油氣管道SCADA系統(tǒng)數據傳輸的安全風險及其解決方案

黃河 張偉 祁國成 閆峰 陳鵬

中國石油北京油氣調控中心

油氣管道SCADA（Supervisory Control And Data Acquisition，監(jiān)視控制與數據采集）系統(tǒng)，是一種針對油氣長輸過程進行數據采集、監(jiān)視和控制的工業(yè)控制系統(tǒng)，通過對現場設備信號進行實時采集、加工、匯總、計算和展示，以實現設備監(jiān)控、參數調節(jié)以及信號報警等遠程監(jiān)控功能［1］。

中國石油北京油氣調控中心（以下簡稱調控中心）針對中國石油天然氣股份有限公司所屬的長輸油氣管道實施集中式的遠程監(jiān)控、操作運行、調度管理和應急協調，以優(yōu)化管道運營管理體制，提高油氣管輸效率。目前中國石油油氣管道SCADA系統(tǒng)已完成從集中式到分布式的過渡發(fā)展，管網調度實行三級控制，即中心控制（以下簡稱中控）、站場控制（以下簡稱站控）和就地控制。分布式的SCADA系統(tǒng)運行需要依托通信網絡。

隨著油氣調度一體化、網絡化的發(fā)展，SCADA系統(tǒng)安全成為保證油氣管道生產平穩(wěn)運行的關鍵因素，直接影響石油工業(yè)生產運行乃至國家經濟命脈安全。據美國儀器系統(tǒng)和自動化協會（ISA）的一份報告稱，當前各種SCADA系統(tǒng)普遍存在弱點，安全評估和風險防范迫在眉睫［2］，重點區(qū)域和重要環(huán)節(jié)的安全防護已經成為一項重要的研究課題。以往有針對調控中心的安全防護研究，較常見的策略有冗余、災備［3］。

筆者將針對油氣管道SCADA系統(tǒng)在數據傳輸環(huán)節(jié)中存在的風險進行分析，結合國內外已有的標準和先進技術，提出了有效的安全防護解決方案。

1 油氣管道SCADA系統(tǒng)數據傳輸

油氣管道SCADA系統(tǒng)采用分布式架構，可以分為中控系統(tǒng)、站控系統(tǒng)和通信系統(tǒng)等3個主要部分，如圖1所示。

為保證調控需要，日常生產過程中SCADA系統(tǒng)內全天24h不間斷地傳輸著大量實時數據。這些數據可粗略分為兩類：即上行數據和下行數據。上行主要是采集的量測數據，下行主要是控制指令。數據傳輸過程可以分為兩個階段：①站場內站控系統(tǒng)和現場設備之間的數據交換；②中控系統(tǒng)和站控系統(tǒng)之間的數據交換。數據傳輸過程的實時性、安全性和可靠性要求都非常高。

1．1 數據傳輸的特點

1）數據傳輸吞吐量大、實時性強，據粗略統(tǒng)計，系統(tǒng)并行監(jiān)控的數據點總數接近百萬，時間精度通常為毫秒級。

圖1 油氣管道SCADA系統(tǒng)結構圖

2）進行數據交換的設備之間通常存在上位、下位關系［4］。上位設備是可以對其他設備下發(fā)指令進行操作控制的一類設備，例如SCADA服務器、PLC。下位設備負責發(fā)送數據給上位設備并執(zhí)行收到的操作指令，例如傳感器、驅動器。需要特別說明的是，上位、下位是相對的概念，并不是絕對的分類，例如PLC相對于SCADA服務器是下位設備，相對于傳感器、驅動器則是上位設備。某些上位設備之間也存在數據交換，例如SCADA服務站之間需要進行數據共享。

3）數據傳輸具有不對稱性［5］。例如，從下位發(fā)往上位的采集數據遠遠大于上位發(fā)往下位的控制指令。

4）數據傳輸還具有優(yōu)先級特性和可選擇性［4］。例如ESD等應急指令應當較普通控制指令優(yōu)先下發(fā)；某些設備僅接收報警等關鍵信息。

5）數據傳輸依托于通信網絡，需要使用特定的通信協議，協議的選擇需要考慮滿足上述的數據傳輸特點。

1．2 常用通信協議

SCADA數據傳輸使用的通信協議，應能保證數據在限定時間內正確送達。根據美國燃氣協會（AGA）發(fā)布的 AGA－12：1標準［6］，SCADA 系統(tǒng)中使用的協議有近200個，大都是由不同廠商研發(fā)提供的私有協議。經過多年的發(fā)展，一些開放的標準協議在工業(yè)界得到廣泛應用。表1中列舉了油氣管道SCADA系統(tǒng)中最常用的幾種標準協議。

