燃氣行業SCADA系統安全防護研究

李亞楠 吳 波

（成都衛士通信息產業股份有限公司 北京 100070）（li．yanan＠westone．com．cn）

燃氣行業關乎國計民生，天然氣長輸管道系統的安全可靠運行也直接關系到國民經濟的發展和人民生命財產的安全．SCADA系統是長輸天然氣工控系統的核心，該系統的安全直接關系到生產安全．隨著信息技術快速發展，信息系統安全問題也同樣嚴峻，例如來自網絡空間的攻擊將利用公網直接威脅到SCADA系統安全，進而對管道系統造成物理損壞，輕者出現網絡中斷，重者甚至導致生產事故．2016年初烏克蘭電網被網絡攻擊造成全國大面積停電事件已經清楚顯示了其危害程度，證明了工控系統安全的重要性［1］．

我國已深刻意識到了燃氣行業工業控制系統安全的重要性，在法律層面、政策規定層面、標準層面分別對其提出了相應的安全防護要求．國家法律層面，2016年11月7日通過《中華人民共和國網絡安全法》，對包括能源行業在內的關鍵信息基礎設施的網絡安全進行了明確規定．政策規定層面，國家高度重視基礎設施工業控制系統安全工作，國務院、工業與信息化部等部委機關下發了多個政策文件規定強化相關工作：2011年9月發布了工信部《關于加強工業控制系統信息安全管理的通知》；2012年6月，國發23號文《國務院關于大力推進信息化發展和切實保障信息安全的若干意見》中明確要求保障工業控制系統安全；2016年11月3日工信部為貫徹落實《國務院關于深化制造業與互聯網融合發展的指導意見》，保障工業企業工業控制系統信息安全，制定并下發了《工業控制系統信息安全防護指南》．標準要求層面，當前油氣管道工業控制系統信息安全相關的主要國家和行業相關標準，包括GB?T26333—2010《工業控制網絡安全風險評估規范》，GB?T30976．1．2—2014《工業控制系統信息安全——評估規范?驗收規范》，GB?T32919—2016《信息安全技術 工業控制系統安全控制應用指南》［2－5］．

本文針對燃氣SCADA系統面臨的安全威脅，提出了解決方案，從通信網絡、網絡邊界、計算環境、統一監管4個方面進行了安全設計．

1 燃氣SCADA系統基本結構

SCADA系統一般是采用以計算機網絡為核心構成3級式的監控和數據采集系統．一般系統為3級分部式控制系統，如圖1所示．

1級：調度中心為系統控制管理級，負責數據的處理和監控．

圖1 燃氣SCADA系統基本結構

2級：通信網絡．系統通過有線或無線通信網絡有機地結合在一起構成一個完整的數據采集和監控系統．

3級：帶有本地站控系統的門站和高中壓調壓站為系統過程控制級，負責現場數據采集和設備控制，以及分布于各個管網端站的RTU為遠程檢測控制級．

2 安全風險及需求分析

根據SCADA系統特點，其安全風險及需求主要來自通信網絡、區域邊界、計算環境、安全管理等幾個方面，具體包括［6－10］：

1）通信網絡安全風險及需求分析．

① 公共通信鏈路數據傳輸完整性、機密性．

針對公共通信鏈路無防護措施，存在數據傳輸安全風險，公共通信鏈路數據傳輸完整性、機密性需求如下：

傳輸完整性．應能夠檢測到過程監控層網絡內所有的系統管理數據、鑒別信息和重要控制數據在傳輸過程中完整性受到的破壞．

傳輸保密性．應能夠采用加密技術或其他有效的技術手段實現系統控制指令數據、鑒別信息和監控數據在傳輸中的保密性．

② 通信網絡安全監管與審計．

針對通信網絡缺乏安全監管與審計，存在非法入侵的風險，需求如下：安全監管與審計方面，生產控制行為異常監測需求，對工控信息網絡進行全程錄制分析，實現工控網絡行為安全建模的自動化和智能化．

2）區域邊界安全風險及需求分析．

① 燃氣SCADA系統網絡邊界防護．

針對燃氣SCADA系統網絡缺乏邊界防護手段，存在來自網絡空間的攻擊風險，提出如下需求：邊界訪問控制、邊界完整性檢測、邊界入侵防御、邊界安全審計．

② 燃氣SCADA系統內部各層間邊界防護．

針對系統內部各層之間安全防御不足，存在單點受攻擊后擴散全網風險，采用縱深防御概念設計，將全網劃分為3個不同的安全網絡層次，應具備訪問路徑控制、入侵檢測與防護、技術隔離以及安全審計等能力．

