摘 要

摘　要：中國石油天然氣股份有限公司的長輸油氣管道在北京油氣調(diào)控中心實施集中調(diào)度，逐漸形成了依托于通信網(wǎng)絡(luò)的分布式SCADA系統(tǒng)，對安全提出了更高的要求。當(dāng)前油氣管道SCADA系

摘　要：中國石油天然氣股份有限公司的長輸油氣管道在北京油氣調(diào)控中心實施集中調(diào)度，逐漸形成了依托于通信網(wǎng)絡(luò)的分布式SCADA系統(tǒng)，對安全提出了更高的要求。當(dāng)前油氣管道SCADA系統(tǒng)的數(shù)據(jù)傳輸過程中存在的主要風(fēng)險因素有：缺少接入控制、使用開放的標(biāo)準(zhǔn)協(xié)議、采用明文傳輸并接入了大量不安全的網(wǎng)絡(luò)設(shè)備，而相應(yīng)的防護(hù)措施不多，特別是中控系統(tǒng)和站控系統(tǒng)之間的數(shù)據(jù)傳輸依托光纖網(wǎng)、衛(wèi)星和公網(wǎng)，使用基于以太網(wǎng)TCP＼IP的應(yīng)用層協(xié)議，存在較大風(fēng)險。為此，結(jié)合國內(nèi)外已有的SCADA安全相關(guān)的標(biāo)準(zhǔn)和一些學(xué)者提出的防護(hù)策略，提出了一種安全防護(hù)解決方案，即通過建立基于認(rèn)證和權(quán)限控制的接入控制機(jī)制、部署硬件防火墻和加密網(wǎng)關(guān)、加強(qiáng)對外安全等方法進(jìn)行安全防護(hù)。該方案可為工程設(shè)計提供參考。

關(guān)鍵詞：油氣管道  SCADA系統(tǒng)  安全  數(shù)據(jù)傳輸  協(xié)議  接入控制  認(rèn)證  權(quán)限  加密

Risk analysis of data transmission security in an oil and gas pipeline SCADA system and countermeasures

Abstract：As the Beijing Oil and Gas Control Center plays its role in undertaking the centralized control of long-distance pipelines operated by PetroChina，a distributed SCADA systenl relying on communication network is gradually formed，for which securitv is highly requlred. There exist many risks in data transmission of such a SCADA system at present：lacking access control，using open standard protocols,transmlttlng in plain texts，and connecting a plenty of insecure network devices without appropriate protection measures,E8pecially，a potential higher risk even threatens the data transmission between the central control system and station control system with an application layer protocol based on Ethernet and TCP／IP，which relies on the optical flber network，satellite and public network.In view of this，according to the standards published at home and abroad associated with SCADA securitv and many security protectlon strategies proposed by some scholars，this paper presents the following countermeasures：setting up an access control mechanlsmsbased on authentication and authority control，deploying hardware firewalls and cncryption gateways，strengthening the exterior security，etc．This study will be a rcference for engineering design．

Keywords：oil and gas pipeline，SCADA，security，data transmission，protocol，access control，authentication，privilege,encryption

油氣管道SCADA(Supervisory Control And Data Acquisition，監(jiān)視控制與數(shù)據(jù)采集)系統(tǒng)，是一種針對油氣長輸過程進(jìn)行數(shù)據(jù)采集、監(jiān)視和控制的工業(yè)控制系統(tǒng)，通過對現(xiàn)場設(shè)備信號進(jìn)行實時采集、加工、匯總、計算和展示，以實現(xiàn)設(shè)備監(jiān)控、參數(shù)調(diào)節(jié)以及信號報警等遠(yuǎn)程監(jiān)控功能^[1]。

中國石油北京油氣調(diào)控中心(以下簡稱調(diào)控中心)針對中國石油天然氣股份有限公司所屬的長輸油氣管道實施集中式的遠(yuǎn)程監(jiān)控、操作運(yùn)行、調(diào)度管理和應(yīng)急協(xié)調(diào)，以優(yōu)化管道運(yùn)營管理體制，提高油氣管輸效率。目前中國石油油氣管道SCADA系統(tǒng)已完成從集中式到分布式的過渡發(fā)展，管網(wǎng)調(diào)度實行三級控制，即中心控制(以下簡稱中控)、站場控制(以下簡稱站控)和就地控制。分布式的SCADA系統(tǒng)運(yùn)行需要依托通信網(wǎng)絡(luò)。

