熊 琦,戴忠華,彭 勇,伊勝偉,王 婷

(中國(guó)信息安全測(cè)評(píng)中心,北京100085)

油氣管道SCADA系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析及防護(hù)框架研究*

熊 琦,戴忠華,彭 勇,伊勝偉,王 婷

(中國(guó)信息安全測(cè)評(píng)中心,北京100085)

油氣管道SCADA系統(tǒng)已經(jīng)成為國(guó)家關(guān)鍵基礎(chǔ)設(shè)施的重要組成部分,但由于油氣管道覆蓋面廣,使用的設(shè)備、協(xié)議以及系統(tǒng)構(gòu)建時(shí)未充分考慮信息安全問(wèn)題,存在較多的安全隱患,無(wú)法抵御來(lái)自網(wǎng)絡(luò)的攻擊,急需有效的解決方案。針對(duì)這一需求,提出了一種分層的油氣管道SCADA系統(tǒng)描述參考模型,并將幾種常見(jiàn)的攻擊及其危害在相應(yīng)的層次位置進(jìn)行了標(biāo)注。在此基礎(chǔ)上,提出了安全區(qū)域劃分的油氣管道防護(hù)框架,給出了縱深防御的模型。文中所提出的方法不僅可用于對(duì)現(xiàn)有系統(tǒng)進(jìn)行安全加固,也可作為新建系統(tǒng)的安全架構(gòu)參考。

油氣管道 SCADA系統(tǒng) 縱深防御 網(wǎng)絡(luò)安全

0 引 言

對(duì)于石油行業(yè)來(lái)說(shuō),長(zhǎng)輸管道聯(lián)系著上游的油氣田板塊,中、下游的煉化和銷(xiāo)售板塊產(chǎn)業(yè)鏈,是油氣生產(chǎn)設(shè)施的重要組成部分。作為國(guó)家重要的基礎(chǔ)設(shè)施和公用設(shè)施,油氣管道承擔(dān)了所有的天然氣和近八成的油品輸送任務(wù),具有易燃、易爆和高壓的特點(diǎn),其安全運(yùn)行非常重要。

在油氣管線(xiàn)中引入SCADA系統(tǒng),不僅可以提高油氣管道的生產(chǎn)效率,降低運(yùn)行成本,而且可以減輕SCADA系統(tǒng)操作人員的工作強(qiáng)度,保證管道生產(chǎn)安全可靠地運(yùn)行。隨著信息化和工業(yè)化的不斷融合,管道SCADA系統(tǒng)也面臨著病毒、木馬以及黑客等傳統(tǒng)網(wǎng)絡(luò)威脅。

2000年10月,俄羅斯政府聲稱(chēng)某所屬天然氣輸送管道網(wǎng)絡(luò)遭到入侵;黑客突破了該公司的安全防護(hù)網(wǎng)絡(luò),通過(guò)上傳惡意代碼修改了系統(tǒng)的底層控制指令,致使該公司的天然氣流量輸出一度控制在他人之手,給國(guó)家造成了巨大的經(jīng)濟(jì)損失。

2004年5月,曾任職于美國(guó)國(guó)家安全委員會(huì)的托馬斯·雷德披露,前蘇聯(lián)曾被欺騙,錯(cuò)誤盜取并部署了某被惡意篡改的工業(yè)控制軟件,引發(fā)了西伯利亞天然氣管道大爆炸。

2013年3月,美國(guó)國(guó)土安全部發(fā)表報(bào)告指出,共有23家天然氣管道公司前年年底至去年中被黑客攻擊,并盜取可控制器管壓力和閥門(mén)等系統(tǒng)資料,對(duì)美國(guó)基建安全帶來(lái)威脅,其中10間公司更被形容為“已被滲透”。

近年來(lái),能源板塊層出不窮的信息安全事件表明[1]油氣管道SCADA系統(tǒng)已經(jīng)成為國(guó)內(nèi)外黑客的攻擊目標(biāo),面臨愈發(fā)嚴(yán)峻的威脅。管道SCADA系統(tǒng)一旦受攻擊容易發(fā)生故障或者被控制,可能直接影響到管道輸送的正常生產(chǎn)運(yùn)營(yíng),導(dǎo)致火災(zāi)、爆炸、中毒事件的發(fā)生,造成重大經(jīng)濟(jì)損失、人員傷亡和環(huán)境污染,直接威脅到國(guó)家能源安全和社會(huì)穩(wěn)定。因此,研究油氣管道SCADA系統(tǒng)安全風(fēng)險(xiǎn),同時(shí)制定針對(duì)性的防護(hù)框架,對(duì)我國(guó)能源安全具有重要的現(xiàn)實(shí)意義。

