日常生產(chǎn)中，中控系統(tǒng)需要和許多外部系統(tǒng)進(jìn)行數(shù)據(jù)交換，包括管道生產(chǎn)管理系統(tǒng)、模擬仿真系統(tǒng)、能耗計量系統(tǒng)、批次跟蹤系統(tǒng)、調(diào)度培訓(xùn)系統(tǒng)、調(diào)度評價系統(tǒng)等。

目前一般有兩種方式實(shí)現(xiàn)中控系統(tǒng)和外部系統(tǒng)的數(shù)據(jù)傳輸：

1)數(shù)據(jù)庫：直接讀寫方式。中控系統(tǒng)使用OPC協(xié)議向PI數(shù)據(jù)庫寫入數(shù)據(jù)作為鏡像，外部系統(tǒng)直接連接訪問PI數(shù)據(jù)庫。比如模擬仿真系統(tǒng)就通過這種方式間接獲取SCADA實(shí)時數(shù)據(jù)。

2)文件傳輸方式。源系統(tǒng)將數(shù)據(jù)寫入一個XML文件中，并傳至一個共享文件區(qū)或FTP，目標(biāo)系統(tǒng)將自動讀取文件獲取數(shù)據(jù)。比如成品油的批次計劃信息就通過這種方式傳入SCADA系統(tǒng)中。

當(dāng)前油氣管道SCADA系統(tǒng)中數(shù)據(jù)傳輸安全方而的防護(hù)措施不多，風(fēng)險主要存在于中控系統(tǒng)和站控系統(tǒng)的數(shù)據(jù)傳輸過程，主要有以下幾個方面。

2．1．1非法接入風(fēng)險

Risley等認(rèn)為攻擊者無法入侵物理隔離網(wǎng)絡(luò)的看法是一種理解錯誤^[5]，Byres更是直言物理隔離在現(xiàn)實(shí)世界中毫無用處，建議工業(yè)用戶開始放棄這種方法^[8]。

中國石油一直在大力建設(shè)中控系統(tǒng)和站控系統(tǒng)的物理安全防護(hù)設(shè)施，但是若干系統(tǒng)之間的數(shù)據(jù)交換需求促使各個簡單孤立的系統(tǒng)逐漸形成一個復(fù)雜的SCADA網(wǎng)絡(luò)。

現(xiàn)在的網(wǎng)絡(luò)技術(shù)發(fā)展非常快，對于任何形式的網(wǎng)絡(luò)都可以提供多種接入方式，SCADA網(wǎng)絡(luò)也不例外。局域網(wǎng)無論怎么隔離，只要有對外的數(shù)據(jù)傳輸，就總會通過一根專線、一臺設(shè)備或者一個內(nèi)網(wǎng)和更大的企業(yè)網(wǎng)相連。攻擊者完全有可能利用這些鏈接獲取到對站場設(shè)備的接入途徑^[4]，一旦非法接入，后果不可設(shè)想。

2．1．2協(xié)議開放風(fēng)險

Byres等認(rèn)為使用私有協(xié)議是更安全的^[9]。但是目前出于工程實(shí)施難度和成本的考慮，油氣管道SCADA系統(tǒng)中使用的是一些開放的標(biāo)準(zhǔn)協(xié)議，且多是基于以太網(wǎng)和TCP／IP協(xié)議棧的應(yīng)用層協(xié)議。

標(biāo)準(zhǔn)開放的同時，也使得攻擊者能夠更容易、更深層次地理解SCADA網(wǎng)絡(luò)運(yùn)行的機(jī)制，從而大大增加了風(fēng)險。

2．1．3明文數(shù)據(jù)風(fēng)險

油氣管道SCADA系統(tǒng)中傳輸?shù)氖敲魑臄?shù)據(jù)，沒有進(jìn)行特殊的安全處理，其保密性、完整性無法得到保證。

數(shù)據(jù)在傳輸過程中或者存儲在終端設(shè)備時都有可能被侵入網(wǎng)絡(luò)和設(shè)備的攻擊者輕松獲得、更改。如果攻擊者對數(shù)據(jù)進(jìn)行r篡改，甚至偽造重要的控制指令，系統(tǒng)本身小具備任何能力發(fā)現(xiàn)。一旦這些數(shù)據(jù)進(jìn)入SCADA系統(tǒng)，可能引起嚴(yán)重事故，造成不可估量的損失。

