SCADA系統(tǒng)在油氣行業(yè)應(yīng)用中存在的安全問(wèn)題及應(yīng)對(duì)措施

單翔宇

摘要：SCADA系統(tǒng)以其精準(zhǔn)采集數(shù)據(jù)、遠(yuǎn)程控制設(shè)備、智能調(diào)節(jié)參數(shù)、信號(hào)報(bào)警等功能優(yōu)勢(shì)，廣泛應(yīng)用于油氣行業(yè)的集注站、集配站的站控系統(tǒng)中。通過(guò)采取操作授權(quán)、網(wǎng)絡(luò)安全防御、加密認(rèn)證等技術(shù)防護(hù)措施，最大程度避免系統(tǒng)和設(shè)備故障的發(fā)生，解決來(lái)自于通訊網(wǎng)絡(luò)、區(qū)域邊界、計(jì)算環(huán)境等SCADA系統(tǒng)中存在的安全問(wèn)題，滿足SCADA系統(tǒng)數(shù)據(jù)采集與監(jiān)視控制需求，為系統(tǒng)科學(xué)全面的進(jìn)行安全分析提供技術(shù)保障。

關(guān)鍵詞：SCADA系統(tǒng);數(shù)據(jù)安全問(wèn)題;區(qū)域邊界安全防護(hù)

通訊網(wǎng)絡(luò)擔(dān)負(fù)著SCADA系統(tǒng)傳輸數(shù)據(jù)的重要作用，公共通信鏈路數(shù)據(jù)傳輸缺乏機(jī)密性和完整性、通信網(wǎng)絡(luò)安全監(jiān)管與審計(jì)防護(hù)缺失等易導(dǎo)致通訊網(wǎng)絡(luò)被非法入侵。油氣SCADA系統(tǒng)網(wǎng)絡(luò)邊界和內(nèi)部各層間邊界、核心服務(wù)器和各類(lèi)終端、漏洞掃描、運(yùn)維風(fēng)險(xiǎn)防護(hù)等安全防護(hù)措施缺失或者不足，均易使計(jì)算環(huán)境和區(qū)域邊界存在安全問(wèn)題，進(jìn)而影響SCADA系統(tǒng)的整體運(yùn)行安全。

1.SCADA系統(tǒng)在油氣行業(yè)應(yīng)用中存在的安全問(wèn)題

1.1通訊網(wǎng)絡(luò)存在安全問(wèn)題

當(dāng)SCADA系統(tǒng)的公共通信鏈路缺失安全防護(hù)措施時(shí)，易導(dǎo)致數(shù)據(jù)信息在傳輸過(guò)程中出現(xiàn)丟失、破損等問(wèn)題，不僅無(wú)法保障數(shù)據(jù)的完整性、原始性、機(jī)密性。而加密技術(shù)水平滯后，使系統(tǒng)無(wú)法通過(guò)通訊網(wǎng)絡(luò)控制指令數(shù)據(jù)，同時(shí)缺失鑒別信息和監(jiān)控?cái)?shù)據(jù)保密性的控制能力。當(dāng)通信網(wǎng)絡(luò)安全監(jiān)管與審計(jì)無(wú)法滿足生產(chǎn)控制行為的異常監(jiān)測(cè)要求，系統(tǒng)無(wú)法及時(shí)而完整的接收到工控信息網(wǎng)絡(luò)反饋的全程錄制分析信息，影響工控網(wǎng)絡(luò)行為安全的自動(dòng)化和智能化運(yùn)行效果，使通訊網(wǎng)絡(luò)存在安全問(wèn)題。

1.2區(qū)域邊界存在安全問(wèn)題

SCADA系統(tǒng)網(wǎng)絡(luò)邊界防護(hù)擔(dān)負(fù)著邊界控制訪問(wèn)、完整性檢測(cè)、入侵防御、安全設(shè)計(jì)等重要安全防護(hù)功能，一旦SCADA系統(tǒng)網(wǎng)絡(luò)邊界防護(hù)薄弱，在區(qū)域邊界受到來(lái)自于網(wǎng)絡(luò)虛擬空間的非法攻擊時(shí)，會(huì)出現(xiàn)邊界失控、系統(tǒng)檢測(cè)不完整等安全故障問(wèn)題。SCADA系統(tǒng)內(nèi)部各層之間的安全防御一旦發(fā)生不足或者薄弱，容易出現(xiàn)單點(diǎn)受攻擊后故障擴(kuò)散到全網(wǎng)的安全風(fēng)險(xiǎn)，使系統(tǒng)整體的訪問(wèn)路徑控制、入侵檢測(cè)與防護(hù)、技術(shù)隔離、安全審計(jì)等能力不佳，未將全網(wǎng)劃分為不同的安全網(wǎng)絡(luò)層次，使區(qū)域邊界存在安全問(wèn)題。