隨著油氣調(diào)度一體化、網(wǎng)絡(luò)化的發(fā)展，SCADA系統(tǒng)安全成為保證油氣管道生產(chǎn)平穩(wěn)運(yùn)行的關(guān)鍵因素，直接影響石油工業(yè)生產(chǎn)運(yùn)行乃至國家經(jīng)濟(jì)命脈安全。據(jù)美國儀器系統(tǒng)和自動化協(xié)會(ISA)的一份報告稱，當(dāng)前各種SCADA系統(tǒng)普遍存在弱點，安傘評估和風(fēng)險防范迫在眉睫^[2]，重點區(qū)域和重要環(huán)節(jié)的安全防護(hù)已經(jīng)成為一項重要的研究課題。以往有針對調(diào)控中心的安全防護(hù)研究，較常見的策略有冗余、災(zāi)備^[3]。

筆者將針對油氣管道SCADA系統(tǒng)在數(shù)據(jù)傳輸環(huán)節(jié)中存在的風(fēng)險進(jìn)行分析，結(jié)合國內(nèi)外已有的標(biāo)準(zhǔn)和先進(jìn)技術(shù)，提出了有效的安全防護(hù)解決方案。

1　油氣管道SCADA系統(tǒng)數(shù)據(jù)傳輸

油氣管道SCADA系統(tǒng)采用分布式架構(gòu)，可以分為中控系統(tǒng)、站控系統(tǒng)和通信系統(tǒng)等3個主要部分，如圖1所示。

 

為保證調(diào)控需要，日常生產(chǎn)過程中SCADA系統(tǒng)內(nèi)全天24h不間斷地傳輸著大量實時數(shù)據(jù)。這些數(shù)據(jù)可粗略分為兩類：即上行數(shù)據(jù)和下行數(shù)據(jù)。上行主要是采集的量測數(shù)據(jù)，下行主要是控制指令。數(shù)據(jù)傳輸過程可以分為兩個階段：①站場內(nèi)站控系統(tǒng)和現(xiàn)場設(shè)備之間的數(shù)據(jù)交換；②中控系統(tǒng)和站擰系統(tǒng)之間的數(shù)據(jù)交換。數(shù)據(jù)傳輸過程的實時性、安全性和可靠性要求都非常高。

1．1　數(shù)據(jù)傳輸?shù)奶攸c

1)數(shù)據(jù)傳輸吞吐量大、實時性強(qiáng)，據(jù)粗略統(tǒng)計，系統(tǒng)并行監(jiān)控的數(shù)據(jù)點總數(shù)接近百萬，時間精度通常為毫秒級。

2)進(jìn)行數(shù)據(jù)交換的設(shè)備之間通常存在上位、下位關(guān)系^[4]。上位設(shè)備是可以對其他設(shè)備下發(fā)指令進(jìn)行操作控制的一類設(shè)備，例如SCADA服務(wù)器、PLC。下位設(shè)備負(fù)責(zé)發(fā)送數(shù)據(jù)給上位設(shè)備并執(zhí)行收到的操作指令，例如傳感器、驅(qū)動器。需要特別說明的是，上位、下位是相對的概念，并不是絕對的分類，例如PLC相對于SCADA服務(wù)器是下位設(shè)備，相對于傳感器、驅(qū)動器則是上位設(shè)備。某些上位設(shè)備之間也存在數(shù)據(jù)交換，例如SCADA服務(wù)站之間需要進(jìn)行數(shù)據(jù)共享。

3)數(shù)據(jù)傳輸具有不對稱性^[5]。例如，從下位發(fā)往上位的采集數(shù)據(jù)遠(yuǎn)遠(yuǎn)大于卜位發(fā)往下位的控制指令。

4)數(shù)據(jù)傳輸還具有優(yōu)先級特性和可選擇性^[4]。例如ESD等應(yīng)急指令應(yīng)當(dāng)較普通控制指令優(yōu)先下發(fā)；某些設(shè)備僅接收報警等關(guān)鍵信息。

