燃氣管網控制系統信息安全監測與防護

滕衛明，蔡鈞宇，尹 峰

(1.浙江浙能天然氣運行有限公司,浙江 杭州 310052;2.國網浙江省電力有限公司電力科學研究院,浙江 杭州 310014)

0 引言

石油燃氣行業作為全球經濟的發動機、電力能源的重要來源,極有可能成為網絡攻擊的目標。《中華人民共和國國家安全法》第二十五條特別強調了關鍵基礎設施安全關系到國計民生。燃氣高壓管網對整個城市生活和能源供應的影響巨大，一旦出問題就會造成人員傷亡和重大財產損失，并且影響人民的正常生產、生活。隨著互聯設備的增加以及自動化運行速度的不斷提速，網絡安全在燃氣行業受到前所未有的重視和關注。

城鎮燃氣輸配系統一般由門站、儲配站(含儲氣設施)、輸配管網、調壓設施、運行管理設施和監控系統等組成[1]。其中：數據采集與監視控制(supervisory control and data acquisition，SCADA)系統是高壓管網的核心中樞，直接監控整個管網的安全運行[2]。SCADA系統是工業控制系統的一部分，對燃氣管網SCADA系統信息安全的分析研究迫在眉睫。

1 燃氣管網的技術發展趨勢

目前，典型的燃氣SCADA系統由中央主控室設備、通信信道和各個燃氣管網子站共同組成。燃氣管網的中央主控室設備通常包括建立在以太網連接之上的SCADA服務器、工程師站、操作員站、域服務器，以及主控室顯示大屏、打印機和不間斷電源(uninterruptible power supply，UPS)等外設。外設通過以太網交換機與中央主控室外部通信信道相連。

燃氣管網子站則是控制網絡的控制和執行部分。典型配置包括與通信信道相連接的光纖收發器和工業交換機；通過工業以太網連接的控制設備包括遠程終端單元(remote terminal unit，RTU)、本地工作站和人機界面(human machine interface，HMI)；與RTU通過現場總線相連的設備包括現場控制設備可編程邏輯控制器(programmable logic controller,PLC)和現場執行設備(例如工業閥門)[3-4]。

系統網絡體系架構如圖1所示。

圖1 系統網絡體系架構圖

由于分布式控制微處理器的使用，SCADA系統的應用范圍不斷擴展。系統作用主要體現在：業務系統可利用現代自動控制系統提供的大量數據；操作人員可實現遠程監控、診斷和資產管理；增強了數據綜合管理能力；改善了與資產健康相關的決策制定；減少用于配置和運轉的時間和工作量；使現場解決設備問題的需求降至最低；提高了整個公司范圍內的合作效率。

上述功能和應用的實現依賴于一些重要的因素，如由傳感器、執行裝置、控制器構成的復雜網絡連接能力、多源異構數據的利用能力，以及實時高效的計算能力等。

然而，要實現工業物聯網的體系架構應用價值還存在大量的阻礙，如安全、互操作性和現有設備的局限性。從2010年的震網病毒到烏克蘭電網的Black Energy[5]網絡攻擊，近年來一系列信息網絡安全事件使大家對工業控制系統的網絡和信息安全比以往任何時候都更加關注。

2 燃氣管網信息安全的關鍵技術

燃氣管網系統的信息安全現狀和面臨的挑戰基本反映了典型SCADA系統的普遍問題。這些問題主要包括：防止網絡威脅影響運營以及導致產品、人員安全或環境破壞的故障；保護運營中的大量數據；實現對現場企業系統和智能設備的安全訪問，以避免關鍵系統處于風險之中；保護老化、易受攻擊或未打補丁的服務器；針對各種分布地理環境，提供高效保護；各種威脅的病毒變種、新的攻擊途徑和零日漏洞的利用；來自內部的威脅與來自外部的威脅一樣具有破壞性，有時更加難以防范。面對這樣的現實，需要強有力的安全防護技術來降低燃氣管網中的安全威脅。

2.1 應用信息安全平臺方法

利用安全平臺的方法，可減少人工干預的情況。 通過將集成元素共享安全關聯性并協同工作，自動防止系統在端點、網絡和數據受快速變化威脅的影響。利用防火墻技術對所有的流量包括加密流量進行分類，在不犧牲性能的前提下強制執行基于應用、用戶和內容的安全策略；采用入侵防御系統(intrusion prevention system，IPS)、惡意軟件防御、域名服務器(domain name server,DNS)陷阱以及對命令控制的防御等威脅阻止機制；URL過濾不斷更新的釣魚和惡意軟件的站點信息及相關攻擊；以行為分析檢測用戶行為和設備行為的可疑異常，查詢源頭并快速阻止；以全局保護，將網絡安全的范圍擴展到員工、供應商和第三方臨時雇員的移動設備；以端點保護，消除傳統防病毒的需求并且持續更新；借助關聯威脅情報服務識別和定義重要威脅的優先級，將它們關聯并查看所在行業的典型威脅；通過物理方式或虛擬形式的網絡安全管理，降低管理員的工作負荷，并通過統一工作平臺查看、配置、創建和發布安全策略并生成報告，提升安全態勢感知能力[6]。

