今日頭條
官方微信
官方抖音
案例頻道★國家石油天然氣管網集團有限公司云南分公司郭娟,秦鵬,楊念峰
★昆侖數智科技有限責任公司董黎芳,鄧田,徐軼
關鍵詞:油氣長輸管道;SCADA系統;等級保護;網絡安全防護
作為國家重要的能源基礎設施和公用設施[1],長輸油氣管道承擔了石油、天然氣輸送任務,具有易燃、易爆和高壓等特點,其運行安全直接影響到我國國民經濟的發展,關系到國家能源戰略安全。
油氣管道SCADA(數據采集與監視控制)系統不僅可以提高油氣管道的生產效率,降低運行成本,而且可以減輕操作人員的工作強度,保證管道生產安全可靠地運行,因此油氣管道SCADA系統作用愈發凸顯。然而隨著信息化和工業化的不斷融合,管道SCADA系統也面臨著病毒、木馬以及黑客等網絡威脅,一旦遭到破壞,會導致生產實時數據采集、監視控制、生產調度不能正常運行,可能造成管道系統輸量劇烈波動和大范圍停產、停供、設備損壞、管道破裂等,且易發生閃燃、閃爆、嚴重環境污染,嚴重的時候會導致人員傷亡,因此油氣長輸管道SCADA系統安全建設迫在眉睫。
1 長輸油氣管道SCADA系統現狀
隨著數字化轉型的發展和推動,油氣管道企業通過新建生產調控中心,采集所屬站場的生產數據,實現調度日常運行、設備遠程診斷與維護、綜合報警等管理功能,為生產運行、設備維護管理、生產決策等提供了有效支持,快速提升了生產效率。長輸油氣管道SCADA系統一般可分為SCADA中控系統和SCADA站控系統[2]:SCADA中控系統作為生產調控中心實現下轄站場、閥室的管理,其主要由SCADA數據庫和工作站組成,并將相關業務傳送到生產管理系統中;SCADA站控系統負責站場及閥室內工藝過程的數據采集和監控。按照工業控制系統網絡層次油氣管道SCADA系統可分為過程監控層、現場控制層、現場設備層[3],其架構如圖1所示。
過程監控層:主要包括各類監控系統,涉及操作員站、工程師站、實時數據庫、歷史數據庫、管線運行優化類和管線故障監測及告警類系統等。
現場控制層:主要包括各類控制器,如PLC、智能網關等。
現場設備層:主要包括各類過程傳感設備與執行設備單元[4],涉及各種不同類型的管線生產設施、直接連接到管道和過程控制設備的溫度和壓力傳感器、電控閥門執行器,以及計量裝置、壓縮機、電機等。
圖1 長輸油氣管道SCADA系統架構
生產調控中心與站場的互聯互通給SCADA系統帶來了更多的網絡安全隱患,為配合《網絡安全法》的實施和落地,落實國家網絡安全等級保護2.0制度,生產調控中心及站場正在積極進行網絡安全建設,它們具有以下的特點:
(1)生產調控中心屬于新建系統,鑒于其重要性一般按等保三級進行備案和建設,且網絡安全建設具有與系統建設“同步規劃、同步建設、同步使用”的特點。
(2)站場由于地域分布廣,因此需要分開定級,當前大部分站場已經按照等保三級和二級等級進行了等保備案,但是沒有進行過網絡安全建設,缺乏必要的網絡安全設施。
2 長輸油氣管道SCADA系統安全分析
通過對大量站場及生產調控中心進行調研分析總結,我國長輸油氣管網SCADA普遍存在以下安全風險:
(1)環境風險:長輸油氣管道站場多,地域分布廣,多數中小型站場位于野外,周邊自然條件惡劣,無人值守,物理安全防護難度大。
(2)資產風險:雖然油氣長輸管道做了一部分的國產化替換,但是SCADA系統中的PLC、RTU、SCADA等軟件大部分使用國外品牌[5],存在安全漏洞[6]、后門等安全隱患。同時控制系統內部操作員站、服務器、網絡交換機等設備存在遠程運維未做訪問控制規則、賬號共享、弱口令、默認共享和高危端口使用等安全問題,這些都容易成為黑客攻擊的目標。
