劉 銳，薛金良，包賢晨，王永軍，鄭承洧

(1. 中油國(guó)際管道公司，北京100029 ；2. 浙江國(guó)利網(wǎng)安科技有限公司，浙江 寧波315000)

0 引言

近年來，全球工業(yè)信息安全總體風(fēng)險(xiǎn)處于持續(xù)攀升的高危狀態(tài)，工業(yè)控制系統(tǒng)(以下簡(jiǎn)稱工控系統(tǒng)) 相關(guān)高危漏洞不斷出現(xiàn)，重大工業(yè)信息安全事件頻繁發(fā)生[1]。截止至2020年12月31日，2020年新增工控系統(tǒng)行業(yè)漏洞589個(gè)，其中高危239個(gè)，中危307個(gè)，低危43個(gè)，較2019年數(shù)量顯著增多[2]。2021年5月美國(guó)Colonial Pipeline 公司遭受名為Dark Side 的網(wǎng)絡(luò)犯罪團(tuán)伙攻擊，該攻擊行為被稱為美國(guó)能源基礎(chǔ)設(shè)施有史以來最具破壞性的網(wǎng)絡(luò)攻擊，造成了美國(guó)東海岸45% 的燃油供應(yīng)暫停，美國(guó)東部多州宣布進(jìn)入緊急狀態(tài)[3]。

信息化和工業(yè)化的深度融合，使傳統(tǒng)的工控系統(tǒng)逐步由單機(jī)走向互聯(lián)、由封閉走向開放。傳統(tǒng)的工業(yè)控制系統(tǒng)與IT 系統(tǒng)，甚至與互聯(lián)網(wǎng)連接越來越緊密，導(dǎo)致工控系統(tǒng)面臨的安全威脅不斷增多[4]。為保障工業(yè)信息化健康、快速發(fā)展，確保工業(yè)生產(chǎn)業(yè)務(wù)安全高效運(yùn)行，加強(qiáng)工控系統(tǒng)防護(hù)能力成為重中之重[5]。

由于過去油氣管道工控系統(tǒng)設(shè)計(jì)建設(shè)時(shí)，工控系統(tǒng)安全態(tài)勢(shì)尚不嚴(yán)峻，因此并未充分考慮工控系統(tǒng)安全相關(guān)需求?，F(xiàn)今，為保障油氣管道系統(tǒng)安全，對(duì)系統(tǒng)展開風(fēng)險(xiǎn)分析，采取有力措施減少工控系統(tǒng)中可能存在的安全隱患，確保工控系統(tǒng)能夠安全、穩(wěn)定運(yùn)行[6]成為當(dāng)務(wù)之急。

1 油氣管道SCADA 系統(tǒng)現(xiàn)狀

油氣管道作為保障國(guó)家能源供給的重要基礎(chǔ)設(shè)施，其SCADA 系統(tǒng)安全是油氣管道業(yè)務(wù)正常運(yùn)營(yíng)的先決條件。本文參考國(guó)內(nèi)某油氣管道SCADA 系統(tǒng)進(jìn)行分析。

油氣管道SCADA 系統(tǒng)通信線路拓?fù)涫疽鈭D如圖1 所示，其網(wǎng)絡(luò)通信線路分為光纖通信鏈路和衛(wèi)星通信鏈路。油氣管道SCADA 系統(tǒng)通常以光纖鏈路作為主鏈路，通過SDH 光傳輸設(shè)備進(jìn)行管理，各場(chǎng)站必須通過在調(diào)控中心的路由策略才能實(shí)現(xiàn)相互間的通信，各閥室會(huì)將數(shù)據(jù)同步發(fā)送給所屬場(chǎng)站和調(diào)控中心。當(dāng)光纖鏈路出現(xiàn)故障時(shí)，閥室會(huì)將數(shù)據(jù)傳輸至上下游其他場(chǎng)站，使用場(chǎng)站的VAST 衛(wèi)星鏈路與調(diào)控中心進(jìn)行數(shù)據(jù)交互。

