油氣管道SCADA系統網絡安全風險分析及防護框架研究*

熊 琦,戴忠華,彭 勇,伊勝偉,王 婷

(中國信息安全測評中心,北京100085)

油氣管道SCADA系統網絡安全風險分析及防護框架研究*

熊 琦,戴忠華,彭 勇,伊勝偉,王 婷

(中國信息安全測評中心,北京100085)

油氣管道SCADA系統已經成為國家關鍵基礎設施的重要組成部分,但由于油氣管道覆蓋面廣,使用的設備、協議以及系統構建時未充分考慮信息安全問題,存在較多的安全隱患,無法抵御來自網絡的攻擊,急需有效的解決方案。針對這一需求,提出了一種分層的油氣管道SCADA系統描述參考模型,并將幾種常見的攻擊及其危害在相應的層次位置進行了標注。在此基礎上,提出了安全區域劃分的油氣管道防護框架,給出了縱深防御的模型。文中所提出的方法不僅可用于對現有系統進行安全加固,也可作為新建系統的安全架構參考。

油氣管道 SCADA系統 縱深防御 網絡安全

0 引 言

對于石油行業來說,長輸管道聯系著上游的油氣田板塊,中、下游的煉化和銷售板塊產業鏈,是油氣生產設施的重要組成部分。作為國家重要的基礎設施和公用設施,油氣管道承擔了所有的天然氣和近八成的油品輸送任務,具有易燃、易爆和高壓的特點,其安全運行非常重要。

在油氣管線中引入SCADA系統,不僅可以提高油氣管道的生產效率,降低運行成本,而且可以減輕SCADA系統操作人員的工作強度,保證管道生產安全可靠地運行。隨著信息化和工業化的不斷融合,管道SCADA系統也面臨著病毒、木馬以及黑客等傳統網絡威脅。

2000年10月,俄羅斯政府聲稱某所屬天然氣輸送管道網絡遭到入侵;黑客突破了該公司的安全防護網絡,通過上傳惡意代碼修改了系統的底層控制指令,致使該公司的天然氣流量輸出一度控制在他人之手,給國家造成了巨大的經濟損失。

2004年5月,曾任職于美國國家安全委員會的托馬斯·雷德披露,前蘇聯曾被欺騙,錯誤盜取并部署了某被惡意篡改的工業控制軟件,引發了西伯利亞天然氣管道大爆炸。

2013年3月,美國國土安全部發表報告指出,共有23家天然氣管道公司前年年底至去年中被黑客攻擊,并盜取可控制器管壓力和閥門等系統資料,對美國基建安全帶來威脅,其中10間公司更被形容為“已被滲透”。

近年來,能源板塊層出不窮的信息安全事件表明[1]油氣管道SCADA系統已經成為國內外黑客的攻擊目標,面臨愈發嚴峻的威脅。管道SCADA系統一旦受攻擊容易發生故障或者被控制,可能直接影響到管道輸送的正常生產運營,導致火災、爆炸、中毒事件的發生,造成重大經濟損失、人員傷亡和環境污染,直接威脅到國家能源安全和社會穩定。因此,研究油氣管道SCADA系統安全風險,同時制定針對性的防護框架,對我國能源安全具有重要的現實意義。

1 系統特點描述

在油氣管道SCADA系統生產過程[2]中,系統實時采集現場管線數據,對生產現場進行控制,實現油品或者天然氣的順序輸送,管道各站控系統運行狀況監控,管道泄漏監測,管道仿真模擬及生產安全保護等多方面功能,并為上層生產、調度和管理提供必要的數據。

油氣管道SCADA系統采用分布式架構,可以分為SCADA中控系統、SCADA站控系統和通信系統等3個主要部分,如圖1所示。

1)SCADA中控系統。中控SCADA系統負責管道生產管理、模擬仿真等多種功能,主要由SCADA服務器、客戶端工作站組成。中控系統SCADA服務器通過MODBUS-TCP、CIP等通信協議采集站控SCADA系統所提供的油氣管道數據。中控系統的多臺SCADA服務器之間還可以使用OPC協議進行業務數據的交換。

