★國家石油天然氣管網(wǎng)集團有限公司云南分公司郭娟，秦鵬，楊念峰

★昆侖數智科技有限責任公司董黎芳，鄧田，徐軼

關(guān)鍵詞：油氣長(cháng)輸管道；SCADA系統；等級保護；網(wǎng)絡(luò )安全防護

作為國家重要的能源基礎設施和公用設施^[1]，長(cháng)輸油氣管道承擔了石油、天然氣輸送任務(wù)，具有易燃、易爆和高壓等特點(diǎn)，其運行安全直接影響到我國國民經(jīng)濟的發(fā)展，關(guān)系到國家能源戰略安全。

油氣管道SCADA（數據采集與監視控制）系統不僅可以提高油氣管道的生產(chǎn)效率，降低運行成本，而且可以減輕操作人員的工作強度，保證管道生產(chǎn)安全可靠地運行，因此油氣管道SCADA系統作用愈發(fā)凸顯。然而隨著(zhù)信息化和工業(yè)化的不斷融合，管道SCADA系統也面臨著(zhù)病毒、木馬以及黑客等網(wǎng)絡(luò )威脅，一旦遭到破壞，會(huì )導致生產(chǎn)實(shí)時(shí)數據采集、監視控制、生產(chǎn)調度不能正常運行，可能造成管道系統輸量劇烈波動(dòng)和大范圍停產(chǎn)、停供、設備損壞、管道破裂等，且易發(fā)生閃燃、閃爆、嚴重環(huán)境污染，嚴重的時(shí)候會(huì )導致人員傷亡，因此油氣長(cháng)輸管道SCADA系統安全建設迫在眉睫。

1　長(cháng)輸油氣管道SCADA系統現狀

隨著(zhù)數字化轉型的發(fā)展和推動(dòng)，油氣管道企業(yè)通過(guò)新建生產(chǎn)調控中心，采集所屬站場(chǎng)的生產(chǎn)數據，實(shí)現調度日常運行、設備遠程診斷與維護、綜合報警等管理功能，為生產(chǎn)運行、設備維護管理、生產(chǎn)決策等提供了有效支持，快速提升了生產(chǎn)效率。長(cháng)輸油氣管道SCADA系統一般可分為SCADA中控系統和SCADA站控系統^[2]：SCADA中控系統作為生產(chǎn)調控中心實(shí)現下轄站場(chǎng)、閥室的管理，其主要由SCADA數據庫和工作站組成，并將相關(guān)業(yè)務(wù)傳送到生產(chǎn)管理系統中；SCADA站控系統負責站場(chǎng)及閥室內工藝過(guò)程的數據采集和監控。按照工業(yè)控制系統網(wǎng)絡(luò )層次油氣管道SCADA系統可分為過(guò)程監控層、現場(chǎng)控制層、現場(chǎng)設備層^[3]，其架構如圖1所示。

過(guò)程監控層：主要包括各類(lèi)監控系統，涉及操作員站、工程師站、實(shí)時(shí)數據庫、歷史數據庫、管線(xiàn)運行優(yōu)化類(lèi)和管線(xiàn)故障監測及告警類(lèi)系統等。

現場(chǎng)控制層：主要包括各類(lèi)控制器，如PLC、智能網(wǎng)關(guān)等。

現場(chǎng)設備層：主要包括各類(lèi)過(guò)程傳感設備與執行設備單元^[4]，涉及各種不同類(lèi)型的管線(xiàn)生產(chǎn)設施、直接連接到管道和過(guò)程控制設備的溫度和壓力傳感器、電控閥門(mén)執行器，以及計量裝置、壓縮機、電機等。

圖1 長(cháng)輸油氣管道SCADA系統架構

生產(chǎn)調控中心與站場(chǎng)的互聯(lián)互通給SCADA系統帶來(lái)了更多的網(wǎng)絡(luò )安全隱患，為配合《網(wǎng)絡(luò )安全法》的實(shí)施和落地，落實(shí)國家網(wǎng)絡(luò )安全等級保護2.0制度，生產(chǎn)調控中心及站場(chǎng)正在積極進(jìn)行網(wǎng)絡(luò )安全建設，它們具有以下的特點(diǎn)：

（1）生產(chǎn)調控中心屬于新建系統，鑒于其重要性一般按等保三級進(jìn)行備案和建設，且網(wǎng)絡(luò )安全建設具有與系統建設“同步規劃、同步建設、同步使用”的特點(diǎn)。

