滕衛(wèi)明，蔡鈞宇，尹 峰

(1.浙江浙能天然氣運行有限公司,浙江 杭州 310052;2.國網(wǎng)浙江省電力有限公司電力科學(xué)研究院,浙江 杭州 310014)

0 引言

石油燃?xì)庑袠I(yè)作為全球經(jīng)濟的發(fā)動機、電力能源的重要來源,極有可能成為網(wǎng)絡(luò)攻擊的目標(biāo)。《中華人民共和國國家安全法》第二十五條特別強調(diào)了關(guān)鍵基礎(chǔ)設(shè)施安全關(guān)系到國計民生。燃?xì)飧邏汗芫W(wǎng)對整個城市生活和能源供應(yīng)的影響巨大，一旦出問題就會造成人員傷亡和重大財產(chǎn)損失，并且影響人民的正常生產(chǎn)、生活。隨著互聯(lián)設(shè)備的增加以及自動化運行速度的不斷提速，網(wǎng)絡(luò)安全在燃?xì)庑袠I(yè)受到前所未有的重視和關(guān)注。

城鎮(zhèn)燃?xì)廨斉湎到y(tǒng)一般由門站、儲配站(含儲氣設(shè)施)、輸配管網(wǎng)、調(diào)壓設(shè)施、運行管理設(shè)施和監(jiān)控系統(tǒng)等組成[1]。其中：數(shù)據(jù)采集與監(jiān)視控制(supervisory control and data acquisition，SCADA)系統(tǒng)是高壓管網(wǎng)的核心中樞，直接監(jiān)控整個管網(wǎng)的安全運行[2]。SCADA系統(tǒng)是工業(yè)控制系統(tǒng)的一部分，對燃?xì)夤芫W(wǎng)SCADA系統(tǒng)信息安全的分析研究迫在眉睫。

1 燃?xì)夤芫W(wǎng)的技術(shù)發(fā)展趨勢

目前，典型的燃?xì)釹CADA系統(tǒng)由中央主控室設(shè)備、通信信道和各個燃?xì)夤芫W(wǎng)子站共同組成。燃?xì)夤芫W(wǎng)的中央主控室設(shè)備通常包括建立在以太網(wǎng)連接之上的SCADA服務(wù)器、工程師站、操作員站、域服務(wù)器，以及主控室顯示大屏、打印機和不間斷電源(uninterruptible power supply，UPS)等外設(shè)。外設(shè)通過以太網(wǎng)交換機與中央主控室外部通信信道相連。

燃?xì)夤芫W(wǎng)子站則是控制網(wǎng)絡(luò)的控制和執(zhí)行部分。典型配置包括與通信信道相連接的光纖收發(fā)器和工業(yè)交換機；通過工業(yè)以太網(wǎng)連接的控制設(shè)備包括遠(yuǎn)程終端單元(remote terminal unit，RTU)、本地工作站和人機界面(human machine interface，HMI)；與RTU通過現(xiàn)場總線相連的設(shè)備包括現(xiàn)場控制設(shè)備可編程邏輯控制器(programmable logic controller,PLC)和現(xiàn)場執(zhí)行設(shè)備(例如工業(yè)閥門)[3-4]。

系統(tǒng)網(wǎng)絡(luò)體系架構(gòu)如圖1所示。

圖1 系統(tǒng)網(wǎng)絡(luò)體系架構(gòu)圖

由于分布式控制微處理器的使用，SCADA系統(tǒng)的應(yīng)用范圍不斷擴展。系統(tǒng)作用主要體現(xiàn)在：業(yè)務(wù)系統(tǒng)可利用現(xiàn)代自動控制系統(tǒng)提供的大量數(shù)據(jù)；操作人員可實現(xiàn)遠(yuǎn)程監(jiān)控、診斷和資產(chǎn)管理；增強了數(shù)據(jù)綜合管理能力；改善了與資產(chǎn)健康相關(guān)的決策制定；減少用于配置和運轉(zhuǎn)的時間和工作量；使現(xiàn)場解決設(shè)備問題的需求降至最低；提高了整個公司范圍內(nèi)的合作效率。

上述功能和應(yīng)用的實現(xiàn)依賴于一些重要的因素，如由傳感器、執(zhí)行裝置、控制器構(gòu)成的復(fù)雜網(wǎng)絡(luò)連接能力、多源異構(gòu)數(shù)據(jù)的利用能力，以及實時高效的計算能力等。