2)SCADA站控系統。油氣管道站場包括首站、末站和中間站3類,分別負責對輸送的油品或者天然氣進行控制操作。站控SCADA系統和PLC等現場設備通常部署在同一站場內,一般建百、千兆的局域網或串行通訊鏈路。站控系統可分為SCADA工作站和PLC兩部分,工作站上安裝了服務端、客戶端一體化的站控SCADA軟件。

3)SCADA通信系統。油氣管道SCADA通信系統主要使用光纖通信作為主要鏈路,衛星或無線公網為輔助。中控和站控SCADA系統之間主要采用MODBUS-TCP、IEC-104、DNP3等多種工控協議傳輸管線業務數據。

圖1 油氣管道SCADA系統網絡架構Fig.1 Structure of SCADA system in oil and gas pipeline

基于對油氣管道SCADA系統的分析,對其網絡拓撲進行詳細的分層描述,得到油氣板塊SCADA系統參考模型,如圖2所示,可以分為4個層次。

1)監視控制層。監視控制層作為控制中心存在,涵蓋管道SCADA中控系統,包括實時數據庫、歷史數據庫、管線運行優化類和管線故障監測及告警類系統。

2)本地控制層。本地控制層位于管線各站場,包括監測和控制物理過程的功能,它包括操作員人機接口、監測控制功能、過程歷史數據收集和存儲等功能,包括現場工程師站、操作員站、實時數據庫等組件。

3)物理控制層。物理控制層位于管線各站場,主要包括傳感和操作物理過程的功能,另外本層也包括控制系統的可靠性保障功能。該層中的典型物理設備包括PLC、RTU等。

4)生產裝置層。生產裝置層位于管線各站場,在這一層中包括各種不同類型的管線生產設施,典型設備包括直接連接到過程和過程設備的傳感器和執行器等,包括計量裝置、溫度和壓力傳感、電控閥門啟閉等、壓縮電機等。

圖2 油氣管道板塊SCADA系統分層參考模型Fig.2 Reference model for the SCADA system in oil and gas pipeline

2 安全風險分析

由于歷史和成本原因,國內油氣管道板塊SCADA系統在信息安全防護方面分布不均,呈現“重核心,輕外圍”的態勢;中控系統等地域集中化的SCADA系統,在設計之初就考慮了信息安全問題,能夠做到“同步規劃,同步建設,同步運行”信息安全防護措施;相比之下,管線站場SCADA系統地域分布廣,站點數量多,與中控系統之間通信鏈路長,數據傳輸方式復雜多樣,防護措施部署難度大,成為板塊SCADA系統信息安全的薄弱環節。總的來說,油氣SCADA系統在各個層次上均存在不同種類的安全威脅,如圖3所示。

圖3 油氣管道SCADA系統安全威脅層次對應關系Fig.3 Security threat targeting SCADA system in oil and gas pipeline

1)非法接入風險。該風險主要存在于站場SCADA系統等網絡接入設備。油氣管線SCADA系統地域分布廣,基層站點多,具有“點多線長”的特點,多數中、小型站場位于野外,周邊自然條件惡劣,無人值守,物理安全防護難度大,站場網絡設備空閑端口多,存在非法接入的風險。攻擊者完全有可能利用這些端口獲取到對站場設備的網絡訪問途徑,進而威脅部分或者整個管道SCADA系統。

2)工控網絡協議開放性風險。該風險主要存在于地方各站場與中控系統之間的遠程數據通信鏈路。“兩化”融合的迅速推進產生了SCADA系統與IT系統的互聯需求,油氣管道SCADA系統大量使用基于TCP/IP的開放標準工控協議,使得攻擊者能夠通過公開的規范文檔,理解SCADA網絡協議的工作機制,通過構造控制命令,可直接威脅油氣管道SCADA系統的正常運行。

