長輸天然氣管道工控系統(tǒng)安全防護措施及相關建議

王 磊，魏 娜

(中石油管道有限責任公司西氣東輸分公司，上海 200122)

0 概述

在長輸天然氣管道快速發(fā)展的今天，隨著骨干網(wǎng)絡的建成，天然氣作為清潔能源在居民日常生活和工業(yè)生產(chǎn)活動中扮演著越來越重要的角色，更加凸顯管道安全運行的重要性。長輸天然氣管道壓力等級高、地理跨度長，整體呈線型走向，用于截斷的閥室和用于增壓、分輸?shù)恼緢鲅毓艿莱庶c狀離散分布。伴隨著管道智能化水平的提升，目前長輸天然氣管道采用以計算機為核心的SCADA(Supervisory Control and Data Acquisition)系統(tǒng)用于數(shù)據(jù)采集和監(jiān)控，通過工業(yè)控制系統(tǒng)進行站場設備數(shù)據(jù)的采集、處理和控制，并通過專用網(wǎng)絡將現(xiàn)場數(shù)據(jù)上傳至調(diào)控中心，以實現(xiàn)管道設備的遠程數(shù)據(jù)監(jiān)視和控制。

由于當年技術條件限制或其他原因，部分工控設備出廠后或多或少會存在一些漏洞，隨著時間的推移和技術的發(fā)展，這些潛在的漏洞存在被惡意利用的風險。目前，針對工控系統(tǒng)網(wǎng)絡設備的攻擊對工業(yè)生產(chǎn)、國計民生已經(jīng)造成嚴重影響，例如著名的伊朗核電站“震網(wǎng)”事件、烏克蘭電網(wǎng)大面積停電事件等。

長輸天然氣管道的集中調(diào)度、參數(shù)控制、異常報警等智能化功能的實現(xiàn)均以工控系統(tǒng)網(wǎng)絡及設備為載體，因此，工控系統(tǒng)網(wǎng)絡的安全運行是管道平穩(wěn)運行的必要前提。近年來，隨著網(wǎng)絡安全事件的高發(fā)，特別是針對工控系統(tǒng)網(wǎng)絡的攻擊時有發(fā)生，為長輸天然氣管道工控系統(tǒng)網(wǎng)絡安全敲響了警鐘。

1 工控系統(tǒng)概況

1.1 工控設備概況

目前長輸天然氣管道使用的工控系統(tǒng)設備主要為國際主流廠商提供的產(chǎn)品，用于現(xiàn)場數(shù)據(jù)的采集、運算、控制，如施耐德、AB、BB、霍尼韋爾、西門子、西斯奈特等公司提供的工業(yè)可編程控制器，思科、赫斯曼等廠家提供的路由器、交換機，人機交互系統(tǒng)硬件主要為Windows操作系統(tǒng)的工控計算機，軟件主要包括PKS、IFIX、CIMPILICITY、INTOUCH、OASYS、VIEWSTAR等產(chǎn)品。一些國內(nèi)廠商也可提供部分工控產(chǎn)品，如華為、中興、浙江中控、中油龍慧等。另外，中石油獨立知識產(chǎn)權(quán)的人機交互軟件PCS目前已進入工業(yè)化試驗階段。

按照目前各廠家發(fā)出的通知，部分工控系統(tǒng)產(chǎn)品如果存在一定的漏洞，廠商會從技術層面給出一定的解決方案，但是部分升級方案由于其本身限制性或者升級過程可能對現(xiàn)場正常運行的系統(tǒng)造成一定影響而不具備可執(zhí)行性。

1.2 工控網(wǎng)絡特點

長輸天然氣管道站場內(nèi)設備獨立構(gòu)成局域網(wǎng)，通過光纖、DDN或衛(wèi)星等通信網(wǎng)絡將數(shù)據(jù)傳輸至控制中心，沿線分布的站場、閥室與控制中心構(gòu)成“樹”狀分布的網(wǎng)絡結(jié)構(gòu)[1]。典型的工控系統(tǒng)網(wǎng)絡拓撲如圖1所示：