（2）站場(chǎng)由于地域分布廣，因此需要分開(kāi)定級，當前大部分站場(chǎng)已經(jīng)按照等保三級和二級等級進(jìn)行了等保備案，但是沒(méi)有進(jìn)行過(guò)網(wǎng)絡(luò )安全建設，缺乏必要的網(wǎng)絡(luò )安全設施。

2　長(cháng)輸油氣管道SCADA系統安全分析

通過(guò)對大量站場(chǎng)及生產(chǎn)調控中心進(jìn)行調研分析總結，我國長(cháng)輸油氣管網(wǎng)SCADA普遍存在以下安全風(fēng)險：

（1）環(huán)境風(fēng)險：長(cháng)輸油氣管道站場(chǎng)多，地域分布廣，多數中小型站場(chǎng)位于野外，周邊自然條件惡劣，無(wú)人值守，物理安全防護難度大。

（2）資產(chǎn)風(fēng)險：雖然油氣長(cháng)輸管道做了一部分的國產(chǎn)化替換，但是SCADA系統中的PLC、RTU、SCADA等軟件大部分使用國外品牌^[5]，存在安全漏洞^[6]、后門(mén)等安全隱患。同時(shí)控制系統內部操作員站、服務(wù)器、網(wǎng)絡(luò )交換機等設備存在遠程運維未做訪(fǎng)問(wèn)控制規則、賬號共享、弱口令、默認共享和高危端口使用等安全問(wèn)題，這些都容易成為黑客攻擊的目標。

（3）工控協(xié)議風(fēng)險：油氣管道中心普遍通過(guò)Modbus/TCP等工控協(xié)議對站場(chǎng)進(jìn)行監控，存在數據傳輸過(guò)程無(wú)接入認證、無(wú)權限控制、明文傳輸^[7]等問(wèn)題，容易導致非法接入、數據的竊取、篡改等。

（4）網(wǎng)絡(luò )風(fēng)險：新建生產(chǎn)調控中心與站場(chǎng)互聯(lián)互通，缺乏區域劃分，部分站場(chǎng)數據傳輸沒(méi)有明確的訪(fǎng)問(wèn)控制，且缺乏安全審計、入侵檢測機制，意味著(zhù)站場(chǎng)一旦被攻陷，任意一臺主機被控制即可實(shí)現與中心及其他站場(chǎng)進(jìn)行通信，容易導致縱向、橫向滲透的風(fēng)險。

（5）人員風(fēng)險：運行人員、維護人員和調試人員的SCADA系統安全意識不夠，在調試和維護工作中經(jīng)常出現個(gè)人筆記本電腦及移動(dòng)存儲設備的隨意接入和資料拷貝，容易將病毒帶入到SCADA系統內部。

3　油氣管道SCADA系統安全防護設計

3.1　總體設計

依據國家等級保護的建設規范和技術(shù)要求，結合生產(chǎn)調控中心和站場(chǎng)SCADA系統的安全需求，我們分別從安全通信網(wǎng)絡(luò )、安全區域邊界、安全計算環(huán)境以及安全管理中心4個(gè)方面進(jìn)行網(wǎng)絡(luò )安全建設，如圖2所示，總體設計如下：

（1）安全通信網(wǎng)絡(luò )方面，對SCADA系統進(jìn)行分區分域、清晰網(wǎng)絡(luò )結構、規范網(wǎng)絡(luò )邊界，為各個(gè)邊界有層次地實(shí)施邊界防護措施奠定基礎。

（2）安全區域邊界方面，對工業(yè)控制網(wǎng)絡(luò )內部各安全域之間以及工業(yè)控制網(wǎng)絡(luò )與非工業(yè)控制網(wǎng)絡(luò )之間的數據訪(fǎng)問(wèn)進(jìn)行控制；對工業(yè)控制網(wǎng)絡(luò )流量進(jìn)行監測審計，對工業(yè)控制網(wǎng)絡(luò )中的網(wǎng)絡(luò )攻擊、病毒等安全事件進(jìn)行檢測，及時(shí)發(fā)現工業(yè)控制網(wǎng)絡(luò )中的威脅信息。

（3）安全計算環(huán)境方面，對工業(yè)主機進(jìn)行白名單防護，同時(shí)對主機、服務(wù)器、SCADA軟件、網(wǎng)絡(luò )設備等的賬戶(hù)、權限、口令、審計、漏洞等進(jìn)行安全加固，保證系統整體安全。