5)數(shù)據(jù)傳輸依托于通信網(wǎng)絡(luò)，需要使用特定的通信協(xié)議，協(xié)議的選擇需要考慮滿足上述的數(shù)據(jù)傳輸特點。

1．2　常用通信協(xié)議

SCADA數(shù)據(jù)傳輸使用的通信協(xié)議，應(yīng)能保證數(shù)據(jù)在限定時間內(nèi)正確送達(dá)。根據(jù)美國燃?xì)鈪f(xié)會(AGA)發(fā)布的AGA-12：1標(biāo)準(zhǔn)^[6]，SCADA系統(tǒng)中使用的協(xié)議有近200個，大都是由不同廠商研發(fā)提供的私有協(xié)議。經(jīng)過多年的發(fā)展，一些開放的標(biāo)準(zhǔn)協(xié)議在工業(yè)界得到廣泛應(yīng)用。表1中列舉了油氣管道SCADA系統(tǒng)中最常用的幾種標(biāo)準(zhǔn)協(xié)議。

 

目前，一些工業(yè)級標(biāo)準(zhǔn)協(xié)議中已經(jīng)明確提出了安全相關(guān)內(nèi)容^[7]，比如最新版本的DNP3標(biāo)準(zhǔn)中就加入了安全相關(guān)內(nèi)容，支持在進(jìn)行關(guān)鍵信息交換時以“質(zhì)疑—回應(yīng)”(challenge response)機(jī)制進(jìn)行認(rèn)證。

1．3　站控系統(tǒng)和現(xiàn)場設(shè)備傳輸數(shù)據(jù)

站控系統(tǒng)和現(xiàn)場設(shè)備通常都部署在同一站場內(nèi)，站場內(nèi)一般建有百兆／千兆的局域網(wǎng)或串行通訊連接，并與外界網(wǎng)絡(luò)進(jìn)行了物理隔離。

站控系統(tǒng)可分為SCADA工作站和PLC兩部分，工作站上安裝了服務(wù)端、客戶端一體化的站控SCADA軟件。此外，可能還配備一個數(shù)據(jù)通信網(wǎng)關(guān)(GW)用以協(xié)議轉(zhuǎn)換。

站控系統(tǒng)通過PLC連接現(xiàn)場傳感器、驅(qū)動器等設(shè)備，并進(jìn)行信號采集和控制，常用的協(xié)議有MODBUSRTU、DeviceNct等。PLC之間可以使用M()DBUSPLUS或ControlNet協(xié)議進(jìn)行數(shù)據(jù)交換。PLC和GW、SCADA工作站之間的數(shù)據(jù)傳輸使用MODBUSTCP或CIP協(xié)議。GW和SCADA工作站之間的數(shù)據(jù)傳輸可以使用IEC-104、DNP3、MODBUS TCP、CIP等協(xié)議。

根據(jù)不同的數(shù)據(jù)流策略，數(shù)據(jù)可以在PLC、GW或SCADA工作站等不同處實現(xiàn)匯聚，如圖2所示。

 

1．4　中控系統(tǒng)和站控系統(tǒng)傳輸數(shù)據(jù)

中控系統(tǒng)和站控系統(tǒng)通常部署在相距很遠(yuǎn)的不同地方，之間利用通信系統(tǒng)進(jìn)行數(shù)據(jù)傳輸。油氣管道SCADA通信系統(tǒng)主要以光纖通信為主信道，衛(wèi)星或租用公網(wǎng)為備用信道。一些沒有進(jìn)行光通信改造的管道，仍利用微波、公網(wǎng)等通信系統(tǒng)。中控系統(tǒng)和站控系統(tǒng)之間的通信采用IEC l04、DNP3、MODBUS TCP、CIP等多種協(xié)議。

中控系統(tǒng)可分為SCADA服務(wù)器和客戶端工作站兩部分，此外還配備一個總數(shù)據(jù)通信網(wǎng)關(guān)(MGW)。

中控系統(tǒng)和站控系統(tǒng)之間的數(shù)據(jù)傳輸，一般有兩種方式，如圖3所示。

 