1 系統(tǒng)特點(diǎn)描述

在油氣管道SCADA系統(tǒng)生產(chǎn)過(guò)程[2]中,系統(tǒng)實(shí)時(shí)采集現(xiàn)場(chǎng)管線(xiàn)數(shù)據(jù),對(duì)生產(chǎn)現(xiàn)場(chǎng)進(jìn)行控制,實(shí)現(xiàn)油品或者天然氣的順序輸送,管道各站控系統(tǒng)運(yùn)行狀況監(jiān)控,管道泄漏監(jiān)測(cè),管道仿真模擬及生產(chǎn)安全保護(hù)等多方面功能,并為上層生產(chǎn)、調(diào)度和管理提供必要的數(shù)據(jù)。

油氣管道SCADA系統(tǒng)采用分布式架構(gòu),可以分為SCADA中控系統(tǒng)、SCADA站控系統(tǒng)和通信系統(tǒng)等3個(gè)主要部分,如圖1所示。

1)SCADA中控系統(tǒng)。中控SCADA系統(tǒng)負(fù)責(zé)管道生產(chǎn)管理、模擬仿真等多種功能,主要由SCADA服務(wù)器、客戶(hù)端工作站組成。中控系統(tǒng)SCADA服務(wù)器通過(guò)MODBUS-TCP、CIP等通信協(xié)議采集站控SCADA系統(tǒng)所提供的油氣管道數(shù)據(jù)。中控系統(tǒng)的多臺(tái)SCADA服務(wù)器之間還可以使用OPC協(xié)議進(jìn)行業(yè)務(wù)數(shù)據(jù)的交換。

2)SCADA站控系統(tǒng)。油氣管道站場(chǎng)包括首站、末站和中間站3類(lèi),分別負(fù)責(zé)對(duì)輸送的油品或者天然氣進(jìn)行控制操作。站控SCADA系統(tǒng)和PLC等現(xiàn)場(chǎng)設(shè)備通常部署在同一站場(chǎng)內(nèi),一般建百、千兆的局域網(wǎng)或串行通訊鏈路。站控系統(tǒng)可分為SCADA工作站和PLC兩部分,工作站上安裝了服務(wù)端、客戶(hù)端一體化的站控SCADA軟件。

3)SCADA通信系統(tǒng)。油氣管道SCADA通信系統(tǒng)主要使用光纖通信作為主要鏈路,衛(wèi)星或無(wú)線(xiàn)公網(wǎng)為輔助。中控和站控SCADA系統(tǒng)之間主要采用MODBUS-TCP、IEC-104、DNP3等多種工控協(xié)議傳輸管線(xiàn)業(yè)務(wù)數(shù)據(jù)。

圖1 油氣管道SCADA系統(tǒng)網(wǎng)絡(luò)架構(gòu)Fig.1 Structure of SCADA system in oil and gas pipeline

基于對(duì)油氣管道SCADA系統(tǒng)的分析,對(duì)其網(wǎng)絡(luò)拓?fù)溥M(jìn)行詳細(xì)的分層描述,得到油氣板塊SCADA系統(tǒng)參考模型,如圖2所示,可以分為4個(gè)層次。

1)監(jiān)視控制層。監(jiān)視控制層作為控制中心存在,涵蓋管道SCADA中控系統(tǒng),包括實(shí)時(shí)數(shù)據(jù)庫(kù)、歷史數(shù)據(jù)庫(kù)、管線(xiàn)運(yùn)行優(yōu)化類(lèi)和管線(xiàn)故障監(jiān)測(cè)及告警類(lèi)系統(tǒng)。

2)本地控制層。本地控制層位于管線(xiàn)各站場(chǎng),包括監(jiān)測(cè)和控制物理過(guò)程的功能,它包括操作員人機(jī)接口、監(jiān)測(cè)控制功能、過(guò)程歷史數(shù)據(jù)收集和存儲(chǔ)等功能,包括現(xiàn)場(chǎng)工程師站、操作員站、實(shí)時(shí)數(shù)據(jù)庫(kù)等組件。