圖1 油氣管道SCADA 系統(tǒng)通信線路拓?fù)涫疽鈭D

通過對(duì)油氣管道SCADA 系統(tǒng)通信線路拓?fù)涞姆治?，可以發(fā)現(xiàn)閥室無論使用光纖鏈路或是衛(wèi)星鏈路進(jìn)行數(shù)據(jù)交互時(shí)，最終都需要經(jīng)過調(diào)控中心或場(chǎng)站的核心交換機(jī)。因此，針對(duì)閥室的防護(hù)和檢測(cè)能力，可以由所屬場(chǎng)站和調(diào)控中心來提供。由于閥室網(wǎng)絡(luò)結(jié)構(gòu)簡(jiǎn)單、數(shù)據(jù)流向明確、控制功能單一，因此在本文中不對(duì)其進(jìn)行單獨(dú)分析。

下文針對(duì)調(diào)控中心及場(chǎng)站的工控信息安全進(jìn)行風(fēng)險(xiǎn)分析。

2 油氣管道SCADA 系統(tǒng)風(fēng)險(xiǎn)分析

2.1 工控系統(tǒng)風(fēng)險(xiǎn)分析模型

本文參考《 信息安全技術(shù) 工業(yè)控制系統(tǒng)風(fēng)險(xiǎn)評(píng)估實(shí)施指南》(GB/T 36466-2018) 所確定的風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)構(gòu)建風(fēng)險(xiǎn)分析模型，將資產(chǎn)、威脅、脆弱性作為三個(gè)基本要素并與每個(gè)要素的相關(guān)屬性進(jìn)行關(guān)聯(lián)，圍繞這些基本要素展開，從而建立各要素之間的相互作用機(jī)制關(guān)系模型。以下針對(duì)要素及屬性進(jìn)行分析，建立風(fēng)險(xiǎn)分析模型。

三個(gè)基礎(chǔ)要素中，資產(chǎn)作為風(fēng)險(xiǎn)分析目標(biāo)對(duì)象，是風(fēng)險(xiǎn)分析模型中的出發(fā)點(diǎn)。通過對(duì)工控系統(tǒng)資產(chǎn)進(jìn)行整理分析，找到其面臨的威脅源；再結(jié)合資產(chǎn)本身存在的接入方式和工控系統(tǒng)中存在的脆弱性，從而統(tǒng)籌分析出資產(chǎn)可能面臨的安全問題，歸納出工控系統(tǒng)所面臨的工控安全防線[7]。風(fēng)險(xiǎn)分析模型示意圖如圖2 所示。本文將通過風(fēng)險(xiǎn)分析模型中三個(gè)基本要素： 資產(chǎn)、威脅源、脆弱性，逐個(gè)對(duì)油氣管道SCADA 系統(tǒng)展開風(fēng)險(xiǎn)分析，找到可能存在的安全風(fēng)險(xiǎn)。

圖2 風(fēng)險(xiǎn)分析模型示意圖

2.2 工控系統(tǒng)資產(chǎn)分析

資產(chǎn)的價(jià)值屬性是其風(fēng)險(xiǎn)存在的根源[8]，資產(chǎn)分析是風(fēng)險(xiǎn)分析的出發(fā)點(diǎn)和落腳點(diǎn)。本文對(duì)油氣管道SCADA 系統(tǒng)中的調(diào)控中心及場(chǎng)站中存在的資產(chǎn)進(jìn)行分析，為后續(xù)威脅源識(shí)別與脆弱性利用提供依據(jù)。

