劉剛,林棋，邊學(xué)文

中油國際管道公司（北京 100007）

工業(yè)控制系統(tǒng)（Industrial Control Systems，ICS），主要是以高可靠性、高實時性為特點，隨著世界科技的進(jìn)步，互聯(lián)網(wǎng)技術(shù)的發(fā)展，從“德國工業(yè)4.0”到“中國制造2025”生產(chǎn)工業(yè)制造計劃的提出，工業(yè)控制系統(tǒng)也迎來了大發(fā)展，但隨之而來的是工業(yè)控制網(wǎng)絡(luò)安全保護(hù)的嚴(yán)重滯后，運維人員對工業(yè)系統(tǒng)安全意識淡薄，同時相關(guān)知識技能的缺乏也是導(dǎo)致近些年國際上工控系統(tǒng)安全事件頻發(fā)的主要原因。從2015 年開始工控系統(tǒng)安全作為黑帽大會的熱門話題，工控系統(tǒng)安全事件逐年增長，2019 年更是創(chuàng)下新高，工控系統(tǒng)安全問題不容忽視[1-2]。

1 中亞某天然氣管道工控系統(tǒng)現(xiàn)狀

1.1 系統(tǒng)構(gòu)成

長輸天然氣管道工業(yè)控制系統(tǒng)多數(shù)基于SCA?DA(Supervisory Control And Data Acquisition)系統(tǒng)，即數(shù)據(jù)采集與監(jiān)視控制系統(tǒng)，是以計算機為基礎(chǔ)的DCS 與電力自動化監(jiān)控系統(tǒng)，由此實現(xiàn)對管道全線設(shè)備參數(shù)的監(jiān)控。其包括：數(shù)據(jù)/報警信息采集、參數(shù)測量及調(diào)控、設(shè)備狀態(tài)控制等。其主要由調(diào)控中心、站場/閥室、現(xiàn)場儀表及通訊系統(tǒng)組成。其中，調(diào)控中心負(fù)責(zé)對全線系統(tǒng)進(jìn)行監(jiān)控；站場及閥室負(fù)責(zé)現(xiàn)場數(shù)據(jù)采集及設(shè)備綜合控制；現(xiàn)場儀表負(fù)責(zé)檢測、測量站點的運行參數(shù)并實現(xiàn)設(shè)備控制；通訊系統(tǒng)通常分為有線及無線[3-4]。

1.2 網(wǎng)絡(luò)架構(gòu)

中亞天然氣管道是我國重要的能源進(jìn)口通道，實現(xiàn)天然氣多元化進(jìn)口，保障國內(nèi)天然氣的穩(wěn)定供應(yīng)，對于鞏固國家能源安全保障具有重要意義，同時有利于管道沿線國家經(jīng)濟發(fā)展和政治穩(wěn)定。鑒于此，保障中亞天然氣管道的安全、可靠、高效運行是運行單位的重點。目前該管道已運行十余年，在設(shè)計初期并未全面考慮工控系統(tǒng)安全問題，這也使得該工控系統(tǒng)急需更新升級，加快建設(shè)安全防護(hù)體系，保障天然氣管道的運行安全。

該工業(yè)控制系統(tǒng)主要采用霍尼韋爾PKS SCA?DA 系統(tǒng)，BB 公司 Controlwave PLC 以及霍尼韋爾SM ESD控制器。同時為實現(xiàn)上層數(shù)據(jù)應(yīng)用，在調(diào)控中心設(shè)有一套霍尼韋爾PHD 系統(tǒng)。各站站場采用C/S 結(jié)構(gòu)，設(shè)置有冗余的PKS 服務(wù)器、操作員工作站、工程師站。調(diào)控中心設(shè)置有兩臺冗余PKS 服務(wù)器，和站場服務(wù)器之間構(gòu)成DSA結(jié)構(gòu)，共享數(shù)據(jù)，操作員工作站直接從站控服務(wù)器讀取數(shù)據(jù)。每站設(shè)置一臺PHD buffer 服務(wù)器，通過 RDI 接口從 PKS 服務(wù)器獲取數(shù)據(jù)，并上傳至調(diào)控中心PHD服務(wù)器。同時調(diào)控中心設(shè)置一套磁盤陣列，與各站場之間設(shè)有專用的存儲網(wǎng)絡(luò)，與各站服務(wù)器連接，各站服務(wù)器歷史歸檔數(shù)據(jù)可存儲到磁盤陣列。各站到調(diào)控中心采用主備光纜通信鏈路，備用衛(wèi)星通信，Safenet網(wǎng)絡(luò)設(shè)置專用主備光纜鏈路。各站主服務(wù)器與調(diào)控中心磁盤陣列之間通過存儲網(wǎng)絡(luò)連接[5-8]。