3)物理控制層。物理控制層位于管線(xiàn)各站場(chǎng),主要包括傳感和操作物理過(guò)程的功能,另外本層也包括控制系統(tǒng)的可靠性保障功能。該層中的典型物理設(shè)備包括PLC、RTU等。

4)生產(chǎn)裝置層。生產(chǎn)裝置層位于管線(xiàn)各站場(chǎng),在這一層中包括各種不同類(lèi)型的管線(xiàn)生產(chǎn)設(shè)施,典型設(shè)備包括直接連接到過(guò)程和過(guò)程設(shè)備的傳感器和執(zhí)行器等,包括計(jì)量裝置、溫度和壓力傳感、電控閥門(mén)啟閉等、壓縮電機(jī)等。

圖2 油氣管道板塊SCADA系統(tǒng)分層參考模型Fig.2 Reference model for the SCADA system in oil and gas pipeline

2 安全風(fēng)險(xiǎn)分析

由于歷史和成本原因,國(guó)內(nèi)油氣管道板塊SCADA系統(tǒng)在信息安全防護(hù)方面分布不均,呈現(xiàn)“重核心,輕外圍”的態(tài)勢(shì);中控系統(tǒng)等地域集中化的SCADA系統(tǒng),在設(shè)計(jì)之初就考慮了信息安全問(wèn)題,能夠做到“同步規(guī)劃,同步建設(shè),同步運(yùn)行”信息安全防護(hù)措施;相比之下,管線(xiàn)站場(chǎng)SCADA系統(tǒng)地域分布廣,站點(diǎn)數(shù)量多,與中控系統(tǒng)之間通信鏈路長(zhǎng),數(shù)據(jù)傳輸方式復(fù)雜多樣,防護(hù)措施部署難度大,成為板塊SCADA系統(tǒng)信息安全的薄弱環(huán)節(jié)?？偟膩?lái)說(shuō),油氣SCADA系統(tǒng)在各個(gè)層次上均存在不同種類(lèi)的安全威脅,如圖3所示。

圖3 油氣管道SCADA系統(tǒng)安全威脅層次對(duì)應(yīng)關(guān)系Fig.3 Security threat targeting SCADA system in oil and gas pipeline

1)非法接入風(fēng)險(xiǎn)。該風(fēng)險(xiǎn)主要存在于站場(chǎng)SCADA系統(tǒng)等網(wǎng)絡(luò)接入設(shè)備。油氣管線(xiàn)SCADA系統(tǒng)地域分布廣,基層站點(diǎn)多,具有“點(diǎn)多線(xiàn)長(zhǎng)”的特點(diǎn),多數(shù)中、小型站場(chǎng)位于野外,周邊自然條件惡劣,無(wú)人值守,物理安全防護(hù)難度大,站場(chǎng)網(wǎng)絡(luò)設(shè)備空閑端口多,存在非法接入的風(fēng)險(xiǎn)。攻擊者完全有可能利用這些端口獲取到對(duì)站場(chǎng)設(shè)備的網(wǎng)絡(luò)訪問(wèn)途徑,進(jìn)而威脅部分或者整個(gè)管道SCADA系統(tǒng)。

2)工控網(wǎng)絡(luò)協(xié)議開(kāi)放性風(fēng)險(xiǎn)。該風(fēng)險(xiǎn)主要存在于地方各站場(chǎng)與中控系統(tǒng)之間的遠(yuǎn)程數(shù)據(jù)通信鏈路?！皟苫比诤系难杆偻七M(jìn)產(chǎn)生了SCADA系統(tǒng)與IT系統(tǒng)的互聯(lián)需求,油氣管道SCADA系統(tǒng)大量使用基于TCP/IP的開(kāi)放標(biāo)準(zhǔn)工控協(xié)議,使得攻擊者能夠通過(guò)公開(kāi)的規(guī)范文檔,理解SCADA網(wǎng)絡(luò)協(xié)議的工作機(jī)制,通過(guò)構(gòu)造控制命令,可直接威脅油氣管道SCADA系統(tǒng)的正常運(yùn)行。