目前，一些工業(yè)級標準協議中已經明確提出了安全相關內容［7］，比如最新版本的DNP3標準中就加入了安全相關內容，支持在進行關鍵信息交換時以“質疑—回應”（challenge－response）機制進行認證。

表1 油氣管道SCADA系統(tǒng)常用協議表

1．3 站控系統(tǒng)和現場設備傳輸數據

站控系統(tǒng)和現場設備通常都部署在同一站場內，站場內一般建有百兆／千兆的局域網或串行通訊連接，并與外界網絡進行了物理隔離。

站控系統(tǒng)可分為SCADA工作站和PLC兩部分，工作站上安裝了服務端、客戶端一體化的站控SCADA軟件。此外，可能還配備一個數據通信網關（GW）用以協議轉換。

站控系統(tǒng)通過PLC連接現場傳感器、驅動器等設備，并進行信號采集和控制，常用的協議有MODBUS RTU、DeviceNet等。PLC之間可以使用 MODBUS PLUS或ControlNet協議進行數據交換。PLC和GW、SCADA工作站之間的數據傳輸使用MODBUS TCP或CIP協議。GW和SCADA工作站之間的數據傳輸可以使用IEC－104、DNP3、MODBUS TCP、CIP等協議。

根據不同的數據流策略，數據可以在PLC、GW或SCADA工作站等不同處實現匯聚，如圖2所示。

圖2 站場內數據傳輸示意圖

1．4 中控系統(tǒng)和站控系統(tǒng)傳輸數據

中控系統(tǒng)和站控系統(tǒng)通常部署在相距很遠的不同地方，之間利用通信系統(tǒng)進行數據傳輸。油氣管道SCADA通信系統(tǒng)主要以光纖通信為主信道，衛(wèi)星或租用公網為備用信道。一些沒有進行光通信改造的管道，仍利用微波、公網等通信系統(tǒng)。中控系統(tǒng)和站控系統(tǒng)之間的通信采用IEC－104、DNP3、MODBUS TCP、CIP等多種協議。

中控系統(tǒng)可分為SCADA服務器和客戶端工作站兩部分，此外還配備一個總數據通信網關（MGW）。

中控系統(tǒng)和站控系統(tǒng)之間的數據傳輸，一般有兩種方式，如圖3所示。

圖3 中控、站控數據傳輸示意圖

一種方式是，中控系統(tǒng)的SCADA服務器使用MODBUS TCP、CIP等協議直接采集和控制站控系統(tǒng)的PLC，或者使用IEC－104、DNP3、MODBUS TCP、CIP等協議采集站控系統(tǒng)GW上的數據或下發(fā)指令。

另一種方式是，中控系統(tǒng)通過 MGW使用IEC－104、DNP3、MODBUS TCP、CIP等協議實現對所有站控系統(tǒng)的數據采集和控制指令下發(fā)。

此外，中控系統(tǒng)的多臺SCADA服務器之間還可以使用“用于過程控制的對象連接與嵌入”（OPC）協議進行數據交換。

1．5 外部系統(tǒng)數據傳輸數據

日常生產中，中控系統(tǒng)需要和許多外部系統(tǒng)進行數據交換，包括管道生產管理系統(tǒng)、模擬仿真系統(tǒng)、能耗計量系統(tǒng)、批次跟蹤系統(tǒng)、調度培訓系統(tǒng)、調度評價系統(tǒng)等。

目前一般有兩種方式實現中控系統(tǒng)和外部系統(tǒng)的數據傳輸：

1）數據庫直接讀寫方式。中控系統(tǒng)使用OPC協議向PI數據庫寫入數據作為鏡像，外部系統(tǒng)直接連接訪問PI數據庫。比如模擬仿真系統(tǒng)就通過這種方式間接獲取SCADA實時數據。

2）文件傳輸方式。源系統(tǒng)將數據寫入一個XML文件中，并傳至一個共享文件區(qū)或FTP，目標系統(tǒng)將自動讀取文件獲取數據。比如成品油的批次計劃信息就通過這種方式傳入SCADA系統(tǒng)中。

2 風險分析及解決方案

2．1 風險分析

當前油氣管道SCADA系統(tǒng)中數據傳輸安全方面的防護措施不多，風險主要存在于中控系統(tǒng)和站控系統(tǒng)的數據傳輸過程，主要有以下幾個方面。