2.2.1 調(diào)控中心資產(chǎn)分析

某油氣管道區(qū)域調(diào)控中心網(wǎng)絡(luò)拓?fù)涫疽鈭D如圖3 所示，通過對(duì)油氣管道拓?fù)浞治隹梢园l(fā)現(xiàn)，調(diào)控中心各場(chǎng)站、閥室通過SDH 設(shè)備的光纖鏈路和VAST設(shè)備的衛(wèi)星鏈路與調(diào)控中心進(jìn)行通信；在工控網(wǎng)絡(luò)邊界方面，調(diào)控中心與OPC 服務(wù)器通過防火墻進(jìn)行邏輯隔離；OPC 服務(wù)器與管理信息系統(tǒng)進(jìn)行通信；調(diào)控中心與Web 發(fā)布服務(wù)器通過防火墻進(jìn)行邏輯隔離，并將工控?cái)?shù)據(jù)傳輸至Web 發(fā)布服務(wù)器，使得場(chǎng)站辦公網(wǎng)可以訪問并獲得工控網(wǎng)絡(luò)信息；調(diào)控中心與VPN 設(shè)備通過防火墻進(jìn)行邏輯隔離，該VPN 用于遠(yuǎn)程訪問分調(diào)控中心服務(wù)器和工作站。

圖3 調(diào)控中心網(wǎng)絡(luò)拓?fù)涫疽鈭D

在對(duì)調(diào)控中心網(wǎng)絡(luò)進(jìn)行分析的過程中，可知SCADA 系統(tǒng)的ACL 策略配置只允許分調(diào)控中心和場(chǎng)站通信，場(chǎng)站相互之間不能直接通信。各RTU 閥室數(shù)據(jù)必須經(jīng)由場(chǎng)站交換機(jī)跳轉(zhuǎn)才能送至調(diào)控中心。在接入方式方面，存在遠(yuǎn)程診斷系統(tǒng)、VPN 等額外鏈路，設(shè)備廠家工程師可以從工控網(wǎng)絡(luò)外直接對(duì)天然氣管道的壓縮機(jī)組進(jìn)行參數(shù)修改或操控。而在安全防護(hù)方面，由于部署的防火墻為傳統(tǒng)防火墻，因此通常不具備工控協(xié)議深度解析能力和工業(yè)環(huán)境適應(yīng)能力，無法為工控系統(tǒng)提供全面的防護(hù)。

2.2.2 場(chǎng)站資產(chǎn)分析

場(chǎng)站工控系統(tǒng)拓?fù)淙鐖D4 所示。由拓?fù)淇芍?，?chǎng)站與調(diào)控中心以隨管道鋪設(shè)的自有光纖作為主通信鏈路，租用衛(wèi)星網(wǎng)絡(luò)為備通信鏈路，同時(shí)在核心交換機(jī)處存在通向上下游RTU 閥室的鏈路和GPS 校時(shí)信號(hào)的鏈路。天然氣管道的壓縮機(jī)組獨(dú)立組網(wǎng)，通過交換機(jī)接入場(chǎng)站工控網(wǎng)絡(luò)；發(fā)電機(jī)組、第三方設(shè)備通過協(xié)議轉(zhuǎn)換器接入場(chǎng)站工控網(wǎng)絡(luò)。ACL策略配置只允許調(diào)控中心和場(chǎng)站進(jìn)行通信，場(chǎng)站相互之間不能直接通信，各RTU 閥室數(shù)據(jù)必須經(jīng)由場(chǎng)站交換機(jī)跳轉(zhuǎn)才能送至調(diào)控中心。壓縮機(jī)組網(wǎng)絡(luò)存在遠(yuǎn)程診斷系統(tǒng)、VPN 等額外鏈路，設(shè)備廠家工程師可以從工控網(wǎng)絡(luò)外直接對(duì)壓縮機(jī)組控制系統(tǒng)進(jìn)行維護(hù)、優(yōu)化。

圖4 場(chǎng)站工控系統(tǒng)拓?fù)涫疽鈭D

2.3 威脅源分析

威脅是指可能造成工控系統(tǒng)危害的潛在起因。威脅源作為產(chǎn)生威脅的主體，不同的威脅源具有不同的攻擊能力。在進(jìn)行威脅調(diào)查時(shí)，首先應(yīng)識(shí)別存在哪些威脅源，同時(shí)分析這些威脅源的動(dòng)機(jī)和能力[9]。威脅源對(duì)威脅客體造成的破壞，有時(shí)候并不是直接的，而是通過中間若干媒介的傳遞，形成一條威脅路徑。本文通過對(duì)威脅源的動(dòng)機(jī)、能力等方面的分析，將油氣管道SCADA 系統(tǒng)所面臨威脅源大致分為三大類： 惡意員工、有組織攻擊者以及外國(guó)政府支持的黑客組織[10]。由于場(chǎng)站與調(diào)控中心在威脅源方面相似，因此針對(duì)威脅源方面進(jìn)行統(tǒng)一分析。

