淺談油氣管道SCADA系統(tǒng)網(wǎng)絡(luò)安全建設(shè)

中國石油天然氣管道工程有限公司，河北 廊坊

1.引言

SCADA 系統(tǒng)(Supervision Control And Data Acquisition，數(shù)據(jù)采集與監(jiān)控)是國內(nèi)長輸油氣管道常用的工藝控制系統(tǒng)，用于在調(diào)控中心對站場進(jìn)行現(xiàn)場數(shù)據(jù)采集和控制[1]，以中國石油天然氣集團(tuán)有限公司(簡稱中國石油)為例，其東北、西北、西南及海上4 大油氣通道戰(zhàn)略布局基本完成，全國性油氣管網(wǎng)已初具規(guī)模；通過覆蓋全國管網(wǎng)的SCADA 系統(tǒng)，實(shí)現(xiàn)管網(wǎng)全部集中調(diào)控[2]，可以說，油氣管道的SCADA 系統(tǒng)網(wǎng)絡(luò)安全關(guān)系到國家的戰(zhàn)略安全。

隨著油氣管道自動化水平的提高和智能管道建設(shè)的推進(jìn)，SCADA 系統(tǒng)網(wǎng)絡(luò)設(shè)備在不斷增加，在網(wǎng)絡(luò)安全形勢與挑戰(zhàn)日益嚴(yán)峻、復(fù)雜的環(huán)境下，油氣管道行業(yè)的SCADA 系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險呈攀升趨勢。

2017 年，國家發(fā)布了《網(wǎng)絡(luò)安全法》。2019 年，網(wǎng)絡(luò)安全等級保護(hù)2.0 制度由公安部正式實(shí)施，并強(qiáng)制執(zhí)行。網(wǎng)絡(luò)安全建設(shè)的相關(guān)標(biāo)準(zhǔn)也相繼發(fā)布實(shí)施。以往針對油氣管道網(wǎng)絡(luò)安全建設(shè)的文章或是只側(cè)重某幾個方面，僅在SCADA 系統(tǒng)的終端防護(hù)、局域網(wǎng)防護(hù)和邊界防護(hù)三個防御策略上進(jìn)行了論證[3]，或是沒有按照等保2.0 制度進(jìn)行整體要求和論證[4]，或是僅對SCADA 系統(tǒng)數(shù)據(jù)傳輸?shù)陌踩L(fēng)險進(jìn)行了研究[5][6]，或是僅按照軟件、硬件、網(wǎng)絡(luò)架構(gòu)和管理層保護(hù)進(jìn)行簡單論述[7]。目前，依據(jù)等保2.0 制度整體要求進(jìn)行油氣管道SCADA 系統(tǒng)網(wǎng)絡(luò)安全建設(shè)的文章鮮有報(bào)道，在此，筆者結(jié)合等保2.0 制度的各類國家標(biāo)準(zhǔn)針對油氣管道SCADA 系統(tǒng)網(wǎng)絡(luò)安全建設(shè)進(jìn)行論述。

2.網(wǎng)絡(luò)安全等級保護(hù)定級

GB/T22240《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)定級指南》[8]中指出，根據(jù)等級保護(hù)對象的重要程度及遭到損害對國家、社會等各層面的侵害程度因素，其安全保護(hù)等級共分為五級。

1) 定級要素

安全保護(hù)等級評定應(yīng)結(jié)合受侵害客體、對客體侵害程度這兩個定級要素，按照定級要素與安全保護(hù)等級的關(guān)系，依據(jù)定級工作流程，對保護(hù)對象進(jìn)行定級。定級要素與安全保護(hù)等級的關(guān)系見表1。

Table 1.Relationship between grading elements and classified protection of cyber security表1.定級要素與安全等級關(guān)系

2) 定級流程

等級保護(hù)對象定級工作應(yīng)按照流程進(jìn)行，其一般流程見圖1。

Figure 1.Work flow of grading classified protection of cyber security圖1.等級保護(hù)對象定級工作流程

需要注意的是，安全保護(hù)等級初步確定為第二級及以上的，定級對象的運(yùn)行單位需組織信息安全專家和業(yè)務(wù)專家對定級結(jié)果的合理性進(jìn)行評審，并出具專家評審意見。有行業(yè)主管(監(jiān)管)部分的，還需將定級結(jié)果報(bào)請行業(yè)主管(監(jiān)管)部門核準(zhǔn)，并出具核準(zhǔn)意見。最后，定級對象的網(wǎng)絡(luò)運(yùn)營者按照相關(guān)管理規(guī)定，將定級結(jié)果提交公安機(jī)關(guān)進(jìn)行備案審核。審核不通過，其運(yùn)行單位需組織重新定級；審核通過后最終確定定級對象的安全保護(hù)等級。

