長輸油氣管道SCADA系統信息安全問題探討

摘 要：針對日益嚴峻的工控系統信息安全問題，文章結合國內典型長輸油氣管道SCADA系統的信息安全現狀，分析了其存在的幾種常見的信息安全漏洞及風險，并針對這些風險提出提高信息安全水平的實施對策。

關鍵詞：輸油氣管道；數據采集與監視控制系統（SCADA）；信息安全；網絡病毒

前言

隨著西氣東輸二線、中緬天然氣管道等重大工程相繼投產運行，西氣東輸三線正在緊張建設，乃至規劃設計中的其他油氣管道等，國內油氣管道行業蓬勃發展，國家能源戰略穩步前行。但隨著計算機和網絡技術的發展，特別是信息化與工業化深度融合以及物聯網的快速發展，長輸油氣管道SCADA系統產品越來越多的采用通用協議、通用硬件和通用軟件，存在很多能為木馬、病毒等威脅侵入的漏洞，長輸油氣管道SCADA系統信息安全問題日益突出。2010年發生的以西門子ICS/SCADA為攻擊目標的Stuxnet“震網”病毒事件，充分反映出工業控制系統信息安全面臨著嚴峻的形勢，因此，作為影響國計民生的基礎能源設施工程，高度重視國內輸油氣管道SCADA系統信息安全，增強風險意識、提高系統安全性能迫在眉睫。

1 國內長輸油氣管道SCADA系統簡介

SCADA系統即數據采集與監視控制系統，是以計算機為基礎的生產過程控制與遠程調度相結合的自動化系統，目前已廣泛應用于油氣管道領域。在長輸管道的生產過程中，SCADA系統實時采集現場數據對工業現場進行自動控制，實時順序輸送控制，設備、管道沿線及站控系統運行狀況監控，管道泄漏檢測，管道仿真模擬及生產安全保護等多方面功能，并為生產、調度和管理提供必要的數據 [1]。

長輸油氣管道SCADA系統核心設備由通信服務器、站控HMI、過程控制PLC、安全系統ESD、遠程終端RTU、交換機、路由器等組成，控制方式一般分為調控中心控制、站場控制和就地控制三級。目前國內各條油氣管道SCADA系統使用設備及系統種類較多，以國外知名自動化公司的產品占主導地位，常用PLC有AB ControlLogix系列、施耐德quantum系列和compact、BB controlwave系列、Honywell SafetyManager等，上位機系統有Veiwtar、OAsys、PKS、Vijeo Citect、WINCC等等，常用數據通信協議有TCP/IP、Modbus RS485/232、IEC 104等。

2 國內長輸油氣管道SCADA系統信息安全現狀分析

近年來，隨著信息技術的迅猛發展，油氣管道SCADA系統大量的采用通用的TCP/IP技術，每條管線的各站場之間、站場與閥室之間、站場和調控中心之間都能通過廣域網進行有效的數據通信，雖然目前國內管道SCADA系統網絡與企業辦公網絡、互聯網等有物理上的隔離，但仍有很多漏洞和缺陷可導致系統感染病毒及惡意攻擊，SCADA系統中任何一點受到攻擊都將有可能導致整個系統的癱瘓。

2.1 信息安全漏洞分析

因長輸油氣管道SCADA系統本身設計及管理的部分缺陷，有不少信息安全漏洞及缺陷威脅著油氣管道工程的安全運行，主要有六大方面。

2.1.1 操作系統漏洞

目前國內輸油氣管道SCADA系統數據通信服務器、工程師站、站控機HMI等使用的主要操作系統有Windows XP、Windows 2000、Windows Vista、LINUX和UNIX系統等，其中使用LINUX和UNIX系統的服務器相對而言抗病毒攻擊性能較強，系統運行相對穩定。但基于Windows平臺的服務器或站控機為保證過程控制系統的相對獨立性，同時也考慮到系統的穩定運行，通常在現場工程安裝調試開車后就不會對原Windows系統安裝微軟公司發布的任何補丁，存在的問題是不安裝補丁系統就存在被攻擊的可能，從而埋下安全隱患。