然而，要實現(xiàn)工業(yè)物聯(lián)網(wǎng)的體系架構(gòu)應(yīng)用價值還存在大量的阻礙，如安全、互操作性和現(xiàn)有設(shè)備的局限性。從2010年的震網(wǎng)病毒到烏克蘭電網(wǎng)的Black Energy[5]網(wǎng)絡(luò)攻擊，近年來一系列信息網(wǎng)絡(luò)安全事件使大家對工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)和信息安全比以往任何時候都更加關(guān)注。

2 燃?xì)夤芫W(wǎng)信息安全的關(guān)鍵技術(shù)

燃?xì)夤芫W(wǎng)系統(tǒng)的信息安全現(xiàn)狀和面臨的挑戰(zhàn)基本反映了典型SCADA系統(tǒng)的普遍問題。這些問題主要包括：防止網(wǎng)絡(luò)威脅影響運營以及導(dǎo)致產(chǎn)品、人員安全或環(huán)境破壞的故障；保護運營中的大量數(shù)據(jù)；實現(xiàn)對現(xiàn)場企業(yè)系統(tǒng)和智能設(shè)備的安全訪問，以避免關(guān)鍵系統(tǒng)處于風(fēng)險之中；保護老化、易受攻擊或未打補丁的服務(wù)器；針對各種分布地理環(huán)境，提供高效保護；各種威脅的病毒變種、新的攻擊途徑和零日漏洞的利用；來自內(nèi)部的威脅與來自外部的威脅一樣具有破壞性，有時更加難以防范。面對這樣的現(xiàn)實，需要強有力的安全防護技術(shù)來降低燃?xì)夤芫W(wǎng)中的安全威脅。

2.1 應(yīng)用信息安全平臺方法

利用安全平臺的方法，可減少人工干預(yù)的情況。 通過將集成元素共享安全關(guān)聯(lián)性并協(xié)同工作，自動防止系統(tǒng)在端點、網(wǎng)絡(luò)和數(shù)據(jù)受快速變化威脅的影響。利用防火墻技術(shù)對所有的流量包括加密流量進行分類，在不犧牲性能的前提下強制執(zhí)行基于應(yīng)用、用戶和內(nèi)容的安全策略；采用入侵防御系統(tǒng)(intrusion prevention system，IPS)、惡意軟件防御、域名服務(wù)器(domain name server,DNS)陷阱以及對命令控制的防御等威脅阻止機制；URL過濾不斷更新的釣魚和惡意軟件的站點信息及相關(guān)攻擊；以行為分析檢測用戶行為和設(shè)備行為的可疑異常，查詢源頭并快速阻止；以全局保護，將網(wǎng)絡(luò)安全的范圍擴展到員工、供應(yīng)商和第三方臨時雇員的移動設(shè)備；以端點保護，消除傳統(tǒng)防病毒的需求并且持續(xù)更新；借助關(guān)聯(lián)威脅情報服務(wù)識別和定義重要威脅的優(yōu)先級，將它們關(guān)聯(lián)并查看所在行業(yè)的典型威脅；通過物理方式或虛擬形式的網(wǎng)絡(luò)安全管理，降低管理員的工作負(fù)荷，并通過統(tǒng)一工作平臺查看、配置、創(chuàng)建和發(fā)布安全策略并生成報告，提升安全態(tài)勢感知能力[6]。

2.2 形成安全可信的體系架構(gòu)

通過部署合適的安全體系架構(gòu)，可有效控制信息安全風(fēng)險。圖2是美國普渡大學(xué)于1992年提出的傳統(tǒng)普渡企業(yè)參考模型。模型主要包括：物理過程(1層)、基本控制(2層)、站點生產(chǎn)運營和控制(3層)、業(yè)務(wù)規(guī)劃和物流(4層)、企業(yè)業(yè)務(wù)系統(tǒng)(enterprise resource planning系統(tǒng))(5層)。在這個模型中，3.5層非軍事區(qū)(demilitarized zone,DMZ)可幫助分割系統(tǒng)更好地進行訪問控制[7]。

圖2 傳統(tǒng)普渡企業(yè)參考模型

雖然工業(yè)物聯(lián)網(wǎng)系統(tǒng)與這個模型有一些差異，但是它仍然可以通過強化邊界計算來保證功能的實現(xiàn)。所采用的安全措施既可以是傳統(tǒng)的網(wǎng)絡(luò)安全防護措施，也可以是利用云服務(wù)來實現(xiàn)內(nèi)在的訪問控制和通信安全。