1.3 安全性分析

該工控網(wǎng)絡(luò)在站場與控制中心采用的是星型冗余網(wǎng)絡(luò)，在各個站場之間采用的是線型冗余網(wǎng)絡(luò)。在星型拓?fù)浣Y(jié)構(gòu)中，網(wǎng)絡(luò)中的各節(jié)點通過點到點的方式連接到一個中央節(jié)點，星形網(wǎng)絡(luò)的特點是網(wǎng)絡(luò)結(jié)構(gòu)簡單，便于維護(hù)管理，故障隔離和檢測容易，但是控制中心服務(wù)器的負(fù)荷較大，當(dāng)其故障時將直接導(dǎo)致整個網(wǎng)絡(luò)癱瘓，而站點服務(wù)器故障不會影響整體正常工作。同時其采用廣播信息的傳送方法，系統(tǒng)網(wǎng)絡(luò)中任意站點均可收達(dá)來自任意一個站點傳送的信息，進(jìn)而決定了網(wǎng)絡(luò)隱患的存在，由于工況系統(tǒng)為內(nèi)部局域網(wǎng)，可規(guī)避此項影響。線型冗余結(jié)構(gòu)是基于單鏈路共享傳輸總線，系統(tǒng)中所有的服務(wù)器等設(shè)備通過電纜接口接入此共享鏈路，此種線型拓?fù)渚W(wǎng)絡(luò)便于分布，利于擴充，但網(wǎng)絡(luò)的響應(yīng)時間會有所影響，并且故障診斷困難，任一個節(jié)點出現(xiàn)故障會導(dǎo)致整個網(wǎng)絡(luò)無法正常工作，故障隔離困難，對節(jié)點要求高，每個節(jié)點都要有訪問控制功能，為此主要應(yīng)用于計算機設(shè)備數(shù)量較少的系統(tǒng)局域網(wǎng)絡(luò)中。

目前該天然氣管道的工控網(wǎng)絡(luò)系統(tǒng)安全設(shè)備部署現(xiàn)狀是，在站場控制設(shè)備與站場SCADA系統(tǒng)服務(wù)器邊界之間、在各個站場之間邊界之間、在站場與控制中心邊界之間均未部署網(wǎng)絡(luò)安全防護(hù)設(shè)備和入侵檢測設(shè)備，相應(yīng)的側(cè)重于事后分析的網(wǎng)絡(luò)審計系統(tǒng)也未部署。但是在工控網(wǎng)絡(luò)與其他工作網(wǎng)絡(luò)部署了防火墻設(shè)備。由此可以看出在該工控網(wǎng)絡(luò)設(shè)計初期并未考慮過系統(tǒng)安全性。

除了工控網(wǎng)絡(luò)架構(gòu)的安全防護(hù)缺失外，根據(jù)實際檢測發(fā)現(xiàn)在用的工控軟件也有安全風(fēng)險，需予以重視，如思科路由器、GE CIMPLICITY 軟件、霍尼韋爾PKS 系統(tǒng)均存在軟件漏洞，該系統(tǒng)正在使用的是Windows XP操作系統(tǒng)和Windows 2003服務(wù)器，還需考慮后期工控軟件的升級和操作系統(tǒng)兼容性問題，以及系統(tǒng)在運行期間很難對系統(tǒng)打補丁?；趯た剀浖c殺毒軟件的兼容性考慮，該工控系統(tǒng)有些計算機未安裝殺毒軟件，有些即使安裝了殺毒軟件也一直未作更新處理，這些都給病毒或惡意代碼傳播留下了空間。

除了以上客觀存在的風(fēng)險點外，還要考慮人的主觀因素，人員安全意識也需要加強，安全管理需要全面提升，如在該工控系統(tǒng)中的管理終端并沒有安裝有效的防護(hù)軟件和硬件來對外界的移動存儲設(shè)備進(jìn)行有序安全管理，如軟盤、光盤、移動硬盤和U盤等。非安全管理監(jiān)護(hù)下使用移動存儲設(shè)備進(jìn)行頻繁數(shù)據(jù)交換將直接加劇內(nèi)部網(wǎng)絡(luò)的安全隱患。