2．1．1 非法接入風險

Risley等認為攻擊者無法入侵物理隔離網絡的看法是一種理解錯誤［5］，Byres更是直言物理隔離在現實世界中毫無用處，建議工業(yè)用戶開始放棄這種方法［8］。

中國石油一直在大力建設中控系統(tǒng)和站控系統(tǒng)的物理安全防護設施，但是若干系統(tǒng)之間的數據交換需求促使各個簡單孤立的系統(tǒng)逐漸形成一個復雜的SCADA網絡。

現在的網絡技術發(fā)展非?？?，對于任何形式的網絡都可以提供多種接入方式，SCADA網絡也不例外。局域網無論怎么隔離，只要有對外的數據傳輸，就總會通過一根專線、一臺設備或者一個內網和更大的企業(yè)網相連。攻擊者完全有可能利用這些鏈接獲取到對站場設備的接入途徑［4］，一旦非法接入，后果不可設想。

2．1．2 協議開放風險

Byres等認為使用私有協議是更安全的［9］。但是目前出于工程實施難度和成本的考慮，油氣管道SCADA系統(tǒng)中使用的是一些開放的標準協議，且多是基于以太網和TCP／IP協議棧的應用層協議。

標準開放的同時，也使得攻擊者能夠更容易、更深層次地理解SCADA網絡運行的機制，從而大大增加了風險。

2．1．3 明文數據風險

油氣管道SCADA系統(tǒng)中傳輸的是明文數據，沒有進行特殊的安全處理，其保密性、完整性無法得到保證。

數據在傳輸過程中或者存儲在終端設備時都有可能被侵入網絡和設備的攻擊者輕松獲得、更改。如果攻擊者對數據進行了篡改，甚至偽造重要的控制指令，系統(tǒng)本身不具備任何能力發(fā)現。一旦這些數據進入SCA－DA系統(tǒng)，可能引起嚴重事故，造成不可估量的損失。

2．1．4 非定制的軟硬件產品帶來的風險

油氣管道SCADA系統(tǒng)在建設過程中，很少選擇定制產品，而是選擇市場上較大廠商的典型軟硬件產品，這樣做大大降低了設計難度和建設成本，但同時也帶來了潛在的風險。

由于絕大多數產品不是為了SCADA系統(tǒng)專門設計的，都不帶任何安全功能。這些產品通常兼容一些基于以太網和TCP／IP協議棧的應用層協議，在基于TCP／IP的網絡攻擊面前非常脆弱。如果不加入一些專門的網絡安全設備，SCADA網絡和普通的互聯網一樣，安全性和可靠性非常低。

2．2 安全標準

針對上述數據傳輸存在的風險進行安全防護設計時，應當遵循目前已有的油氣管道SCADA系統(tǒng)安全相關標準。表2中列舉了本文參考文獻的主要標準［10－13］。

表2 油氣管道SCADA系統(tǒng)安全相關標準表

2．3 常見安全策略

2．3．1 接入控制

接入控制是一種常見的SCADA系統(tǒng)安全策略。完善SCADA系統(tǒng)的接入控制機制是非常必要的。對于企業(yè)級安全來說，必須嚴格執(zhí)行網絡安全接入管理制度，并輔以適當的技術手段，才能事半功倍。

要在技術層面實現接入控制，首先要做到針對所有的接入對象進行認證，這里的對象可能是用戶，也可能是設備。然后，應當賦予通過認證的用戶相應的角色和權限。

2．3．1．1 認證

針對用戶的認證可以保證控制指令是授權用戶下達的，針對設備的認證可以保證數據來自正確的來源。雙重認證比較嚴格，要求用戶必須在特定的設備上才能接入系統(tǒng)，且只能在該設備上查看數據和發(fā)送指令。

身份認證的實現一般有軟硬兩種方式。軟件實現可以是軟件系統(tǒng)登錄時要求使用用戶名、口令進行身份認證，也可以結合CA證書。硬件實現可以使用USBKey，或者智能卡［4］。軟硬方式也可以結合起來，加大認證安全的強度。

有一種較新的做法是在現場設備近端部署支持DNP3協議并具有認證和完整性功能的設備，在中控系統(tǒng)內部署相對應的軟件或硬件［14］，在數據傳輸時利用“質疑—回應”機制進行認證。這種方式可以確保現場一些特別重要的設備收到來源合法的控制指令，但是僅支持DNP3協議，而且實施成本非常高。