3）計算環境安全風險及需求分析．

① 核心服務器、各類終端防護．

針對核心服務器沒有配置有效安全防護措施，存在被攻擊風險，以及各類終端無防護措施，存在各類違規操作風險，對核心服務器及各類終端進行身份鑒別、訪問控制、安全審計、主機入侵防御、資源控制等安全防護．

② 漏洞掃描．

針對燃氣SCADA系統中安全風險評估不足，存在系統漏洞風險，應為系統開展定期的漏洞掃描，對工業控制系統中的設備及系統進行掃描和風險評估．應支持主流工控協議，對已知和未知漏洞均可識別，實現對工業環境各個部分的全方位檢測，為工控系統的風險評估提供基礎技術支撐．

③ 運維風險防護．

針對目前SCADA系統運維人員無審計措施，存在誤操作、惡意操作風險，需提供針對運維人員的身份認證、訪問操作權限管理、操作行為監控審計．

4）管理方面風險及需求分析．

① 統一監管．

針對系統無統一安全監管平臺，存在安全策略不一致等多項風險，需建設統一監管平臺，實現工控協議數據分析，防范安全風險、工控安全設備集中管理安防聯動、管道控制系統統一監控，安全態勢整體呈現．

② 信息安全培訓．

針對企業缺乏工控信息安全培訓，安全意識有待提高，需增強企業工控信息安全培訓，針對安全意識的培養，安全事件的事前防御、事中響應、事后審計等均進行明確的要求，提高員工安全素質．

3 燃氣SCADA系統安全防護設計

本防護方案依據GB?T25070—2010《信息安全技術信息系統等級保護安全設計技術要求》及GA?T 1390．5—2017《信息安全技術 網絡安全等級保護基本要求 第5部分：工業控制系統安全擴展要求》要求設計，并遵循適度安全、重點保護、技術與管理并重、分區分域、動態調整及科學規劃6點原則．

3．1 總體框架設計

燃氣SCADA系統總體防護框架是將工業控制系統等級保護的基本要求、安全設計技術要求與安全防護需求充分融合并提煉，形成“一個基礎支撐、一個平臺管理下的三重保障體系”，為燃氣SCADA系統提供體系化的防護能力，確保系統安全可持續運行．總體防護框架如圖2所示：

圖2 安全技術總體框架

“一個基礎支撐、一個平臺管理下的三重保障體系”是指以物理安全為基礎，以工業集中管理平臺為核心，構建安全計算環境、安全區域邊界和安全通信網絡，確保應用系統能夠在工業集中管理平臺的統一管控下運行，不會進入任何非預期狀態，從而防止用戶的非授權訪問和越權訪問，確保應用系統的安全．

根據業務處理過程將燃氣SCADA系統劃分成計算環境（含現場控制層，現場設備層的PLC、SIS、現場儀表等工控設備）、區域邊界和通信網絡（含工業總線網絡）3個不同的部分，以物理安全為基礎對這3部分實施保護，構成由工業集中管理平臺支撐下的計算環境安全、區域邊界安全、通信網絡安全所組成的三重防護體系架構．在這三重防護體系架構中，如果每一個使用者都是經過認證和授權的，其操作都是符合規定的，那么就不會產生攻擊性的事故，就能保證整個信息系統的安全．

工業集中管理平臺實現對工控系統集中的安全管理和運維，提供安全管理、安全監管和安全運維服務．主要為燃氣SCADA系統提供工業業務服務、設備安全監控、設備統一調度、設備安全管理、輔助安全管理、系統運維管理、信息采集等．

物理安全主要是支撐整個工控系統安全運行的物理環境安全，是整個系統安全的基礎，也是信息系統最基本的安全基礎．

計算環境是對系統的信息存儲與處理進行安全保護的部件，是由系統中完成信息存儲與處理的計算機系統硬件和系統軟件以及外部設備及其聯接部件組成，也可以是單一的計算機系統．計算環境安全通過終端、物理計算環境、上層應用系統和數據庫的安全機制服務，保障應用業務處理全過程的安全．通過在物理計算環境、系統層設置以強制訪問控制為主體的系統安全機制，構建安全保護環境的結構化機制，建立可信、無隱蔽通道的安全保護環境，形成嚴密的安全保護環境，通過對用戶行為的控制，可以有效防止非授權用戶訪問和授權用戶越權訪問，確保信息和信息系統的保密性和完整性，從而為業務應用系統的正常運行和免遭惡意破壞提供支撐和保障．

