今日頭條
官方微信
官方抖音
案例頻道★國家石油天然氣管網(wǎng)集團有限公司云南分公司郭娟,秦鵬,楊念峰
★昆侖數(shù)智科技有限責(zé)任公司董黎芳,鄧田,徐軼
關(guān)鍵詞:油氣長輸管道;SCADA系統(tǒng);等級保護;網(wǎng)絡(luò)安全防護
作為國家重要的能源基礎(chǔ)設(shè)施和公用設(shè)施[1],長輸油氣管道承擔(dān)了石油、天然氣輸送任務(wù),具有易燃、易爆和高壓等特點,其運行安全直接影響到我國國民經(jīng)濟的發(fā)展,關(guān)系到國家能源戰(zhàn)略安全。
油氣管道SCADA(數(shù)據(jù)采集與監(jiān)視控制)系統(tǒng)不僅可以提高油氣管道的生產(chǎn)效率,降低運行成本,而且可以減輕操作人員的工作強度,保證管道生產(chǎn)安全可靠地運行,因此油氣管道SCADA系統(tǒng)作用愈發(fā)凸顯。然而隨著信息化和工業(yè)化的不斷融合,管道SCADA系統(tǒng)也面臨著病毒、木馬以及黑客等網(wǎng)絡(luò)威脅,一旦遭到破壞,會導(dǎo)致生產(chǎn)實時數(shù)據(jù)采集、監(jiān)視控制、生產(chǎn)調(diào)度不能正常運行,可能造成管道系統(tǒng)輸量劇烈波動和大范圍停產(chǎn)、停供、設(shè)備損壞、管道破裂等,且易發(fā)生閃燃、閃爆、嚴(yán)重環(huán)境污染,嚴(yán)重的時候會導(dǎo)致人員傷亡,因此油氣長輸管道SCADA系統(tǒng)安全建設(shè)迫在眉睫。
1 長輸油氣管道SCADA系統(tǒng)現(xiàn)狀
隨著數(shù)字化轉(zhuǎn)型的發(fā)展和推動,油氣管道企業(yè)通過新建生產(chǎn)調(diào)控中心,采集所屬站場的生產(chǎn)數(shù)據(jù),實現(xiàn)調(diào)度日常運行、設(shè)備遠(yuǎn)程診斷與維護、綜合報警等管理功能,為生產(chǎn)運行、設(shè)備維護管理、生產(chǎn)決策等提供了有效支持,快速提升了生產(chǎn)效率。長輸油氣管道SCADA系統(tǒng)一般可分為SCADA中控系統(tǒng)和SCADA站控系統(tǒng)[2]:SCADA中控系統(tǒng)作為生產(chǎn)調(diào)控中心實現(xiàn)下轄站場、閥室的管理,其主要由SCADA數(shù)據(jù)庫和工作站組成,并將相關(guān)業(yè)務(wù)傳送到生產(chǎn)管理系統(tǒng)中;SCADA站控系統(tǒng)負(fù)責(zé)站場及閥室內(nèi)工藝過程的數(shù)據(jù)采集和監(jiān)控。按照工業(yè)控制系統(tǒng)網(wǎng)絡(luò)層次油氣管道SCADA系統(tǒng)可分為過程監(jiān)控層、現(xiàn)場控制層、現(xiàn)場設(shè)備層[3],其架構(gòu)如圖1所示。
過程監(jiān)控層:主要包括各類監(jiān)控系統(tǒng),涉及操作員站、工程師站、實時數(shù)據(jù)庫、歷史數(shù)據(jù)庫、管線運行優(yōu)化類和管線故障監(jiān)測及告警類系統(tǒng)等。
現(xiàn)場控制層:主要包括各類控制器,如PLC、智能網(wǎng)關(guān)等。
現(xiàn)場設(shè)備層:主要包括各類過程傳感設(shè)備與執(zhí)行設(shè)備單元[4],涉及各種不同類型的管線生產(chǎn)設(shè)施、直接連接到管道和過程控制設(shè)備的溫度和壓力傳感器、電控閥門執(zhí)行器,以及計量裝置、壓縮機、電機等。
圖1 長輸油氣管道SCADA系統(tǒng)架構(gòu)
