞被用來對工業控制網絡實施攻擊，其后果將不堪設想。提高我國工控系統自主可控能力，加強具有自主知識產權產品的研究與開發，已勢在必行。

5 結束語

工控系統安全防護在工業生產過程中極為重要，工控系統安全受到惡意攻擊，不僅僅會造成重大的經濟影響，也會造成惡劣的社會影響，波及范圍大，持續時間長，而目前各方面防范措施相對欠缺，防護形勢比較嚴峻。在實際工作中，應加快國家、行業、企業層面的標準規范、專門機構及梯隊技術人員隊伍建設工作，借鑒國際發達國家工控安全相關政策、標準和實踐做法，推進工控系統網絡安全工作的有序開展，以及在應急狀態下的專業技術支持，確保工控系統安全平穩運行。

[1] 段沖,梁建青,段紹明,等.SCADA系統在西氣東輸管道中的應用[J].石油工程建設,2007,33(4):5-7.

[2] 曹永樂.基于西氣東輸管道SCADA系統的應用分析[J].自動化應用, 2017(8):64-66.

[3] 呂鋒. 工控系統安全威脅及防護應用探討[J].化工管理.2017 (9).

[4] 徐慧敏. 石油企業網絡信息安全監控技術研究[J].信息通信,2016(6):146-147.

[5] 王文宇,劉玉紅.工控系統安全威脅分析及防護研究[J].信息安全與通信保密, 2012 (2):33-35.

[6] 王婷, 戴忠華,彭勇等. 油田工業控制系統信息安全防護方法研究[J]. 石油工業計算機應用, 2014(3):36-41.