3)明文數(shù)據(jù)傳輸風(fēng)險(xiǎn)。該風(fēng)險(xiǎn)主要存在于地方各站場(chǎng)與中控系統(tǒng)之間的遠(yuǎn)程數(shù)據(jù)通信鏈路。油氣管道SCADA系統(tǒng)中的業(yè)務(wù)數(shù)據(jù)以明文的形式傳輸,缺乏必要的安全防護(hù)措施,其機(jī)密性和完整性無(wú)法得到保證。油氣管道生產(chǎn)數(shù)據(jù)在采集、傳輸、存儲(chǔ)和應(yīng)用環(huán)節(jié)都有可能被侵入網(wǎng)絡(luò)和設(shè)備的攻擊者輕松獲得、更改,引起嚴(yán)重事故,造成不可估量的損失。

4)工控軟、硬件產(chǎn)品缺陷風(fēng)險(xiǎn)。該風(fēng)險(xiǎn)主要存在于板塊SCADA系統(tǒng)組件。油氣管道SCADA系統(tǒng)在建設(shè)過(guò)程中,主要考慮可靠性,很少部署采取安全加固措施的定制系統(tǒng),而是較多選擇通用軟、硬件產(chǎn)品,這樣做雖然大大降低了設(shè)計(jì)和建設(shè)上的成本,但同時(shí)也帶來(lái)了潛在的風(fēng)險(xiǎn)。由于絕大多數(shù)產(chǎn)品不是為了SCADA系統(tǒng)專(zhuān)門(mén)設(shè)計(jì)的,沒(méi)有任何安全防護(hù)功能。如果不加入一些專(zhuān)門(mén)的網(wǎng)絡(luò)安全防護(hù)措施,油氣管道SCADA網(wǎng)絡(luò)和普通的互聯(lián)網(wǎng)一樣,存在顯著的脆弱性。

5)工控網(wǎng)絡(luò)結(jié)構(gòu)脆弱性風(fēng)險(xiǎn)。該風(fēng)險(xiǎn)主要存在于油氣管道板塊SCADA系統(tǒng)網(wǎng)絡(luò)中?；诘赜蚝屯ㄐ懦杀镜目紤],長(zhǎng)輸管線(xiàn)各站場(chǎng)SCADA系統(tǒng)往往使用沿管線(xiàn)環(huán)狀光纖互聯(lián),串行組網(wǎng),注重可靠性保障,忽視安全防護(hù),整體網(wǎng)絡(luò)結(jié)構(gòu)呈現(xiàn)扁平化特點(diǎn),管線(xiàn)SCADA系統(tǒng)各子網(wǎng)之間缺乏必要的隔離措施,上層設(shè)備對(duì)下層缺乏身份鑒別機(jī)制,一旦局部控制網(wǎng)絡(luò)被病毒感染,容易迅速蔓延到整個(gè)管線(xiàn)SCADA網(wǎng)絡(luò),造成“一點(diǎn)突破,全網(wǎng)皆失”,嚴(yán)重威脅正常管線(xiàn)數(shù)據(jù)及控制指令的傳輸。

6)工控從業(yè)人員風(fēng)險(xiǎn)。該風(fēng)險(xiǎn)主要存在于油氣管道板塊SCADA系統(tǒng)網(wǎng)絡(luò)中。工控從業(yè)人員普遍對(duì)工控系統(tǒng)裝置操作較為熟悉,是自動(dòng)控制領(lǐng)域的行家里手,注重生產(chǎn)安全防護(hù),但在上崗時(shí)未參加專(zhuān)門(mén)的工控信息安全培訓(xùn),信息安全意識(shí)不足,警惕性不高,對(duì)工控系統(tǒng)信息安全隱患可能導(dǎo)致的后果缺乏足夠認(rèn)識(shí)。

7)移動(dòng)設(shè)備接入管理風(fēng)險(xiǎn)。該風(fēng)險(xiǎn)主要存在于油氣管道板塊SCADA系統(tǒng)網(wǎng)絡(luò)中。管道板塊工控設(shè)備在維修時(shí)存在便攜式計(jì)算機(jī)的接入問(wèn)題,沒(méi)有達(dá)到一定安全基線(xiàn)的便攜式計(jì)算機(jī)接入工控系統(tǒng),會(huì)對(duì)造成安全威脅。此外,交叉使用U盤(pán)、光盤(pán)等移動(dòng)存儲(chǔ)介質(zhì)容易導(dǎo)致病毒傳播問(wèn)題,將外界的不安全因素帶入到管道SCADA系統(tǒng)內(nèi)部。

3 防護(hù)框架設(shè)計(jì)