1.3計(jì)算環(huán)境存在安全問(wèn)題

核心服務(wù)器和各類(lèi)終端一旦無(wú)防護(hù)措施，在受到非法攻擊、違規(guī)操作時(shí)將無(wú)法進(jìn)行有效防護(hù)。安全風(fēng)險(xiǎn)平度不足容易使SCADA系統(tǒng)存在安全漏洞問(wèn)題，無(wú)法對(duì)工業(yè)控制系統(tǒng)中的設(shè)備、系統(tǒng)進(jìn)行定期自動(dòng)化的漏洞掃描，進(jìn)而使漏洞掃描和風(fēng)險(xiǎn)評(píng)估不全面，已知和未知漏洞無(wú)法被全部識(shí)別，影響系統(tǒng)對(duì)工業(yè)環(huán)境全方位檢測(cè)的準(zhǔn)確性，使工控系統(tǒng)的風(fēng)險(xiǎn)評(píng)估無(wú)法發(fā)揮出科學(xué)參考作用。同時(shí)運(yùn)維人員作為SCADA系統(tǒng)運(yùn)行安全的直接操作者，一旦無(wú)審計(jì)措施，出現(xiàn)違規(guī)操作、失誤操作等均會(huì)導(dǎo)致人為產(chǎn)生的系統(tǒng)安全問(wèn)題。

2.SCADA系統(tǒng)在油氣行業(yè)應(yīng)用中安全問(wèn)題的應(yīng)對(duì)措施

2.1部署通訊網(wǎng)絡(luò)安全裝置

通過(guò)在調(diào)度中心安裝終端加密裝置、工控信息安全監(jiān)控引擎，在門(mén)站系統(tǒng)安裝加密認(rèn)證裝置，可對(duì)公共通信鏈路進(jìn)行加密認(rèn)證安全防護(hù)，使公網(wǎng)有線和無(wú)線鏈路傳輸?shù)目刂瀑|(zhì)量、重要數(shù)據(jù)等都能夠被加密和認(rèn)證保護(hù)，確保數(shù)據(jù)傳輸過(guò)程中的機(jī)密性、完整性、原始性，避免數(shù)據(jù)信息在傳播過(guò)程中出現(xiàn)泄漏、破損、丟失、被惡意篡改等不安全問(wèn)題，而且不影響原有網(wǎng)絡(luò)和終端設(shè)備的正常配置，兼具安全審計(jì)功能，算法和設(shè)備安全可靠。利用工控信息安全監(jiān)控引擎對(duì)SCADA系統(tǒng)各服務(wù)器進(jìn)行安全防護(hù)，分析系統(tǒng)內(nèi)部工控協(xié)議數(shù)據(jù)流量，以設(shè)定的閾值控制關(guān)鍵操作指令，并與終端加密裝置進(jìn)行聯(lián)動(dòng)防護(hù)，可有效減少惡意操作、誤操作等人為因素引發(fā)的安全問(wèn)題，進(jìn)而解決SCADA系統(tǒng)存在的通訊網(wǎng)絡(luò)不安全問(wèn)題。