3)明文數據傳輸風險。該風險主要存在于地方各站場與中控系統之間的遠程數據通信鏈路。油氣管道SCADA系統中的業務數據以明文的形式傳輸,缺乏必要的安全防護措施,其機密性和完整性無法得到保證。油氣管道生產數據在采集、傳輸、存儲和應用環節都有可能被侵入網絡和設備的攻擊者輕松獲得、更改,引起嚴重事故,造成不可估量的損失。

4)工控軟、硬件產品缺陷風險。該風險主要存在于板塊SCADA系統組件。油氣管道SCADA系統在建設過程中,主要考慮可靠性,很少部署采取安全加固措施的定制系統,而是較多選擇通用軟、硬件產品,這樣做雖然大大降低了設計和建設上的成本,但同時也帶來了潛在的風險。由于絕大多數產品不是為了SCADA系統專門設計的,沒有任何安全防護功能。如果不加入一些專門的網絡安全防護措施,油氣管道SCADA網絡和普通的互聯網一樣,存在顯著的脆弱性。

5)工控網絡結構脆弱性風險。該風險主要存在于油氣管道板塊SCADA系統網絡中。基于地域和通信成本的考慮,長輸管線各站場SCADA系統往往使用沿管線環狀光纖互聯,串行組網,注重可靠性保障,忽視安全防護,整體網絡結構呈現扁平化特點,管線SCADA系統各子網之間缺乏必要的隔離措施,上層設備對下層缺乏身份鑒別機制,一旦局部控制網絡被病毒感染,容易迅速蔓延到整個管線SCADA網絡,造成“一點突破,全網皆失”,嚴重威脅正常管線數據及控制指令的傳輸。

6)工控從業人員風險。該風險主要存在于油氣管道板塊SCADA系統網絡中。工控從業人員普遍對工控系統裝置操作較為熟悉,是自動控制領域的行家里手,注重生產安全防護,但在上崗時未參加專門的工控信息安全培訓,信息安全意識不足,警惕性不高,對工控系統信息安全隱患可能導致的后果缺乏足夠認識。

7)移動設備接入管理風險。該風險主要存在于油氣管道板塊SCADA系統網絡中。管道板塊工控設備在維修時存在便攜式計算機的接入問題,沒有達到一定安全基線的便攜式計算機接入工控系統,會對造成安全威脅。此外,交叉使用U盤、光盤等移動存儲介質容易導致病毒傳播問題,將外界的不安全因素帶入到管道SCADA系統內部。

3 防護框架設計

油氣管道SCADA系統安全防護模型的建設目標是要提供一個“深度防御”的安全體系,該體系能夠提供對于辦公網和控制網之間的隔離防護、實時報警和中央監控等功能,具體包括以下四方面目標[3-4]:

1)區域隔離。能夠過濾兩個功能獨立區域網絡之間非必要的通信流量。

2)通信管控。能夠統一管理不同區域之間通信,確保遠距離鏈路管線數據傳輸的機密性和完整性。

3)接入控制。能夠對SCADA網絡接入行為進行身份認證,避免惡意攻擊者從站場底層網絡非法接入。

4)實時報警。所有的安全防護設備都能由中央管控平臺統一進行實時監控和預警。

結合油氣管道SCADA系統的實際情況,采取“分層分區、專網專用、橫向隔離、縱向認證”的準則,設計了以下安全方案[5-9],如圖4所示。

1)劃分系統安全功能分區。基于油氣管道SCADA系統網絡架構和存在的安全隱患,結合系統網絡安全要求,在層次劃分的基礎上,按照功能進行層內分區,主要涉及中心、生產和控制3種分區,如圖5所示。

中心區包括屬于中控層的管道SCADA控制系統;生產區包括屬于本地控制層和物理控制層的各管道站控SCADA系統上位機。控制區是生產區的一部分,包括屬于物理控制層的各管道站控SCADA系統下位機。