油氣管道SCADA系統(tǒng)安全防護(hù)模型的建設(shè)目標(biāo)是要提供一個(gè)“深度防御”的安全體系,該體系能夠提供對(duì)于辦公網(wǎng)和控制網(wǎng)之間的隔離防護(hù)、實(shí)時(shí)報(bào)警和中央監(jiān)控等功能,具體包括以下四方面目標(biāo)[3-4]:

1)區(qū)域隔離。能夠過(guò)濾兩個(gè)功能獨(dú)立區(qū)域網(wǎng)絡(luò)之間非必要的通信流量。

2)通信管控。能夠統(tǒng)一管理不同區(qū)域之間通信,確保遠(yuǎn)距離鏈路管線(xiàn)數(shù)據(jù)傳輸?shù)臋C(jī)密性和完整性。

3)接入控制。能夠?qū)CADA網(wǎng)絡(luò)接入行為進(jìn)行身份認(rèn)證,避免惡意攻擊者從站場(chǎng)底層網(wǎng)絡(luò)非法接入。

4)實(shí)時(shí)報(bào)警。所有的安全防護(hù)設(shè)備都能由中央管控平臺(tái)統(tǒng)一進(jìn)行實(shí)時(shí)監(jiān)控和預(yù)警。

結(jié)合油氣管道SCADA系統(tǒng)的實(shí)際情況,采取“分層分區(qū)、專(zhuān)網(wǎng)專(zhuān)用、橫向隔離、縱向認(rèn)證”的準(zhǔn)則,設(shè)計(jì)了以下安全方案[5-9],如圖4所示。

1)劃分系統(tǒng)安全功能分區(qū)?；谟蜌夤艿繱CADA系統(tǒng)網(wǎng)絡(luò)架構(gòu)和存在的安全隱患,結(jié)合系統(tǒng)網(wǎng)絡(luò)安全要求,在層次劃分的基礎(chǔ)上,按照功能進(jìn)行層內(nèi)分區(qū),主要涉及中心、生產(chǎn)和控制3種分區(qū),如圖5所示。

中心區(qū)包括屬于中控層的管道SCADA控制系統(tǒng);生產(chǎn)區(qū)包括屬于本地控制層和物理控制層的各管道站控SCADA系統(tǒng)上位機(jī)?？刂茀^(qū)是生產(chǎn)區(qū)的一部分,包括屬于物理控制層的各管道站控SCADA系統(tǒng)下位機(jī)。

安全域的合理劃分,使每一個(gè)網(wǎng)絡(luò)區(qū)域都有明確的邊界,便于對(duì)安全域進(jìn)行安全防護(hù)[10-11]。

2)部署安全防護(hù)模塊。根據(jù)各個(gè)區(qū)域的安全需求,確定所需的可裝載工控防護(hù)設(shè)備,具體包括以下幾方面。

在生產(chǎn)區(qū)之間,即各個(gè)SCADA站控系統(tǒng)之間,部署工業(yè)防火墻,進(jìn)行網(wǎng)絡(luò)隔離,防止病毒感染等局部威脅的全網(wǎng)擴(kuò)散;

在控制區(qū)上邊界,部署工業(yè)防火墻,進(jìn)行網(wǎng)絡(luò)隔離,過(guò)濾來(lái)自上位機(jī)的網(wǎng)絡(luò)攻擊,保障PLC等物理控制器可靠運(yùn)行;

在生產(chǎn)區(qū)上邊界、中心區(qū)下邊界,部署防火墻,進(jìn)行網(wǎng)絡(luò)隔離,防止來(lái)自中控層的TCP/IP網(wǎng)絡(luò)攻擊,確保管道站控SCADA系統(tǒng)安全運(yùn)行;

在生產(chǎn)區(qū)上邊界、中心區(qū)下邊界,部署加密網(wǎng)關(guān),對(duì)遠(yuǎn)距離管線(xiàn)數(shù)據(jù)傳輸進(jìn)行加密,防止管線(xiàn)生產(chǎn)數(shù)據(jù)遭竊取;

在中心區(qū)內(nèi)部署統(tǒng)一安全管理平臺(tái),對(duì)所屬一級(jí)管線(xiàn)站控SCADA系統(tǒng)以及各管道監(jiān)視控制區(qū)內(nèi)中央管理平臺(tái)進(jìn)行管控,配置網(wǎng)絡(luò)通訊監(jiān)控策略,顯示并記錄每條管道SCADA的網(wǎng)絡(luò)報(bào)警及設(shè)備狀態(tài);