(3)工控協議風險:油氣管道中心普遍通過Modbus/TCP等工控協議對站場進行監控,存在數據傳輸過程無接入認證、無權限控制、明文傳輸[7]等問題,容易導致非法接入、數據的竊取、篡改等。
(4)網絡風險:新建生產調控中心與站場互聯互通,缺乏區域劃分,部分站場數據傳輸沒有明確的訪問控制,且缺乏安全審計、入侵檢測機制,意味著站場一旦被攻陷,任意一臺主機被控制即可實現與中心及其他站場進行通信,容易導致縱向、橫向滲透的風險。
(5)人員風險:運行人員、維護人員和調試人員的SCADA系統安全意識不夠,在調試和維護工作中經常出現個人筆記本電腦及移動存儲設備的隨意接入和資料拷貝,容易將病毒帶入到SCADA系統內部。
3 油氣管道SCADA系統安全防護設計
3.1 總體設計
依據國家等級保護的建設規范和技術要求,結合生產調控中心和站場SCADA系統的安全需求,我們分別從安全通信網絡、安全區域邊界、安全計算環境以及安全管理中心4個方面進行網絡安全建設,如圖2所示,總體設計如下:
(1)安全通信網絡方面,對SCADA系統進行分區分域、清晰網絡結構、規范網絡邊界,為各個邊界有層次地實施邊界防護措施奠定基礎。
(2)安全區域邊界方面,對工業控制網絡內部各安全域之間以及工業控制網絡與非工業控制網絡之間的數據訪問進行控制;對工業控制網絡流量進行監測審計,對工業控制網絡中的網絡攻擊、病毒等安全事件進行檢測,及時發現工業控制網絡中的威脅信息。
(3)安全計算環境方面,對工業主機進行白名單防護,同時對主機、服務器、SCADA軟件、網絡設備等的賬戶、權限、口令、審計、漏洞等進行安全加固,保證系統整體安全。
(4)安全管理中心方面,加強安全設備的集中管控、重要設備的集中運維、安全事件的集中采集和分析,以便進行快速響應處置。
圖2 長輸油氣管道SCADA系統安全防護設計
3.2 安全通信網絡設計
安全的網絡架構是保證計算機網絡正常運行和數據安全的關鍵,因此油氣管道站場和生產調控中心側通過服務器、核心交換機等關鍵設備的硬件、網絡的冗余建設,以及SCADA系統數據上傳采用專網及一主一備方式,滿足了“網絡架構”的部分要求,但是不滿足安全分區的要求。
(1)安全分區
根據系統的功能性、實時性等要求,結合實際業務需求,將具有相似安全需求的設備劃分到同一安全區,并在安全區之間采取嚴格的訪問控制、病毒查殺等技術措施,避免安全問題在不同的安全區之間泛濫。因此針對生產調控中心和站場的通信特點,將油氣管道SCADA系統劃分為中控SCADA系統和站控SCADA系統,結合生產調控中心的計算機控制系統、業務現狀及未來發展規劃,根據系統的實時性、功能、使用者、各業務系統的數據交互關系等將生產調控中心進一步劃分為服務器域、調度終端域、安全防護管理域等。
(2)安全數據傳輸設計
網絡安全建設中,存在各站SCADA網絡安全數據上傳到生產調控中心。為了降低其對工業控制系統網絡的影響,需要構建獨立的網絡安全管理網絡,即各站場與生產調控中心設置一條單獨的網絡安全數據通信信道,在物理層面上實現與工業控制系統業務網絡的安全隔離。安全設備管理網絡搭建時可以使用單獨的網絡設備與管道網絡進行隔離,若存在共用網絡設備的情況,則需通過交換機劃分VLAN、光纖劃分時隙的方式進行隔離。
3.3 安全區域邊界設計
3.3.1 邊界防護設計