一種方式是，中控系統(tǒng)的SCADA服務(wù)器使用MODBUS TCP、CIP等協(xié)議直接采集和控制站控系統(tǒng)的PLC，或者使用IEC-104、DNP3、MODBUS TCP、CIP等協(xié)議采集站控系統(tǒng)GW上的數(shù)據(jù)或下發(fā)指令。

另一種方式是，中控系統(tǒng)通過MGW使用IEC-104、DNP3、MODBUS TCP、CIP等協(xié)議實現(xiàn)對所有站控系統(tǒng)的數(shù)據(jù)采集和控制指令下發(fā)。

此外，中控系統(tǒng)的多臺SCADA服務(wù)器之間還可以使用“用于過程控制的對象連接與嵌入”(OPC)協(xié)議進(jìn)行數(shù)據(jù)交換。

1．5　外部系統(tǒng)數(shù)據(jù)傳輸數(shù)據(jù)

日常生產(chǎn)中，中控系統(tǒng)需要和許多外部系統(tǒng)進(jìn)行數(shù)據(jù)交換，包括管道生產(chǎn)管理系統(tǒng)、模擬仿真系統(tǒng)、能耗計量系統(tǒng)、批次跟蹤系統(tǒng)、調(diào)度培訓(xùn)系統(tǒng)、調(diào)度評價系統(tǒng)等。

目前一般有兩種方式實現(xiàn)中控系統(tǒng)和外部系統(tǒng)的數(shù)據(jù)傳輸：

1)數(shù)據(jù)庫：直接讀寫方式。中控系統(tǒng)使用OPC協(xié)議向PI數(shù)據(jù)庫寫入數(shù)據(jù)作為鏡像，外部系統(tǒng)直接連接訪問PI數(shù)據(jù)庫。比如模擬仿真系統(tǒng)就通過這種方式間接獲取SCADA實時數(shù)據(jù)。

2)文件傳輸方式。源系統(tǒng)將數(shù)據(jù)寫入一個XML文件中，并傳至一個共享文件區(qū)或FTP，目標(biāo)系統(tǒng)將自動讀取文件獲取數(shù)據(jù)。比如成品油的批次計劃信息就通過這種方式傳入SCADA系統(tǒng)中。

2　風(fēng)險分析及解決方案

2．1　風(fēng)險分析

當(dāng)前油氣管道SCADA系統(tǒng)中數(shù)據(jù)傳輸安全方而的防護(hù)措施不多，風(fēng)險主要存在于中控系統(tǒng)和站控系統(tǒng)的數(shù)據(jù)傳輸過程，主要有以下幾個方面。

2．1．1非法接入風(fēng)險

Risley等認(rèn)為攻擊者無法入侵物理隔離網(wǎng)絡(luò)的看法是一種理解錯誤^[5]，Byres更是直言物理隔離在現(xiàn)實世界中毫無用處，建議工業(yè)用戶開始放棄這種方法^[8]。

中國石油一直在大力建設(shè)中控系統(tǒng)和站控系統(tǒng)的物理安全防護(hù)設(shè)施，但是若干系統(tǒng)之間的數(shù)據(jù)交換需求促使各個簡單孤立的系統(tǒng)逐漸形成一個復(fù)雜的SCADA網(wǎng)絡(luò)。

現(xiàn)在的網(wǎng)絡(luò)技術(shù)發(fā)展非?？?，對于任何形式的網(wǎng)絡(luò)都可以提供多種接入方式，SCADA網(wǎng)絡(luò)也不例外。局域網(wǎng)無論怎么隔離，只要有對外的數(shù)據(jù)傳輸，就總會通過一根專線、一臺設(shè)備或者一個內(nèi)網(wǎng)和更大的企業(yè)網(wǎng)相連。攻擊者完全有可能利用這些鏈接獲取到對站場設(shè)備的接入途徑^[4]，一旦非法接入，后果不可設(shè)想。

2．1．2協(xié)議開放風(fēng)險

Byres等認(rèn)為使用私有協(xié)議是更安全的^[9]。但是目前出于工程實施難度和成本的考慮，油氣管道SCADA系統(tǒng)中使用的是一些開放的標(biāo)準(zhǔn)協(xié)議，且多是基于以太網(wǎng)和TCP／IP協(xié)議棧的應(yīng)用層協(xié)議。