(1) 從惡意員工角度分析，由于公司內(nèi)部可能存在抱有惡意目的的員工，可能會(huì)對(duì)SCADA 系統(tǒng)進(jìn)行信息竊取或?qū)嵤┢茐?。惡意員工具有的知識(shí)和技能一般非常有限，攻擊能力較弱，但可能掌握關(guān)于SCADA系統(tǒng)的大量信息，并具有一定的權(quán)限，而且比外部的攻擊者有更多的攻擊機(jī)會(huì)，攻擊的成功率高。例如惡意員工可以直接進(jìn)入場(chǎng)站或調(diào)控中心，并利用自身權(quán)限操作SCADA 軟件，從而可以對(duì)工業(yè)控制設(shè)備進(jìn)行操作，當(dāng)惡意員工采取惡意操作時(shí)，則會(huì)造成生產(chǎn)流程的停止，乃至于SCADA 系統(tǒng)的破壞。

(2) 從有組織攻擊者角度分析，油氣管道SCADA系統(tǒng)主要面臨來自民間黑客組織及恐怖組織的威脅。首先，由于SCADA 系統(tǒng)存在大量重要信息，信息價(jià)值高，因此吸引了大量潛在的民間黑客組織，這些民間黑客組織主要以BlackShadow 、DarkSider 和Silence Hacking Crew 等這一類以勒索或竊取機(jī)密信息并售賣的黑客組織為主。其具有一定的資金、人力和技術(shù)資源，可以實(shí)施網(wǎng)絡(luò)犯罪，且對(duì)犯罪有精密計(jì)劃和準(zhǔn)備。

其次，從地理位置上可以發(fā)現(xiàn)，部分油氣管道位于恐怖組織的活動(dòng)范圍內(nèi)，這些恐怖組織為了獲得資源或者博得大國(guó)的支持，可能會(huì)對(duì)SCADA 系統(tǒng)進(jìn)行長(zhǎng)時(shí)間的攻擊。

(3) 從外國(guó)政府支持的黑客組織角度出發(fā)，基于我國(guó)當(dāng)前國(guó)際政治環(huán)境以及油氣管道在我國(guó)基礎(chǔ)設(shè)施中的重要地位，油氣管道SCADA 系統(tǒng)很可能會(huì)受到外國(guó)政府支持的黑客組織的攻擊。該類威脅源不僅組織嚴(yán)密，具有充足資金、人力和技術(shù)資源，而且目的性強(qiáng)，破壞欲望高。

2.4 脆弱性分析

2.4.1 接入方式

工控系統(tǒng)存在的接入方式是脆弱性利用的初始條件，也是攻擊者非法訪問的切入點(diǎn)。通過對(duì)威脅源接入方式的分析，得出風(fēng)險(xiǎn)分析報(bào)告，從而為安全防范措施部署提供依據(jù)，進(jìn)而提高工控系統(tǒng)的安全防護(hù)能力。針對(duì)油氣管道的威脅接入方式分類如表1 所示。

表1 接入方式分類表

2.4.2 脆弱性介紹

脆弱性是指資產(chǎn)能被威脅利用的弱點(diǎn)。狹義的脆弱性有時(shí)等同于“ 弱點(diǎn)” 和“ 漏洞” 等。由于資源受限、環(huán)境封閉及高可用性要求等原因[11]，工控系統(tǒng)設(shè)計(jì)之初缺乏對(duì)安全的充分考慮，這注定了工控系統(tǒng)的脆弱性無法避免[12]。同時(shí)，由于無法得知工控系統(tǒng)變化是否會(huì)對(duì)工業(yè)生產(chǎn)產(chǎn)生影響，企業(yè)往往不敢對(duì)工控系統(tǒng)進(jìn)行安全防護(hù)、漏洞修復(fù)、版本更新等操作。這也就導(dǎo)致了工控系統(tǒng)存在大量漏洞，工控安全防護(hù)能力低，存在極大安全隱患。