2.1.2 殺毒軟件漏洞

為了保證SCADA系統工控軟件的可用性，很多管線服務器和站控機通常不會安裝殺毒軟件（如西氣東輸二線、阿獨線、雙蘭線等），甚至有些服務器和站控機關閉了防火墻，這使服務器和站控機喪失了基本的病毒查殺和網絡攻擊防御功能。即使有些管線SCADA系統的服務器和站控機安裝了殺毒軟件（如西氣東輸一線，站控機安裝了金山毒霸的客戶端，由西氣東輸公司壓縮機處定期進行軟件的升級和更新），在使用過程中也有很大的局限性，原因在于使用殺毒軟件很關鍵的一點是其病毒庫需要不定期的經常更新，這一要求對和外界互聯網隔離的SCADA系統網絡環境而言很不適合[2]。再者，殺毒軟件對新網絡病毒的處理總是滯后的，殺毒軟件的運行對設備的配置及性能較高。

2.1.3 網絡風險

由于SCADA系統網絡的連通性，每條管線的各站場和站場之間、站場和RTU閥室之間、調控中心和閥室之間都能通過以太網相互通信，可遠程登錄服務器，可遠程在線控制程序，可遠程登錄路由器、交換機等，這種遠程訪問服務的開放，增加了SCADA系統被遠程侵入的風險。在SCADA系統的調試及維護中，為了方便起見，有時間會經常進行遠程連接PLC，遠程登錄服務器等操作，類似操作存在著使PLC系統控制失效、服務器死機等風險。而作為物理安防最為薄弱的RTU閥室，因無人值守，且能和站場及調控中心建立通信連接，最容易成為敵對勢力竊入并植入病毒和取得SCADA系統控制權的部位。國內SCADA系統網絡設計相對簡單，缺少數據安全控制功能。

2.1.4 登錄口令設置缺陷

為了限制無關人員登錄SCADA系統的各設備，每個輸油氣站場的系統和設備大都會設置登錄口令。上位機系統一般都會根據不同的權限設置不同的登錄用戶名和口令，但存在登錄口令設置過于簡單，登錄口令長期不改變，登錄口令的保密性不強等問題。輸油氣管線的PLC系統，部分設置了登錄口令，但部分管線未設置口令，可以隨便上載、下載、修改控制程序。如，西氣東輸一線工程，下位機部分使用的施耐德140 PLC、安全控制系統使用的HIMI PLC、RTU閥室使用的施耐德COMPACT和BB的Controlwave都設置了登錄口令，在進行程序的在線、上載等操作之前都需要登錄口令，且西氣東輸一線維護單位對口令的保密性工作比較到位。而西二線、西三線等使用的AB ControLogix系列PLC、安全系統SafetyManager（SM） PLC及BB的Controlwave PLC等都未設置登錄口令，其中SM和Controlwave PLC需要擁有最新的程序就能進行登錄，而AB ControLogix 系列PLC只要擁有編程軟件并能連接到SCADA系統網絡，便可上載并連接每個站的控制程序。這種PLC的無登錄口令訪問方式雖然很大程度上方面了維護人員的作業，但另一方面也增大了被黑客等控制的風險。

2.1.5 技術資料的開放性漏洞

由于SCADA系統逐漸成為一個開放的系統，加之互聯網絡的開放性，與SCADA系統運作有關的資料隨處可得。一部分是因為自動化產品市場競爭日益激烈，SCADA系統使用的通信標準和協議在出版的技術手冊中毫不費力即可找到，其中包括控制中心之間的標準，告警信號的處理，控制命令的發出，以及數據的輪訓方式等等一系列重要的技術標準，而且，SCADA系統的生產廠家常常出于方便用戶的考慮出版其產品的設計和維護手冊，發售工具軟件包以便于用戶在SCADA系統環境下進行二次開發，這一切都使得SCADA系統日益成為一個“透明運作”的系統，暴露了其脆弱點[3]。另一部分是國內SCADA系統的設計資料、相關技術論文、設備的維護資料等都由于保密性不強，很容易流向企業外界。

2.1.6 信息安全管理漏洞

就國內輸油氣管道SCADA系統的管理的現狀而言，對運行人員、維護人員和調試人員的SCADA系統信息安全的培訓和意識培養不到位，在調試和維護工作中經常出現個人筆記本電腦接入SCADA系統網絡進行編程調試、資料拷貝的現象，且在服務器和站控機的資料拷貝、工程備份中經常使用不安全的私人移動存儲設備，這種缺乏信息安全意識和缺乏有效監督管理的作業行為很容易將病毒帶入到SCADA系統內部。而且國內輸油氣管線SCADA系統缺乏信息安全機構定期的評估與檢查，運營單位缺乏信息安全方面的人力資源，對SCADA系統的信息安全風險識別不到位、不專業。