生產(chǎn)調(diào)控中心與站場的互聯(lián)互通給SCADA系統(tǒng)帶來了更多的網(wǎng)絡(luò)安全隱患,為配合《網(wǎng)絡(luò)安全法》的實施和落地,落實國家網(wǎng)絡(luò)安全等級保護2.0制度,生產(chǎn)調(diào)控中心及站場正在積極進行網(wǎng)絡(luò)安全建設(shè),它們具有以下的特點:
(1)生產(chǎn)調(diào)控中心屬于新建系統(tǒng),鑒于其重要性一般按等保三級進行備案和建設(shè),且網(wǎng)絡(luò)安全建設(shè)具有與系統(tǒng)建設(shè)“同步規(guī)劃、同步建設(shè)、同步使用”的特點。
(2)站場由于地域分布廣,因此需要分開定級,當(dāng)前大部分站場已經(jīng)按照等保三級和二級等級進行了等保備案,但是沒有進行過網(wǎng)絡(luò)安全建設(shè),缺乏必要的網(wǎng)絡(luò)安全設(shè)施。
2 長輸油氣管道SCADA系統(tǒng)安全分析
通過對大量站場及生產(chǎn)調(diào)控中心進行調(diào)研分析總結(jié),我國長輸油氣管網(wǎng)SCADA普遍存在以下安全風(fēng)險:
(1)環(huán)境風(fēng)險:長輸油氣管道站場多,地域分布廣,多數(shù)中小型站場位于野外,周邊自然條件惡劣,無人值守,物理安全防護難度大。
(2)資產(chǎn)風(fēng)險:雖然油氣長輸管道做了一部分的國產(chǎn)化替換,但是SCADA系統(tǒng)中的PLC、RTU、SCADA等軟件大部分使用國外品牌[5],存在安全漏洞[6]、后門等安全隱患。同時控制系統(tǒng)內(nèi)部操作員站、服務(wù)器、網(wǎng)絡(luò)交換機等設(shè)備存在遠(yuǎn)程運維未做訪問控制規(guī)則、賬號共享、弱口令、默認(rèn)共享和高危端口使用等安全問題,這些都容易成為黑客攻擊的目標(biāo)。
(3)工控協(xié)議風(fēng)險:油氣管道中心普遍通過Modbus/TCP等工控協(xié)議對站場進行監(jiān)控,存在數(shù)據(jù)傳輸過程無接入認(rèn)證、無權(quán)限控制、明文傳輸[7]等問題,容易導(dǎo)致非法接入、數(shù)據(jù)的竊取、篡改等。
(4)網(wǎng)絡(luò)風(fēng)險:新建生產(chǎn)調(diào)控中心與站場互聯(lián)互通,缺乏區(qū)域劃分,部分站場數(shù)據(jù)傳輸沒有明確的訪問控制,且缺乏安全審計、入侵檢測機制,意味著站場一旦被攻陷,任意一臺主機被控制即可實現(xiàn)與中心及其他站場進行通信,容易導(dǎo)致縱向、橫向滲透的風(fēng)險。
(5)人員風(fēng)險:運行人員、維護人員和調(diào)試人員的SCADA系統(tǒng)安全意識不夠,在調(diào)試和維護工作中經(jīng)常出現(xiàn)個人筆記本電腦及移動存儲設(shè)備的隨意接入和資料拷貝,容易將病毒帶入到SCADA系統(tǒng)內(nèi)部。
3 油氣管道SCADA系統(tǒng)安全防護設(shè)計
3.1 總體設(shè)計
依據(jù)國家等級保護的建設(shè)規(guī)范和技術(shù)要求,結(jié)合生產(chǎn)調(diào)控中心和站場SCADA系統(tǒng)的安全需求,我們分別從安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計算環(huán)境以及安全管理中心4個方面進行網(wǎng)絡(luò)安全建設(shè),如圖2所示,總體設(shè)計如下:
(1)安全通信網(wǎng)絡(luò)方面,對SCADA系統(tǒng)進行分區(qū)分域、清晰網(wǎng)絡(luò)結(jié)構(gòu)、規(guī)范網(wǎng)絡(luò)邊界,為各個邊界有層次地實施邊界防護措施奠定基礎(chǔ)。
(2)安全區(qū)域邊界方面,對工業(yè)控制網(wǎng)絡(luò)內(nèi)部各安全域之間以及工業(yè)控制網(wǎng)絡(luò)與非工業(yè)控制網(wǎng)絡(luò)之間的數(shù)據(jù)訪問進行控制;對工業(yè)控制網(wǎng)絡(luò)流量進行監(jiān)測審計,對工業(yè)控制網(wǎng)絡(luò)中的網(wǎng)絡(luò)攻擊、病毒等安全事件進行檢測,及時發(fā)現(xiàn)工業(yè)控制網(wǎng)絡(luò)中的威脅信息。
(3)安全計算環(huán)境方面,對工業(yè)主機進行白名單防護,同時對主機、服務(wù)器、SCADA軟件、網(wǎng)絡(luò)設(shè)備等的賬戶、權(quán)限、口令、審計、漏洞等進行安全加固,保證系統(tǒng)整體安全。
(4)安全管理中心方面,加強安全設(shè)備的集中管控、重要設(shè)備的集中運維、安全事件的集中采集和分析,以便進行快速響應(yīng)處置。
圖2 長輸油氣管道SCADA系統(tǒng)安全防護設(shè)計
3.2 安全通信網(wǎng)絡(luò)設(shè)計
安全的網(wǎng)絡(luò)架構(gòu)是保證計算機網(wǎng)絡(luò)正常運行和數(shù)據(jù)安全的關(guān)鍵,因此油氣管道站場和生產(chǎn)調(diào)控中心側(cè)通過服務(wù)器、核心交換機等關(guān)鍵設(shè)備的硬件、網(wǎng)絡(luò)的冗余建設(shè),以及SCADA系統(tǒng)數(shù)據(jù)上傳采用專網(wǎng)及一主一備方式,滿足了“網(wǎng)絡(luò)架構(gòu)”的部分要求,但是不滿足安全分區(qū)的要求。
(1)安全分區(qū)
根據(jù)系統(tǒng)的功能性、實時性等要求,結(jié)合實際業(yè)務(wù)需求,將具有相似安全需求的設(shè)備劃分到同一安全區(qū),并在安全區(qū)之間采取嚴(yán)格的訪問控制、病毒查殺等技術(shù)措施,避免安全問題在不同的安全區(qū)之間泛濫。因此針對生產(chǎn)調(diào)控中心和站場的通信特點,將油氣管道SCADA系統(tǒng)劃分為中控SCADA系統(tǒng)和站控SCADA系統(tǒng),結(jié)合生產(chǎn)調(diào)控中心的計算機控制系統(tǒng)、業(yè)務(wù)現(xiàn)狀及未來發(fā)展規(guī)劃,根據(jù)系統(tǒng)的實時性、功能、使用者、各業(yè)務(wù)系統(tǒng)的數(shù)據(jù)交互關(guān)系等將生產(chǎn)調(diào)控中心進一步劃分為服務(wù)器域、調(diào)度終端域、安全防護管理域等。
(2)安全數(shù)據(jù)傳輸設(shè)計
網(wǎng)絡(luò)安全建設(shè)中,存在各站SCADA網(wǎng)絡(luò)安全數(shù)據(jù)上傳到生產(chǎn)調(diào)控中心。為了降低其對工業(yè)控制系統(tǒng)網(wǎng)絡(luò)的影響,需要構(gòu)建獨立的網(wǎng)絡(luò)安全管理網(wǎng)絡(luò),即各站場與生產(chǎn)調(diào)控中心設(shè)置一條單獨的網(wǎng)絡(luò)安全數(shù)據(jù)通信信道,在物理層面上實現(xiàn)與工業(yè)控制系統(tǒng)業(yè)務(wù)網(wǎng)絡(luò)的安全隔離。安全設(shè)備管理網(wǎng)絡(luò)搭建時可以使用單獨的網(wǎng)絡(luò)設(shè)備與管道網(wǎng)絡(luò)進行隔離,若存在共用網(wǎng)絡(luò)設(shè)備的情況,則需通過交換機劃分VLAN、光纖劃分時隙的方式進行隔離。