標(biāo)準(zhǔn)開放的同時，也使得攻擊者能夠更容易、更深層次地理解SCADA網(wǎng)絡(luò)運(yùn)行的機(jī)制，從而大大增加了風(fēng)險。

2．1．3明文數(shù)據(jù)風(fēng)險

油氣管道SCADA系統(tǒng)中傳輸?shù)氖敲魑臄?shù)據(jù)，沒有進(jìn)行特殊的安全處理，其保密性、完整性無法得到保證。

數(shù)據(jù)在傳輸過程中或者存儲在終端設(shè)備時都有可能被侵入網(wǎng)絡(luò)和設(shè)備的攻擊者輕松獲得、更改。如果攻擊者對數(shù)據(jù)進(jìn)行r篡改，甚至偽造重要的控制指令，系統(tǒng)本身小具備任何能力發(fā)現(xiàn)。一旦這些數(shù)據(jù)進(jìn)入SCADA系統(tǒng)，可能引起嚴(yán)重事故，造成不可估量的損失。

2．1．4  非定制的軟硬件產(chǎn)品帶來的風(fēng)險

油氣管道SCADA系統(tǒng)存建設(shè)過程中，很少選擇定制產(chǎn)品，而是選擇市場上較大廠商的典型軟硬件產(chǎn)品，這樣做大大降低了設(shè)計難度和建設(shè)成本，但同時也帶來了潛在的風(fēng)險。

由于絕大多數(shù)產(chǎn)品不是為了SCADA系統(tǒng)專門設(shè)計的，都不帶任何安全功能。這些產(chǎn)品通常兼容一些基于以太網(wǎng)和TCP／IP協(xié)議棧的應(yīng)用層協(xié)議，在基于TCP／IP的網(wǎng)絡(luò)攻擊面前非常脆弱。如果不加入一些專門的網(wǎng)絡(luò)安全設(shè)備，SCADA網(wǎng)絡(luò)和普通的百聯(lián)網(wǎng)一樣，安全性和可靠性非常低。

2．2　安全標(biāo)準(zhǔn)

針對上述數(shù)據(jù)傳輸存在的風(fēng)險進(jìn)行安全防護(hù)設(shè)計時，應(yīng)當(dāng)遵循日前已有的油氣管道SCADA系統(tǒng)安全相關(guān)標(biāo)準(zhǔn)。表2中列舉了本文參考文獻(xiàn)的主要標(biāo)準(zhǔn)^[10-13]。

 

2．3　常見安全策略

2．3．1接入控制

接入控制是一種常見的SCADA系統(tǒng)安全策略。完善SCADA系統(tǒng)的接入控制機(jī)制是非常必要的。對于企業(yè)級安全來說，必須嚴(yán)格執(zhí)行網(wǎng)絡(luò)安全接入管理制度，并輔以適當(dāng)?shù)募夹g(shù)手段，才能事半功倍。

要在技術(shù)層面實現(xiàn)接入控制，首先要做到針對所有的接入對象進(jìn)行認(rèn)證，這里的對象呵能足用戶，也可能是設(shè)備。然后，應(yīng)當(dāng)賦予通過認(rèn)證的用戶相應(yīng)的角色和權(quán)限。

2．3．1．1認(rèn)證

針對用戶的認(rèn)證可以保證控制指令是授權(quán)用戶下達(dá)的，針對沒備的認(rèn)證可以保證數(shù)據(jù)來自正確的來源。雙重認(rèn)證比較嚴(yán)格，要求用戶必須在特定的設(shè)備上才能接入系統(tǒng)，且只能在該設(shè)備上查看數(shù)據(jù)和發(fā)送指令。

身份認(rèn)證的實現(xiàn)一般有軟硬兩種方式。軟件實現(xiàn)可以是軟件系統(tǒng)登錄時要求使用用戶名、口令進(jìn)行身份認(rèn)證，也可以結(jié)合CA證書。硬件實現(xiàn)可以使用USBKey，或者智能卡^[4]。軟硬方式也可以結(jié)合起來，加大認(rèn)證安全的強(qiáng)度。