在中心區(qū)內(nèi)部署工控入侵檢測(cè)系統(tǒng)和審計(jì)系統(tǒng),對(duì)SCADA系統(tǒng)網(wǎng)絡(luò)流量進(jìn)行安全檢測(cè),發(fā)現(xiàn)并及時(shí)阻斷網(wǎng)絡(luò)攻擊,支持事后對(duì)于安全事件的審計(jì)。

3)構(gòu)建接入控制機(jī)制。設(shè)計(jì)CA證書(shū)管理體制,為SCADA網(wǎng)絡(luò)提供統(tǒng)一的身份管理權(quán)限;部署網(wǎng)絡(luò)認(rèn)證服務(wù)器,加強(qiáng)全網(wǎng)統(tǒng)一接入管理。采用證書(shū)、口令等多種方式相結(jié)合的身份認(rèn)證機(jī)制。

4)加強(qiáng)對(duì)外安全。使用隔離網(wǎng)閘將油氣管道控制中心SCADA系統(tǒng)和辦公網(wǎng)系統(tǒng)進(jìn)行強(qiáng)隔離,并對(duì)所有接入控制中心SCADA系統(tǒng)的系統(tǒng)設(shè)備進(jìn)行縱向認(rèn)證。

5)部署終端安全防護(hù)。密切關(guān)注SCADA產(chǎn)品的漏洞和補(bǔ)丁發(fā)布機(jī)制,嚴(yán)格軟件升級(jí)、補(bǔ)丁安裝管理,嚴(yán)防病毒、木馬等惡意代碼侵入。SCADA系統(tǒng)軟件升級(jí)、補(bǔ)丁安裝前要請(qǐng)專(zhuān)業(yè)技術(shù)機(jī)構(gòu)進(jìn)行安全評(píng)估和驗(yàn)證。對(duì)賬戶(hù)、口令等進(jìn)行檢查,及時(shí)清理不必要的賬戶(hù),停止無(wú)用的后臺(tái)程序和進(jìn)程,關(guān)閉無(wú)關(guān)的端口和服務(wù)。

圖5 油氣管道SCADA系統(tǒng)分區(qū)規(guī)范Fig.5 Partition rule for the SCADA system in oil and gas pipeline

4 結(jié) 語(yǔ)

作為國(guó)家能源動(dòng)脈的重要組成部分,油氣管道SCADA系統(tǒng)信息安全會(huì)直接影響油氣管道的生產(chǎn)、運(yùn)行,對(duì)國(guó)家能源、經(jīng)濟(jì)安全造成嚴(yán)重威脅,至關(guān)重要。本文針對(duì)油氣管道SCADA系統(tǒng)普遍存在的網(wǎng)絡(luò)安全風(fēng)險(xiǎn),提出了一種基于安全區(qū)域劃分的縱深防御模型。文中提出的防御模型不僅可用于新建系統(tǒng)的安全架構(gòu)參考,也可用于對(duì)現(xiàn)有SCADA系統(tǒng)進(jìn)行安全加固。

[1] 彭勇,江常青,謝豐.工業(yè)控制系統(tǒng)信息安全研究進(jìn)展[J].清華大學(xué)學(xué)報(bào):自然科學(xué)版,2012,25(10): 1396-1408.

PENG Yong,JIANG Chang-qing,XIE Feng.The Progressof the Research on the Security of Industrial Control System[J].Journal of Tsinghua University(Natural Science Edition),2012,25(10):1396-1408.

[2] 熊琦,竟小偉,詹峰.美國(guó)石油天然氣行業(yè)ICS系統(tǒng)信息安全工作綜述及對(duì)我國(guó)的啟示[J].中國(guó)信息安全,2012,27(03):80-83.

XIONG Qi,JING Xiao-wei,ZHAN Feng.Survey on the Security Work about the ICS in Gas and Oil Sector of US [J].China Information Security,2012,27(03):80-83.

[3] 郭強(qiáng).工控系統(tǒng)信息安全案例[J].信息安全與通信保密,2012,28(12):68-70.

GUO Qiang.Case for the Information Security of Industrial Control System[J].Information and Communication Security,2012,28(12):68-70.

[4] 張同升.信息系統(tǒng)安全防護(hù)控制策略研究[J].通信技術(shù),2013,46(08):54-56.

ZHANG Tong-sheng.Research on the Security Defending Strategy[J].Communication Technology,2013,46(08):54-56.