2.2部署區(qū)域邊界安全防火墻

在區(qū)域邊界中部署安全防火墻，能夠有效滿足SCADA系統(tǒng)對(duì)網(wǎng)絡(luò)邊界的防護(hù)需求，杜絕來(lái)自網(wǎng)絡(luò)虛擬空間的非法攻擊，有效解決區(qū)域邊界存在的安全問(wèn)題。在油氣行業(yè)的生產(chǎn)和辦公系統(tǒng)邊界部署網(wǎng)閘，可實(shí)現(xiàn)外部網(wǎng)絡(luò)的Web服務(wù)器與調(diào)度中心的SCADA系統(tǒng)各服務(wù)器的隔離，以物理隔離方式保障工程師站、操作員站、視頻工作站等各業(yè)務(wù)站點(diǎn)系統(tǒng)的正常運(yùn)行，徹底隔離辦公應(yīng)用區(qū)域與調(diào)度中心間的網(wǎng)絡(luò)連接，防止內(nèi)部信息被非法竊取，杜絕來(lái)自網(wǎng)絡(luò)空間對(duì)SCADA系統(tǒng)的非法入侵。同時(shí)在調(diào)度中心與門(mén)站系統(tǒng)間部署工業(yè)防火墻，使工業(yè)以太網(wǎng)/GPRS等廣域網(wǎng)得到邊界安全防護(hù)，除物理隔離防護(hù)措施以外，利用白名單、規(guī)則匹配等安全防護(hù)方式，全面而深入的控制網(wǎng)絡(luò)出口流量，對(duì)各工控協(xié)議進(jìn)行深度檢測(cè)、安全控制、高效防護(hù)，以保障區(qū)域邊界的安全。

2.3部署計(jì)算環(huán)境安全防護(hù)系統(tǒng)

為了有效解決人為操作失誤、非法入侵等安全問(wèn)題，對(duì)核心服務(wù)器和各類(lèi)終端采取部署安全防護(hù)系統(tǒng)的措施，提高計(jì)算環(huán)境安全防護(hù)效果，保障SCADA系統(tǒng)在油氣行業(yè)應(yīng)用中的運(yùn)行安全。重點(diǎn)防護(hù)SCADA系統(tǒng)中的歷史和實(shí)時(shí)數(shù)據(jù)庫(kù)服務(wù)器，在其外圍統(tǒng)一部署工業(yè)防火墻，深度解析各類(lèi)總線協(xié)議，提高全部數(shù)據(jù)庫(kù)服務(wù)器的安全防護(hù)水平。在終端安全防護(hù)系統(tǒng)中，安裝工控漏洞掃描系統(tǒng)，限制非法操作通過(guò)工程師站、操作員站、視頻工作站，利用白名單、規(guī)則匹配等安全防護(hù)方式，以權(quán)威漏洞庫(kù)對(duì)目標(biāo)工控系統(tǒng)進(jìn)行全方位檢測(cè)，智能識(shí)別系統(tǒng)設(shè)備信息，分析已知漏洞和深度挖掘未知漏洞，從操作系統(tǒng)層面限制非法入侵。在門(mén)站系統(tǒng)中安裝儀表探針，監(jiān)聽(tīng)、解析、處理該區(qū)域全部設(shè)備和系統(tǒng)的通信信息，一旦發(fā)現(xiàn)安全異常，儀表探針會(huì)通過(guò)信息采集、安全預(yù)警、安全態(tài)勢(shì)評(píng)分等自動(dòng)發(fā)出報(bào)警和提示，有利于SCADA系統(tǒng)盡快排除故障。部署運(yùn)維人員身份管理、訪問(wèn)權(quán)限控制、操作審計(jì)等安全防護(hù)系統(tǒng)，解決操作者權(quán)限問(wèn)題。

結(jié)語(yǔ)：SCADA系統(tǒng)在油氣行業(yè)應(yīng)用中，除了以上常見(jiàn)安全問(wèn)題以外，管理安全也是影響系統(tǒng)運(yùn)行安全的重要因素。需要針對(duì)統(tǒng)一監(jiān)管需求進(jìn)行安全防護(hù)，對(duì)工業(yè)集中管理平臺(tái)進(jìn)行總體部署，定期組織相關(guān)人員進(jìn)行信息安全培訓(xùn)，以事前防御、事中控制、事后審計(jì)的原則進(jìn)行SCADA系統(tǒng)運(yùn)行安全管理，強(qiáng)化工作人員安全意識(shí)，以技術(shù)與管理并重的安全問(wèn)題應(yīng)對(duì)措施，全面保障SCADA系統(tǒng)運(yùn)行安全。

參考文獻(xiàn)：

[1]張姍姍，胡銘鑒.SCADA系統(tǒng)在油氣行業(yè)應(yīng)用中存在的安全問(wèn)題及應(yīng)對(duì)策略[J].科技視界，2020（24）：2.

[2]左果.國(guó)內(nèi)油氣SCADA系統(tǒng)信息安全管理問(wèn)題及防護(hù)措施[J].中國(guó)儀器儀表，2017（1）：4.