針對(duì)油氣管道SCADA 系統(tǒng)技術(shù)層面脆弱性分析如表2 所示。

表2 脆弱性分類表

2.4.3 脆弱性利用途徑及影響

在對(duì)場(chǎng)站及調(diào)控中心的網(wǎng)絡(luò)拓?fù)浞治鲋?，從威脅源的接入方式角度分析，可以發(fā)現(xiàn)幾條脆弱性利用途徑，分析如下。

2.4.3.1 調(diào)控中心脆弱性利用途徑及影響

根據(jù)調(diào)控中心拓?fù)浣Y(jié)構(gòu)，脆弱性利用途徑如圖5所示。

圖5 調(diào)控中心攻擊路徑示意圖

(1) 威脅源可通過1 號(hào)線以物理接觸接入的方式抵達(dá)工作站，直接操作工控軟件，獲得該工作站的相應(yīng)工控操作權(quán)限，實(shí)現(xiàn)對(duì)現(xiàn)場(chǎng)設(shè)備的啟停等操作；

(2) 威脅源可通過2 號(hào)線以網(wǎng)絡(luò)跳板接入的方式從調(diào)控中心內(nèi)部網(wǎng)絡(luò)向工作站發(fā)起訪問，利用其脆弱性獲得工作站遠(yuǎn)程操控權(quán)限，進(jìn)而將工作站的屏幕界面導(dǎo)出給攻擊者，此時(shí)攻擊者將獲得該工作站的相應(yīng)工控操作權(quán)限；

(3) 威脅源可通過3 號(hào)線以遠(yuǎn)程網(wǎng)絡(luò)接入方式或物理相鄰接入的方式從調(diào)控中心外界網(wǎng)絡(luò)向工作站發(fā)起訪問，利用其脆弱性獲得工作站遠(yuǎn)程操控權(quán)限，進(jìn)而將工作站的屏幕界面導(dǎo)出給攻擊者，此時(shí)攻擊者將獲得該工作站的相應(yīng)工控操作權(quán)限。

2.4.3.2 場(chǎng)站脆弱性利用途徑及影響

根據(jù)場(chǎng)站網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，脆弱性利用途徑如圖6所示。

圖6 油氣管道SCADA 系統(tǒng)場(chǎng)站攻擊路徑示意圖

(1) 威脅源可通過1 號(hào)線以物理接觸接入的方式抵達(dá)工作站，直接操作工控軟件，獲得該工作站的相應(yīng)工控操作權(quán)限，實(shí)現(xiàn)對(duì)現(xiàn)場(chǎng)設(shè)備的啟停等操作。

(2) 威脅源可通過2 號(hào)線以網(wǎng)絡(luò)跳板接入的方式從場(chǎng)站內(nèi)部網(wǎng)絡(luò)向工作站發(fā)起訪問，利用其脆弱性獲得工作站遠(yuǎn)程操控權(quán)限，進(jìn)而將工作站的屏幕界面導(dǎo)出給攻擊者，此時(shí)攻擊者將獲得該工作站的相應(yīng)工控操作權(quán)限；威脅源向PLC 發(fā)起訪問時(shí)，利用工控協(xié)議脆弱性，向PLC 發(fā)送符合協(xié)議規(guī)約要求格式的指令即可達(dá)到控制PLC 的目的。