（4）安全管理中心方面，加強安全設備的集中管控、重要設備的集中運維、安全事件的集中采集和分析，以便進(jìn)行快速響應處置。

圖2 長(cháng)輸油氣管道SCADA系統安全防護設計

3.2　安全通信網(wǎng)絡(luò )設計

安全的網(wǎng)絡(luò )架構是保證計算機網(wǎng)絡(luò )正常運行和數據安全的關(guān)鍵，因此油氣管道站場(chǎng)和生產(chǎn)調控中心側通過(guò)服務(wù)器、核心交換機等關(guān)鍵設備的硬件、網(wǎng)絡(luò )的冗余建設，以及SCADA系統數據上傳采用專(zhuān)網(wǎng)及一主一備方式，滿(mǎn)足了“網(wǎng)絡(luò )架構”的部分要求，但是不滿(mǎn)足安全分區的要求。

（1）安全分區

根據系統的功能性、實(shí)時(shí)性等要求，結合實(shí)際業(yè)務(wù)需求，將具有相似安全需求的設備劃分到同一安全區，并在安全區之間采取嚴格的訪(fǎng)問(wèn)控制、病毒查殺等技術(shù)措施，避免安全問(wèn)題在不同的安全區之間泛濫。因此針對生產(chǎn)調控中心和站場(chǎng)的通信特點(diǎn)，將油氣管道SCADA系統劃分為中控SCADA系統和站控SCADA系統，結合生產(chǎn)調控中心的計算機控制系統、業(yè)務(wù)現狀及未來(lái)發(fā)展規劃，根據系統的實(shí)時(shí)性、功能、使用者、各業(yè)務(wù)系統的數據交互關(guān)系等將生產(chǎn)調控中心進(jìn)一步劃分為服務(wù)器域、調度終端域、安全防護管理域等。

（2）安全數據傳輸設計

網(wǎng)絡(luò )安全建設中，存在各站SCADA網(wǎng)絡(luò )安全數據上傳到生產(chǎn)調控中心。為了降低其對工業(yè)控制系統網(wǎng)絡(luò )的影響，需要構建獨立的網(wǎng)絡(luò )安全管理網(wǎng)絡(luò )，即各站場(chǎng)與生產(chǎn)調控中心設置一條單獨的網(wǎng)絡(luò )安全數據通信信道，在物理層面上實(shí)現與工業(yè)控制系統業(yè)務(wù)網(wǎng)絡(luò )的安全隔離。安全設備管理網(wǎng)絡(luò )搭建時(shí)可以使用單獨的網(wǎng)絡(luò )設備與管道網(wǎng)絡(luò )進(jìn)行隔離，若存在共用網(wǎng)絡(luò )設備的情況，則需通過(guò)交換機劃分VLAN、光纖劃分時(shí)隙的方式進(jìn)行隔離。

3.3　安全區域邊界設計

3.3.1　邊界防護設計

在安全分區的基礎上對安全域進(jìn)行邊界保護，對跨安全域的防護進(jìn)行監控，阻止非合規訪(fǎng)問(wèn)流量通過(guò)邊界。邊界防護的策略設計如下：

（1）在中控SCADA系統與生產(chǎn)管理區的邊界處，以及站控SCADA系統與第三方系統外聯(lián)的邊界處部署網(wǎng)閘，在SCADA網(wǎng)絡(luò )與其他網(wǎng)絡(luò )之間實(shí)現單向隔離以及惡意代碼防護。

（2）在中控SCADA系統與站控SCADA系統的邊界處分別部署工業(yè)防火墻，通過(guò)對ModbusTCP、CIP等工控協(xié)議的深度報文解析，實(shí)現細粒度的訪(fǎng)問(wèn)控制，并結合自學(xué)習的白名單及工控威脅漏洞庫等識別并阻斷安全威脅。

（3）對工業(yè)防火墻進(jìn)行以下訪(fǎng)問(wèn)控制規則的配置：

·確認場(chǎng)站與中心兩端的合規IP、端口、協(xié)議，啟用工業(yè)防火墻五元組安全訪(fǎng)問(wèn)控制；

·開(kāi)啟工業(yè)防火墻的黑名單等安全防護，防護已知的攻擊行為；

·基于對工控協(xié)議的深度解析，分析工控協(xié)議通信行為過(guò)程，對正常工控協(xié)議的通信行為建立模型，建立白名單防護基線(xiàn)，保障業(yè)務(wù)正常運行的同時(shí)阻止異常攻擊行為。

3.3.2　網(wǎng)絡(luò )監測審計設計

當SCADA系統出現安全事故后很難定位是誤操作、惡意操作還是系統自身故障所導致，因此需要對通信流量進(jìn)行檢測、對操作行為進(jìn)行審計，才能從全局上去分析安全事件所產(chǎn)生的原因。