在公司數(shù)字化轉(zhuǎn)型升級大背景下，管理的提升離不開現(xiàn)代網(wǎng)絡(luò)數(shù)字化技術(shù)，這也將引入新的風(fēng)險源至工控網(wǎng)絡(luò)，目前采用的是物理隔離方式，工控系統(tǒng)與企業(yè)專業(yè)管理系統(tǒng)間的通信在物理上和邏輯上都是斷開的。但是隨著專業(yè)管理提升的需要，EAM 系統(tǒng)（Enterprise Assets Management）、PIS 系統(tǒng)（Pipeline Integrity Management System）的上線，屆時將進(jìn)行工況系統(tǒng)與專業(yè)管理系統(tǒng)的網(wǎng)絡(luò)集成及數(shù)據(jù)交互，這樣就使工控系統(tǒng)與管理信息網(wǎng)絡(luò)直接通信成為必需，這樣就導(dǎo)致工控系統(tǒng)不再是獨立的網(wǎng)絡(luò)環(huán)境，而是要與企業(yè)管理網(wǎng)絡(luò)通信，甚至與外部互聯(lián)網(wǎng)通信互聯(lián)，面臨的風(fēng)險進(jìn)一步加大。

2 工控系統(tǒng)的防護(hù)設(shè)計

2.1 標(biāo)準(zhǔn)依據(jù)

目前國家已經(jīng)陸續(xù)出臺了一些工控網(wǎng)絡(luò)系統(tǒng)安全方面的指導(dǎo)標(biāo)準(zhǔn)，在進(jìn)行工控網(wǎng)絡(luò)防護(hù)方面需要遵循相關(guān)標(biāo)準(zhǔn)，如《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》、GB/T 22239—2008《信息系統(tǒng)安全等級保護(hù)基本要求》、《關(guān)于加強工業(yè)控制系統(tǒng)信息安全管理的通知》、GB/T 22239—2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求》、《網(wǎng)絡(luò)安全等級保護(hù)2.0 標(biāo)準(zhǔn)》、《工業(yè)控制系統(tǒng)信息安全事件應(yīng)急管理工作指南》等[9-12]。

2.2 防護(hù)架構(gòu)

通過分析該天然氣管道工業(yè)控制系統(tǒng)的安全現(xiàn)狀，為適應(yīng)現(xiàn)代工業(yè)控制系統(tǒng)的安全防護(hù)，需要對該系統(tǒng)軟硬件進(jìn)行安全防護(hù)升級，并增加部署相應(yīng)的防護(hù)設(shè)備，提高工控系統(tǒng)的安全等級。部署方案如圖1所示。

圖1 工控系統(tǒng)防護(hù)架構(gòu)構(gòu)建圖

1）該工控網(wǎng)絡(luò)防護(hù)以邊界防護(hù)為主，在工控網(wǎng)絡(luò)內(nèi)部沒有防御縱深，邊界采用防火墻進(jìn)行防護(hù)，需升級為工業(yè)網(wǎng)閘，將邏輯隔離改為物理隔離，提升防護(hù)能力。

2）需要在調(diào)控中心與各個站場邊界部署工業(yè)防火墻進(jìn)行邏輯隔離，做到網(wǎng)絡(luò)層級間的安全隔離和防護(hù)。各站場的控制設(shè)備與工作站之間也要部署防護(hù)設(shè)備，如各站場PLC/RTU等工控設(shè)備的網(wǎng)絡(luò)出口處部署工業(yè)防火墻，使重要工控設(shè)備達(dá)到單體設(shè)備級的安全防護(hù)等級，從而在整體上形成縱向分層、橫向分域的防護(hù)策略。

3）在工控網(wǎng)絡(luò)與企業(yè)管理系統(tǒng)之間數(shù)據(jù)交互的關(guān)鍵網(wǎng)絡(luò)節(jié)點需要部署入侵檢測系統(tǒng)，在站場內(nèi)部的核心交換機處部署入侵檢測系統(tǒng)，實時發(fā)現(xiàn)針對SCADA、PLC 等重要工控設(shè)備的攻擊和破壞行為，以及木馬病毒等惡意軟件的擴散傳播行為，及時有效保護(hù)系統(tǒng)不被破壞。

4）在工控網(wǎng)絡(luò)與企業(yè)管理系統(tǒng)之間數(shù)據(jù)交互的關(guān)鍵網(wǎng)絡(luò)節(jié)點需要部署網(wǎng)絡(luò)審計系統(tǒng)，在站場內(nèi)部的核心交換機處部署網(wǎng)絡(luò)審計系統(tǒng)，從而能夠為企業(yè)提供監(jiān)控、事中記錄、事后審計服務(wù)。