3) 定級方法

安全保護(hù)等級評定應(yīng)在確定等級對象后，對受侵害客體、對客體侵害程度這兩個定級要素進(jìn)行分析，定級要素分析包括等級保護(hù)對象受到破壞時所侵害的客體和對客體造成侵害的程度這2 個方面分析，分別得出業(yè)務(wù)信息安全等級和系統(tǒng)服務(wù)安全等級，依照兩者的最高等級確定網(wǎng)絡(luò)安全保護(hù)等級，網(wǎng)絡(luò)安全保護(hù)等級確定方法見圖2。

Figure 2.Schematic diagram of classified protection of cyber security圖2.網(wǎng)絡(luò)安全保護(hù)等級確定示意圖

一般來說，業(yè)務(wù)信息安全是指確保網(wǎng)絡(luò)內(nèi)業(yè)務(wù)信息的機(jī)密性、完整性和可用性等。系統(tǒng)服務(wù)安全是指確保網(wǎng)絡(luò)可以及時、有效地提供服務(wù)，以完成預(yù)定的業(yè)務(wù)目標(biāo)。

比如，油氣管道地區(qū)級調(diào)控中心為一級風(fēng)險，其業(yè)務(wù)信息安全遭到破壞時所侵害時，根據(jù)對所侵害客體分析，其會影響本單位和其他用油用氣單位的正常生產(chǎn)經(jīng)營秩序，在社會上造成不良影響。根據(jù)對侵害客體的侵害程度分析，其對公民、法人和其他組織的合法權(quán)益所侵害的程度為“一般損害”，即業(yè)務(wù)信息安全等級為第一級(見表1)，社會秩序、公共利益所侵害的程度為“一般損害”，即業(yè)務(wù)信息安全等級為第二級(見表1)，因此按照選擇保護(hù)等級最高原則，確定一級風(fēng)險的業(yè)務(wù)信息安全等級為第二級。同時，通過對一級風(fēng)險的系統(tǒng)服務(wù)安全遭到破壞后對客體造成侵害的程度分析，其系統(tǒng)服務(wù)安全等級為第三級；依照兩者的最高等級，評定一級風(fēng)險的安全保護(hù)等級為三級。

可以看到，網(wǎng)絡(luò)安全等級保護(hù)的定級工作是定性評估和半定量計(jì)算的結(jié)合，運(yùn)營單位可以借鑒相關(guān)行業(yè)和企業(yè)的工作經(jīng)驗(yàn)，邀請行業(yè)專家進(jìn)行廣泛的集中討論評定，獲得合適的定級，并報(bào)請行業(yè)主管(監(jiān)管)部門核準(zhǔn)，才能達(dá)到預(yù)期目標(biāo)。

3.防護(hù)技術(shù)體系建設(shè)

按照上述的定級方法，可以確定油氣管道SCADA 系統(tǒng)的調(diào)控中心及各站場的安全防護(hù)等級。一般來講，調(diào)控中心、干線管道的樞紐站、首末站等需要滿足等保三級，分輸站、清管站等需要滿足等保二級要求。

網(wǎng)絡(luò)安全建設(shè)均應(yīng)按照網(wǎng)絡(luò)安全防護(hù)技術(shù)體系和安全管理體系兩部分進(jìn)行實(shí)施，本文重點(diǎn)對網(wǎng)絡(luò)安全防護(hù)技術(shù)體系進(jìn)行論述。根據(jù)標(biāo)準(zhǔn)GB/T 22239-2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求》[9]，SCADA 系統(tǒng)安全等級保護(hù)技術(shù)體系架構(gòu)應(yīng)包含安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境以及安全管理中心等五個層面。工業(yè)控制網(wǎng)絡(luò)安全技術(shù)體系架構(gòu)見圖3。

Figure 3.Industrial control network security architecture圖3.工業(yè)控制網(wǎng)絡(luò)安全體系架構(gòu)圖