2.2 形成安全可信的體系架構

通過部署合適的安全體系架構，可有效控制信息安全風險。圖2是美國普渡大學于1992年提出的傳統普渡企業參考模型。模型主要包括：物理過程(1層)、基本控制(2層)、站點生產運營和控制(3層)、業務規劃和物流(4層)、企業業務系統(enterprise resource planning系統)(5層)。在這個模型中，3.5層非軍事區(demilitarized zone,DMZ)可幫助分割系統更好地進行訪問控制[7]。

圖2 傳統普渡企業參考模型

雖然工業物聯網系統與這個模型有一些差異，但是它仍然可以通過強化邊界計算來保證功能的實現。所采用的安全措施既可以是傳統的網絡安全防護措施，也可以是利用云服務來實現內在的訪問控制和通信安全。

2.3 自動防護抵御新的未知威脅

采用自動防護保護措施分析惡意軟件的攻擊，利用最新的技術手段提升威脅診斷能力，減少安全團隊的工作負荷。具體內容包括：在虛擬環境中對可疑內容(包括加密內容)進行動態分析，發現全網范圍的全新威脅；觸發新保護措施的創建，并定期將它們自動推送到平臺的IPS，更新URL過濾功能。通過獲取新的網絡釣魚方式、惡意軟件網站、電子郵件中的惡意鏈接和命令等眾多新的病毒，持續更新安全設備，從而阻止新型未知攻擊；阻止將用戶憑據發送到無法識別的網站，阻止網絡釣魚嘗試竊取用戶名和密碼[8]。

2.4 采用新技術加強端點安全防護

一些燃氣設施依然依賴運行老舊操作系統的硬件。新技術通過自動識別并停止嘗試的漏洞來防止脆弱系統的網絡攻擊。通過利用新技術，還可以防止新威脅影響端點設備，使其能夠采用主動預防思維而不是傳統的被動保護。

3 燃氣管網信息安全解決方案

3.1 燃氣SCADA系統面臨的主要安全問題

燃氣管網SCADA系統在網絡安全方面存在的主要問題既包括非故意的設備故障或人員操作錯誤，又包括故意的網絡攻擊。威脅可能來自內部，也可能來自外部。

①網絡流量異常跨域傳導。由于中央中控室網絡和燃氣管網子站的網絡是直接跨域相連的，任何網絡流量的異常，都會擴散到燃氣管網其他子站，從而影響現場的控制系統與現場執行設備。

②關鍵設施缺乏操作審計。燃氣 SCADA 系統通過實現數據采集、設備控制、測量、參數調節以及各類信號報警等參與輸氣生產，SCADA服務器等關鍵設施是整個系統的數據處理核心。如果沒有針對操作人員的必要行為審計，一旦出現內部人員違規或惡意操作，將使整個燃氣管網面臨風險。

③對外接口管理缺少規范。為快速解決現場出現的問題，設備供貨商經常要求業主提供遠程維護的網絡接口，工程師可以遠程操作并進行數據傳輸。如果沒有規范的接入管理措施與技術手段，開放這樣的遠程端口很容易被人利用，并帶來安全隱患。

④存在病毒攻擊威脅。工業控制系統一旦投入使用，極少進行系統升級，給病毒入侵制造了機會。通常，病毒入侵的途徑包括遠程維護外來接入設備、本地維護外來介入設備、移動媒介(例如 U 盤)、釣魚軟件等。

⑤工控設備通用安全隱患。很多工業控制設備采用明文傳輸，沒有加密機制，信息傳輸時易被偵測；工業控制協議缺乏身份驗證機制，無法核實控制命令來源；軟件健壯性不足，協議報文變形時出現掛起或死機；產品一旦安裝，修復漏洞的固件更新相對困難，攻擊者可輕易利用已知漏洞對控制設備進行攻擊[9]。

3.2 燃氣管網系統信息安全防護建議

了解燃氣管網信息系統面臨的主要問題后，在燃氣SCADA系統部署安全防護設施是必然的選擇。針對典型的燃氣SCADA系統的網絡結構，建議采取分布式的工業防火墻和工控監控平臺的部署、白名單軟件、運維審計平臺和網絡隔離這4種安全防護措施。燃氣管網SCADA系統安全防護建議架構如圖3所示。

3.2.1 工業防火墻+監控平臺

工業防火墻+監控平臺的防護模式是基本的安全加固措施，由位于中央主控室的工控安全監控平臺以及分布在每個燃氣管網子站的工業防火墻共同完成。工控安全監控平臺和分布在現場的工業防火墻協同工作。工業防火墻系統在傳統防火墻的功能基礎上，提供了多種工控協議的深度解析，并通過分布式部署和人工智能分析方法確保發生事件的網絡節點可以被迅速地檢測到；同時，其他網絡節點在第一時間會收到預警，實現全網聯動。而工控安全監控平臺通過工業防火墻完成實時部署安全策略、監控工業防火墻的工作狀態，以及實時獲取工控網絡安全事件的日志和報警的任務。