圖1 典型網(wǎng)絡拓撲圖

圖1中SCS(Station Control System)為站場控制系統(tǒng)，包括可編程控制器、安全儀表系統(tǒng)以及配套的網(wǎng)絡通信設備。RTU(Remote Terminal Unit)為閥室控制系統(tǒng)，用于閥室數(shù)據(jù)的采集和控制。SCS和RTU分別采集站場和閥室的數(shù)據(jù)，通過冗余專網(wǎng)上傳至控制中心，并接受中心下達的指令。OAD(Operation and Display)為設置在地區(qū)管理處的數(shù)據(jù)顯示終端，用于所轄站場和閥室的數(shù)據(jù)監(jiān)視[2]。

長輸天然氣管道工控網(wǎng)絡原則上獨立成網(wǎng)，嚴禁與互聯(lián)網(wǎng)進行連接，不同站場之間不允許互相訪問。由于工業(yè)控制網(wǎng)絡專網(wǎng)專用、不允許與互聯(lián)網(wǎng)進行連接的特性，導致基于互聯(lián)網(wǎng)進行升級的各類漏洞、補丁無法或者不便于進行升級[3]。

2 工控系統(tǒng)安全防護現(xiàn)狀及措施

2011年9月工信部發(fā)布《關于加強工業(yè)控制系統(tǒng)信息安全管理的通知》，國內(nèi)各行各業(yè)對工控系統(tǒng)網(wǎng)絡安全認知逐漸提升，地方政府、行業(yè)組織定期開展安全檢查活動。2014年國家成立中央網(wǎng)絡安全和信息化領導小組，從頂層設計定位“網(wǎng)絡安全和信息化是事關國家安全和國家發(fā)展、事關廣大人民群眾工作生活的重大戰(zhàn)略問題”，另外在其他會議中也指出“特別是國家關鍵信息基礎設施面臨較大風險隱患，網(wǎng)絡安全防控能力薄弱，難以有效應對國家級、有組織的高強度網(wǎng)絡攻擊，應加快構(gòu)建關鍵信息基礎設置安全保障體系”。2017年6月1日，《中華人民共和國網(wǎng)絡安全法》正式實施，明確指出“國家對公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業(yè)和領域，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施，在網(wǎng)絡安全等級保護制度的基礎上，實行重點保護”。由此可見，作為關鍵信息基礎設施的一部分，長輸天然氣管道工控系統(tǒng)網(wǎng)絡安全保護已從法律層面進行明確。

據(jù)了解，國外已成形的工業(yè)控制系統(tǒng)信息安全標準主要包括IEC 62443系列《工業(yè)過程測量、控制和自動化網(wǎng)絡與系統(tǒng)信息安全》、ISO/IEC TR 27019《基于ISO/IEC 27002的用于能源行業(yè)過程控制系統(tǒng)的信息安全管理指南》、NIST SP 800-82《工業(yè)控制系統(tǒng)(ICS)安全指南》等。目前，國內(nèi)發(fā)布的用于工控網(wǎng)絡安全防護、評估的文件主要包括工業(yè)和信息化部2016年10月17日印發(fā)《工業(yè)控制系統(tǒng)信息安全防護指南》，國家規(guī)范有GB/T 32919-2016《信息安全技術工業(yè)控制系統(tǒng)安全控制應用指南》、GB/T 30976.1-2014《工業(yè)控制系統(tǒng)信息安全 第1部分：評估規(guī)范》、GB/T 30976.1-2014《工業(yè)控制系統(tǒng)信息安全 第2部分：驗收規(guī)范》、GB/T 20984-2007《信息安全技術 信息安全風險評估規(guī)范》等。

目前行業(yè)尚欠缺具體的、細化的、可用于指導工控網(wǎng)絡安全建設、檢查、驗收、評估的規(guī)范。由于針對工控網(wǎng)絡安全的要求暫不完善，各家公司多依據(jù)各自生產(chǎn)經(jīng)驗進行工控網(wǎng)絡安全防護的管理和策略設置。目前,常用的基本安全防護措施主要包括以下方面：