網(wǎng)絡(luò)安全技術(shù)體系建設(shè)需要結(jié)合五個層面存在的安全問題和風(fēng)險，從SCADA 系統(tǒng)的重要程度入手，確定安全保護(hù)需求，提出針對性安全技術(shù)措施，形成機(jī)構(gòu)特定的系統(tǒng)安全技術(shù)體系，用于指導(dǎo)SCADA系統(tǒng)等級保護(hù)的具體實(shí)現(xiàn)。

1) 安全物理環(huán)境

調(diào)控中心和站場的SCADA 系統(tǒng)硬件的安全物理環(huán)境是網(wǎng)絡(luò)安全的基石。主要關(guān)注點(diǎn)有：

①硬件設(shè)備物理環(huán)境的盜竊、破壞、水火、電力供應(yīng)等風(fēng)險；

② 不當(dāng)人員對SCADA 系統(tǒng)設(shè)備的接觸和使用風(fēng)險。

安全物理環(huán)境建設(shè)應(yīng)對調(diào)控中心、各站場的機(jī)柜間、UPS 室、控制室等重要房間設(shè)置防盜報(bào)警系統(tǒng)或有專人值守的視頻監(jiān)控系統(tǒng)、環(huán)境監(jiān)測系統(tǒng)、火災(zāi)報(bào)警系統(tǒng)等設(shè)備來提高物理環(huán)境的安全，并通過電子門禁系統(tǒng)對人員的進(jìn)出實(shí)施管理。

2) 安全通信網(wǎng)絡(luò)

安全通信網(wǎng)絡(luò)是整個SCADA 系統(tǒng)網(wǎng)絡(luò)安全運(yùn)行的基礎(chǔ)。主要風(fēng)險點(diǎn)有：

①SCADA 系統(tǒng)網(wǎng)絡(luò)拓?fù)涞暮侠硇裕?/p>

② 生產(chǎn)數(shù)據(jù)傳輸?shù)耐暾裕?/p>

③設(shè)備可信連接的驗(yàn)證性；

④ 數(shù)據(jù)傳輸?shù)男姑堋⒋鄹陌踩L(fēng)險。

安全通信網(wǎng)絡(luò)建設(shè)應(yīng)保證SCADA 系統(tǒng)采用獨(dú)立組網(wǎng)，并根據(jù)業(yè)務(wù)特點(diǎn)劃分網(wǎng)絡(luò)安全區(qū)域；利用隔離網(wǎng)閘在工控網(wǎng)絡(luò)與非工控網(wǎng)絡(luò)邊界處進(jìn)行單向隔離，利用工業(yè)防火墻在工控網(wǎng)絡(luò)內(nèi)部各安全域邊界處進(jìn)行邏輯隔離，從外到內(nèi)形成縱深防御的防護(hù)體系；對關(guān)鍵網(wǎng)絡(luò)設(shè)備和線路實(shí)現(xiàn)冗余備份，確保工控網(wǎng)絡(luò)的高可用性；對廣域網(wǎng)傳輸?shù)臄?shù)據(jù)采用加密技術(shù)確保傳輸信息的保密性等。

3) 安全區(qū)域邊界

安全區(qū)域邊界可以將風(fēng)險控制在某一區(qū)域內(nèi)，而不互相傳播擴(kuò)大。主要風(fēng)險點(diǎn)有：

①調(diào)控中心和站場網(wǎng)絡(luò)邊界入侵風(fēng)險；

② 生產(chǎn)網(wǎng)和其他網(wǎng)的邊界入侵風(fēng)險；

③站場間區(qū)域邊界的橫向滲透風(fēng)險。

安全區(qū)域邊界建設(shè)應(yīng)利用工業(yè)防火墻或網(wǎng)閘對工控網(wǎng)絡(luò)內(nèi)部各安全域之間以及工控網(wǎng)絡(luò)與非工控網(wǎng)絡(luò)的數(shù)據(jù)訪問進(jìn)行控制，只允許授權(quán)訪問通過邊界保護(hù)設(shè)備，對工控協(xié)議的深度包解析，實(shí)現(xiàn)在工控協(xié)議命令字層面的訪問控制；利用堡壘機(jī)對非授權(quán)設(shè)備私自聯(lián)到工控網(wǎng)絡(luò)的行為進(jìn)行監(jiān)控；利用安全審計(jì)系統(tǒng)和入侵檢測系統(tǒng)對工控網(wǎng)絡(luò)流量進(jìn)行監(jiān)測審計(jì)，對工控網(wǎng)絡(luò)中的網(wǎng)絡(luò)攻擊、病毒等安全事件進(jìn)行檢測，及時發(fā)現(xiàn)工控網(wǎng)絡(luò)中威脅信息。