2.3 自動防護抵御新的未知威脅

采用自動防護保護措施分析惡意軟件的攻擊，利用最新的技術(shù)手段提升威脅診斷能力，減少安全團隊的工作負(fù)荷。具體內(nèi)容包括：在虛擬環(huán)境中對可疑內(nèi)容(包括加密內(nèi)容)進行動態(tài)分析，發(fā)現(xiàn)全網(wǎng)范圍的全新威脅；觸發(fā)新保護措施的創(chuàng)建，并定期將它們自動推送到平臺的IPS，更新URL過濾功能。通過獲取新的網(wǎng)絡(luò)釣魚方式、惡意軟件網(wǎng)站、電子郵件中的惡意鏈接和命令等眾多新的病毒，持續(xù)更新安全設(shè)備，從而阻止新型未知攻擊；阻止將用戶憑據(jù)發(fā)送到無法識別的網(wǎng)站，阻止網(wǎng)絡(luò)釣魚嘗試竊取用戶名和密碼[8]。

2.4 采用新技術(shù)加強端點安全防護

一些燃?xì)庠O(shè)施依然依賴運行老舊操作系統(tǒng)的硬件。新技術(shù)通過自動識別并停止嘗試的漏洞來防止脆弱系統(tǒng)的網(wǎng)絡(luò)攻擊。通過利用新技術(shù)，還可以防止新威脅影響端點設(shè)備，使其能夠采用主動預(yù)防思維而不是傳統(tǒng)的被動保護。

3 燃?xì)夤芫W(wǎng)信息安全解決方案

3.1 燃?xì)釹CADA系統(tǒng)面臨的主要安全問題

燃?xì)夤芫W(wǎng)SCADA系統(tǒng)在網(wǎng)絡(luò)安全方面存在的主要問題既包括非故意的設(shè)備故障或人員操作錯誤，又包括故意的網(wǎng)絡(luò)攻擊。威脅可能來自內(nèi)部，也可能來自外部。

①網(wǎng)絡(luò)流量異?？缬騻鲗?dǎo)。由于中央中控室網(wǎng)絡(luò)和燃?xì)夤芫W(wǎng)子站的網(wǎng)絡(luò)是直接跨域相連的，任何網(wǎng)絡(luò)流量的異常，都會擴散到燃?xì)夤芫W(wǎng)其他子站，從而影響現(xiàn)場的控制系統(tǒng)與現(xiàn)場執(zhí)行設(shè)備。

②關(guān)鍵設(shè)施缺乏操作審計。燃?xì)?SCADA 系統(tǒng)通過實現(xiàn)數(shù)據(jù)采集、設(shè)備控制、測量、參數(shù)調(diào)節(jié)以及各類信號報警等參與輸氣生產(chǎn)，SCADA服務(wù)器等關(guān)鍵設(shè)施是整個系統(tǒng)的數(shù)據(jù)處理核心。如果沒有針對操作人員的必要行為審計，一旦出現(xiàn)內(nèi)部人員違規(guī)或惡意操作，將使整個燃?xì)夤芫W(wǎng)面臨風(fēng)險。

③對外接口管理缺少規(guī)范。為快速解決現(xiàn)場出現(xiàn)的問題，設(shè)備供貨商經(jīng)常要求業(yè)主提供遠(yuǎn)程維護的網(wǎng)絡(luò)接口，工程師可以遠(yuǎn)程操作并進行數(shù)據(jù)傳輸。如果沒有規(guī)范的接入管理措施與技術(shù)手段，開放這樣的遠(yuǎn)程端口很容易被人利用，并帶來安全隱患。

④存在病毒攻擊威脅。工業(yè)控制系統(tǒng)一旦投入使用，極少進行系統(tǒng)升級，給病毒入侵制造了機會。通常，病毒入侵的途徑包括遠(yuǎn)程維護外來接入設(shè)備、本地維護外來介入設(shè)備、移動媒介(例如 U 盤)、釣魚軟件等。

⑤工控設(shè)備通用安全隱患。很多工業(yè)控制設(shè)備采用明文傳輸，沒有加密機制，信息傳輸時易被偵測；工業(yè)控制協(xié)議缺乏身份驗證機制，無法核實控制命令來源；軟件健壯性不足，協(xié)議報文變形時出現(xiàn)掛起或死機；產(chǎn)品一旦安裝，修復(fù)漏洞的固件更新相對困難，攻擊者可輕易利用已知漏洞對控制設(shè)備進行攻擊[9]。