2.1 邊界安全防護

工控網(wǎng)絡一般獨立成網(wǎng)，需要與其他工控網(wǎng)絡進行連接時，應通過工控網(wǎng)絡邊界防護設備來進行，禁止直接與互聯(lián)網(wǎng)、其他工控網(wǎng)絡或企業(yè)信息網(wǎng)連接。工控網(wǎng)絡邊界安全防護設備包括工業(yè)防火墻、工業(yè)網(wǎng)閘、單向隔離設備及企業(yè)定制的邊界安全防護網(wǎng)關等。

工控網(wǎng)絡數(shù)據(jù)應用應根據(jù)其業(yè)務需求進行劃分，對于需要大批量、持續(xù)性使用SCADA系統(tǒng)的情況，應在區(qū)域之間設置邊界安全防護措施，配置專用數(shù)據(jù)傳輸服務器，通過數(shù)據(jù)傳輸服務器對外統(tǒng)一發(fā)布數(shù)據(jù)。

2.2 終端病毒防護

基于Windows操作系統(tǒng)的客戶端、服務器等工作站存在病毒防護需求。由于工控系統(tǒng)網(wǎng)絡不允許與互聯(lián)網(wǎng)進行連接，導致常規(guī)的病毒查殺軟件無法自動進行病毒庫升級，從而使病毒查殺軟件失去抵御新病毒的能力。而若采用離線升級的方式進行病毒庫升級，對于站場分布廣且數(shù)量多的情況存在很大的不便利性，耗費較多人力，且在多點離線升級時，無法掌控每點的作業(yè)質(zhì)量，同時還可能在設備接入過程中帶入其他風險。

為解決病毒庫無法升級的情況，可以在與每個站點均有通訊的中心設置病毒庫升級服務器，該服務器只接入工控網(wǎng)絡而不接入互聯(lián)網(wǎng)，每次只對中心設置的服務器進行離線升級，然后各個站點的工作站通過連接中心服務器實現(xiàn)自動升級。需要特別注意的是，在對中心服務器進行離線升級的過程中，一定要確保移動介質(zhì)本體的安全性，且此方式需要對病毒庫進行測試，在確定不影響現(xiàn)場工控軟件運行后方可實施。

另外一種解決方案，可以在客戶端、服務器等工作站上安裝基于白名單的防病毒軟件，對于設備運行的信任程序一次性加入白名單，對于白名單以外的任何程序均禁止運行。

2.3 身份認證

工控網(wǎng)絡設備在出廠時一般均設置默認賬號和密碼，在系統(tǒng)建設期間，廠商為了方便使用，一般不對默認賬號和密碼進行更改，或統(tǒng)一更改為一致的賬號、密碼。在系統(tǒng)投入正常運行后，要及時對默認賬號和密碼進行更改，定期對密碼進行更改。另外，應合理分類設置賬戶權(quán)限，以最小特權(quán)原則分配賬戶權(quán)限，確保賬號丟失后造成損失的最小化[4]。

2.4 設備接入

在對工控系統(tǒng)設備進行維護的過程中，不可避免地存在外部設備的臨時接入，日常工作中應嚴格要求用于系統(tǒng)維護的調(diào)試終端專本專用，禁止用于其他活動，統(tǒng)一安裝殺毒軟件，并保證其病毒庫為最新版本，及時更新系統(tǒng)補丁，確保調(diào)試筆記本的本體安全。

用于數(shù)據(jù)拷貝的移動存儲介質(zhì)，在接入工控系統(tǒng)設備之前必須在調(diào)試筆記本進行數(shù)據(jù)掃描、病毒查殺，確保移動存儲介質(zhì)的安全性。工作站上不需要使用的USB、光驅(qū)等容易被攻擊接口,應進行拆除或封閉處理。