2．3．1．2 權限控制

用戶權限一般是通過角色來賦予的，角色是權限的集合，系統(tǒng)定義了若干個角色，并分配給用戶，用戶只能進行權限范圍以內的操作。

在SCADA系統(tǒng)中，通常有多種角色，比如調度員、工程師、管理員以及開發(fā)商等。使用基于角色的分配策略大大簡化了權限管理工作。

當用戶通過認證后發(fā)出操作請求時，需要檢查其是否具備實施該操作的權限。如果權限條件不滿足，系統(tǒng)將自動拒絕用戶的請求。

用戶認證和權限的信息，通常統(tǒng)一存儲在一臺身份認證服務器中。

2．3．2 數據加密

加密是一種有效的數據安全策略，可以有效地提高數據的保密性和完整性。SCADA系統(tǒng)的加密可以在不同的網絡分層實現，比如在應用層加密和在網絡層加密。

2．3．2．1 應用層加密

應用層加密是在應用通過網絡進行數據傳輸的接口中來實現的，通信雙方均需支持相匹配的加解密算法。運行時，需要依賴復雜的加密確認機制，每次發(fā)送和接收數據前，應用之間需先交互確認彼此加密、解密狀態(tài)，才能開始傳輸數據。應用層加密方式與數據傳輸的實際網絡路徑無關，但是其擴展性較差，系統(tǒng)一旦進行應用擴展，新的應用必須實現數據加解密功能。

2．3．2．2 網絡層加密

網絡層加密實現較之應用層加密實現更為底層。網絡層加密直接對網絡通道進行加密，與具體的應用無關，在加密通道中傳輸的數據都將獲到保護。這種方式將加密功能和系統(tǒng)應用分離開來，有利于系統(tǒng)擴展。不過網絡層加密需要引入額外的加密設備，一定程度上增加了建設成本。

在 AGA－12：2和IEEE P1711－2010標準中［11－12］，均定義了子站串行保護協議（SSPP），要求加密設備必須以網絡嵌入式（BITW）的形式串行接入網絡，并部署在數據傳輸網絡路徑的起始兩端，加密應對數據傳輸過程實現透明。

2．3．2．3 密鑰管理

數據加密還需要建立有效的密鑰管理機制，AGA也建立了并仍在完善相關的標準。Kang在他的研究中列舉了一些有效的密鑰管理策略［15］。

2．3．3 網絡安全設備

網絡安全設備是一種特殊的硬件設備，它們結合了接入控制和加密策略，針對特定需求定制開發(fā)軟件并嵌入到硬件中。這些設備可以用來對數據傳輸網絡進行安全防護，常見的有硬件防火墻和安全網關。

2．3．3．1 硬件防火墻

硬件防火墻具有軟件防火墻所有功能，并具有內容過濾（CF）、入侵偵測（IDS）、入侵防護（IPS）以及虛擬專用網絡（VPN）等功能。

硬件防火墻可以在應用系統(tǒng)訪問控制、流量控制、防病毒網關、用戶權限控制、惡意代碼的阻止、異常行為阻斷等方面對SCADA網絡進行控制。

2．3．3．2 安全網關

通常，SCADA系統(tǒng)內的數據網關是用來進行協議轉換的，并不具備安全功能。安全網關是一類針對數據傳輸安全需求設計出來的設備，除了兼容油氣管道SCADA系統(tǒng)常用的協議，還提供認證、加密、殺毒等安全功能。

2．4 油氣管道SCADA系統(tǒng)數據傳輸安全方案

為降低前述的數據傳輸風險，本文參考常見安全策略，結合中國石油油氣管道SCADA系統(tǒng)的實際情況，針對中控系統(tǒng)與站控系統(tǒng)的數據傳輸過程，初步設計了以下安全方案。

2．4．1 建立接入控制機制

部署證書體系，為全網用戶提供統(tǒng)一身份標識；部署身份認證服務器，為全網用戶提供統(tǒng)一身份認證服務，并統(tǒng)一管理權限；部署網絡認證服務器，加強全網統(tǒng)一接入認證管理。

采用USBKey、證書、口令相結合的身份認證方式：SCADA系統(tǒng)驗證用戶身份時，首先確認用戶是否插入USBKey，然后驗證口令是否正確，最后確認證書是否有效。當以上三者均通過驗證，用戶才能進行權限內的操作。

2．4．2 部署網絡安全設備

在中控系統(tǒng)和站控系統(tǒng)接入通信系統(tǒng)的邊界上部署硬件防火墻和加密網關，以抵御基于TCP／IP的網絡攻擊，并對傳輸數據進行加密保護。