有一種較新的做法是在現(xiàn)場設(shè)備近端部署支持DNP3協(xié)議并具有認(rèn)證和完整性功能的設(shè)備，在中控系統(tǒng)內(nèi)部署相對應(yīng)的軟件或硬件^[14]，在數(shù)據(jù)傳輸時利用“質(zhì)疑  回應(yīng)”機(jī)制進(jìn)行認(rèn)證。這種方式可以確保現(xiàn)場一些特別重要的設(shè)備收到來源合法的控制指令，但是僅支持DNP3協(xié)議，而且實施成本非常高。

2．3．1．2權(quán)限控制

用戶權(quán)限一般是通過角色來賦予的，角色是權(quán)限的集合，系統(tǒng)定義了若干個角色，并分配給用戶，用戶只能進(jìn)行權(quán)限范圍以內(nèi)的操作。

在SCADA系統(tǒng)中，通常有多種角色，比如調(diào)度員、工程師、管理員以及開發(fā)商等。使用基于角色的分配策略大大簡化了權(quán)限管理工作。

當(dāng)用戶通過認(rèn)證后發(fā)出操作請求時，需要檢查其是否具備實施該操作的權(quán)限。如果權(quán)限條件不滿足，系統(tǒng)將自動拒絕用戶的請求。

用戶認(rèn)證和權(quán)限的信息，通常統(tǒng)一存儲在一臺身份認(rèn)證服務(wù)器中。

2．3．2數(shù)據(jù)加密

加密是一種有效的數(shù)據(jù)安全策略，可以有效地提高數(shù)據(jù)的保密性和完整性。SCADA系統(tǒng)的加密可以在不同的網(wǎng)絡(luò)分層實現(xiàn)，比如在應(yīng)用層加密和在網(wǎng)絡(luò)層加密。

2．3．2．1應(yīng)用層加密

應(yīng)用層加密是在應(yīng)用通過網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)傳輸?shù)慕涌谥衼韺崿F(xiàn)的，通信雙方均需支持相匹配的加解密算法。運(yùn)行時，需要依賴復(fù)雜的加密確認(rèn)機(jī)制，每次發(fā)送和接收數(shù)據(jù)前，應(yīng)用之間需先交互確認(rèn)彼此加密、解密狀態(tài)，才能開始傳輸數(shù)據(jù)。應(yīng)用層加密方式與數(shù)據(jù)傳輸?shù)膶嶋H網(wǎng)絡(luò)路徑無關(guān)，但是其擴(kuò)展性較差，系統(tǒng)一旦進(jìn)行應(yīng)用擴(kuò)展，新的應(yīng)用必須實現(xiàn)數(shù)據(jù)加解密功能。

2．3．2．2網(wǎng)絡(luò)層加密

網(wǎng)絡(luò)層加密實現(xiàn)較之應(yīng)用層加密實現(xiàn)更為底層。網(wǎng)絡(luò)層加密直接對網(wǎng)絡(luò)通道進(jìn)行加密，與具體的應(yīng)用無關(guān)，在加密通道中傳輸?shù)臄?shù)據(jù)都將獲到保護(hù)。這種方式將加密功能和系統(tǒng)應(yīng)用分離開來，有利于系統(tǒng)擴(kuò)展。不過網(wǎng)絡(luò)層加密需要引入額外的加密設(shè)備，一定程度上增加了建設(shè)成本。

在AGA-l2：2和IEEE Pl711-2010標(biāo)準(zhǔn)中^[11-12]，均定義了子站串行保護(hù)協(xié)議(SSPP)，要求加密設(shè)備必  須以網(wǎng)絡(luò)嵌入式(BITW)的形式串行接入網(wǎng)絡(luò)，并部  署在數(shù)據(jù)傳輸網(wǎng)絡(luò)路徑的起始兩端，加密應(yīng)對數(shù)據(jù)傳輸過程實現(xiàn)透明。

2．3．2．3密鑰管理

數(shù)據(jù)加密還需要建立有效的密鑰管理機(jī)制，AGA也建立了并仍在完善相關(guān)的標(biāo)準(zhǔn)。Kang在他的研究中列舉了一些有效的密鑰管理策略吲。

2．3．3網(wǎng)絡(luò)安全設(shè)備

網(wǎng)絡(luò)安全設(shè)備是一種特殊的硬件設(shè)備，它們結(jié)合了接入控制和加密策略，針對特定需求定制開發(fā)軟件并嵌入到硬件中。這些設(shè)備可以用來對數(shù)據(jù)傳輸網(wǎng)絡(luò)進(jìn)行安全防護(hù)，常見的有硬件防火墻和安全網(wǎng)關(guān)。