2.2 病毒及惡意攻擊連接接入點分析

典型輸油氣管線SCADA系統的設備通過各種外部設備的連接容易感染病毒且遭受惡意攻擊。病毒及惡意攻擊在SCADA系統中最容易竊入的接入接口有：交換機的以太網端口、PLC的串口、移動存儲設備使用的USB口等，常見病毒的載體有：移動存儲設備、工程筆記本、受感染的數據文件、不安全的遠程訪問等，病毒的攻擊對象包括：服務器、站控機、路由器、交換機、PLC等所有SCADA系統中的智能設備，假如病毒在SCADA系統的任意一點接入，則有可能迅速傳播開來，以致導致整個SCADA系統癱瘓。

3 長輸油氣管道SCADA系統信息安全防御措施探討

長輸油氣管道SCADA系統并沒有想象中的那么安全，針對前文總結的信息安全漏洞，為提高SCADA系統的信息安全水平，可以通過以下幾條措施加以防御：

（1）在新建管道設備選型時SCADA系統服務器盡量采用系統運行穩定、抗病毒攻擊能力強的UNIX或Linux系統，對使用WINDOWS系統的服務器或站控機定期進行系統漏洞補丁安裝，以減少操作系統漏洞。

（2）與業界知名信息安全防護公司合作，針對不同配置的SCADA系統服務器和站控機等計算機安裝防護殺毒軟件，并定期對殺毒軟件進行統一的更新升級。對用于工程備份的移動介質或U盤定期進行殺毒，在不影響工程的情況下盡量啟用WINDOWS防火墻，以提高整個系統服務器和站控機的防病毒能力。

（3）優化網絡結構，增加網絡信息安全設備，使用VLAN等網絡技術，建立一種按不同物理區間和就地功能劃分區域的以太網，阻斷所有沒必要的網絡連接，把一切無關人員和應用拒之門外，應該避免操縱員對路由器、服務器等設備的遠程訪問，假如必須應用遠程訪問，可以使用VPN網絡遠程訪問技術或通過設置訪問權限、登錄時長及多次登錄口令輸入錯誤后禁止登錄等方式，來提高遠程訪問的安全性[4]。在SCADA系統的服務器和站控機上盡量減少應用軟件的安裝，即只安裝非用不可的應用軟件，絕不允許安裝其他無關的應用軟件，且應該盡可能關閉服務器和站控機不使用的通信服務選項及進程。

（4）各設備和系統能設置登錄口令的前提下，盡量設置復雜的登錄口令，定期修改口令，并做好登錄口令的保密性工作，防止無關人員了解口令。重要的工程備份文件、資料等進行加密保護。且在上位機系統因設置多個不同權限的賬戶及登錄口令，明確不同權限對應不同級別的操作，已防止誤操作或者惡意操作。

（5）做好油氣管道技術資料的保密工作，從施工單位至運行單位，控制工程用于設計、調試、維護、操作的技術資料流向外界社會并被不法份子利用，增強員工技術資料的保密性。

（6）建立完善的SCADA系統信息安全管理機制，定期進行站場運行及維護人員的信息安全知識培訓及突發信息安全事件應急演練，培養信息安全的意識。聘請專業的安全分析專家，定期對SCADA系統進行信息安全評估，對發現的問題及時采取相應對策，定期進行風險識別，做好風險管控工作。做好外部設備接入口的安全把關，嚴格控制移動存儲設備及工程筆記本等外部設備接入SCADA系統網絡，禁止私人存儲設備及工程筆記本接入SCADA系統網絡進行數據備份、工程調試等作業。RTU閥室等無人值守的地方，應加強物理安防建設，杜絕不法分子利用物理安防薄弱點進行SCADA系統的入侵和破壞。

4 結束語

長輸油氣管道是國家基礎能源戰略通道，關乎國計民生的重點工程，而管道SCADA系統信息安全問題日益嚴峻，文章結合國內知名輸油氣管道的SCADA系統現狀，分析了輸油氣管道SCADA系統信息安全存在的漏洞和缺陷，并以典型輸氣管道SCADA系統為列，畫圖分析了病毒最容易入侵的接入點和常見的病毒載體，并針對SCADA系統的信息安全漏洞，就如何提高SCADA系統信息安全水平進行了探討并提出6條防御措施。

參考文獻

[1]郭曉瑛，路艷斌，鄭娟.國內外長輸管道SCADA系統標準現狀[J].油氣儲運，2011，30（2）：156-159.

[2]羅揚.SCADA系統中存在的安全風險及對策[J].