5）對存在漏洞的軟硬件設(shè)備進(jìn)行升級，更新補丁，減少漏洞利用的概率。

2.3 安全管理平臺

針對管道工控系統(tǒng)弱點，加大加強防護(hù)覆蓋范圍，在調(diào)控中心搭建工控系統(tǒng)統(tǒng)一安全管理平臺，通過采集、分析部署在工控系統(tǒng)網(wǎng)絡(luò)節(jié)點中各安全防護(hù)設(shè)備產(chǎn)生的實時數(shù)據(jù)，做到對管道工控系統(tǒng)網(wǎng)絡(luò)進(jìn)行安全分析、安全攻擊溯源、安全事件挖掘和危害消除，從而具有快速檢測威脅、分析和處置能力。

統(tǒng)一安全管理平臺服務(wù)于工業(yè)控制系統(tǒng)，以保障整個系統(tǒng)設(shè)施的安全（如：以太網(wǎng)、各終端設(shè)備、各數(shù)據(jù)庫服務(wù)器、各操控應(yīng)用系統(tǒng)等），從系統(tǒng)安全出發(fā)對設(shè)備運行安全等各類IT資源進(jìn)行實時監(jiān)控，對各類安全事件及時做出預(yù)警及響應(yīng)，以保障工業(yè)控制系統(tǒng)的安全穩(wěn)定運行。一般統(tǒng)一安全管理平臺應(yīng)滿足如下功能需求：①實時監(jiān)控服務(wù)器、以太網(wǎng)設(shè)備的實時運行狀態(tài)及流量，如端口流量、CPU及內(nèi)存等；②在線/離線管理各操作終端外設(shè)、進(jìn)程及桌面；③監(jiān)控各層邊界數(shù)據(jù)交互；④監(jiān)控工控系統(tǒng)網(wǎng)絡(luò)操作行為；⑤監(jiān)控分析工控系統(tǒng)日志；⑥預(yù)警響應(yīng)工控系統(tǒng)中各類異常事件；⑦劃分工控網(wǎng)絡(luò)與企業(yè)管理系統(tǒng)虛擬安全域。

由于工業(yè)控制系統(tǒng)管理終端的安全防護(hù)技術(shù)措施十分薄弱，所以病毒、木馬、黑客等攻擊行為都會利用這些安全弱點，在終端上發(fā)生、發(fā)起，并通過網(wǎng)絡(luò)感染或破壞其他系統(tǒng)。工業(yè)控制系統(tǒng)終端最大特點是應(yīng)用相對固定，終端主要安裝工業(yè)控制系統(tǒng)程序，所以，要防范傳統(tǒng)方式的病毒或木馬等惡意軟件，最直接的方式就是利用工業(yè)控制系統(tǒng)對終端應(yīng)用程序進(jìn)程進(jìn)行管理。工業(yè)控制系統(tǒng)安全管理平臺終端安全管理應(yīng)滿足如下功能需求。

1）終端準(zhǔn)入控制功能，防止未達(dá)安全基線的便攜設(shè)備操作控制各終端。

2）終端安全防護(hù)功能，可對工控系統(tǒng)終端進(jìn)行安全防護(hù)、加固，以滿足安全基線要求。

3）外設(shè)管理功能，對串口、網(wǎng)卡、USB 接口及光驅(qū)等外設(shè)進(jìn)行統(tǒng)一管理。

4）工業(yè)控制系統(tǒng)應(yīng)用程序監(jiān)控功能，對各系統(tǒng)軟件進(jìn)行實時監(jiān)控及動態(tài)管理。

5）工業(yè)通信協(xié)議監(jiān)控功能，降低協(xié)議漏洞利用概率。

6）針對部分無法在線管理的終端，應(yīng)具備離線管理控制功能。

7）身份認(rèn)證功能，工控系統(tǒng)各在線、離線終端都應(yīng)有身份認(rèn)證，防止被控制。

3 結(jié)束語

結(jié)合中亞某天然氣管道工控系統(tǒng)安全現(xiàn)狀進(jìn)行分析，對該工控網(wǎng)絡(luò)采用的星型冗余網(wǎng)絡(luò)和線型冗余網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)優(yōu)缺點進(jìn)行描述，對該系統(tǒng)的安全脆弱性進(jìn)行分析。構(gòu)建相關(guān)防護(hù)架構(gòu)體系，設(shè)置安全管理平臺，做到實時有效保護(hù)工控網(wǎng)絡(luò)，旨在提升該工控系統(tǒng)網(wǎng)絡(luò)安全，避免由于系統(tǒng)、軟件等的漏洞原因而導(dǎo)致整個網(wǎng)絡(luò)受到攻擊破壞，達(dá)到防御惡意攻擊、提升該工控系統(tǒng)安全性、運行穩(wěn)定性的目的，可為輸油氣管道的工業(yè)控制系統(tǒng)安防優(yōu)化提供借鑒。