加密網關需特別定制且具有以下特點：

1）選用國家密碼管理局認可的商密算法。

2）支持網絡層BITW部署模式，對原有網絡和使用協議無影響。

3）支持對端無加密網關的部署模式。

4）支持對通道加密，僅對重要設備數據進行加密。

5）支持單向加密，可僅對下行指令加密，對上行數據不加密。

6）支持旁路（bypass）功能，當設備無法正常工作時，可以自動切換為明文傳輸模式。

網絡安全設備的部署方式如圖4所示。

圖4 網絡安全設備部署示意圖

此外，還應部署設備管理中心和密鑰管理中心，對全網的加密網關進行管理。

2．4．3 加強對外安全

將中控系統(tǒng)和外部系統(tǒng)進行物理隔離，并對所有系統(tǒng)及設備進行認證；對所有數據傳輸通道進行加密；使用加密的文件傳輸方式。

3 結束語

油氣管道SCADA系統(tǒng)安全直接影響油氣管道生產安全，乃至國家能源、經濟安全，因此格外重要。該系統(tǒng)經過多年的發(fā)展，已經形成依托于通信網絡的分布式架構。本文針對該系統(tǒng)中數據傳輸的情況進行了介紹，并對目前存在的主要風險進行了分析。參照國內外一些SCADA安全方面相關的標準，結合中國石油油氣管道SCADA系統(tǒng)建設現狀，本文提出了一個基于接入控制和加密的數據傳輸安全方案，并計劃在未來的工業(yè)實驗中進行驗證。

［1］National Transportation Safety Board（NTSB）．Supervisory control and data acquisition （SCADA）in liquid pipelines［R］．Washington DC：NTSB，2006．

［2］BOYER S A．SCADA supervisory control and data acquisition［M］．USA：International Society of Automation（ISA），2010．

［3］謝安俊．油氣管線SCADA系統(tǒng)調度控制中心的安全策略［J］．天然氣工業(yè)，2005，25（6）：113－115．XIE Anjun．Safe strategy of SCADA system dispatching and controlling center for oil／gas pipeline［J］．Natural Gas Industry，2005，25（6）：113－115．

［4］VINAY M I，SEAN A L，RONALD D W．Security issues in SCADA networks［J］．Computers ＆ Security，2006，25（7）：498－506．

［5］RISLEY A，ROBERTS J，LADOW P．Electronic security of real－time protection and SCADA communications［C］∥Fifth Annual Western Power Delivery Automation Conference，1－3April 2003，Washington DC，USA．

［6］American Gas Association （AGA）．cryptographic protection of SCADA communications，Part 1：Background，policies and test plan（AGA 12，Part 1）［S］．Washington DC：AGA，2006．

［7］KEVIN M．Data and command encryption for SCADA［R］．Schneider Electric，Canada，2012．

［8］BYRES E．Privacy and security the air gap：SCADA’s enduring security myth［J］．Communication of the ACM，2013，56（8）：29－31．

［9］BYRES E，LOWE J．The myths and facts behind cyber security risks for industrial control systems［C］∥VDE Congress，VDE Association for Electrical，Electronic ＆Information Technologies，October 2004，Berlin，Germany．

［10］American Petroleum Institute （API）．SCADA Security（API 1164）［S］．API，2004．

［11］American Gas Association（AGA）．Cryptographic protection of SCADA communications，Part 2：Performance test results（AGA 12，Part 2）［S］．Washington DC：AGA，2007．

［12］Institute of Electrical and Electronics Engineers（IEEE）．Trial use standard for a cryptographic protocol for cyber security of substation serial links （IEEE P1711－2010）［S］．USA：IEEE，2011．

［13］中國石油北京油氣調控中心．油氣管道SCADA系統(tǒng)網絡安全技術規(guī)范 Q／SY BD 46—2010［S］．北京：中國石油天然氣股份有限公司，2010．PetroChina Oil and Gas Pipeline Control Center．Q／SY BD 46－2010Network security and protection for SCADA of oil ＆gas pipelines［S］．Beijing：PetroChina，2010．

［14］JEFFREY L H，JACOB S，JAMES H G．A securityhardened appliance for implementing authentication and access control in SCADA infrastructures with legacy field devices［J］．International Journal of Critical Infrastructure Protection，2013（6）：12－24．

［15］KANG D J，LEE J J，KIM B H，et al．Proposal strategies of key management for data encryption in SCADA network of electric power systems［J］．Electrical Power and Energy Systems，2011，33：1521－1526．