2．3．3．1硬件防火墻

硬件防火墻具有軟件防火墻所有功能，并具有內(nèi)容過濾(CF)、入侵偵測(IDS)、入侵防護(hù)(IPS)以及虛擬專用網(wǎng)絡(luò)(VPN)等功能。

硬件防火墻可以在應(yīng)用系統(tǒng)訪問控制、流量控制、防病毒網(wǎng)關(guān)、用戶權(quán)限控制、惡意代碼的阻止、異常行為阻斷等方面對SCADA網(wǎng)絡(luò)進(jìn)行控制。

2．3．3．2安全網(wǎng)關(guān)

通常，SCADA系統(tǒng)內(nèi)的數(shù)據(jù)網(wǎng)關(guān)是用來進(jìn)行協(xié)議轉(zhuǎn)換的，并不具備安全功能。安全網(wǎng)關(guān)是一類針對數(shù)據(jù)傳輸安全需求沒汁出來的設(shè)備，除了兼容油氣管道SCADA系統(tǒng)常用的盼議，還提供認(rèn)證、加密、殺毒等安全功能。

2．4　油氣管道SCADA系統(tǒng)數(shù)據(jù)傳輸安全方案

為降低前述的數(shù)據(jù)傳輸風(fēng)險，本文參考常見安全策略，結(jié)合中國石油油氣管道SCADA系統(tǒng)的實際情況，針對中控系統(tǒng)與站控系統(tǒng)的數(shù)據(jù)傳輸過程，初步設(shè)計了以下安全方案。

2．4．1建立接入控制機(jī)制

部署證書體系，為全網(wǎng)用戶提供統(tǒng)一身份標(biāo)識；部署身份認(rèn)證服務(wù)器，為全網(wǎng)用戶提供統(tǒng)一身份認(rèn)證服務(wù)，并統(tǒng)一管理權(quán)限；部署網(wǎng)絡(luò)認(rèn)證服務(wù)器，加強(qiáng)全網(wǎng)統(tǒng)一接入認(rèn)證管理。

采用USBKey、證書、口令相結(jié)合的身份認(rèn)證方式：SCADA系統(tǒng)驗證用戶身份時，首先確認(rèn)用戶是否插入USBKey，然后驗證口令是否正確，最后確認(rèn)證書是否有效。當(dāng)以上三者均通過驗證，用戶才能進(jìn)行權(quán)限內(nèi)的操作。

2．4．2部署網(wǎng)絡(luò)安全設(shè)備

在中控系統(tǒng)和站控系統(tǒng)接入通信系統(tǒng)的邊界上部署硬件防火墻和加密網(wǎng)關(guān)，以抵御基于TCP／IP的網(wǎng)絡(luò)攻擊，并對傳輸數(shù)據(jù)進(jìn)行加密保護(hù)。

加密網(wǎng)關(guān)需特別定制且具有以下特點：

1)選用國家密碼管理局認(rèn)可的商密算法。

2)支持網(wǎng)絡(luò)層BITW部署模式，對原有網(wǎng)絡(luò)和使用協(xié)議無影響。

3)支持對端無加密網(wǎng)關(guān)的部署模式。

4)支持對通道加密，僅對重要設(shè)備數(shù)據(jù)進(jìn)行加密。

5)支持單向加密，可僅對下行指令加密，對上行數(shù)據(jù)不加密。

6)支持旁路(bypass)功能，當(dāng)設(shè)備無法正常工作時，可以自動切換為明文傳輸模式。

網(wǎng)絡(luò)安全設(shè)備的部署方式如圖4所示。

 

此外，還應(yīng)部署設(shè)備管理中心和密鑰管理中心，對全網(wǎng)的加密網(wǎng)關(guān)進(jìn)行管理。

2．4．3加強(qiáng)對外安全

將中控系統(tǒng)和外部系統(tǒng)進(jìn)行物理隔離，并對所有系統(tǒng)及設(shè)備進(jìn)行認(rèn)證；對所有數(shù)據(jù)傳輸通道進(jìn)行加密；使用加密的文件傳輸方式。

