淺談?dòng)蜌夤艿拦I(yè)控制系統(tǒng)網(wǎng)絡(luò)通信安全對(duì)策

呂 峰

中國石油天然氣股份公司北京油氣調(diào)控中心 北京 100007

1 引言

現(xiàn)階段,國家的能源戰(zhàn)略正在穩(wěn)步前行,石油行業(yè)更是蓬勃發(fā)展,油氣管道的擴(kuò)建工作也在緊鑼密鼓的進(jìn)行中。在油氣管道的建設(shè)與運(yùn)行過程中引入工業(yè)控制系統(tǒng)已經(jīng)成為標(biāo)配,這種系統(tǒng)可以對(duì)油氣管道實(shí)施有效的遠(yuǎn)程控制。隨著物聯(lián)網(wǎng)技術(shù)、信息數(shù)字化技術(shù)的不斷發(fā)展和應(yīng)用,油氣管道也出現(xiàn)了相關(guān)的許多安全隱患問題。油氣管道正常生產(chǎn)過程中,數(shù)據(jù)采集與監(jiān)控系統(tǒng)在通信網(wǎng)絡(luò)中會(huì)產(chǎn)生大量的生產(chǎn)相關(guān)數(shù)據(jù),應(yīng)保障工業(yè)控制系統(tǒng)數(shù)據(jù)的傳輸安全。然而,因?yàn)楣I(yè)控制系統(tǒng)具有連續(xù)性的特點(diǎn),如果重新建立一個(gè)控制系統(tǒng)是不可能的,所以必須要在現(xiàn)有的控制系統(tǒng)基礎(chǔ)上做好改良工作。本文通過分析原有的工業(yè)控制系統(tǒng)網(wǎng)絡(luò)通信架構(gòu),提出了一些安全方案設(shè)計(jì),采取相應(yīng)的安全保護(hù)措施來確保油氣管道核心業(yè)務(wù)的數(shù)據(jù)通信安全,實(shí)現(xiàn)工業(yè)的安全生產(chǎn)。

2 油氣管道工業(yè)控制系統(tǒng)通信安全風(fēng)險(xiǎn)

在油氣管道的工業(yè)控制系統(tǒng)中有以下幾方面的網(wǎng)絡(luò)通信風(fēng)險(xiǎn)：

(1)數(shù)據(jù)傳輸未加密。在工業(yè)控制系統(tǒng)中最常見的一個(gè)安全問題就是通信協(xié)議和遠(yuǎn)程訪問都是通過明文傳輸?shù)?并且對(duì)于這些傳輸?shù)臄?shù)據(jù)信息都沒有經(jīng)過加密處理。一些別有用心的人可以通過傳輸過程來竊取到系統(tǒng)的賬號(hào)與口令,從而盡心篡改指令等其他操作使工業(yè)控制系統(tǒng)處于巨大風(fēng)險(xiǎn)之中,數(shù)據(jù)信息的保密性也受到侵害。

(2)網(wǎng)絡(luò)接入風(fēng)險(xiǎn)。油氣管道的工業(yè)控制系統(tǒng)主要應(yīng)用在遠(yuǎn)距離區(qū)域的鏈接和訪問。各個(gè)管道的站場間、站場和閥室間、調(diào)度中心和閥室間等都選用了以太網(wǎng)訪問,這種訪問方式可以實(shí)現(xiàn)遠(yuǎn)距離的區(qū)域連接,但與此同時(shí)也使數(shù)據(jù)采集與監(jiān)控系統(tǒng)被入侵的可能性大大增加。因?yàn)樵趯?duì)數(shù)據(jù)采集與監(jiān)視控制系統(tǒng)進(jìn)行日常的維護(hù)工作時(shí)需要進(jìn)行遠(yuǎn)程連接,在這個(gè)過程中就極易被不法分子攻擊,從而造成一些安全隱患。

(3)跨區(qū)域數(shù)據(jù)通信風(fēng)險(xiǎn)。在油氣管道的工業(yè)控制系統(tǒng)中,管理層、過程監(jiān)控層、現(xiàn)場控制層之間是通過數(shù)據(jù)通信進(jìn)行相互訪問的。但是,管理層和生產(chǎn)層是兩種網(wǎng)絡(luò)類型,再進(jìn)行數(shù)據(jù)傳輸時(shí)只能夠給特定的合法數(shù)據(jù)來交換,在數(shù)據(jù)交換的過程中還需要防范黑客利用外部網(wǎng)絡(luò)入侵的風(fēng)險(xiǎn)。現(xiàn)場控制層和過程監(jiān)控層之間的數(shù)據(jù)交換是選用了工控協(xié)議進(jìn)行的,可以起到防竊聽破解的作用,但是由于這種加密方法易被破解、工控協(xié)議不完善等因素使數(shù)據(jù)交換的過程仍然無法保證萬無一失。

3 油氣管道工業(yè)控制系統(tǒng)網(wǎng)絡(luò)通信安全方案設(shè)計(jì)

油氣管道的工業(yè)控制系統(tǒng)主要包含了內(nèi)部主干網(wǎng)絡(luò)和對(duì)外接口。根據(jù)上述的幾方面安全風(fēng)險(xiǎn)設(shè)計(jì)了相應(yīng)的安全方案。