安全域的合理劃分,使每一個網絡區域都有明確的邊界,便于對安全域進行安全防護[10-11]。

2)部署安全防護模塊。根據各個區域的安全需求,確定所需的可裝載工控防護設備,具體包括以下幾方面。

在生產區之間,即各個SCADA站控系統之間,部署工業防火墻,進行網絡隔離,防止病毒感染等局部威脅的全網擴散;

在控制區上邊界,部署工業防火墻,進行網絡隔離,過濾來自上位機的網絡攻擊,保障PLC等物理控制器可靠運行;

在生產區上邊界、中心區下邊界,部署防火墻,進行網絡隔離,防止來自中控層的TCP/IP網絡攻擊,確保管道站控SCADA系統安全運行;

在生產區上邊界、中心區下邊界,部署加密網關,對遠距離管線數據傳輸進行加密,防止管線生產數據遭竊取;

在中心區內部署統一安全管理平臺,對所屬一級管線站控SCADA系統以及各管道監視控制區內中央管理平臺進行管控,配置網絡通訊監控策略,顯示并記錄每條管道SCADA的網絡報警及設備狀態;

在中心區內部署工控入侵檢測系統和審計系統,對SCADA系統網絡流量進行安全檢測,發現并及時阻斷網絡攻擊,支持事后對于安全事件的審計。

3)構建接入控制機制。設計CA證書管理體制,為SCADA網絡提供統一的身份管理權限;部署網絡認證服務器,加強全網統一接入管理。采用證書、口令等多種方式相結合的身份認證機制。

4)加強對外安全。使用隔離網閘將油氣管道控制中心SCADA系統和辦公網系統進行強隔離,并對所有接入控制中心SCADA系統的系統設備進行縱向認證。

5)部署終端安全防護。密切關注SCADA產品的漏洞和補丁發布機制,嚴格軟件升級、補丁安裝管理,嚴防病毒、木馬等惡意代碼侵入。SCADA系統軟件升級、補丁安裝前要請專業技術機構進行安全評估和驗證。對賬戶、口令等進行檢查,及時清理不必要的賬戶,停止無用的后臺程序和進程,關閉無關的端口和服務。

圖5 油氣管道SCADA系統分區規范Fig.5 Partition rule for the SCADA system in oil and gas pipeline

4 結 語

作為國家能源動脈的重要組成部分,油氣管道SCADA系統信息安全會直接影響油氣管道的生產、運行,對國家能源、經濟安全造成嚴重威脅,至關重要。本文針對油氣管道SCADA系統普遍存在的網絡安全風險,提出了一種基于安全區域劃分的縱深防御模型。文中提出的防御模型不僅可用于新建系統的安全架構參考,也可用于對現有SCADA系統進行安全加固。

[1] 彭勇,江常青,謝豐.工業控制系統信息安全研究進展[J].清華大學學報:自然科學版,2012,25(10): 1396-1408.

PENG Yong,JIANG Chang-qing,XIE Feng.The Progressof the Research on the Security of Industrial Control System[J].Journal of Tsinghua University(Natural Science Edition),2012,25(10):1396-1408.

[2] 熊琦,竟小偉,詹峰.美國石油天然氣行業ICS系統信息安全工作綜述及對我國的啟示[J].中國信息安全,2012,27(03):80-83.

XIONG Qi,JING Xiao-wei,ZHAN Feng.Survey on the Security Work about the ICS in Gas and Oil Sector of US [J].China Information Security,2012,27(03):80-83.

[3] 郭強.工控系統信息安全案例[J].信息安全與通信保密,2012,28(12):68-70.

GUO Qiang.Case for the Information Security of Industrial Control System[J].Information and Communication Security,2012,28(12):68-70.

[4] 張同升.信息系統安全防護控制策略研究[J].通信技術,2013,46(08):54-56.

ZHANG Tong-sheng.Research on the Security Defending Strategy[J].Communication Technology,2013,46(08):54-56.