4) 安全計(jì)算環(huán)境

安全計(jì)算環(huán)境是SCADA 系統(tǒng)運(yùn)行的軟硬件背景，是安全運(yùn)行的保證。主要風(fēng)險點(diǎn)一是來自系統(tǒng)本身的脆弱性風(fēng)險；另一個是用戶登錄帳號、權(quán)限等系統(tǒng)使用、配置和管理等風(fēng)險，主要包括：

①SCADA 系統(tǒng)入侵風(fēng)險；

② 數(shù)據(jù)庫賬戶、口令的安全隱患；

③廣域網(wǎng)的控制指令、數(shù)據(jù)交換泄密風(fēng)險；

④ 上位機(jī)終端防護(hù)軟件過期風(fēng)險；

⑤ 設(shè)備接口缺乏管理。

安全計(jì)算環(huán)境建設(shè)應(yīng)通過信息梳理，利用主機(jī)防護(hù)軟件、安全加固軟件加強(qiáng)服務(wù)器、工程師站等重要工業(yè)主機(jī)的身份鑒別措施；建立完善的用戶賬戶的口令策略和用戶登錄策略以及鑒別信息在傳輸過程中的加密；提高對系統(tǒng)賬戶的保護(hù)強(qiáng)度；加強(qiáng)訪問控制措施，嚴(yán)格限制用戶的訪問權(quán)限；刪除多余的系統(tǒng)賬戶，防止非授權(quán)操作、誤操作或信息泄露。利用工控應(yīng)用系統(tǒng)身份認(rèn)證保證數(shù)據(jù)和業(yè)務(wù)的數(shù)據(jù)完整性和保密性；防止非授權(quán)操作、誤操作或信息泄露；實(shí)現(xiàn)用戶身份強(qiáng)認(rèn)證機(jī)制，通過工業(yè)安全監(jiān)測審計(jì)系統(tǒng)對工業(yè)用戶操作行為進(jìn)行安全審計(jì)，通過日志審計(jì)系統(tǒng)完善應(yīng)用系統(tǒng)日志記錄，加強(qiáng)對工業(yè)應(yīng)用系統(tǒng)運(yùn)行狀況的監(jiān)控。應(yīng)根據(jù)需要實(shí)現(xiàn)數(shù)據(jù)定時備份或?qū)崟r備份功能，保證數(shù)據(jù)可用性。

5) 安全管理中心

安全管理中心是安全運(yùn)維管理的技術(shù)支撐，可以實(shí)現(xiàn)對SCADA 系統(tǒng)系統(tǒng)安全性的有效監(jiān)控和提前防范，安全運(yùn)維管理方面的風(fēng)險主要有：

①人員認(rèn)證、操作風(fēng)險；

② 設(shè)備審計(jì)日志缺失；

③網(wǎng)絡(luò)入侵；

④ 惡意代碼風(fēng)險；

⑤ 網(wǎng)絡(luò)安全設(shè)備管理風(fēng)險。

安全管理中心作為網(wǎng)絡(luò)安全等級保護(hù)對象的安全策略及安全計(jì)算環(huán)境、安全區(qū)域邊界和安全通信網(wǎng)絡(luò)的安全機(jī)制實(shí)施統(tǒng)一管理的系統(tǒng)平臺，實(shí)現(xiàn)統(tǒng)一管理、統(tǒng)一監(jiān)控、綜合分析和協(xié)同防護(hù)[10]。安全管理中心技術(shù)要求可以分為功能要求、接口要求和自身安全要求三個大類，技術(shù)要求框架見圖4。

Figure 4.Framework of security management center technical requirements圖4.安全管理中心技術(shù)要求框架圖

安全管理中心一般設(shè)置在長輸管道的調(diào)控中心，劃分出單獨(dú)的安全管理區(qū)，利用安全管理平臺、堡壘機(jī)、安全審計(jì)系統(tǒng)、入侵檢測系統(tǒng)和態(tài)勢感知系統(tǒng)，通過系統(tǒng)管理、安全管理和審計(jì)管理，加強(qiáng)網(wǎng)絡(luò)設(shè)備和安全設(shè)備集中認(rèn)證和審計(jì)日志的集中統(tǒng)一管理；加強(qiáng)對網(wǎng)絡(luò)運(yùn)行狀況的集中監(jiān)控；實(shí)現(xiàn)系統(tǒng)管理員、安全管理員、審計(jì)管理員的權(quán)限分離、身份鑒別以及操作過程的監(jiān)控審計(jì)等功能。