（1）在中控SCADA和站控SCADA系統中分別部署網(wǎng)絡(luò )入侵檢測系統，通過(guò)實(shí)時(shí)地監視網(wǎng)絡(luò )，結合協(xié)議分析和入侵檢測引擎，及時(shí)檢測和準確發(fā)現網(wǎng)絡(luò )中存在的網(wǎng)絡(luò )風(fēng)險和攻擊行為，從而快速識別安全威脅和風(fēng)險，并且及時(shí)發(fā)出告警。

（2）在中控SCADA和站控SCADA系統中分別部署工業(yè)網(wǎng)絡(luò )安全審計系統，對網(wǎng)絡(luò )流量進(jìn)行采集、分析和審計，檢測和記錄SCADA系統中的操作行為和異常網(wǎng)絡(luò )行為，便于事后進(jìn)行事件取證和定責。

3.4　安全計算環(huán)境設計

油氣管道SCADA系統的計算環(huán)境主要包括操作員站、工程師站、服務(wù)器等工業(yè)主機，交換機、路由器等網(wǎng)絡(luò )設備，工業(yè)防火墻、網(wǎng)閘等網(wǎng)絡(luò )安全設備，SCADA軟件、數據庫等工業(yè)應用軟件。安全的計算環(huán)境是保證SCADA系統網(wǎng)絡(luò )安全的重要基礎。

（1）工業(yè)主機安全防護及加固

一般主機主要通過(guò)殺毒軟件對主機進(jìn)行安全防護，而油氣管道SCADA系統工業(yè)主機主要運行SCADA監控軟件，通訊協(xié)議及通訊數據比較固定，對實(shí)時(shí)性要求高，且與互聯(lián)網(wǎng)物理隔離，不適合通過(guò)病毒庫升級的方式來(lái)提高安全防護能力，故適合采用白名單防護軟件，通過(guò)對應用程序、移動(dòng)存儲介質(zhì)、特定對象完整性等進(jìn)行白名單防護，切斷病毒和木馬的傳播路徑。

對工業(yè)主機進(jìn)行安全加固，主要包括啟用賬號口令復雜度配置、啟用賬戶(hù)登錄失敗處理策略、啟用賬戶(hù)審計策略、關(guān)閉與業(yè)務(wù)無(wú)關(guān)的服務(wù)端口、更新操作系統補丁、刪除多余賬戶(hù)、關(guān)閉默認共享、關(guān)閉遠程桌面等。

（2）網(wǎng)絡(luò )設備安全加固

對交換機、路由器、防火墻等網(wǎng)絡(luò )、安全設備進(jìn)行安全加固，主要包括采用SSH進(jìn)行遠程管理、限制遠程管理地址、啟用賬戶(hù)口令復雜度策略、啟用賬戶(hù)登錄失敗處理策略、修改默認賬戶(hù)、刪除多余賬戶(hù)、啟用日志審計集中采集等。

（3）工業(yè)應用安全加固對SCADA、數據庫等軟件進(jìn)行安全加固，主要包括保證賬號口令復雜度配置、修改默認賬戶(hù)、刪除多余賬戶(hù)、對審計日志進(jìn)行集中保存、重要敏感數據進(jìn)行加密處理，并對安全漏洞進(jìn)行修復。

3.5　安全管理中心設計

以上幾個(gè)方面的設計，實(shí)現了單點(diǎn)上的邊界防護、入侵檢測、安全審計、主機防護等安全功能，但不能從整體上管理網(wǎng)絡(luò )的安全問(wèn)題。從企業(yè)的長(cháng)遠安全運維考慮，需要進(jìn)行安全管理中心設計，一方面滿(mǎn)足SCADA系統重要設備的集中安全運維，另一方面實(shí)現將分散的日志進(jìn)行集中存儲和分析，同時(shí)將安全設備的運行狀態(tài)、安全策略、安全事件集中統一的管理起來(lái)，因此安全管理中心設計如下：

（1）通過(guò)部署堡壘機為服務(wù)器、數據庫、交換機、路由器等重要設備的運維提供統一的身份認證接口、多種遠程運維管理方式，對資產(chǎn)及其賬號等進(jìn)行集中管理和授權，審計并記錄運維操作過(guò)程，同時(shí)也為當前重要設備無(wú)法實(shí)現雙因子身份鑒別帶來(lái)的風(fēng)險進(jìn)行補償控制，保障遠程運維的安全可控。