3.2 燃?xì)夤芫W(wǎng)系統(tǒng)信息安全防護建議

了解燃?xì)夤芫W(wǎng)信息系統(tǒng)面臨的主要問題后，在燃?xì)釹CADA系統(tǒng)部署安全防護設(shè)施是必然的選擇。針對典型的燃?xì)釹CADA系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)，建議采取分布式的工業(yè)防火墻和工控監(jiān)控平臺的部署、白名單軟件、運維審計平臺和網(wǎng)絡(luò)隔離這4種安全防護措施。燃?xì)夤芫W(wǎng)SCADA系統(tǒng)安全防護建議架構(gòu)如圖3所示。

3.2.1 工業(yè)防火墻+監(jiān)控平臺

工業(yè)防火墻+監(jiān)控平臺的防護模式是基本的安全加固措施，由位于中央主控室的工控安全監(jiān)控平臺以及分布在每個燃?xì)夤芫W(wǎng)子站的工業(yè)防火墻共同完成。工控安全監(jiān)控平臺和分布在現(xiàn)場的工業(yè)防火墻協(xié)同工作。工業(yè)防火墻系統(tǒng)在傳統(tǒng)防火墻的功能基礎(chǔ)上，提供了多種工控協(xié)議的深度解析，并通過分布式部署和人工智能分析方法確保發(fā)生事件的網(wǎng)絡(luò)節(jié)點可以被迅速地檢測到；同時，其他網(wǎng)絡(luò)節(jié)點在第一時間會收到預(yù)警，實現(xiàn)全網(wǎng)聯(lián)動。而工控安全監(jiān)控平臺通過工業(yè)防火墻完成實時部署安全策略、監(jiān)控工業(yè)防火墻的工作狀態(tài)，以及實時獲取工控網(wǎng)絡(luò)安全事件的日志和報警的任務(wù)。

3.2.2 白名單技術(shù)

為燃?xì)釹CADA系統(tǒng)定制的第二重安全防護加固措施是白名單技術(shù)。白名單技術(shù)是指創(chuàng)建預(yù)先批準(zhǔn)或受信任的應(yīng)用及進程列表，僅允許這些“已知良好”的應(yīng)用和進程運行，并默認(rèn)阻止其他一切應(yīng)用和進程。由于工業(yè)環(huán)境運行的應(yīng)用數(shù)量相對有限，易于枚舉，因此白名單能夠比黑名單更好地解決工業(yè)環(huán)境的安全問題。白名單技術(shù)減緩了多種潛在威脅的影響(包括惡意軟件和其他未得到授權(quán)的軟件)。因此，它可代替殺毒軟件，進行病毒防護、阻止惡意軟件攻擊、禁止非授權(quán)程序運行等。同時，白名單技術(shù)解決了“零日”漏洞攻擊和性能問題。

3.2.3 運維審計平臺

運維審計平臺是目前信息化程度和信息安全需求較高的行業(yè)普遍使用的安全防護技術(shù)平臺。在燃?xì)釹CADA系統(tǒng)中，網(wǎng)絡(luò)規(guī)模較大，中央主控室和燃?xì)夤芫W(wǎng)子站中存在多個操作員站和工程師工作站。這些工作站的用戶管理和訪問授權(quán)的管理方式使帳號和口令的安全性受到了極大影響，造成業(yè)務(wù)管理和安全之間的失衡。因此，原有的帳號口令管理措施不能滿足安全防護的要求。

工控運維審計平臺，也稱堡壘機，部署在燃?xì)夤芫W(wǎng)中央主控室。為了保障網(wǎng)絡(luò)和數(shù)據(jù)不受來自外部和內(nèi)部用戶的入侵和破壞，而運用各種技術(shù)手段實時收集和監(jiān)控網(wǎng)絡(luò)環(huán)境中每一個組成部分的系統(tǒng)狀態(tài)、安全事件、網(wǎng)絡(luò)活動，以便集中報警、記錄、分析、處理[10]。

3.2.4 網(wǎng)絡(luò)隔離

當(dāng)實施安全的體系架構(gòu)時，一個重要的特點就是將網(wǎng)絡(luò)正確劃分，實現(xiàn)所謂基于普渡模型的分區(qū)。分區(qū)后，除了應(yīng)用防火墻之外，網(wǎng)絡(luò)隔離也是重要的防護手段。網(wǎng)絡(luò)隔離著力解決網(wǎng)絡(luò)流量異常的安全隱患，以及病毒和木馬的入侵，并且提供中央主控室和燃?xì)夤芫W(wǎng)子站間物理隔離而邏輯相通的安全數(shù)據(jù)交換通道。