3　結(jié)束語

油氣管道SCADA系統(tǒng)安全直接影響油氣管道生產(chǎn)安全，乃至國家能源、經(jīng)濟(jì)安全，因此格外重要。該系統(tǒng)經(jīng)過多年的發(fā)展，已經(jīng)形成依托于通信網(wǎng)絡(luò)的分布式架構(gòu)。本文針對該系統(tǒng)中數(shù)據(jù)傳輸?shù)那闆r進(jìn)行了介紹，并對目前存在的主要風(fēng)險進(jìn)行了分析。參照國內(nèi)外一些SCADA安全方面相關(guān)的標(biāo)準(zhǔn)，結(jié)合中國石油油氣管道SCADA系統(tǒng)建設(shè)現(xiàn)狀，本文提出了一個基于接入控制和加密的數(shù)據(jù)傳輸安全方案，并計劃在未來的工業(yè)實驗中進(jìn)行驗證。

 

參考文獻(xiàn)

[1]National Transportation Safety Board(NTSB)．Supervisory control and data acquisition(SCADA)in liquid pipelines[R]．Washington DC：NTSB，2006．

[2]BOYER S A．SCADA supervisory control and data acquisitionl M．USA：International Society of Automation(ISA)，2010．

[3]謝安?。蜌夤芫€SCADA系統(tǒng)調(diào)度控制中心的安全策略[J]．天然氣工業(yè)，2005，25(6)：ll3-115．

XIE Anjun．Safe strategy of SCADA system dispatching and controlling center for oil／gas pipeline[J]．Natural Gas Industry，2005，25(6)：ll3-115．

4VINAY M I，SEAN A L，RONALD D W．Security issues in SCADA networks[J]．Computers＆Security，2006，25(7)：498-506．

[5]RISLEY A，ROBERTS J，LADow P．Electronic security of real time protection and SCADA communications[C]// Fifth Annual Western Power Delivery Automation Conference，1-3 April 2003，Washington DC，USA．

[6]American Gas Association(AGA)．cryptographic protection of SCADA communications，Part l：Background，policies and test plan(AGA l2，Part l)[S]．Washington DC：AGA，2006．

[7]KEVIN M．Data and command encryption for SCADA[R]．Schneider Electric，Canada,2012．

[8]BYRES E．Privacy and security the air gap：SCADA’s enduring security myth[J]．Conmmnication of the ACM，2013，56(8)：29-31．

[9]BYRES E，LOWE J．The myths and facts behind cyber security risks for industrial control systems[C]//VDE Congress，VDE Association for Electrical，Electronic＆Information Technologies，October 2004，Berlin，Germany．

[10]American Petroleum Institute(API)．SCADA Security (API ll64)[S]．API，2004．

[11]American Gas Association(AGA)．Cryptographic protection of SCADA communications，Part 2：Performance test results(AGA l2，Part 2)S．Washington DC：AGA，2007．

[12]Institute of Electrical and Electronics Engineers(IEEE)．Trial use standard for a eryptographic protocol for cyber security of substation seriallinks(IEEE Pl711—2010)[S]．USA：IEEE，2011．

[13]中國石油北京油氣調(diào)控中心．油氣管道SCADA系統(tǒng)網(wǎng)絡(luò)安全技術(shù)規(guī)范Q／SY BD 46—2010[S]．北京：中國石油天然氣股份有限公司，2010．

PetroChina Oil and Gas Pipeline Control Center．Q／SY BD 46—2010 Network security and protection for SCADA of oil＆．gas pipelines[S]．Beijing：PetroChina，2010．

[14]JEFFREY L H，JACOB S，JAMES H G．A security-bard ened appliance for implementing authentication and access control in SCADA infrastructures with legacy field devices[J]．International Journal of Critical Infrastructure Protection，2013(6)：12-24．

[15]KANG D J，LEE J J，KIM B H，et al．Proposal strategies of key management for data encryption in SCADA network of electric power systems[J]．Electrical Power and Energy Systems，2011，33：l521-1526．

 

本文作者：黃河  張偉  祁國成  閆峰  陳鵬

作者單位：中國石油北京油氣調(diào)控中心