2．1．4??非定制的軟硬件產(chǎn)品帶來的風(fēng)險

油氣管道SCADA系統(tǒng)存建設(shè)過程中，很少選擇定制產(chǎn)品，而是選擇市場上較大廠商的典型軟硬件產(chǎn)品，這樣做大大降低了設(shè)計難度和建設(shè)成本，但同時也帶來了潛在的風(fēng)險。

由于絕大多數(shù)產(chǎn)品不是為了SCADA系統(tǒng)專門設(shè)計的，都不帶任何安全功能。這些產(chǎn)品通常兼容一些基于以太網(wǎng)和TCP／IP協(xié)議棧的應(yīng)用層協(xié)議，在基于TCP／IP的網(wǎng)絡(luò)攻擊面前非常脆弱。如果不加入一些專門的網(wǎng)絡(luò)安全設(shè)備，SCADA網(wǎng)絡(luò)和普通的百聯(lián)網(wǎng)一樣，安全性和可靠性非常低。

針對上述數(shù)據(jù)傳輸存在的風(fēng)險進(jìn)行安全防護(hù)設(shè)計時，應(yīng)當(dāng)遵循日前已有的油氣管道SCADA系統(tǒng)安全相關(guān)標(biāo)準(zhǔn)。表2中列舉了本文參考文獻(xiàn)的主要標(biāo)準(zhǔn)^[10-13]。

?

2．3．1接入控制

接入控制是一種常見的SCADA系統(tǒng)安全策略。完善SCADA系統(tǒng)的接入控制機(jī)制是非常必要的。對于企業(yè)級安全來說，必須嚴(yán)格執(zhí)行網(wǎng)絡(luò)安全接入管理制度，并輔以適當(dāng)?shù)募夹g(shù)手段，才能事半功倍。

要在技術(shù)層面實(shí)現(xiàn)接入控制，首先要做到針對所有的接入對象進(jìn)行認(rèn)證，這里的對象呵能足用戶，也可能是設(shè)備。然后，應(yīng)當(dāng)賦予通過認(rèn)證的用戶相應(yīng)的角色和權(quán)限。

2．3．1．1認(rèn)證

針對用戶的認(rèn)證可以保證控制指令是授權(quán)用戶下達(dá)的，針對沒備的認(rèn)證可以保證數(shù)據(jù)來自正確的來源。雙重認(rèn)證比較嚴(yán)格，要求用戶必須在特定的設(shè)備上才能接入系統(tǒng)，且只能在該設(shè)備上查看數(shù)據(jù)和發(fā)送指令。

身份認(rèn)證的實(shí)現(xiàn)一般有軟硬兩種方式。軟件實(shí)現(xiàn)可以是軟件系統(tǒng)登錄時要求使用用戶名、口令進(jìn)行身份認(rèn)證，也可以結(jié)合CA證書。硬件實(shí)現(xiàn)可以使用USBKey，或者智能卡^[4]。軟硬方式也可以結(jié)合起來，加大認(rèn)證安全的強(qiáng)度。

有一種較新的做法是在現(xiàn)場設(shè)備近端部署支持DNP3協(xié)議并具有認(rèn)證和完整性功能的設(shè)備，在中控系統(tǒng)內(nèi)部署相對應(yīng)的軟件或硬件^[14]，在數(shù)據(jù)傳輸時利用“質(zhì)疑??回應(yīng)”機(jī)制進(jìn)行認(rèn)證。這種方式可以確?，F(xiàn)場一些特別重要的設(shè)備收到來源合法的控制指令，但是僅支持DNP3協(xié)議，而且實(shí)施成本非常高。

2．3．1．2權(quán)限控制

用戶權(quán)限一般是通過角色來賦予的，角色是權(quán)限的集合，系統(tǒng)定義了若干個角色，并分配給用戶，用戶只能進(jìn)行權(quán)限范圍以內(nèi)的操作。

在SCADA系統(tǒng)中，通常有多種角色，比如調(diào)度員、工程師、管理員以及開發(fā)商等。使用基于角色的分配策略大大簡化了權(quán)限管理工作。

當(dāng)用戶通過認(rèn)證后發(fā)出操作請求時，需要檢查其是否具備實(shí)施該操作的權(quán)限。如果權(quán)限條件不滿足，系統(tǒng)將自動拒絕用戶的請求。