(3) 威脅源可通過3 號(hào)線以遠(yuǎn)程網(wǎng)絡(luò)接入或物理相鄰接入的方式從場(chǎng)站外界網(wǎng)絡(luò)向工作站發(fā)起訪問，利用其脆弱性獲得工作站遠(yuǎn)程操控權(quán)限，進(jìn)而將工作站的屏幕界面導(dǎo)出給攻擊者，此時(shí)攻擊者將獲得該工作站的相應(yīng)工控操作權(quán)限；威脅源向PLC 發(fā)起訪問時(shí)，利用工控協(xié)議脆弱性，向PLC 發(fā)送符合協(xié)議規(guī)約要求格式的指令即可達(dá)到控制PLC 的目的。

3 結(jié)論

本文通過構(gòu)建風(fēng)險(xiǎn)分析模型的方式，對(duì)某國(guó)際油氣管道SCADA 系統(tǒng)進(jìn)行風(fēng)險(xiǎn)分析，可發(fā)現(xiàn)系統(tǒng)存在如下風(fēng)險(xiǎn)：

(1) 邊界安全風(fēng)險(xiǎn)

調(diào)控中心和場(chǎng)站部署邊界防護(hù)設(shè)備不具備工控協(xié)議深度解析功能，無法提供全面的工控安全防護(hù)能力，一旦被威脅源侵入，無法將威脅限制在有限范圍內(nèi)，導(dǎo)致威脅擴(kuò)散。

(2) 網(wǎng)絡(luò)安全風(fēng)險(xiǎn)

工控系統(tǒng)缺乏OT 網(wǎng)絡(luò)行為審計(jì)手段，無法及時(shí)發(fā)現(xiàn)非法的工控操作行為，對(duì)非法接入、異常通信、非法外聯(lián)等網(wǎng)絡(luò)事件也無法及時(shí)告警，當(dāng)安全事件發(fā)生后無法進(jìn)行審計(jì)和分析操作。

同時(shí)，由于設(shè)備廠家工程師可以通過遠(yuǎn)程診斷系統(tǒng)、VPN 等直接訪問壓縮機(jī)組網(wǎng)絡(luò)，進(jìn)行遠(yuǎn)程巡檢、調(diào)整參數(shù)等操作，一旦遠(yuǎn)程電腦被成功釣魚攻擊，威脅源將可以直接訪問壓縮機(jī)組網(wǎng)絡(luò)，繼而引發(fā)威脅。

(3) 軟件安全風(fēng)險(xiǎn)

工控軟件和數(shù)據(jù)庫(kù)軟件等存在安全漏洞，難以進(jìn)行補(bǔ)丁更新或系統(tǒng)升級(jí)，攻擊者可利用相關(guān)漏洞進(jìn)行拒絕服務(wù)、滲透入侵、勒索軟件等攻擊，被攻擊目標(biāo)存在被迫終止服務(wù)、竊取信息、植入后門或?qū)刂圃O(shè)備進(jìn)行惡意操控的風(fēng)險(xiǎn)。

(4) 硬件安全風(fēng)險(xiǎn)

工業(yè)控制設(shè)備存在安全漏洞且處于無防護(hù)狀態(tài)，存在關(guān)鍵信息被竊取、被惡意操控、被重放或篡改數(shù)據(jù)的風(fēng)險(xiǎn)。

通過對(duì)系統(tǒng)的風(fēng)險(xiǎn)分析，可以發(fā)現(xiàn)其中存在的脆弱性攻擊路徑，解釋了可能存在的安全問題的形成原因。本文對(duì)SCADA 系統(tǒng)安全情況進(jìn)行總結(jié)歸納，以分析報(bào)告的方式為管理人員提供改進(jìn)意見，從而督促管理人員重點(diǎn)針對(duì)發(fā)現(xiàn)的安全風(fēng)險(xiǎn)進(jìn)行修復(fù)改善。只有從安全風(fēng)險(xiǎn)分析結(jié)果入手，并結(jié)合項(xiàng)目實(shí)際生產(chǎn)運(yùn)行，才能更好地對(duì)SCADA 系統(tǒng)工控安全架構(gòu)進(jìn)行整體規(guī)劃和部署，做出準(zhǔn)確的判斷及決策，持續(xù)加固完善工控安全防護(hù)體系，切實(shí)保障油氣管道SCADA 系統(tǒng)正常運(yùn)行。