區域邊界是對定級系統的安全計算環境的邊界計算環境與通信網絡之間實現連接進行安全保護的部件．區域邊界對進入和流出應用環境的信息流進行安全檢查和訪問控制，確保不會有違背系統安全策略的信息流經過邊界，邊界的安全保護和控制是信息系統的第2道安全屏障．

通信網絡是對定級系統安全計算環境之間進行信息傳輸實施安全保護的部件．通信網絡保護主要指對信息系統的數據通信的保護及通信設備的備份與恢復．通信網絡設備可通過對通信雙方進行可信鑒別驗證，建立安全通道，實施傳輸數據密碼保護，確保其在傳輸過程中不會被竊聽、篡改和破壞，是系統的第3道安全屏障．

需特別說明的是，因物理安全的防護較為通用，本方案中不再進行設計．

3．2 總體部署

總體部署圖如圖3所示：

圖3 總體部署圖

3．3 詳細設計

3．3．1 通信網絡安全

1）針對公共通信鏈路數據傳輸完整性、機密性需求的安全設計．

通過基于國產密碼算法的加密認證裝置為利用公網有線?無線鏈路傳輸的控制指令和重要數據傳輸提供加密和認證保護，保證數據傳輸和遠控指令的安全，實現數據傳輸的機密性、完整性保護，避免信息傳輸過程中的泄露和被纂改．

加密認證裝置基于TCP?IP網絡，針對DNP3，IEC60870－5－104遠動等工控協議進行優化設計，采用透明網橋模式，不影響原有網絡和終端設備的配置．系統擴展性好，支持雙機熱備功能，具有完備的安全審計功能．同時加密認證裝置采用國產密碼算法，算法和設備均通過國家主管部門的審批和技術鑒定，確保安全可靠．

2）針對通信網絡安全監管與審計需求的安全設計．

采用工控信息安全監測引擎鏡像采集燃氣SCADA系統調控中心內部工控協議數據流量進行旁路分析，對關鍵操作指令設定閾值，并與安全設備聯動，減少誤操作?惡意操作造成的安全風險．

通信網絡安全部署如圖4所示．

3．3．2 區域邊界安全

1）針對燃氣SCADA系統網絡邊界防護需求的安全設計．

采用可靠的邊界防護措施，杜絕來自網絡空間的攻擊．在生產與辦公系統邊界利用當前部署的網閘保障生產與辦公系統邊界安全，采用物理隔離方式，在保障業務效率的同時，徹底阻斷辦公應用區域至調控中心之間的網絡連接，防止內部信息泄露和外部病毒、黑客程序的滲入，杜絕網絡威脅通過辦公網絡入侵管道SCADA系統的可能．

2）針對燃氣SCADA系統內部各層間邊界防護需求的安全設計．

在調控中心與站控系統之間加裝工業防火墻，確保廣域網邊界安全．工業防火墻除了隔離防護功能以外，還將利用白名單與規則匹配方式對控制網絡出口所有網絡流量進行防護，同時深入控制流量，對其中的DNP3，104，OPC等工控協議進行深度檢測與安全控制．

區域邊界安全部署圖如圖5所示．

3．3．3 計算環境安全

1）針對核心服務器、各類終端防護需求的安全設計．

圖4 通信網絡安全部署

圖5 區域邊界安全部署圖

為有效防護SCAD系統關鍵服務器，圍繞工作人員誤操作、外來人員非法操作對現場設備影響較大的安全隱患，防止和限制各類違規和非法操作對系統造成的安全隱患，系統采用多種安全加固手段，確保關鍵數據和操作行為可控．

① 關鍵服務器安全防護．

調控中心SCADA系統的歷史數據庫和實時數據庫服務器是控制系統的核心關鍵設備，需要對其進行重點防護，在歷史數據庫和實時數據庫服務器外圍部署采用工業防火墻對OPC，DNP3，104等各類現場總線協議進行細粒度的深度解析，進一步提高歷史數據庫和實時數據庫服務器的安全服務水平．