在安全分區的基礎上對安全域進行邊界保護,對跨安全域的防護進行監控,阻止非合規訪問流量通過邊界。邊界防護的策略設計如下:
(1)在中控SCADA系統與生產管理區的邊界處,以及站控SCADA系統與第三方系統外聯的邊界處部署網閘,在SCADA網絡與其他網絡之間實現單向隔離以及惡意代碼防護。
(2)在中控SCADA系統與站控SCADA系統的邊界處分別部署工業防火墻,通過對ModbusTCP、CIP等工控協議的深度報文解析,實現細粒度的訪問控制,并結合自學習的白名單及工控威脅漏洞庫等識別并阻斷安全威脅。
(3)對工業防火墻進行以下訪問控制規則的配置:
·確認場站與中心兩端的合規IP、端口、協議,啟用工業防火墻五元組安全訪問控制;
·開啟工業防火墻的黑名單等安全防護,防護已知的攻擊行為;
·基于對工控協議的深度解析,分析工控協議通信行為過程,對正常工控協議的通信行為建立模型,建立白名單防護基線,保障業務正常運行的同時阻止異常攻擊行為。
3.3.2 網絡監測審計設計
當SCADA系統出現安全事故后很難定位是誤操作、惡意操作還是系統自身故障所導致,因此需要對通信流量進行檢測、對操作行為進行審計,才能從全局上去分析安全事件所產生的原因。
(1)在中控SCADA和站控SCADA系統中分別部署網絡入侵檢測系統,通過實時地監視網絡,結合協議分析和入侵檢測引擎,及時檢測和準確發現網絡中存在的網絡風險和攻擊行為,從而快速識別安全威脅和風險,并且及時發出告警。
(2)在中控SCADA和站控SCADA系統中分別部署工業網絡安全審計系統,對網絡流量進行采集、分析和審計,檢測和記錄SCADA系統中的操作行為和異常網絡行為,便于事后進行事件取證和定責。
3.4 安全計算環境設計
油氣管道SCADA系統的計算環境主要包括操作員站、工程師站、服務器等工業主機,交換機、路由器等網絡設備,工業防火墻、網閘等網絡安全設備,SCADA軟件、數據庫等工業應用軟件。安全的計算環境是保證SCADA系統網絡安全的重要基礎。
(1)工業主機安全防護及加固
一般主機主要通過殺毒軟件對主機進行安全防護,而油氣管道SCADA系統工業主機主要運行SCADA監控軟件,通訊協議及通訊數據比較固定,對實時性要求高,且與互聯網物理隔離,不適合通過病毒庫升級的方式來提高安全防護能力,故適合采用白名單防護軟件,通過對應用程序、移動存儲介質、特定對象完整性等進行白名單防護,切斷病毒和木馬的傳播路徑。
對工業主機進行安全加固,主要包括啟用賬號口令復雜度配置、啟用賬戶登錄失敗處理策略、啟用賬戶審計策略、關閉與業務無關的服務端口、更新操作系統補丁、刪除多余賬戶、關閉默認共享、關閉遠程桌面等。
(2)網絡設備安全加固
對交換機、路由器、防火墻等網絡、安全設備進行安全加固,主要包括采用SSH進行遠程管理、限制遠程管理地址、啟用賬戶口令復雜度策略、啟用賬戶登錄失敗處理策略、修改默認賬戶、刪除多余賬戶、啟用日志審計集中采集等。
(3)工業應用安全加固對SCADA、數據庫等軟件進行安全加固,主要包括保證賬號口令復雜度配置、修改默認賬戶、刪除多余賬戶、對審計日志進行集中保存、重要敏感數據進行加密處理,并對安全漏洞進行修復。
3.5 安全管理中心設計
以上幾個方面的設計,實現了單點上的邊界防護、入侵檢測、安全審計、主機防護等安全功能,但不能從整體上管理網絡的安全問題。從企業的長遠安全運維考慮,需要進行安全管理中心設計,一方面滿足SCADA系統重要設備的集中安全運維,另一方面實現將分散的日志進行集中存儲和分析,同時將安全設備的運行狀態、安全策略、安全事件集中統一的管理起來,因此安全管理中心設計如下:
(1)通過部署堡壘機為服務器、數據庫、交換機、路由器等重要設備的運維提供統一的身份認證接口、多種遠程運維管理方式,對資產及其賬號等進行集中管理和授權,審計并記錄運維操作過程,同時也為當前重要設備無法實現雙因子身份鑒別帶來的風險進行補償控制,保障遠程運維的安全可控。
(2)通過部署日志審計與分析系統對站場及中心的網絡設備、安全設備、工業主機的日志信息進行集中收集,以統一格式的日志形式進行集中存儲和管理,結合日志統計匯總及綜合分析功能,實現對網絡整體安全狀況的全面審計,一方面解決交換機、路由器等設備日志存放分散、數量多、格式不統一、保存周期短、易被篡改破壞等問題,另一方面對日志進行關聯分析,實現安全事件溯源和告警,協助運維人員進行調查取證、閉環控制等操作。
(3)通過部署工業安全管理平臺實現對站場和中心部署的工業防火墻、安全審計等安全產品的集中管理,即所有安全設備狀態的集中監測、安全事件的集中收集以及安全策略的管控等功能,及時發現各類網絡安全風險事件,為安全設備策略的及時調整、安全事件的及時處理提供統一的入口,從而實現SCADA系統網絡安全的閉環管理。
4 總結與展望
油氣長輸管道站場和調控中心SCADA系統經過安全建設后,其安全防護能力得到了切實的提高,不僅攔截了主機及網絡的日常攻擊、非常規操作等,且經過安全事件報警及日志關聯分析,安全管理人員可以快速定位威脅來源和相關聯的資產和業務,并通過策略優化、基線配置等進行快速響應,實現了安全事件的閉環控制。
然而隨著工控網絡安全問題的日益突出,工控網絡安全防護是個持久戰,需要深刻理解油氣長輸管道的業務需求、網絡架構、通信協議、數據流、資產信息等現狀,需要結合當前市場發布的漏洞信息和安全事件等不斷地對安全策略進行優化,并提高對安全事件的分析、定位及相應的安全運維能力。
作者簡介:
郭 娟(1995-),女,云南昆明人,中級工程師,碩士,現就職于國家石油天然氣管網集團有限公司云南分公司,研究方向為通信與自動化、物聯網安全。
秦 鵬(1990-),男,云南大理人,中級工程師,學士,現就職于國家石油天然氣管網集團有限公司云南分公司,研究方向為自動化、物聯網安全。
楊念峰(1991-),男,云南大理人,中級工程師,學士,現就職于國家石油天然氣管網集團有限公司云南分公司,研究方向為工控網絡安全、通信與自動化。
參考文獻:
[1] 劉亮. 油氣管道網絡安全問題與對策[J]. 軟件, 2021, 42 (5).
[2] 楊斌, 仝望斐. 論SCADA系統在長輸管道中的應用[J]. 山西電子技術, 2014 (6).
[3] 張曉明, 王麗宏, 何躍鷹, 等. 工業控制系統信息安全風險分析及漏洞檢測[J]. 物聯網學報, 2017, 1 (1).
[4] GB/T22239-2019, 信息安全技術 網絡安全等級保護基本要求[S].
[5] 穆云婷, 王云龍, 等. 油氣長輸管道工業控制網絡安全風險與應對措施[J]. 網絡空間安全, 2021, 12 (Z1).
[6] 張翔宇, 路來順. 工業控制系統網絡安全分析與研究[J]. 網絡空間安全, 2019, 10 (5).
[7] 聞宏強, 李富勇, 等. Modbus/TCP協議安全性分析與防護技術探討[J]. 物聯網技術, 2018, 8 (11).
摘自《自動化博覽》2024年10月刊
北京市公安局海淀分局備案號:11010802023656號