用戶認(rèn)證和權(quán)限的信息，通常統(tǒng)一存儲在一臺身份認(rèn)證服務(wù)器中。

2．3．2數(shù)據(jù)加密

加密是一種有效的數(shù)據(jù)安全策略，可以有效地提高數(shù)據(jù)的保密性和完整性。SCADA系統(tǒng)的加密可以在不同的網(wǎng)絡(luò)分層實(shí)現(xiàn)，比如在應(yīng)用層加密和在網(wǎng)絡(luò)層加密。

2．3．2．1應(yīng)用層加密

應(yīng)用層加密是在應(yīng)用通過網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)傳輸?shù)慕涌谥衼韺?shí)現(xiàn)的，通信雙方均需支持相匹配的加解密算法。運(yùn)行時，需要依賴復(fù)雜的加密確認(rèn)機(jī)制，每次發(fā)送和接收數(shù)據(jù)前，應(yīng)用之間需先交互確認(rèn)彼此加密、解密狀態(tài)，才能開始傳輸數(shù)據(jù)。應(yīng)用層加密方式與數(shù)據(jù)傳輸?shù)膶?shí)際網(wǎng)絡(luò)路徑無關(guān)，但是其擴(kuò)展性較差，系統(tǒng)一旦進(jìn)行應(yīng)用擴(kuò)展，新的應(yīng)用必須實(shí)現(xiàn)數(shù)據(jù)加解密功能。

2．3．2．2網(wǎng)絡(luò)層加密

網(wǎng)絡(luò)層加密實(shí)現(xiàn)較之應(yīng)用層加密實(shí)現(xiàn)更為底層。網(wǎng)絡(luò)層加密直接對網(wǎng)絡(luò)通道進(jìn)行加密，與具體的應(yīng)用無關(guān)，在加密通道中傳輸?shù)臄?shù)據(jù)都將獲到保護(hù)。這種方式將加密功能和系統(tǒng)應(yīng)用分離開來，有利于系統(tǒng)擴(kuò)展。不過網(wǎng)絡(luò)層加密需要引入額外的加密設(shè)備，一定程度上增加了建設(shè)成本。

在AGA-l2：2和IEEE Pl711-2010標(biāo)準(zhǔn)中^[11-12]，均定義了子站串行保護(hù)協(xié)議(SSPP)，要求加密設(shè)備必??須以網(wǎng)絡(luò)嵌入式(BITW)的形式串行接入網(wǎng)絡(luò)，并部??署在數(shù)據(jù)傳輸網(wǎng)絡(luò)路徑的起始兩端，加密應(yīng)對數(shù)據(jù)傳輸過程實(shí)現(xiàn)透明。

2．3．2．3密鑰管理

數(shù)據(jù)加密還需要建立有效的密鑰管理機(jī)制，AGA也建立了并仍在完善相關(guān)的標(biāo)準(zhǔn)。Kang在他的研究中列舉了一些有效的密鑰管理策略吲。

2．3．3網(wǎng)絡(luò)安全設(shè)備

網(wǎng)絡(luò)安全設(shè)備是一種特殊的硬件設(shè)備，它們結(jié)合了接入控制和加密策略，針對特定需求定制開發(fā)軟件并嵌入到硬件中。這些設(shè)備可以用來對數(shù)據(jù)傳輸網(wǎng)絡(luò)進(jìn)行安全防護(hù)，常見的有硬件防火墻和安全網(wǎng)關(guān)。

2．3．3．1硬件防火墻

硬件防火墻具有軟件防火墻所有功能，并具有內(nèi)容過濾(CF)、入侵偵測(IDS)、入侵防護(hù)(IPS)以及虛擬專用網(wǎng)絡(luò)(VPN)等功能。

硬件防火墻可以在應(yīng)用系統(tǒng)訪問控制、流量控制、防病毒網(wǎng)關(guān)、用戶權(quán)限控制、惡意代碼的阻止、異常行為阻斷等方面對SCADA網(wǎng)絡(luò)進(jìn)行控制。

2．3．3．2安全網(wǎng)關(guān)

通常，SCADA系統(tǒng)內(nèi)的數(shù)據(jù)網(wǎng)關(guān)是用來進(jìn)行協(xié)議轉(zhuǎn)換的，并不具備安全功能。安全網(wǎng)關(guān)是一類針對數(shù)據(jù)傳輸安全需求沒汁出來的設(shè)備，除了兼容油氣管道SCADA系統(tǒng)常用的盼議，還提供認(rèn)證、加密、殺毒等安全功能。