(1)生產(chǎn)數(shù)據(jù)安全。油氣管道工業(yè)控制系統(tǒng)中現(xiàn)場控制和設(shè)備是不會(huì)直接接入互聯(lián)網(wǎng)的,但是在對(duì)數(shù)據(jù)進(jìn)行傳輸時(shí)仍需要選擇更為安全的加密通道來保證數(shù)據(jù)的采集、指令的傳遞等不會(huì)被入侵。在數(shù)據(jù)的采集過程中、SCADA系統(tǒng)接收到信息時(shí)都需要利用工業(yè)安全RTU 進(jìn)行加密保護(hù),防止通信過程中數(shù)據(jù)被竊取、篡改。在生產(chǎn)控制指令的傳輸過程中,可以引入綜合密碼安全管理平臺(tái)對(duì)一些敏感指令進(jìn)行數(shù)據(jù)加密,保證指令的機(jī)密性、完整性以及生產(chǎn)過程的安全。

(2)接入防護(hù)認(rèn)證。為了保證油氣管道工業(yè)控制系統(tǒng)的運(yùn)維安全性,需要對(duì)控制系統(tǒng)中入網(wǎng)的設(shè)備接入防護(hù)認(rèn)證系統(tǒng)。防護(hù)認(rèn)證系統(tǒng)需要選擇符合標(biāo)準(zhǔn)的具有商用密碼數(shù)字證書的系統(tǒng)。在工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)內(nèi),也要確保辦公網(wǎng)絡(luò)和信息控制網(wǎng)絡(luò)是完全分開的兩條線。防護(hù)認(rèn)證系統(tǒng)需要為工業(yè)控制系統(tǒng)網(wǎng)絡(luò)中的所有人員設(shè)定唯一的身份認(rèn)證牌,在進(jìn)入系統(tǒng)時(shí)都要進(jìn)行信息核對(duì)。另外,也要加入密鑰系統(tǒng),來保證數(shù)據(jù)的完整性、安全性。

(3)生產(chǎn)網(wǎng)絡(luò)通信保障。油氣管道工業(yè)控制系統(tǒng)生產(chǎn)網(wǎng)絡(luò)的安全、穩(wěn)定可以為調(diào)控中心和各個(gè)站場之間的通信提供保證。生產(chǎn)網(wǎng)絡(luò)的通信保障需要通過為整個(gè)網(wǎng)絡(luò)建設(shè)一個(gè)加密防護(hù)體系。這個(gè)防護(hù)體系中主要通過使用鏈路加密機(jī)、加密網(wǎng)關(guān)等設(shè)備來實(shí)現(xiàn)SCADA系統(tǒng)、PLC或RTU 等組件的通信加密。

(4)物聯(lián)網(wǎng)通信安全保障。油氣管道不僅生產(chǎn)工藝復(fù)雜且距離跨度較長,傳統(tǒng)網(wǎng)絡(luò)不能夠做到全面覆蓋。隨著網(wǎng)絡(luò)信息技術(shù)的快速發(fā)展,集日常巡檢、數(shù)據(jù)采集分析與一體的物聯(lián)網(wǎng)技術(shù)受到了油氣管道生產(chǎn)系統(tǒng)的青睞。但是,因?yàn)橛蜌夤艿拦I(yè)控制系統(tǒng)具有一定的網(wǎng)絡(luò)特殊性,對(duì)于控制系統(tǒng)的保障能力也需要得到進(jìn)一步的加強(qiáng)。通過加設(shè)密碼技術(shù)構(gòu)件的物聯(lián)網(wǎng)系統(tǒng)平臺(tái)可以保證對(duì)油氣管道數(shù)據(jù)的安全可靠,同時(shí)還能夠提升生產(chǎn)效率。

4 油氣管道工業(yè)控制系統(tǒng)網(wǎng)絡(luò)通信安全方案的應(yīng)用

文章所提出的一些油氣管道工業(yè)控制系統(tǒng)網(wǎng)絡(luò)通信安全方案在一些國內(nèi)企業(yè)油氣管道安全改造工程中得到了應(yīng)用。同時(shí),在現(xiàn)有網(wǎng)絡(luò)基礎(chǔ)上也提出了相應(yīng)的加密措施,提升了油氣管道工業(yè)控制系統(tǒng)的安全性,保證了調(diào)控中心下達(dá)指令的完整性,幫助企業(yè)實(shí)現(xiàn)了安全的工業(yè)生產(chǎn)。在其他項(xiàng)目的引用中,還需要根據(jù)實(shí)際情況使工業(yè)控制系統(tǒng)管理工作和各組織工作協(xié)調(diào)進(jìn)行,從組織體系上確保工業(yè)控制系統(tǒng)安全防護(hù)方案的落實(shí)。

5 結(jié)語

現(xiàn)階段,網(wǎng)絡(luò)信息技術(shù)的迅速發(fā)展既給工業(yè)生產(chǎn)提供了便捷也給工業(yè)生產(chǎn)的網(wǎng)絡(luò)安全工作帶來了安全挑戰(zhàn)。信息化的發(fā)展腳步是要和網(wǎng)絡(luò)安全管理同速前進(jìn)的,只有不斷的加強(qiáng)網(wǎng)絡(luò)安全管理、加快安全設(shè)備的建設(shè)才能夠利用這些專業(yè)的設(shè)備給工業(yè)生產(chǎn)提供安全保障,才能夠?qū)崿F(xiàn)油氣管道工業(yè)控制系統(tǒng)的價(jià)值,為油氣管道的安全生產(chǎn)奠定良好的基礎(chǔ)。