（2）通過(guò)部署日志審計與分析系統對站場(chǎng)及中心的網(wǎng)絡(luò )設備、安全設備、工業(yè)主機的日志信息進(jìn)行集中收集，以統一格式的日志形式進(jìn)行集中存儲和管理，結合日志統計匯總及綜合分析功能，實(shí)現對網(wǎng)絡(luò )整體安全狀況的全面審計，一方面解決交換機、路由器等設備日志存放分散、數量多、格式不統一、保存周期短、易被篡改破壞等問(wèn)題，另一方面對日志進(jìn)行關(guān)聯(lián)分析，實(shí)現安全事件溯源和告警，協(xié)助運維人員進(jìn)行調查取證、閉環(huán)控制等操作。

（3）通過(guò)部署工業(yè)安全管理平臺實(shí)現對站場(chǎng)和中心部署的工業(yè)防火墻、安全審計等安全產(chǎn)品的集中管理，即所有安全設備狀態(tài)的集中監測、安全事件的集中收集以及安全策略的管控等功能，及時(shí)發(fā)現各類(lèi)網(wǎng)絡(luò )安全風(fēng)險事件，為安全設備策略的及時(shí)調整、安全事件的及時(shí)處理提供統一的入口，從而實(shí)現SCADA系統網(wǎng)絡(luò )安全的閉環(huán)管理。

4　總結與展望

油氣長(cháng)輸管道站場(chǎng)和調控中心SCADA系統經(jīng)過(guò)安全建設后，其安全防護能力得到了切實(shí)的提高，不僅攔截了主機及網(wǎng)絡(luò )的日常攻擊、非常規操作等，且經(jīng)過(guò)安全事件報警及日志關(guān)聯(lián)分析，安全管理人員可以快速定位威脅來(lái)源和相關(guān)聯(lián)的資產(chǎn)和業(yè)務(wù)，并通過(guò)策略?xún)?yōu)化、基線(xiàn)配置等進(jìn)行快速響應，實(shí)現了安全事件的閉環(huán)控制。

然而隨著(zhù)工控網(wǎng)絡(luò )安全問(wèn)題的日益突出，工控網(wǎng)絡(luò )安全防護是個(gè)持久戰，需要深刻理解油氣長(cháng)輸管道的業(yè)務(wù)需求、網(wǎng)絡(luò )架構、通信協(xié)議、數據流、資產(chǎn)信息等現狀，需要結合當前市場(chǎng)發(fā)布的漏洞信息和安全事件等不斷地對安全策略進(jìn)行優(yōu)化，并提高對安全事件的分析、定位及相應的安全運維能力。

作者簡(jiǎn)介：

郭　娟（1995-），女，云南昆明人，中級工程師，碩士，現就職于國家石油天然氣管網(wǎng)集團有限公司云南分公司，研究方向為通信與自動(dòng)化、物聯(lián)網(wǎng)安全。

秦　鵬（1990-），男，云南大理人，中級工程師，學(xué)士，現就職于國家石油天然氣管網(wǎng)集團有限公司云南分公司，研究方向為自動(dòng)化、物聯(lián)網(wǎng)安全。

楊念峰（1991-），男，云南大理人，中級工程師，學(xué)士，現就職于國家石油天然氣管網(wǎng)集團有限公司云南分公司，研究方向為工控網(wǎng)絡(luò )安全、通信與自動(dòng)化。

參考文獻：

[1] 劉亮. 油氣管道網(wǎng)絡(luò )安全問(wèn)題與對策[J]. 軟件, 2021, 42 (5).

[2] 楊斌, 仝望斐. 論SCADA系統在長(cháng)輸管道中的應用[J]. 山西電子技術(shù), 2014 (6).

[3] 張曉明, 王麗宏, 何躍鷹, 等. 工業(yè)控制系統信息安全風(fēng)險分析及漏洞檢測[J]. 物聯(lián)網(wǎng)學(xué)報, 2017, 1 (1).

[4] GB/T22239-2019, 信息安全技術(shù) 網(wǎng)絡(luò )安全等級保護基本要求[S].

[5] 穆云婷, 王云龍, 等. 油氣長(cháng)輸管道工業(yè)控制網(wǎng)絡(luò )安全風(fēng)險與應對措施[J]. 網(wǎng)絡(luò )空間安全, 2021, 12 (Z1).

[6] 張翔宇, 路來(lái)順. 工業(yè)控制系統網(wǎng)絡(luò )安全分析與研究[J]. 網(wǎng)絡(luò )空間安全, 2019, 10 (5).

[7] 聞宏強, 李富勇, 等. Modbus/TCP協(xié)議安全性分析與防護技術(shù)探討[J]. 物聯(lián)網(wǎng)技術(shù), 2018, 8 (11).

摘自《自動(dòng)化博覽》2024年10月刊