4.安全管理體系建設(shè)

安全管理體系建設(shè)應(yīng)在安全管理制度、管理人員設(shè)立、管理機(jī)構(gòu)建立、安全建設(shè)管理和安全運(yùn)維管理五個方面開展進(jìn)行，通過確立網(wǎng)絡(luò)安全工作的方針、策略指定和發(fā)布管理制度，設(shè)立不同職責(zé)權(quán)限的安全主管、安全管理等負(fù)責(zé)人，并進(jìn)行有效管理和教育培訓(xùn)，同時，對網(wǎng)絡(luò)安全建設(shè)過程進(jìn)行有效監(jiān)控，建成后對有關(guān)硬件、賬戶、密碼等進(jìn)行日常管理，從管理體系上保證安全技術(shù)措施的有效落實(shí)，可以說，安全技術(shù)措施的有效實(shí)施需要安全管理體系的助力，同樣，安全管理體系的落實(shí)也常常需要技術(shù)措施的支撐，兩者是相輔相成，相互關(guān)聯(lián)的。

5.結(jié)束語

《網(wǎng)絡(luò)安全法》明確了“國家實(shí)行網(wǎng)絡(luò)安全等級保護(hù)制度”、“關(guān)鍵信息基礎(chǔ)設(shè)施在網(wǎng)絡(luò)安全等級保護(hù)制度的基礎(chǔ)上實(shí)行重點(diǎn)保護(hù)”等內(nèi)容，為網(wǎng)絡(luò)安全等級保護(hù)工作賦予了法律依據(jù)。網(wǎng)絡(luò)安全等級保護(hù)2.0 制度和一系列標(biāo)準(zhǔn)的發(fā)布將等保對象從狹義的信息系統(tǒng)，拓展到網(wǎng)絡(luò)基礎(chǔ)設(shè)施、云計(jì)算平臺、工業(yè)控制系統(tǒng)等，提出了新的技術(shù)防護(hù)體系和管理措施、安全建設(shè)設(shè)計(jì)實(shí)現(xiàn)方式以及等級測評方法，可有效指導(dǎo)網(wǎng)絡(luò)運(yùn)行、網(wǎng)絡(luò)安全企業(yè)、網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)開展網(wǎng)絡(luò)安全等級保護(hù)安全技術(shù)方案的設(shè)計(jì)和實(shí)施。

根據(jù)GB/T28448《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)測評要求》[11]，等級保護(hù)對象的運(yùn)營單位完成網(wǎng)絡(luò)安全建設(shè)后，必須選擇國家認(rèn)可的測評機(jī)構(gòu)進(jìn)行等級測評，并在系統(tǒng)運(yùn)行過程中定期進(jìn)行測評。在此之前，建議運(yùn)營單位選擇專業(yè)安全廠商進(jìn)行測評協(xié)助工作，如在正式測評前協(xié)助單位進(jìn)行自測和整改等，各專業(yè)安全廠商應(yīng)給出等級保護(hù)對應(yīng)的測評項(xiàng)權(quán)重系數(shù)，此系數(shù)雖然不能作為測評打分依據(jù)，但運(yùn)營單位可以依據(jù)這個測評項(xiàng)權(quán)重系數(shù)，結(jié)合自身實(shí)際情況，有選擇性地對各測評項(xiàng)進(jìn)行建設(shè)，達(dá)到SCADA系統(tǒng)網(wǎng)絡(luò)安全建設(shè)安全性和經(jīng)濟(jì)性的平衡統(tǒng)一。

目前，長輸油氣管道的SCADA 系統(tǒng)網(wǎng)絡(luò)安全建設(shè)已經(jīng)是勢在必行，各油氣管道運(yùn)營單位應(yīng)盡早展開相關(guān)工作，以防止網(wǎng)絡(luò)安全危害事件的發(fā)生，免除因此導(dǎo)致的責(zé)任處罰。同時，盡早開展網(wǎng)絡(luò)安全建設(shè)工作可以獲得主動性和前瞻性，避免后期網(wǎng)絡(luò)安全設(shè)備的重復(fù)建設(shè)和兼容問題[12]-[18]。