工業控制網絡安全性分析——以中亞某天然氣管道為例

劉剛,林棋，邊學文

中油國際管道公司（北京 100007）

工業控制系統（Industrial Control Systems，ICS），主要是以高可靠性、高實時性為特點，隨著世界科技的進步，互聯網技術的發展，從“德國工業4.0”到“中國制造2025”生產工業制造計劃的提出，工業控制系統也迎來了大發展，但隨之而來的是工業控制網絡安全保護的嚴重滯后，運維人員對工業系統安全意識淡薄，同時相關知識技能的缺乏也是導致近些年國際上工控系統安全事件頻發的主要原因。從2015 年開始工控系統安全作為黑帽大會的熱門話題，工控系統安全事件逐年增長，2019 年更是創下新高，工控系統安全問題不容忽視[1-2]。

1 中亞某天然氣管道工控系統現狀

1.1 系統構成

長輸天然氣管道工業控制系統多數基于SCA?DA(Supervisory Control And Data Acquisition)系統，即數據采集與監視控制系統，是以計算機為基礎的DCS 與電力自動化監控系統，由此實現對管道全線設備參數的監控。其包括：數據/報警信息采集、參數測量及調控、設備狀態控制等。其主要由調控中心、站場/閥室、現場儀表及通訊系統組成。其中，調控中心負責對全線系統進行監控；站場及閥室負責現場數據采集及設備綜合控制；現場儀表負責檢測、測量站點的運行參數并實現設備控制；通訊系統通常分為有線及無線[3-4]。

1.2 網絡架構

中亞天然氣管道是我國重要的能源進口通道，實現天然氣多元化進口，保障國內天然氣的穩定供應，對于鞏固國家能源安全保障具有重要意義，同時有利于管道沿線國家經濟發展和政治穩定。鑒于此，保障中亞天然氣管道的安全、可靠、高效運行是運行單位的重點。目前該管道已運行十余年，在設計初期并未全面考慮工控系統安全問題，這也使得該工控系統急需更新升級，加快建設安全防護體系，保障天然氣管道的運行安全。

該工業控制系統主要采用霍尼韋爾PKS SCA?DA 系統，BB 公司 Controlwave PLC 以及霍尼韋爾SM ESD控制器。同時為實現上層數據應用，在調控中心設有一套霍尼韋爾PHD 系統。各站站場采用C/S 結構，設置有冗余的PKS 服務器、操作員工作站、工程師站。調控中心設置有兩臺冗余PKS 服務器，和站場服務器之間構成DSA結構，共享數據，操作員工作站直接從站控服務器讀取數據。每站設置一臺PHD buffer 服務器，通過 RDI 接口從 PKS 服務器獲取數據，并上傳至調控中心PHD服務器。同時調控中心設置一套磁盤陣列，與各站場之間設有專用的存儲網絡，與各站服務器連接，各站服務器歷史歸檔數據可存儲到磁盤陣列。各站到調控中心采用主備光纜通信鏈路，備用衛星通信，Safenet網絡設置專用主備光纜鏈路。各站主服務器與調控中心磁盤陣列之間通過存儲網絡連接[5-8]。

1.3 安全性分析

該工控網絡在站場與控制中心采用的是星型冗余網絡，在各個站場之間采用的是線型冗余網絡。在星型拓撲結構中，網絡中的各節點通過點到點的方式連接到一個中央節點，星形網絡的特點是網絡結構簡單，便于維護管理，故障隔離和檢測容易，但是控制中心服務器的負荷較大，當其故障時將直接導致整個網絡癱瘓，而站點服務器故障不會影響整體正常工作。同時其采用廣播信息的傳送方法，系統網絡中任意站點均可收達來自任意一個站點傳送的信息，進而決定了網絡隱患的存在，由于工況系統為內部局域網，可規避此項影響。線型冗余結構是基于單鏈路共享傳輸總線，系統中所有的服務器等設備通過電纜接口接入此共享鏈路，此種線型拓撲網絡便于分布，利于擴充，但網絡的響應時間會有所影響，并且故障診斷困難，任一個節點出現故障會導致整個網絡無法正常工作，故障隔離困難，對節點要求高，每個節點都要有訪問控制功能，為此主要應用于計算機設備數量較少的系統局域網絡中。

目前該天然氣管道的工控網絡系統安全設備部署現狀是，在站場控制設備與站場SCADA系統服務器邊界之間、在各個站場之間邊界之間、在站場與控制中心邊界之間均未部署網絡安全防護設備和入侵檢測設備，相應的側重于事后分析的網絡審計系統也未部署。但是在工控網絡與其他工作網絡部署了防火墻設備。由此可以看出在該工控網絡設計初期并未考慮過系統安全性。

除了工控網絡架構的安全防護缺失外，根據實際檢測發現在用的工控軟件也有安全風險，需予以重視，如思科路由器、GE CIMPLICITY 軟件、霍尼韋爾PKS 系統均存在軟件漏洞，該系統正在使用的是Windows XP操作系統和Windows 2003服務器，還需考慮后期工控軟件的升級和操作系統兼容性問題，以及系統在運行期間很難對系統打補丁。基于對工控軟件與殺毒軟件的兼容性考慮，該工控系統有些計算機未安裝殺毒軟件，有些即使安裝了殺毒軟件也一直未作更新處理，這些都給病毒或惡意代碼傳播留下了空間。

除了以上客觀存在的風險點外，還要考慮人的主觀因素，人員安全意識也需要加強，安全管理需要全面提升，如在該工控系統中的管理終端并沒有安裝有效的防護軟件和硬件來對外界的移動存儲設備進行有序安全管理，如軟盤、光盤、移動硬盤和U盤等。非安全管理監護下使用移動存儲設備進行頻繁數據交換將直接加劇內部網絡的安全隱患。