3.3 安全區(qū)域邊界設(shè)計
3.3.1 邊界防護設(shè)計
在安全分區(qū)的基礎(chǔ)上對安全域進行邊界保護,對跨安全域的防護進行監(jiān)控,阻止非合規(guī)訪問流量通過邊界。邊界防護的策略設(shè)計如下:
(1)在中控SCADA系統(tǒng)與生產(chǎn)管理區(qū)的邊界處,以及站控SCADA系統(tǒng)與第三方系統(tǒng)外聯(lián)的邊界處部署網(wǎng)閘,在SCADA網(wǎng)絡(luò)與其他網(wǎng)絡(luò)之間實現(xiàn)單向隔離以及惡意代碼防護。
(2)在中控SCADA系統(tǒng)與站控SCADA系統(tǒng)的邊界處分別部署工業(yè)防火墻,通過對ModbusTCP、CIP等工控協(xié)議的深度報文解析,實現(xiàn)細(xì)粒度的訪問控制,并結(jié)合自學(xué)習(xí)的白名單及工控威脅漏洞庫等識別并阻斷安全威脅。
(3)對工業(yè)防火墻進行以下訪問控制規(guī)則的配置:
·確認(rèn)場站與中心兩端的合規(guī)IP、端口、協(xié)議,啟用工業(yè)防火墻五元組安全訪問控制;
·開啟工業(yè)防火墻的黑名單等安全防護,防護已知的攻擊行為;
·基于對工控協(xié)議的深度解析,分析工控協(xié)議通信行為過程,對正常工控協(xié)議的通信行為建立模型,建立白名單防護基線,保障業(yè)務(wù)正常運行的同時阻止異常攻擊行為。
3.3.2 網(wǎng)絡(luò)監(jiān)測審計設(shè)計
當(dāng)SCADA系統(tǒng)出現(xiàn)安全事故后很難定位是誤操作、惡意操作還是系統(tǒng)自身故障所導(dǎo)致,因此需要對通信流量進行檢測、對操作行為進行審計,才能從全局上去分析安全事件所產(chǎn)生的原因。
(1)在中控SCADA和站控SCADA系統(tǒng)中分別部署網(wǎng)絡(luò)入侵檢測系統(tǒng),通過實時地監(jiān)視網(wǎng)絡(luò),結(jié)合協(xié)議分析和入侵檢測引擎,及時檢測和準(zhǔn)確發(fā)現(xiàn)網(wǎng)絡(luò)中存在的網(wǎng)絡(luò)風(fēng)險和攻擊行為,從而快速識別安全威脅和風(fēng)險,并且及時發(fā)出告警。
(2)在中控SCADA和站控SCADA系統(tǒng)中分別部署工業(yè)網(wǎng)絡(luò)安全審計系統(tǒng),對網(wǎng)絡(luò)流量進行采集、分析和審計,檢測和記錄SCADA系統(tǒng)中的操作行為和異常網(wǎng)絡(luò)行為,便于事后進行事件取證和定責(zé)。
3.4 安全計算環(huán)境設(shè)計
油氣管道SCADA系統(tǒng)的計算環(huán)境主要包括操作員站、工程師站、服務(wù)器等工業(yè)主機,交換機、路由器等網(wǎng)絡(luò)設(shè)備,工業(yè)防火墻、網(wǎng)閘等網(wǎng)絡(luò)安全設(shè)備,SCADA軟件、數(shù)據(jù)庫等工業(yè)應(yīng)用軟件。安全的計算環(huán)境是保證SCADA系統(tǒng)網(wǎng)絡(luò)安全的重要基礎(chǔ)。
