油氣管道SCADA 系統工控安全分析

劉 銳，薛金良，包賢晨，王永軍，鄭承洧

(1. 中油國際管道公司，北京100029 ；2. 浙江國利網安科技有限公司，浙江 寧波315000)

0 引言

近年來，全球工業信息安全總體風險處于持續攀升的高危狀態，工業控制系統(以下簡稱工控系統) 相關高危漏洞不斷出現，重大工業信息安全事件頻繁發生[1]。截止至2020年12月31日，2020年新增工控系統行業漏洞589個，其中高危239個，中危307個，低危43個，較2019年數量顯著增多[2]。2021年5月美國Colonial Pipeline 公司遭受名為Dark Side 的網絡犯罪團伙攻擊，該攻擊行為被稱為美國能源基礎設施有史以來最具破壞性的網絡攻擊，造成了美國東海岸45% 的燃油供應暫停，美國東部多州宣布進入緊急狀態[3]。

信息化和工業化的深度融合，使傳統的工控系統逐步由單機走向互聯、由封閉走向開放。傳統的工業控制系統與IT 系統，甚至與互聯網連接越來越緊密，導致工控系統面臨的安全威脅不斷增多[4]。為保障工業信息化健康、快速發展，確保工業生產業務安全高效運行，加強工控系統防護能力成為重中之重[5]。

由于過去油氣管道工控系統設計建設時，工控系統安全態勢尚不嚴峻，因此并未充分考慮工控系統安全相關需求。現今，為保障油氣管道系統安全，對系統展開風險分析，采取有力措施減少工控系統中可能存在的安全隱患，確保工控系統能夠安全、穩定運行[6]成為當務之急。

1 油氣管道SCADA 系統現狀

油氣管道作為保障國家能源供給的重要基礎設施，其SCADA 系統安全是油氣管道業務正常運營的先決條件。本文參考國內某油氣管道SCADA 系統進行分析。

油氣管道SCADA 系統通信線路拓撲示意圖如圖1 所示，其網絡通信線路分為光纖通信鏈路和衛星通信鏈路。油氣管道SCADA 系統通常以光纖鏈路作為主鏈路，通過SDH 光傳輸設備進行管理，各場站必須通過在調控中心的路由策略才能實現相互間的通信，各閥室會將數據同步發送給所屬場站和調控中心。當光纖鏈路出現故障時，閥室會將數據傳輸至上下游其他場站，使用場站的VAST 衛星鏈路與調控中心進行數據交互。

圖1 油氣管道SCADA 系統通信線路拓撲示意圖

通過對油氣管道SCADA 系統通信線路拓撲的分析，可以發現閥室無論使用光纖鏈路或是衛星鏈路進行數據交互時，最終都需要經過調控中心或場站的核心交換機。因此，針對閥室的防護和檢測能力，可以由所屬場站和調控中心來提供。由于閥室網絡結構簡單、數據流向明確、控制功能單一，因此在本文中不對其進行單獨分析。

下文針對調控中心及場站的工控信息安全進行風險分析。

2 油氣管道SCADA 系統風險分析

2.1 工控系統風險分析模型

本文參考《 信息安全技術 工業控制系統風險評估實施指南》(GB/T 36466-2018) 所確定的風險評估標準構建風險分析模型，將資產、威脅、脆弱性作為三個基本要素并與每個要素的相關屬性進行關聯，圍繞這些基本要素展開，從而建立各要素之間的相互作用機制關系模型。以下針對要素及屬性進行分析，建立風險分析模型。

三個基礎要素中，資產作為風險分析目標對象，是風險分析模型中的出發點。通過對工控系統資產進行整理分析，找到其面臨的威脅源；再結合資產本身存在的接入方式和工控系統中存在的脆弱性，從而統籌分析出資產可能面臨的安全問題，歸納出工控系統所面臨的工控安全防線[7]。風險分析模型示意圖如圖2 所示。本文將通過風險分析模型中三個基本要素： 資產、威脅源、脆弱性，逐個對油氣管道SCADA 系統展開風險分析，找到可能存在的安全風險。

圖2 風險分析模型示意圖

2.2 工控系統資產分析

資產的價值屬性是其風險存在的根源[8]，資產分析是風險分析的出發點和落腳點。本文對油氣管道SCADA 系統中的調控中心及場站中存在的資產進行分析，為后續威脅源識別與脆弱性利用提供依據。

2.2.1 調控中心資產分析

某油氣管道區域調控中心網絡拓撲示意圖如圖3 所示，通過對油氣管道拓撲分析可以發現，調控中心各場站、閥室通過SDH 設備的光纖鏈路和VAST設備的衛星鏈路與調控中心進行通信；在工控網絡邊界方面，調控中心與OPC 服務器通過防火墻進行邏輯隔離；OPC 服務器與管理信息系統進行通信；調控中心與Web 發布服務器通過防火墻進行邏輯隔離，并將工控數據傳輸至Web 發布服務器，使得場站辦公網可以訪問并獲得工控網絡信息；調控中心與VPN 設備通過防火墻進行邏輯隔離，該VPN 用于遠程訪問分調控中心服務器和工作站。