當(dāng)燃?xì)釹CADA系統(tǒng)部署了工控網(wǎng)絡(luò)隔離設(shè)備之后，通過網(wǎng)絡(luò)物理隔離、雙重操作系統(tǒng)、高強度的加密算法就可以保障數(shù)據(jù)的安全傳輸；同時也將中控室中所有突發(fā)的網(wǎng)絡(luò)流量封閉在中央中控室網(wǎng)絡(luò)之內(nèi)，使其不會對管網(wǎng)子站的工控部件和現(xiàn)場設(shè)備造成影響。網(wǎng)絡(luò)隔離設(shè)備上客戶端的IP白名單可以有效地避免來自外部網(wǎng)絡(luò)的攻擊，杜絕病毒木馬的感染，隱藏并保護燃?xì)夤芫W(wǎng)子站網(wǎng)絡(luò)內(nèi)部的計算機[11]。

3.3 信息化發(fā)展下的安全新技術(shù)研究

3.3.1 安全防護平臺化技術(shù)

燃?xì)夤緸榱四軌蚺c供應(yīng)商、合作伙伴和服務(wù)提供商有效溝通，正在不斷采用數(shù)字解決方案和物聯(lián)網(wǎng)(Internet of things，IoT)技術(shù)來提高產(chǎn)品服務(wù)質(zhì)量和系統(tǒng)正常運行時間，優(yōu)化資產(chǎn)使用，降低風(fēng)險和成本，并允許快速響應(yīng)實時生產(chǎn)信息。平臺化的安全防護方案可幫助燃?xì)夤芫W(wǎng)網(wǎng)絡(luò)在不影響安全或運營的情況下，保持效率并利用創(chuàng)新的、節(jié)省成本的技術(shù)(如云、物聯(lián)網(wǎng))，提供實時可見性和內(nèi)聚安全性，從而降低網(wǎng)絡(luò)風(fēng)險。

3.3.2 云環(huán)境下的虛擬防火墻技術(shù)

在虛擬化和云環(huán)境下，入侵流量并不會路由到外面的物理設(shè)備，而是在物理機內(nèi)部的虛擬機之間完成傳輸。因此，需要一種新的防護方案來滿足虛擬機和云計算環(huán)境下新的安全防護要求。虛擬防火墻(virtual firewall，VFW)應(yīng)運而生。VFW是完全在虛擬化環(huán)境中運行的網(wǎng)絡(luò)防火墻服務(wù)或設(shè)備，復(fù)制了物理網(wǎng)絡(luò)防火墻的功能，可以對通過物理網(wǎng)絡(luò)的流量使用安全策略，進行數(shù)據(jù)包過濾和監(jiān)控[12]。

3.3.3 基于人工智能的安全分析技術(shù)

新的風(fēng)險模式需要持續(xù)分析漏洞和風(fēng)險管理，以現(xiàn)有采集到的病毒數(shù)據(jù)和威脅知識作為訓(xùn)練數(shù)據(jù)集，應(yīng)用機器學(xué)習(xí)方法訓(xùn)練漏洞分析模型。一旦機器與檢測新攻擊、發(fā)現(xiàn)新漏洞的能力相結(jié)合，安全防護系統(tǒng)將能以更高效的方式抵御威脅。

4 結(jié)束語

系統(tǒng)在某城市燃?xì)夤局醒肟刂剖壹白诱具M行了部署。通過在該燃?xì)夤維CADA系統(tǒng)網(wǎng)絡(luò)不同網(wǎng)段之間建立安全控制點，允許、拒絕或重新定向經(jīng)過的數(shù)據(jù)流等方式，實現(xiàn)對不同網(wǎng)段之間的網(wǎng)絡(luò)通信和訪問進行審計及控制。同時，系統(tǒng)通過實時獲取工業(yè)控制網(wǎng)絡(luò)內(nèi)安全事件日志和報警，監(jiān)控工控現(xiàn)場防火墻的工作狀態(tài)。系統(tǒng)應(yīng)用結(jié)果顯示,管網(wǎng)監(jiān)控系統(tǒng)的整體信息安全防護能力有所提升,信息數(shù)據(jù)有效降低了安全風(fēng)險。

燃?xì)夤芫W(wǎng)的安全防護與燃?xì)夤芫W(wǎng)的技術(shù)發(fā)展密切相關(guān)，目前對燃?xì)夤芫W(wǎng)的安全防護是基于當(dāng)前的系統(tǒng)中存在的安全隱患所采取的應(yīng)對措施，既體現(xiàn)了SCADA工業(yè)控制系統(tǒng)的普遍性，又是目前切合實際的安全問題解決方案。工業(yè)物聯(lián)網(wǎng)技術(shù)和云技術(shù)將繼續(xù)推動安全防護體系的不斷升級和完善。