在公司數字化轉型升級大背景下，管理的提升離不開現代網絡數字化技術，這也將引入新的風險源至工控網絡，目前采用的是物理隔離方式，工控系統與企業專業管理系統間的通信在物理上和邏輯上都是斷開的。但是隨著專業管理提升的需要，EAM 系統（Enterprise Assets Management）、PIS 系統（Pipeline Integrity Management System）的上線，屆時將進行工況系統與專業管理系統的網絡集成及數據交互，這樣就使工控系統與管理信息網絡直接通信成為必需，這樣就導致工控系統不再是獨立的網絡環境，而是要與企業管理網絡通信，甚至與外部互聯網通信互聯，面臨的風險進一步加大。

2 工控系統的防護設計

2.1 標準依據

目前國家已經陸續出臺了一些工控網絡系統安全方面的指導標準，在進行工控網絡防護方面需要遵循相關標準，如《工業控制系統信息安全防護指南》、GB/T 22239—2008《信息系統安全等級保護基本要求》、《關于加強工業控制系統信息安全管理的通知》、GB/T 22239—2019《信息安全技術網絡安全等級保護基本要求》、《網絡安全等級保護2.0 標準》、《工業控制系統信息安全事件應急管理工作指南》等[9-12]。

2.2 防護架構

通過分析該天然氣管道工業控制系統的安全現狀，為適應現代工業控制系統的安全防護，需要對該系統軟硬件進行安全防護升級，并增加部署相應的防護設備，提高工控系統的安全等級。部署方案如圖1所示。

圖1 工控系統防護架構構建圖

1）該工控網絡防護以邊界防護為主，在工控網絡內部沒有防御縱深，邊界采用防火墻進行防護，需升級為工業網閘，將邏輯隔離改為物理隔離，提升防護能力。

2）需要在調控中心與各個站場邊界部署工業防火墻進行邏輯隔離，做到網絡層級間的安全隔離和防護。各站場的控制設備與工作站之間也要部署防護設備，如各站場PLC/RTU等工控設備的網絡出口處部署工業防火墻，使重要工控設備達到單體設備級的安全防護等級，從而在整體上形成縱向分層、橫向分域的防護策略。

3）在工控網絡與企業管理系統之間數據交互的關鍵網絡節點需要部署入侵檢測系統，在站場內部的核心交換機處部署入侵檢測系統，實時發現針對SCADA、PLC 等重要工控設備的攻擊和破壞行為，以及木馬病毒等惡意軟件的擴散傳播行為，及時有效保護系統不被破壞。

4）在工控網絡與企業管理系統之間數據交互的關鍵網絡節點需要部署網絡審計系統，在站場內部的核心交換機處部署網絡審計系統，從而能夠為企業提供監控、事中記錄、事后審計服務。

5）對存在漏洞的軟硬件設備進行升級，更新補丁，減少漏洞利用的概率。

2.3 安全管理平臺

針對管道工控系統弱點，加大加強防護覆蓋范圍，在調控中心搭建工控系統統一安全管理平臺，通過采集、分析部署在工控系統網絡節點中各安全防護設備產生的實時數據，做到對管道工控系統網絡進行安全分析、安全攻擊溯源、安全事件挖掘和危害消除，從而具有快速檢測威脅、分析和處置能力。

統一安全管理平臺服務于工業控制系統，以保障整個系統設施的安全（如：以太網、各終端設備、各數據庫服務器、各操控應用系統等），從系統安全出發對設備運行安全等各類IT資源進行實時監控，對各類安全事件及時做出預警及響應，以保障工業控制系統的安全穩定運行。一般統一安全管理平臺應滿足如下功能需求：①實時監控服務器、以太網設備的實時運行狀態及流量，如端口流量、CPU及內存等；②在線/離線管理各操作終端外設、進程及桌面；③監控各層邊界數據交互；④監控工控系統網絡操作行為；⑤監控分析工控系統日志；⑥預警響應工控系統中各類異常事件；⑦劃分工控網絡與企業管理系統虛擬安全域。

由于工業控制系統管理終端的安全防護技術措施十分薄弱，所以病毒、木馬、黑客等攻擊行為都會利用這些安全弱點，在終端上發生、發起，并通過網絡感染或破壞其他系統。工業控制系統終端最大特點是應用相對固定，終端主要安裝工業控制系統程序，所以，要防范傳統方式的病毒或木馬等惡意軟件，最直接的方式就是利用工業控制系統對終端應用程序進程進行管理。工業控制系統安全管理平臺終端安全管理應滿足如下功能需求。

1）終端準入控制功能，防止未達安全基線的便攜設備操作控制各終端。

2）終端安全防護功能，可對工控系統終端進行安全防護、加固，以滿足安全基線要求。

3）外設管理功能，對串口、網卡、USB 接口及光驅等外設進行統一管理。

4）工業控制系統應用程序監控功能，對各系統軟件進行實時監控及動態管理。

5）工業通信協議監控功能，降低協議漏洞利用概率。

6）針對部分無法在線管理的終端，應具備離線管理控制功能。

7）身份認證功能，工控系統各在線、離線終端都應有身份認證，防止被控制。

3 結束語

結合中亞某天然氣管道工控系統安全現狀進行分析，對該工控網絡采用的星型冗余網絡和線型冗余網絡拓撲結構優缺點進行描述，對該系統的安全脆弱性進行分析。構建相關防護架構體系，設置安全管理平臺，做到實時有效保護工控網絡，旨在提升該工控系統網絡安全，避免由于系統、軟件等的漏洞原因而導致整個網絡受到攻擊破壞，達到防御惡意攻擊、提升該工控系統安全性、運行穩定性的目的，可為輸油氣管道的工業控制系統安防優化提供借鑒。