圖3 調控中心網絡拓撲示意圖

在對調控中心網絡進行分析的過程中，可知SCADA 系統的ACL 策略配置只允許分調控中心和場站通信，場站相互之間不能直接通信。各RTU 閥室數據必須經由場站交換機跳轉才能送至調控中心。在接入方式方面，存在遠程診斷系統、VPN 等額外鏈路，設備廠家工程師可以從工控網絡外直接對天然氣管道的壓縮機組進行參數修改或操控。而在安全防護方面，由于部署的防火墻為傳統防火墻，因此通常不具備工控協議深度解析能力和工業環境適應能力，無法為工控系統提供全面的防護。

2.2.2 場站資產分析

場站工控系統拓撲如圖4 所示。由拓撲可知，場站與調控中心以隨管道鋪設的自有光纖作為主通信鏈路，租用衛星網絡為備通信鏈路，同時在核心交換機處存在通向上下游RTU 閥室的鏈路和GPS 校時信號的鏈路。天然氣管道的壓縮機組獨立組網，通過交換機接入場站工控網絡；發電機組、第三方設備通過協議轉換器接入場站工控網絡。ACL策略配置只允許調控中心和場站進行通信，場站相互之間不能直接通信，各RTU 閥室數據必須經由場站交換機跳轉才能送至調控中心。壓縮機組網絡存在遠程診斷系統、VPN 等額外鏈路，設備廠家工程師可以從工控網絡外直接對壓縮機組控制系統進行維護、優化。

圖4 場站工控系統拓撲示意圖

2.3 威脅源分析

威脅是指可能造成工控系統危害的潛在起因。威脅源作為產生威脅的主體，不同的威脅源具有不同的攻擊能力。在進行威脅調查時，首先應識別存在哪些威脅源，同時分析這些威脅源的動機和能力[9]。威脅源對威脅客體造成的破壞，有時候并不是直接的，而是通過中間若干媒介的傳遞，形成一條威脅路徑。本文通過對威脅源的動機、能力等方面的分析，將油氣管道SCADA 系統所面臨威脅源大致分為三大類： 惡意員工、有組織攻擊者以及外國政府支持的黑客組織[10]。由于場站與調控中心在威脅源方面相似，因此針對威脅源方面進行統一分析。

(1) 從惡意員工角度分析，由于公司內部可能存在抱有惡意目的的員工，可能會對SCADA 系統進行信息竊取或實施破壞。惡意員工具有的知識和技能一般非常有限，攻擊能力較弱，但可能掌握關于SCADA系統的大量信息，并具有一定的權限，而且比外部的攻擊者有更多的攻擊機會，攻擊的成功率高。例如惡意員工可以直接進入場站或調控中心，并利用自身權限操作SCADA 軟件，從而可以對工業控制設備進行操作，當惡意員工采取惡意操作時，則會造成生產流程的停止，乃至于SCADA 系統的破壞。

(2) 從有組織攻擊者角度分析，油氣管道SCADA系統主要面臨來自民間黑客組織及恐怖組織的威脅。首先，由于SCADA 系統存在大量重要信息，信息價值高，因此吸引了大量潛在的民間黑客組織，這些民間黑客組織主要以BlackShadow 、DarkSider 和Silence Hacking Crew 等這一類以勒索或竊取機密信息并售賣的黑客組織為主。其具有一定的資金、人力和技術資源，可以實施網絡犯罪，且對犯罪有精密計劃和準備。

其次，從地理位置上可以發現，部分油氣管道位于恐怖組織的活動范圍內，這些恐怖組織為了獲得資源或者博得大國的支持，可能會對SCADA 系統進行長時間的攻擊。

(3) 從外國政府支持的黑客組織角度出發，基于我國當前國際政治環境以及油氣管道在我國基礎設施中的重要地位，油氣管道SCADA 系統很可能會受到外國政府支持的黑客組織的攻擊。該類威脅源不僅組織嚴密，具有充足資金、人力和技術資源，而且目的性強，破壞欲望高。

2.4 脆弱性分析

2.4.1 接入方式

工控系統存在的接入方式是脆弱性利用的初始條件，也是攻擊者非法訪問的切入點。通過對威脅源接入方式的分析，得出風險分析報告，從而為安全防范措施部署提供依據，進而提高工控系統的安全防護能力。針對油氣管道的威脅接入方式分類如表1 所示。

表1 接入方式分類表

2.4.2 脆弱性介紹

脆弱性是指資產能被威脅利用的弱點。狹義的脆弱性有時等同于“ 弱點” 和“ 漏洞” 等。由于資源受限、環境封閉及高可用性要求等原因[11]，工控系統設計之初缺乏對安全的充分考慮，這注定了工控系統的脆弱性無法避免[12]。同時，由于無法得知工控系統變化是否會對工業生產產生影響，企業往往不敢對工控系統進行安全防護、漏洞修復、版本更新等操作。這也就導致了工控系統存在大量漏洞，工控安全防護能力低，存在極大安全隱患。