[5] 中國(guó)石油北京油氣調(diào)控中心.Q/SYBD46-2010.油氣管道SCADA系統(tǒng)網(wǎng)絡(luò)安全技術(shù)規(guī)范[S].北京:中國(guó)石油天然氣股份有限公司,2014:35-38.

Beijing Gas&Oil Transportation Center.Q/SYBD46-2010.Security Technology Guide on the Network Security of Oil&Gas Pipeline SCADA system[S].Beijing: CNPC,2014:35-38.

[6] JEFFREYLH,JACOBS,JAMESHG.A Security-Hardened Appliance for Implementing Authentication and Access Control in SCADA Infrastructures with Legacy Field Devices[J].International Journal of Critical Infrastructure Protection,2013,56(06):12-24.

[7] American Petroleum Institute(API).API1164-2004, SCADA Security[S].America:API,2014:36-39.

[8] KEVIN M.Data and command encryption for SCADA [R].Canada:Schneider Electric,2012.

[9] American Gas Association.(AGA12-2006 Part1).cryptographic protection of SCADA communications,Part1: Background policies and test plan[S].Washington DC: AGA,2013.

[10] 熊琦,彭勇,戴忠華.工控系統(tǒng)信息安全風(fēng)險(xiǎn)評(píng)估初探[J].中國(guó)信息安全,2012,27(03):57-59.

XIONG Qi,PENG Yong,DAI Zhong-hua.Research on the Security Risk Assessment Method for ICS[J].China Information Security,2012,27(03):57-59.

[11] 王斯梁,尹一樺.工業(yè)控制系統(tǒng)安全防護(hù)技術(shù)研究[J].通信技術(shù),2014,47(02):205-209.

WANG Si-liang,YIN Yi-ye.Research on the Security Defending Technology for the Industrial Control System [J].Communications Technology,2014,47(2): 205-209.

XIONG Qi(1983-),male,Ph.D.,associate research fellow,mainly engaged in information security of SCADA system.

戴忠華(1978—),男,博士研究生,助理研究員,總工程師,主要研究方向?yàn)楣た叵到y(tǒng)信息安全;

DAI Zhong-hua(1978-),male,Ph.D.student,assistant research fellow,chief engineer,mainly working at information security of SCADA system.

彭 勇(1974—),男,博士,副研究員,副總工程師,主要研究方向?yàn)楣た叵到y(tǒng)信息安全;

PENG Yong(1974-),male,Ph.D.,associate research fellow,associate chief engineer,majoring in information security of SCADA system.

伊勝偉(1977—),男,博士,助理研究員,主要研究方向?yàn)楣た叵到y(tǒng)信息安全;

YI Sheng-wei(1977-),Ph.D.,assistant research fellow,mainly engaged in information security of SCADA system.

王 婷(1987—),女,碩士,助理工程師,主要研究方向?yàn)楣た叵到y(tǒng)信息安全。

WANG Ting(1987-),female,M.Sci.,assistant engineer,majoring in information security of SCADA system.

Security Risk Analysis in the SCADA System of Oil and Gas Pipeline and the Design of Defending Framework

XIONG Qi,DAI Zhong-hua,PENG Yong,YI Sheng-wei,WANG Ting
(China Information Technology Security Evaluation Center,Beijing 100085,China)

As the critical components of national critical infrastructure,SCADA system of oil and gas pipeline usually doesn’t take security factors in the step of system design,which appears vulnerable to cyberattack,effective solutions are seriously needed.Regarding this requirement,this paper proposes a reference description model for SCADA system of oil.Gas pipeline is also proposed and the security threat is noted in the corresponding layers of the reference model.Based on the model,a defending framework is given and the workflow is described in detail.The proposed framework couldn’t only be used to make security enhancement for the current running pipeline SCADA system,but also it could be taken as the security guide for the design of new SCADA system.

oil and gas pipeline;SCADA system;deep defending;cyber security

TP393

A

1002-0802(2014)08-0919-06

10.3969/j.issn.1002-0802.2014.08.016

熊 琦(1983—),男,博士,副研究員,主要研究方向?yàn)楣た叵到y(tǒng)信息安全;

2014-05-30;

2014-06-30 Received date：2014-05-30;Revised date：2014-06-30

國(guó)家自然科學(xué)基金(No.90818021)資助

Foundation Item:National Natural Science Foundation of China under Grant(No.90818021)