[3]張帥.ICS工業控制系統安全風險分析[Z].金山網絡企業安全事業部，2012.

[4]徐金偉.SCADA系統主要信息安全風險分析[J].計算機安全，2012，

01：4-9.

作者簡介：魏國富（1987，11-），男，青海省西寧市，現職稱：助理工程師，學歷：本科，研究方向：自動化、通信工程。

2.1.5 技術資料的開放性漏洞

由于SCADA系統逐漸成為一個開放的系統，加之互聯網絡的開放性，與SCADA系統運作有關的資料隨處可得。一部分是因為自動化產品市場競爭日益激烈，SCADA系統使用的通信標準和協議在出版的技術手冊中毫不費力即可找到，其中包括控制中心之間的標準，告警信號的處理，控制命令的發出，以及數據的輪訓方式等等一系列重要的技術標準，而且，SCADA系統的生產廠家常常出于方便用戶的考慮出版其產品的設計和維護手冊，發售工具軟件包以便于用戶在SCADA系統環境下進行二次開發，這一切都使得SCADA系統日益成為一個“透明運作”的系統，暴露了其脆弱點[3]。另一部分是國內SCADA系統的設計資料、相關技術論文、設備的維護資料等都由于保密性不強，很容易流向企業外界。

2.1.6 信息安全管理漏洞

就國內輸油氣管道SCADA系統的管理的現狀而言，對運行人員、維護人員和調試人員的SCADA系統信息安全的培訓和意識培養不到位，在調試和維護工作中經常出現個人筆記本電腦接入SCADA系統網絡進行編程調試、資料拷貝的現象，且在服務器和站控機的資料拷貝、工程備份中經常使用不安全的私人移動存儲設備，這種缺乏信息安全意識和缺乏有效監督管理的作業行為很容易將病毒帶入到SCADA系統內部。而且國內輸油氣管線SCADA系統缺乏信息安全機構定期的評估與檢查，運營單位缺乏信息安全方面的人力資源，對SCADA系統的信息安全風險識別不到位、不專業。

2.2 病毒及惡意攻擊連接接入點分析

典型輸油氣管線SCADA系統的設備通過各種外部設備的連接容易感染病毒且遭受惡意攻擊。病毒及惡意攻擊在SCADA系統中最容易竊入的接入接口有：交換機的以太網端口、PLC的串口、移動存儲設備使用的USB口等，常見病毒的載體有：移動存儲設備、工程筆記本、受感染的數據文件、不安全的遠程訪問等，病毒的攻擊對象包括：服務器、站控機、路由器、交換機、PLC等所有SCADA系統中的智能設備，假如病毒在SCADA系統的任意一點接入，則有可能迅速傳播開來，以致導致整個SCADA系統癱瘓。

3 長輸油氣管道SCADA系統信息安全防御措施探討

長輸油氣管道SCADA系統并沒有想象中的那么安全，針對前文總結的信息安全漏洞，為提高SCADA系統的信息安全水平，可以通過以下幾條措施加以防御：

（1）在新建管道設備選型時SCADA系統服務器盡量采用系統運行穩定、抗病毒攻擊能力強的UNIX或Linux系統，對使用WINDOWS系統的服務器或站控機定期進行系統漏洞補丁安裝，以減少操作系統漏洞。

（2）與業界知名信息安全防護公司合作，針對不同配置的SCADA系統服務器和站控機等計算機安裝防護殺毒軟件，并定期對殺毒軟件進行統一的更新升級。對用于工程備份的移動介質或U盤定期進行殺毒，在不影響工程的情況下盡量啟用WINDOWS防火墻，以提高整個系統服務器和站控機的防病毒能力。

（3）優化網絡結構，增加網絡信息安全設備，使用VLAN等網絡技術，建立一種按不同物理區間和就地功能劃分區域的以太網，阻斷所有沒必要的網絡連接，把一切無關人員和應用拒之門外，應該避免操縱員對路由器、服務器等設備的遠程訪問，假如必須應用遠程訪問，可以使用VPN網絡遠程訪問技術或通過設置訪問權限、登錄時長及多次登錄口令輸入錯誤后禁止登錄等方式，來提高遠程訪問的安全性[4]。在SCADA系統的服務器和站控機上盡量減少應用軟件的安裝，即只安裝非用不可的應用軟件，絕不允許安裝其他無關的應用軟件，且應該盡可能關閉服務器和站控機不使用的通信服務選項及進程。