針對油氣管道SCADA 系統技術層面脆弱性分析如表2 所示。

表2 脆弱性分類表

2.4.3 脆弱性利用途徑及影響

在對場站及調控中心的網絡拓撲分析中，從威脅源的接入方式角度分析，可以發現幾條脆弱性利用途徑，分析如下。

2.4.3.1 調控中心脆弱性利用途徑及影響

根據調控中心拓撲結構，脆弱性利用途徑如圖5所示。

圖5 調控中心攻擊路徑示意圖

(1) 威脅源可通過1 號線以物理接觸接入的方式抵達工作站，直接操作工控軟件，獲得該工作站的相應工控操作權限，實現對現場設備的啟停等操作；

(2) 威脅源可通過2 號線以網絡跳板接入的方式從調控中心內部網絡向工作站發起訪問，利用其脆弱性獲得工作站遠程操控權限，進而將工作站的屏幕界面導出給攻擊者，此時攻擊者將獲得該工作站的相應工控操作權限；

(3) 威脅源可通過3 號線以遠程網絡接入方式或物理相鄰接入的方式從調控中心外界網絡向工作站發起訪問，利用其脆弱性獲得工作站遠程操控權限，進而將工作站的屏幕界面導出給攻擊者，此時攻擊者將獲得該工作站的相應工控操作權限。

2.4.3.2 場站脆弱性利用途徑及影響

根據場站網絡拓撲結構，脆弱性利用途徑如圖6所示。

圖6 油氣管道SCADA 系統場站攻擊路徑示意圖

(1) 威脅源可通過1 號線以物理接觸接入的方式抵達工作站，直接操作工控軟件，獲得該工作站的相應工控操作權限，實現對現場設備的啟停等操作。

(2) 威脅源可通過2 號線以網絡跳板接入的方式從場站內部網絡向工作站發起訪問，利用其脆弱性獲得工作站遠程操控權限，進而將工作站的屏幕界面導出給攻擊者，此時攻擊者將獲得該工作站的相應工控操作權限；威脅源向PLC 發起訪問時，利用工控協議脆弱性，向PLC 發送符合協議規約要求格式的指令即可達到控制PLC 的目的。

(3) 威脅源可通過3 號線以遠程網絡接入或物理相鄰接入的方式從場站外界網絡向工作站發起訪問，利用其脆弱性獲得工作站遠程操控權限，進而將工作站的屏幕界面導出給攻擊者，此時攻擊者將獲得該工作站的相應工控操作權限；威脅源向PLC 發起訪問時，利用工控協議脆弱性，向PLC 發送符合協議規約要求格式的指令即可達到控制PLC 的目的。

3 結論

本文通過構建風險分析模型的方式，對某國際油氣管道SCADA 系統進行風險分析，可發現系統存在如下風險：

(1) 邊界安全風險

調控中心和場站部署邊界防護設備不具備工控協議深度解析功能，無法提供全面的工控安全防護能力，一旦被威脅源侵入，無法將威脅限制在有限范圍內，導致威脅擴散。

(2) 網絡安全風險

工控系統缺乏OT 網絡行為審計手段，無法及時發現非法的工控操作行為，對非法接入、異常通信、非法外聯等網絡事件也無法及時告警，當安全事件發生后無法進行審計和分析操作。

同時，由于設備廠家工程師可以通過遠程診斷系統、VPN 等直接訪問壓縮機組網絡，進行遠程巡檢、調整參數等操作，一旦遠程電腦被成功釣魚攻擊，威脅源將可以直接訪問壓縮機組網絡，繼而引發威脅。

(3) 軟件安全風險

工控軟件和數據庫軟件等存在安全漏洞，難以進行補丁更新或系統升級，攻擊者可利用相關漏洞進行拒絕服務、滲透入侵、勒索軟件等攻擊，被攻擊目標存在被迫終止服務、竊取信息、植入后門或對控制設備進行惡意操控的風險。

(4) 硬件安全風險

工業控制設備存在安全漏洞且處于無防護狀態，存在關鍵信息被竊取、被惡意操控、被重放或篡改數據的風險。

通過對系統的風險分析，可以發現其中存在的脆弱性攻擊路徑，解釋了可能存在的安全問題的形成原因。本文對SCADA 系統安全情況進行總結歸納，以分析報告的方式為管理人員提供改進意見，從而督促管理人員重點針對發現的安全風險進行修復改善。只有從安全風險分析結果入手，并結合項目實際生產運行，才能更好地對SCADA 系統工控安全架構進行整體規劃和部署，做出準確的判斷及決策，持續加固完善工控安全防護體系，切實保障油氣管道SCADA 系統正常運行。