(1)工業(yè)主機安全防護及加固
一般主機主要通過殺毒軟件對主機進行安全防護,而油氣管道SCADA系統(tǒng)工業(yè)主機主要運行SCADA監(jiān)控軟件,通訊協(xié)議及通訊數(shù)據(jù)比較固定,對實時性要求高,且與互聯(lián)網(wǎng)物理隔離,不適合通過病毒庫升級的方式來提高安全防護能力,故適合采用白名單防護軟件,通過對應(yīng)用程序、移動存儲介質(zhì)、特定對象完整性等進行白名單防護,切斷病毒和木馬的傳播路徑。
對工業(yè)主機進行安全加固,主要包括啟用賬號口令復(fù)雜度配置、啟用賬戶登錄失敗處理策略、啟用賬戶審計策略、關(guān)閉與業(yè)務(wù)無關(guān)的服務(wù)端口、更新操作系統(tǒng)補丁、刪除多余賬戶、關(guān)閉默認(rèn)共享、關(guān)閉遠(yuǎn)程桌面等。
(2)網(wǎng)絡(luò)設(shè)備安全加固
對交換機、路由器、防火墻等網(wǎng)絡(luò)、安全設(shè)備進行安全加固,主要包括采用SSH進行遠(yuǎn)程管理、限制遠(yuǎn)程管理地址、啟用賬戶口令復(fù)雜度策略、啟用賬戶登錄失敗處理策略、修改默認(rèn)賬戶、刪除多余賬戶、啟用日志審計集中采集等。
(3)工業(yè)應(yīng)用安全加固對SCADA、數(shù)據(jù)庫等軟件進行安全加固,主要包括保證賬號口令復(fù)雜度配置、修改默認(rèn)賬戶、刪除多余賬戶、對審計日志進行集中保存、重要敏感數(shù)據(jù)進行加密處理,并對安全漏洞進行修復(fù)。
3.5 安全管理中心設(shè)計
以上幾個方面的設(shè)計,實現(xiàn)了單點上的邊界防護、入侵檢測、安全審計、主機防護等安全功能,但不能從整體上管理網(wǎng)絡(luò)的安全問題。從企業(yè)的長遠(yuǎn)安全運維考慮,需要進行安全管理中心設(shè)計,一方面滿足SCADA系統(tǒng)重要設(shè)備的集中安全運維,另一方面實現(xiàn)將分散的日志進行集中存儲和分析,同時將安全設(shè)備的運行狀態(tài)、安全策略、安全事件集中統(tǒng)一的管理起來,因此安全管理中心設(shè)計如下:
(1)通過部署堡壘機為服務(wù)器、數(shù)據(jù)庫、交換機、路由器等重要設(shè)備的運維提供統(tǒng)一的身份認(rèn)證接口、多種遠(yuǎn)程運維管理方式,對資產(chǎn)及其賬號等進行集中管理和授權(quán),審計并記錄運維操作過程,同時也為當(dāng)前重要設(shè)備無法實現(xiàn)雙因子身份鑒別帶來的風(fēng)險進行補償控制,保障遠(yuǎn)程運維的安全可控。
(2)通過部署日志審計與分析系統(tǒng)對站場及中心的網(wǎng)絡(luò)設(shè)備、安全設(shè)備、工業(yè)主機的日志信息進行集中收集,以統(tǒng)一格式的日志形式進行集中存儲和管理,結(jié)合日志統(tǒng)計匯總及綜合分析功能,實現(xiàn)對網(wǎng)絡(luò)整體安全狀況的全面審計,一方面解決交換機、路由器等設(shè)備日志存放分散、數(shù)量多、格式不統(tǒng)一、保存周期短、易被篡改破壞等問題,另一方面對日志進行關(guān)聯(lián)分析,實現(xiàn)安全事件溯源和告警,協(xié)助運維人員進行調(diào)查取證、閉環(huán)控制等操作。