② 終端安全防護．

終端操作限制非法操作通過在操作員站和工程師站等操作終端部署終端安全防護系統，采用白名單等多種安全機制，從操作系統層面限制非法進程啟用，并限制違規外聯等不安全行為．部署儀表探針，對其所在通信網絡上所有的通信信息進行監聽、解析和分析處理，管理系統將探針數據再進行綜合分析，對于安全異常信息，儀表探針及時主動地就地報警顯示，還具有儀表信息采集、儀表信息安全預警及儀表安全態勢評分等輔助功能．

2）針對漏洞掃描需求的安全設計．

部署漏洞掃描系統，以權威漏洞庫和網安自主漏洞庫為技術支撐，對目標工控系統?設備進行全方位測試和診斷，識別系統設備信息，測試系統脆弱度，分析已知漏洞，挖掘未知漏洞，生成告警和系統分析報告，并為客戶提供及時可靠的工控信息安全服務．

3）針對運維風險防護需求的安全設計．

部署堡壘主機規范運維人員的身份管理、訪問控制、權限控制、操作審計，解決操作者身份唯一性、合法訪問操作資源的問題，解決操作者權限的問題，解決操作事故責任認定的問題防范，并且可物理旁路部署，IP可達，無需在運維對象和運維終端安裝軟件．

計算環境安全部署圖如圖6所示：

圖6 計算環境安全部署圖

3．3．4 管理安全

1）針對統一監管需求的安全設計．

部署工業集中管理平臺，以獨立工作站形式旁路部署于工業控制環境中，通過網絡與工業防火墻、工控信息安全監控系統、工業交換機以及其他工業控制設備實現集中管理和監控以及工控網絡環境下的資產、通信和協議的可視化．

① 工控安全設備集中管理，安防聯動．

快速設置安全策略，批量下載各類安全配置，基于生產要求和安全策略，協同聯動各類信息安全設備，建立高效防控體系．

② 管道控制系統統一監控，安全態勢整體呈現．

收集各類工控設備資產、工業控制協議和工業控制安全設備信息，圖形化組態呈現；匯總各類信息內容，綜合分析，整體呈現．

2）針對信息安全需求進行培訓．

定期組織企業工控信息安全培訓，針對安全意識的培養、安全事件的事前防御、事中響應、事后審計等均進行明確的要求，課程結束后，進行考核考試，將培訓成績與員工業績收入掛鉤，提高員工安全素質．

工業集中管理平臺的部署見圖3總體部署圖．

4 結束語

本文根據燃氣SCADA系統特點，對當前系統存在的安全隱患進行了重點研究梳理，包括公共鏈路數據傳輸風險、網絡內部及對外邊界防護風險、核心服務器及終端入侵風險等，并有針對性地提出了解決方案，從通信網絡、網絡邊界、計算環境、統一監管4個方面進行了安全設計．設計特點如下：

1）依據工控等保要求設計，有法可依、有據可查．

遵照國家法律法規及相關政策指引，依據工控等保要求，對燃氣SCADA進行了系統性的安全設計，做到了有法可依、有據可查．

2）建設一個安全集中平臺，權責分明、管理有序．

通過工業集中管理平臺的“一個平臺管理”的設計，實現了系統的全面的狀態監控，如有越權行為可通過日志收集和分析審計，實現“權責分明”；通過集中的策略配置和高效的參數下發，實時的狀態分析和有效的報警管理，獨立的工作模式和安全的配置管理，做到“管理有序”．

3）網絡、終端、邊界安全并重，系統性設計、減少薄弱環節．

通過風險評估、主機系統加固、終端儀表加固、區域隔離劃分、旁路監測預警、集中監管與審計等一系列安全防護措施，實時掌握工控網絡安全狀態，避免由于信息安全問題導致的設備損壞、環境污染等公共安全問題，減少不必要的損失，擺脫了過去工業控制系統“哪里薄弱補哪里”的非系統性安全設計．

4）技術與管理并進并重，強化意識，全面保障．

通過部署安全防護產品，并協助用戶制定更具完善的信息安全防護策略，規范操作人員的行為，加強工作人員信息安全意識，使其認識到工業控制系統信息安全管理的重要性和緊迫性，有效增強了燃氣行業人員的安全意識．