（4）各設備和系統能設置登錄口令的前提下，盡量設置復雜的登錄口令，定期修改口令，并做好登錄口令的保密性工作，防止無關人員了解口令。重要的工程備份文件、資料等進行加密保護。且在上位機系統因設置多個不同權限的賬戶及登錄口令，明確不同權限對應不同級別的操作，已防止誤操作或者惡意操作。

（5）做好油氣管道技術資料的保密工作，從施工單位至運行單位，控制工程用于設計、調試、維護、操作的技術資料流向外界社會并被不法份子利用，增強員工技術資料的保密性。

（6）建立完善的SCADA系統信息安全管理機制，定期進行站場運行及維護人員的信息安全知識培訓及突發信息安全事件應急演練，培養信息安全的意識。聘請專業的安全分析專家，定期對SCADA系統進行信息安全評估，對發現的問題及時采取相應對策，定期進行風險識別，做好風險管控工作。做好外部設備接入口的安全把關，嚴格控制移動存儲設備及工程筆記本等外部設備接入SCADA系統網絡，禁止私人存儲設備及工程筆記本接入SCADA系統網絡進行數據備份、工程調試等作業。RTU閥室等無人值守的地方，應加強物理安防建設，杜絕不法分子利用物理安防薄弱點進行SCADA系統的入侵和破壞。

4 結束語

長輸油氣管道是國家基礎能源戰略通道，關乎國計民生的重點工程，而管道SCADA系統信息安全問題日益嚴峻，文章結合國內知名輸油氣管道的SCADA系統現狀，分析了輸油氣管道SCADA系統信息安全存在的漏洞和缺陷，并以典型輸氣管道SCADA系統為列，畫圖分析了病毒最容易入侵的接入點和常見的病毒載體，并針對SCADA系統的信息安全漏洞，就如何提高SCADA系統信息安全水平進行了探討并提出6條防御措施。

參考文獻

[1]郭曉瑛，路艷斌，鄭娟.國內外長輸管道SCADA系統標準現狀[J].油氣儲運，2011，30（2）：156-159.

[2]羅揚.SCADA系統中存在的安全風險及對策[J].

[3]張帥.ICS工業控制系統安全風險分析[Z].金山網絡企業安全事業部，2012.

[4]徐金偉.SCADA系統主要信息安全風險分析[J].計算機安全，2012，

01：4-9.

作者簡介：魏國富（1987，11-），男，青海省西寧市，現職稱：助理工程師，學歷：本科，研究方向：自動化、通信工程。

2.1.5 技術資料的開放性漏洞

由于SCADA系統逐漸成為一個開放的系統，加之互聯網絡的開放性，與SCADA系統運作有關的資料隨處可得。一部分是因為自動化產品市場競爭日益激烈，SCADA系統使用的通信標準和協議在出版的技術手冊中毫不費力即可找到，其中包括控制中心之間的標準，告警信號的處理，控制命令的發出，以及數據的輪訓方式等等一系列重要的技術標準，而且，SCADA系統的生產廠家常常出于方便用戶的考慮出版其產品的設計和維護手冊，發售工具軟件包以便于用戶在SCADA系統環境下進行二次開發，這一切都使得SCADA系統日益成為一個“透明運作”的系統，暴露了其脆弱點[3]。另一部分是國內SCADA系統的設計資料、相關技術論文、設備的維護資料等都由于保密性不強，很容易流向企業外界。

2.1.6 信息安全管理漏洞

就國內輸油氣管道SCADA系統的管理的現狀而言，對運行人員、維護人員和調試人員的SCADA系統信息安全的培訓和意識培養不到位，在調試和維護工作中經常出現個人筆記本電腦接入SCADA系統網絡進行編程調試、資料拷貝的現象，且在服務器和站控機的資料拷貝、工程備份中經常使用不安全的私人移動存儲設備，這種缺乏信息安全意識和缺乏有效監督管理的作業行為很容易將病毒帶入到SCADA系統內部。而且國內輸油氣管線SCADA系統缺乏信息安全機構定期的評估與檢查，運營單位缺乏信息安全方面的人力資源，對SCADA系統的信息安全風險識別不到位、不專業。

2.2 病毒及惡意攻擊連接接入點分析

典型輸油氣管線SCADA系統的設備通過各種外部設備的連接容易感染病毒且遭受惡意攻擊。病毒及惡意攻擊在SCADA系統中最容易竊入的接入接口有：交換機的以太網端口、PLC的串口、移動存儲設備使用的USB口等，常見病毒的載體有：移動存儲設備、工程筆記本、受感染的數據文件、不安全的遠程訪問等，病毒的攻擊對象包括：服務器、站控機、路由器、交換機、PLC等所有SCADA系統中的智能設備，假如病毒在SCADA系統的任意一點接入，則有可能迅速傳播開來，以致導致整個SCADA系統癱瘓。