(3)通過部署工業(yè)安全管理平臺實現(xiàn)對站場和中心部署的工業(yè)防火墻、安全審計等安全產(chǎn)品的集中管理,即所有安全設(shè)備狀態(tài)的集中監(jiān)測、安全事件的集中收集以及安全策略的管控等功能,及時發(fā)現(xiàn)各類網(wǎng)絡(luò)安全風(fēng)險事件,為安全設(shè)備策略的及時調(diào)整、安全事件的及時處理提供統(tǒng)一的入口,從而實現(xiàn)SCADA系統(tǒng)網(wǎng)絡(luò)安全的閉環(huán)管理。
4 總結(jié)與展望
油氣長輸管道站場和調(diào)控中心SCADA系統(tǒng)經(jīng)過安全建設(shè)后,其安全防護能力得到了切實的提高,不僅攔截了主機及網(wǎng)絡(luò)的日常攻擊、非常規(guī)操作等,且經(jīng)過安全事件報警及日志關(guān)聯(lián)分析,安全管理人員可以快速定位威脅來源和相關(guān)聯(lián)的資產(chǎn)和業(yè)務(wù),并通過策略優(yōu)化、基線配置等進行快速響應(yīng),實現(xiàn)了安全事件的閉環(huán)控制。
然而隨著工控網(wǎng)絡(luò)安全問題的日益突出,工控網(wǎng)絡(luò)安全防護是個持久戰(zhàn),需要深刻理解油氣長輸管道的業(yè)務(wù)需求、網(wǎng)絡(luò)架構(gòu)、通信協(xié)議、數(shù)據(jù)流、資產(chǎn)信息等現(xiàn)狀,需要結(jié)合當(dāng)前市場發(fā)布的漏洞信息和安全事件等不斷地對安全策略進行優(yōu)化,并提高對安全事件的分析、定位及相應(yīng)的安全運維能力。
作者簡介:
郭 娟(1995-),女,云南昆明人,中級工程師,碩士,現(xiàn)就職于國家石油天然氣管網(wǎng)集團有限公司云南分公司,研究方向為通信與自動化、物聯(lián)網(wǎng)安全。
秦 鵬(1990-),男,云南大理人,中級工程師,學(xué)士,現(xiàn)就職于國家石油天然氣管網(wǎng)集團有限公司云南分公司,研究方向為自動化、物聯(lián)網(wǎng)安全。
楊念峰(1991-),男,云南大理人,中級工程師,學(xué)士,現(xiàn)就職于國家石油天然氣管網(wǎng)集團有限公司云南分公司,研究方向為工控網(wǎng)絡(luò)安全、通信與自動化。
參考文獻:
[1] 劉亮. 油氣管道網(wǎng)絡(luò)安全問題與對策[J]. 軟件, 2021, 42 (5).
[2] 楊斌, 仝望斐. 論SCADA系統(tǒng)在長輸管道中的應(yīng)用[J]. 山西電子技術(shù), 2014 (6).
[3] 張曉明, 王麗宏, 何躍鷹, 等. 工業(yè)控制系統(tǒng)信息安全風(fēng)險分析及漏洞檢測[J]. 物聯(lián)網(wǎng)學(xué)報, 2017, 1 (1).
[4] GB/T22239-2019, 信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護基本要求[S].
[5] 穆云婷, 王云龍, 等. 油氣長輸管道工業(yè)控制網(wǎng)絡(luò)安全風(fēng)險與應(yīng)對措施[J]. 網(wǎng)絡(luò)空間安全, 2021, 12 (Z1).
[6] 張翔宇, 路來順. 工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全分析與研究[J]. 網(wǎng)絡(luò)空間安全, 2019, 10 (5).
[7] 聞宏強, 李富勇, 等. Modbus/TCP協(xié)議安全性分析與防護技術(shù)探討[J]. 物聯(lián)網(wǎng)技術(shù), 2018, 8 (11).
摘自《自動化博覽》2024年10月刊
北京市公安局海淀分局備案號:11010802023656號