3.2.2 白名單技術

為燃氣SCADA系統定制的第二重安全防護加固措施是白名單技術。白名單技術是指創建預先批準或受信任的應用及進程列表，僅允許這些“已知良好”的應用和進程運行，并默認阻止其他一切應用和進程。由于工業環境運行的應用數量相對有限，易于枚舉，因此白名單能夠比黑名單更好地解決工業環境的安全問題。白名單技術減緩了多種潛在威脅的影響(包括惡意軟件和其他未得到授權的軟件)。因此，它可代替殺毒軟件，進行病毒防護、阻止惡意軟件攻擊、禁止非授權程序運行等。同時，白名單技術解決了“零日”漏洞攻擊和性能問題。

3.2.3 運維審計平臺

運維審計平臺是目前信息化程度和信息安全需求較高的行業普遍使用的安全防護技術平臺。在燃氣SCADA系統中，網絡規模較大，中央主控室和燃氣管網子站中存在多個操作員站和工程師工作站。這些工作站的用戶管理和訪問授權的管理方式使帳號和口令的安全性受到了極大影響，造成業務管理和安全之間的失衡。因此，原有的帳號口令管理措施不能滿足安全防護的要求。

工控運維審計平臺，也稱堡壘機，部署在燃氣管網中央主控室。為了保障網絡和數據不受來自外部和內部用戶的入侵和破壞，而運用各種技術手段實時收集和監控網絡環境中每一個組成部分的系統狀態、安全事件、網絡活動，以便集中報警、記錄、分析、處理[10]。

3.2.4 網絡隔離

當實施安全的體系架構時，一個重要的特點就是將網絡正確劃分，實現所謂基于普渡模型的分區。分區后，除了應用防火墻之外，網絡隔離也是重要的防護手段。網絡隔離著力解決網絡流量異常的安全隱患，以及病毒和木馬的入侵，并且提供中央主控室和燃氣管網子站間物理隔離而邏輯相通的安全數據交換通道。

當燃氣SCADA系統部署了工控網絡隔離設備之后，通過網絡物理隔離、雙重操作系統、高強度的加密算法就可以保障數據的安全傳輸；同時也將中控室中所有突發的網絡流量封閉在中央中控室網絡之內，使其不會對管網子站的工控部件和現場設備造成影響。網絡隔離設備上客戶端的IP白名單可以有效地避免來自外部網絡的攻擊，杜絕病毒木馬的感染，隱藏并保護燃氣管網子站網絡內部的計算機[11]。

3.3 信息化發展下的安全新技術研究

3.3.1 安全防護平臺化技術

燃氣公司為了能夠與供應商、合作伙伴和服務提供商有效溝通，正在不斷采用數字解決方案和物聯網(Internet of things，IoT)技術來提高產品服務質量和系統正常運行時間，優化資產使用，降低風險和成本，并允許快速響應實時生產信息。平臺化的安全防護方案可幫助燃氣管網網絡在不影響安全或運營的情況下，保持效率并利用創新的、節省成本的技術(如云、物聯網)，提供實時可見性和內聚安全性，從而降低網絡風險。

3.3.2 云環境下的虛擬防火墻技術

在虛擬化和云環境下，入侵流量并不會路由到外面的物理設備，而是在物理機內部的虛擬機之間完成傳輸。因此，需要一種新的防護方案來滿足虛擬機和云計算環境下新的安全防護要求。虛擬防火墻(virtual firewall，VFW)應運而生。VFW是完全在虛擬化環境中運行的網絡防火墻服務或設備，復制了物理網絡防火墻的功能，可以對通過物理網絡的流量使用安全策略，進行數據包過濾和監控[12]。

3.3.3 基于人工智能的安全分析技術

新的風險模式需要持續分析漏洞和風險管理，以現有采集到的病毒數據和威脅知識作為訓練數據集，應用機器學習方法訓練漏洞分析模型。一旦機器與檢測新攻擊、發現新漏洞的能力相結合，安全防護系統將能以更高效的方式抵御威脅。

4 結束語

系統在某城市燃氣公司中央控制室及子站進行了部署。通過在該燃氣公司SCADA系統網絡不同網段之間建立安全控制點，允許、拒絕或重新定向經過的數據流等方式，實現對不同網段之間的網絡通信和訪問進行審計及控制。同時，系統通過實時獲取工業控制網絡內安全事件日志和報警，監控工控現場防火墻的工作狀態。系統應用結果顯示,管網監控系統的整體信息安全防護能力有所提升,信息數據有效降低了安全風險。

燃氣管網的安全防護與燃氣管網的技術發展密切相關，目前對燃氣管網的安全防護是基于當前的系統中存在的安全隱患所采取的應對措施，既體現了SCADA工業控制系統的普遍性，又是目前切合實際的安全問題解決方案。工業物聯網技術和云技術將繼續推動安全防護體系的不斷升級和完善。