2.5 數(shù)據(jù)多渠道備份

在日常系統(tǒng)維護中定期對工控系統(tǒng)設備的數(shù)據(jù)進行備份，包括程序、配置文件等，實行數(shù)據(jù)的多渠道保存，在工控系統(tǒng)遇到攻擊或其他故障時，可以及時調(diào)取存檔數(shù)據(jù)，第一時間恢復系統(tǒng)運行。

3 工控系統(tǒng)安全防護面臨的形勢

目前，按照已公布的數(shù)據(jù)和案例，工控系統(tǒng)存在安全漏洞，且黑客的攻擊手段越來越有針對性，而政府、行業(yè)對工控系統(tǒng)網(wǎng)絡安全認知及應急手段尚存在一定的欠缺，工控系統(tǒng)網(wǎng)絡安全防護形勢嚴峻[5]。

3.1 安全漏洞多、風險程度高

按照國家信息安全漏洞共享平臺公布的數(shù)據(jù)來看，自2000年以來，2010年前工控系統(tǒng)漏洞均為個位數(shù)，2010年以后數(shù)量急劇增多。2000-2016年工控漏洞數(shù)量請詳見圖2。

圖2 2000-2016年工控漏洞數(shù)量

按照漏洞危險等級分為低危、中危、高危，其中低危占比6%、中危占比46%、高危占比48%，詳見圖3。

圖3 各類漏洞所占比例

從以上數(shù)據(jù)可以看出工控系統(tǒng)安全漏洞自2010年以來一直維持在較多的數(shù)量，且基本均為中、高危險程度的漏洞，形勢不容樂觀。

3.2 攻擊更有針對性、手段更加專業(yè)

由于工控網(wǎng)絡直接用于控制工業(yè)生產(chǎn)活動，一旦生產(chǎn)活動受到控制，將產(chǎn)生巨大的經(jīng)濟影響或者社會影響，網(wǎng)絡黑客正是看到了業(yè)主害怕造成重大損失而存在巨大的勒索空間，因此越來越多的攻擊活動瞄準了工控系統(tǒng)網(wǎng)絡。

2017年初，喬治亞理工學院的研究員演示了一種新研發(fā)的、可感染工控設施的勒索軟件LogicLocker，攻擊對象是ICS和SCADA等基礎設施，通過LogicLocker感染PLC并修改密碼鎖定合法用戶，對工業(yè)生產(chǎn)過程發(fā)出惡意的指令，從而造成惡劣的后果。LogicLocker主要針對Schneider Modicon M221、Allen Bradley MicroLogix 1400和Schneider Modicon M241，利用API接口掃描工控系統(tǒng)內(nèi)已知安全漏洞設備，通過感染和繞過方式突破安全機制，鎖定設備合法用戶，修改PLC代碼破壞工控設備或設置程序邏輯炸彈觸發(fā)更嚴重的安全威脅。2017年4月初CRITIFENCE“關鍵基礎設施和SCADA/ICS網(wǎng)絡威脅”研究小組展示了一款概念型勒索軟件ClearEnergy驗證模型，攻擊對象是SCADA、ICS系統(tǒng)，意在勒索關鍵資產(chǎn)和基礎設施。ClearEnergy是基于CVE-2017-6032、CVE-2017-6034漏洞發(fā)起的攻擊，影響范圍非常大，包括Schneider Electric Unity系列PLC和2.6版及更高版本的Unity OS。

上述事例說明，工控系統(tǒng)網(wǎng)絡中的設備存在的漏洞可以被專業(yè)人員利用，進行惡意攻擊后可以對工業(yè)生產(chǎn)過程造成影響，而如此專業(yè)的、有針對性的攻擊其背后的人員技術力量非常強大。

3.3 人員配置不足、思想認識欠缺

由于國內(nèi)工控系統(tǒng)網(wǎng)絡安全近年來剛起步，企業(yè)內(nèi)部的工控系統(tǒng)網(wǎng)絡安全管理均未配置專職人員，一般均為工控相關專業(yè)人員兼職管理，而相關的培訓及知識普及較少，管理人員普遍缺乏專業(yè)的、系統(tǒng)的培訓，針對工控系統(tǒng)網(wǎng)絡安全的知識體系不完善，認識存在欠缺。