[5] 中國石油北京油氣調控中心.Q/SYBD46-2010.油氣管道SCADA系統網絡安全技術規范[S].北京:中國石油天然氣股份有限公司,2014:35-38.

Beijing Gas&Oil Transportation Center.Q/SYBD46-2010.Security Technology Guide on the Network Security of Oil&Gas Pipeline SCADA system[S].Beijing: CNPC,2014:35-38.

[6] JEFFREYLH,JACOBS,JAMESHG.A Security-Hardened Appliance for Implementing Authentication and Access Control in SCADA Infrastructures with Legacy Field Devices[J].International Journal of Critical Infrastructure Protection,2013,56(06):12-24.

[7] American Petroleum Institute(API).API1164-2004, SCADA Security[S].America:API,2014:36-39.

[8] KEVIN M.Data and command encryption for SCADA [R].Canada:Schneider Electric,2012.

[9] American Gas Association.(AGA12-2006 Part1).cryptographic protection of SCADA communications,Part1: Background policies and test plan[S].Washington DC: AGA,2013.

[10] 熊琦,彭勇,戴忠華.工控系統信息安全風險評估初探[J].中國信息安全,2012,27(03):57-59.

XIONG Qi,PENG Yong,DAI Zhong-hua.Research on the Security Risk Assessment Method for ICS[J].China Information Security,2012,27(03):57-59.

[11] 王斯梁,尹一樺.工業控制系統安全防護技術研究[J].通信技術,2014,47(02):205-209.

WANG Si-liang,YIN Yi-ye.Research on the Security Defending Technology for the Industrial Control System [J].Communications Technology,2014,47(2): 205-209.

XIONG Qi(1983-),male,Ph.D.,associate research fellow,mainly engaged in information security of SCADA system.

戴忠華(1978—),男,博士研究生,助理研究員,總工程師,主要研究方向為工控系統信息安全;

DAI Zhong-hua(1978-),male,Ph.D.student,assistant research fellow,chief engineer,mainly working at information security of SCADA system.

彭 勇(1974—),男,博士,副研究員,副總工程師,主要研究方向為工控系統信息安全;

PENG Yong(1974-),male,Ph.D.,associate research fellow,associate chief engineer,majoring in information security of SCADA system.

伊勝偉(1977—),男,博士,助理研究員,主要研究方向為工控系統信息安全;

YI Sheng-wei(1977-),Ph.D.,assistant research fellow,mainly engaged in information security of SCADA system.

王 婷(1987—),女,碩士,助理工程師,主要研究方向為工控系統信息安全。

WANG Ting(1987-),female,M.Sci.,assistant engineer,majoring in information security of SCADA system.

Security Risk Analysis in the SCADA System of Oil and Gas Pipeline and the Design of Defending Framework

XIONG Qi,DAI Zhong-hua,PENG Yong,YI Sheng-wei,WANG Ting
(China Information Technology Security Evaluation Center,Beijing 100085,China)

As the critical components of national critical infrastructure,SCADA system of oil and gas pipeline usually doesn’t take security factors in the step of system design,which appears vulnerable to cyberattack,effective solutions are seriously needed.Regarding this requirement,this paper proposes a reference description model for SCADA system of oil.Gas pipeline is also proposed and the security threat is noted in the corresponding layers of the reference model.Based on the model,a defending framework is given and the workflow is described in detail.The proposed framework couldn’t only be used to make security enhancement for the current running pipeline SCADA system,but also it could be taken as the security guide for the design of new SCADA system.

oil and gas pipeline;SCADA system;deep defending;cyber security

TP393

A

1002-0802(2014)08-0919-06

10.3969/j.issn.1002-0802.2014.08.016

熊 琦(1983—),男,博士,副研究員,主要研究方向為工控系統信息安全;

2014-05-30;

2014-06-30 Received date：2014-05-30;Revised date：2014-06-30

國家自然科學基金(No.90818021)資助

Foundation Item:National Natural Science Foundation of China under Grant(No.90818021)