3 長輸油氣管道SCADA系統信息安全防御措施探討

長輸油氣管道SCADA系統并沒有想象中的那么安全，針對前文總結的信息安全漏洞，為提高SCADA系統的信息安全水平，可以通過以下幾條措施加以防御：

（1）在新建管道設備選型時SCADA系統服務器盡量采用系統運行穩定、抗病毒攻擊能力強的UNIX或Linux系統，對使用WINDOWS系統的服務器或站控機定期進行系統漏洞補丁安裝，以減少操作系統漏洞。

（2）與業界知名信息安全防護公司合作，針對不同配置的SCADA系統服務器和站控機等計算機安裝防護殺毒軟件，并定期對殺毒軟件進行統一的更新升級。對用于工程備份的移動介質或U盤定期進行殺毒，在不影響工程的情況下盡量啟用WINDOWS防火墻，以提高整個系統服務器和站控機的防病毒能力。

（3）優化網絡結構，增加網絡信息安全設備，使用VLAN等網絡技術，建立一種按不同物理區間和就地功能劃分區域的以太網，阻斷所有沒必要的網絡連接，把一切無關人員和應用拒之門外，應該避免操縱員對路由器、服務器等設備的遠程訪問，假如必須應用遠程訪問，可以使用VPN網絡遠程訪問技術或通過設置訪問權限、登錄時長及多次登錄口令輸入錯誤后禁止登錄等方式，來提高遠程訪問的安全性[4]。在SCADA系統的服務器和站控機上盡量減少應用軟件的安裝，即只安裝非用不可的應用軟件，絕不允許安裝其他無關的應用軟件，且應該盡可能關閉服務器和站控機不使用的通信服務選項及進程。

（4）各設備和系統能設置登錄口令的前提下，盡量設置復雜的登錄口令，定期修改口令，并做好登錄口令的保密性工作，防止無關人員了解口令。重要的工程備份文件、資料等進行加密保護。且在上位機系統因設置多個不同權限的賬戶及登錄口令，明確不同權限對應不同級別的操作，已防止誤操作或者惡意操作。

（5）做好油氣管道技術資料的保密工作，從施工單位至運行單位，控制工程用于設計、調試、維護、操作的技術資料流向外界社會并被不法份子利用，增強員工技術資料的保密性。

（6）建立完善的SCADA系統信息安全管理機制，定期進行站場運行及維護人員的信息安全知識培訓及突發信息安全事件應急演練，培養信息安全的意識。聘請專業的安全分析專家，定期對SCADA系統進行信息安全評估，對發現的問題及時采取相應對策，定期進行風險識別，做好風險管控工作。做好外部設備接入口的安全把關，嚴格控制移動存儲設備及工程筆記本等外部設備接入SCADA系統網絡，禁止私人存儲設備及工程筆記本接入SCADA系統網絡進行數據備份、工程調試等作業。RTU閥室等無人值守的地方，應加強物理安防建設，杜絕不法分子利用物理安防薄弱點進行SCADA系統的入侵和破壞。

4 結束語

長輸油氣管道是國家基礎能源戰略通道，關乎國計民生的重點工程，而管道SCADA系統信息安全問題日益嚴峻，文章結合國內知名輸油氣管道的SCADA系統現狀，分析了輸油氣管道SCADA系統信息安全存在的漏洞和缺陷，并以典型輸氣管道SCADA系統為列，畫圖分析了病毒最容易入侵的接入點和常見的病毒載體，并針對SCADA系統的信息安全漏洞，就如何提高SCADA系統信息安全水平進行了探討并提出6條防御措施。

參考文獻

[1]郭曉瑛，路艷斌，鄭娟.國內外長輸管道SCADA系統標準現狀[J].油氣儲運，2011，30（2）：156-159.

[2]羅揚.SCADA系統中存在的安全風險及對策[J].

[3]張帥.ICS工業控制系統安全風險分析[Z].金山網絡企業安全事業部，2012.

[4]徐金偉.SCADA系統主要信息安全風險分析[J].計算機安全，2012，

01：4-9.

作者簡介：魏國富（1987，11-），男，青海省西寧市，現職稱：助理工程師，學歷：本科，研究方向：自動化、通信工程。