日常運行過程中，短期可能無法直接感受到工控系統(tǒng)網(wǎng)絡安全投入帶來的直接收益，也無法直接看到立竿見影的效果，只有當系統(tǒng)受到攻擊，影響了正常生產(chǎn)，才能意識到帶來的嚴重后果，而彼時為時已晚。

此前，政府、行業(yè)本身未意識到工控網(wǎng)絡安全的重要性，國內(nèi)科研院所的研究也相對偏少，技術企業(yè)也沒有有針對性地開發(fā)出實用型產(chǎn)品。雖然近年來國家對工控網(wǎng)絡安全的日漸重視，地方政府及公司每年對工控系統(tǒng)運行情況進行檢查，整體工控網(wǎng)絡安全情況有所好轉(zhuǎn)，但是目前的檢查大多停留在工控系統(tǒng)設備使用情況的摸排層面，方案針對性和實用性不強，現(xiàn)場檢查的深度及對應的整改措施尚有待提升完善。

3.4 應急手段不足

常規(guī)的信息網(wǎng)絡應急已經(jīng)有一套相對成熟的危機應對機制以及經(jīng)驗豐富的人才儲備，通過監(jiān)測手段可以提前預測可能存在的風險，在風險發(fā)生后亦能短時間內(nèi)組織專業(yè)人員分析原因、制定解決方案并及時公布應對措施，通過互聯(lián)網(wǎng)及時對問題進行有針對性的處理，以最快速度恢復系統(tǒng)、設備正常工作。

由于工控系統(tǒng)網(wǎng)絡的特殊性，目前針對其的安全防護體系研究尚無成熟措施，應急專業(yè)技術團隊建設更是欠缺。特別是對于企業(yè)，一旦發(fā)生大規(guī)模的工控系統(tǒng)網(wǎng)絡安全事件，可落實的措施及資源屈指可數(shù)。

4 安全防護相關建議

為了進一步加強工控系統(tǒng)網(wǎng)絡安全運行，落實事故發(fā)生后的應急處置措施及技術支持，結(jié)合工作經(jīng)驗，建議從以下幾個方面進行考慮。

4.1 加快推進工控系統(tǒng)網(wǎng)絡安全相關標準建設

近年來工控網(wǎng)絡安全逐漸受到重視，并已開展相關研究，但是目前工控網(wǎng)絡安全方面標準規(guī)范尚不完善，建議盡快推進國家、行業(yè)、企業(yè)標準規(guī)范的編制工作，用于指導工控系統(tǒng)網(wǎng)絡安全的設計、建設、驗收、評估、升級、報廢等全生命周期的活動[6]。

4.2 建立專門的機構(gòu)及專業(yè)應急隊伍

目前，國家信息安全漏洞共享平臺、中國國家信息安全漏洞庫對計算機系統(tǒng)及工控系統(tǒng)漏洞均進行及時公布，但是由于工控系統(tǒng)使用單位人員數(shù)量限制及人員針對工控系統(tǒng)網(wǎng)絡知識掌握的局限性，無時間也無能力在該平臺篩選出針對工控系統(tǒng)的升級補丁、解決方案是否適用于現(xiàn)場設備。即使能按照對應型號篩選出相關內(nèi)容，在不進行模擬環(huán)境實際測試的情況下，也不敢貿(mào)然對工控系統(tǒng)現(xiàn)場運行設備進行升級。而模擬測試則需要一定的具備豐富網(wǎng)絡知識、工控設備知識的專業(yè)工程師，以及進行模擬測試的實驗室環(huán)境。

因此，建議設立專門工控系統(tǒng)網(wǎng)絡安全機構(gòu)，以國家信息安全漏洞共享平臺、中國國家信息安全漏洞庫為依托，借助工控安全廠商、設備廠家力量，多途徑收集漏洞信息，并通過工控系統(tǒng)網(wǎng)絡安全專用信息發(fā)布平臺發(fā)布漏洞信息、補丁文件、解決方案等內(nèi)容，根據(jù)實際情況對可能產(chǎn)生后果的嚴重程度進行評估，在進行測試論證后，對存在問題給出明確指導意見。

同時，培養(yǎng)一批專業(yè)技術支持人員，在發(fā)生工控系統(tǒng)網(wǎng)絡安全事件后，能及時有效地組織制定解決方案，發(fā)布應對措施，防止災害的進一步擴大，恢復受損系統(tǒng)的正常運行。

4.3 借鑒成熟的網(wǎng)絡技術防范手段

常規(guī)的信息網(wǎng)絡防護已經(jīng)有一套成熟經(jīng)驗，工控網(wǎng)絡安全防護可以借鑒其成功經(jīng)驗，結(jié)合本身實際情況有選擇性的進行使用，如采取物理安全策略、訪問控制策略、系統(tǒng)防火墻、入侵檢測和網(wǎng)絡安全管理等，從外部對企圖共享信息資源的非法用戶和越權(quán)訪問進行封堵，對異常行為進行檢測并預警等。

4.4 加快企業(yè)人才培養(yǎng)及資金投入

為了確保工控系統(tǒng)網(wǎng)絡安全工作的高質(zhì)量開展，建議配置專職人員，并對人員進行系統(tǒng)的培訓。根據(jù)現(xiàn)場實際情況，投入一定的資金用于支持保障工控系統(tǒng)網(wǎng)絡安全技術手段的建設，如邊界防護措施的落實、網(wǎng)絡安全狀況的評估及整改、網(wǎng)絡監(jiān)測設備的布置等。

4.5 產(chǎn)品國產(chǎn)化開發(fā)勢在必行

長輸天然氣管道目前在用主要工業(yè)控制系統(tǒng)產(chǎn)品為國外產(chǎn)品，對于部分進口軟、硬件核心部件，很難發(fā)現(xiàn)設備中是否存在“后門”、“陷阱”、“隱蔽指令”、“漏洞”等安全威脅，如果存在且一旦這些漏洞被用來對工業(yè)控制網(wǎng)絡實施攻擊，其后果將不堪設想。提高我國工控系統(tǒng)自主可控能力，加強具有自主知識產(chǎn)權(quán)產(chǎn)品的研究與開發(fā)，已勢在必行。

5 結(jié)束語

工控系統(tǒng)安全防護在工業(yè)生產(chǎn)過程中極為重要，工控系統(tǒng)安全受到惡意攻擊，不僅僅會造成重大的經(jīng)濟影響，也會造成惡劣的社會影響，波及范圍大，持續(xù)時間長，而目前各方面防范措施相對欠缺，防護形勢比較嚴峻。在實際工作中，應加快國家、行業(yè)、企業(yè)層面的標準規(guī)范、專門機構(gòu)及梯隊技術人員隊伍建設工作，借鑒國際發(fā)達國家工控安全相關政策、標準和實踐做法，推進工控系統(tǒng)網(wǎng)絡安全工作的有序開展，以及在應急狀態(tài)下的專業(yè)技術支持，確保工控系統(tǒng)安全平穩(wěn)運行。

[1] 段沖,梁建青,段紹明,等.SCADA系統(tǒng)在西氣東輸管道中的應用[J].石油工程建設,2007,33(4):5-7.

[2] 曹永樂.基于西氣東輸管道SCADA系統(tǒng)的應用分析[J].自動化應用, 2017(8):64-66.

[3] 呂鋒. 工控系統(tǒng)安全威脅及防護應用探討[J].化工管理.2017 (9).

[4] 徐慧敏. 石油企業(yè)網(wǎng)絡信息安全監(jiān)控技術研究[J].信息通信,2016(6):146-147.

[5] 王文宇,劉玉紅.工控系統(tǒng)安全威脅分析及防護研究[J].信息安全與通信保密, 2012 (2):33-35.

[6] 王婷, 戴忠華,彭勇等. 油田工業(yè)控制系統(tǒng)信息安全防護方法研究[J]. 石油工業(yè)計算機應用, 2014(3):36-41.