為降低前述的數(shù)據(jù)傳輸風(fēng)險，本文參考常見安全策略，結(jié)合中國石油油氣管道SCADA系統(tǒng)的實(shí)際情況，針對中控系統(tǒng)與站控系統(tǒng)的數(shù)據(jù)傳輸過程，初步設(shè)計了以下安全方案。

2．4．1建立接入控制機(jī)制

部署證書體系，為全網(wǎng)用戶提供統(tǒng)一身份標(biāo)識；部署身份認(rèn)證服務(wù)器，為全網(wǎng)用戶提供統(tǒng)一身份認(rèn)證服務(wù)，并統(tǒng)一管理權(quán)限；部署網(wǎng)絡(luò)認(rèn)證服務(wù)器，加強(qiáng)全網(wǎng)統(tǒng)一接入認(rèn)證管理。

采用USBKey、證書、口令相結(jié)合的身份認(rèn)證方式：SCADA系統(tǒng)驗(yàn)證用戶身份時，首先確認(rèn)用戶是否插入USBKey，然后驗(yàn)證口令是否正確，最后確認(rèn)證書是否有效。當(dāng)以上三者均通過驗(yàn)證，用戶才能進(jìn)行權(quán)限內(nèi)的操作。

2．4．2部署網(wǎng)絡(luò)安全設(shè)備

在中控系統(tǒng)和站控系統(tǒng)接入通信系統(tǒng)的邊界上部署硬件防火墻和加密網(wǎng)關(guān)，以抵御基于TCP／IP的網(wǎng)絡(luò)攻擊，并對傳輸數(shù)據(jù)進(jìn)行加密保護(hù)。

加密網(wǎng)關(guān)需特別定制且具有以下特點(diǎn)：

1)選用國家密碼管理局認(rèn)可的商密算法。

2)支持網(wǎng)絡(luò)層BITW部署模式，對原有網(wǎng)絡(luò)和使用協(xié)議無影響。

3)支持對端無加密網(wǎng)關(guān)的部署模式。

4)支持對通道加密，僅對重要設(shè)備數(shù)據(jù)進(jìn)行加密。

5)支持單向加密，可僅對下行指令加密，對上行數(shù)據(jù)不加密。

6)支持旁路(bypass)功能，當(dāng)設(shè)備無法正常工作時，可以自動切換為明文傳輸模式。

網(wǎng)絡(luò)安全設(shè)備的部署方式如圖4所示。

?

此外，還應(yīng)部署設(shè)備管理中心和密鑰管理中心，對全網(wǎng)的加密網(wǎng)關(guān)進(jìn)行管理。

2．4．3加強(qiáng)對外安全

將中控系統(tǒng)和外部系統(tǒng)進(jìn)行物理隔離，并對所有系統(tǒng)及設(shè)備進(jìn)行認(rèn)證；對所有數(shù)據(jù)傳輸通道進(jìn)行加密；使用加密的文件傳輸方式。

油氣管道SCADA系統(tǒng)安全直接影響油氣管道生產(chǎn)安全，乃至國家能源、經(jīng)濟(jì)安全，因此格外重要。該系統(tǒng)經(jīng)過多年的發(fā)展，已經(jīng)形成依托于通信網(wǎng)絡(luò)的分布式架構(gòu)。本文針對該系統(tǒng)中數(shù)據(jù)傳輸?shù)那闆r進(jìn)行了介紹，并對目前存在的主要風(fēng)險進(jìn)行了分析。參照國內(nèi)外一些SCADA安全方面相關(guān)的標(biāo)準(zhǔn)，結(jié)合中國石油油氣管道SCADA系統(tǒng)建設(shè)現(xiàn)狀，本文提出了一個基于接入控制和加密的數(shù)據(jù)傳輸安全方案，并計劃在未來的工業(yè)實(shí)驗(yàn)中進(jìn)行驗(yàn)證。

?

[1]National Transportation Safety Board(NTSB)．Supervisory control and data acquisition(SCADA)in liquid pipelines[R]．Washington DC：NTSB，2006．

[2]BOYER S A．SCADA supervisory control and data acquisitionl M．USA：International Society of Automation(ISA)，2010．

[3]謝安?。蜌夤芫€SCADA系統(tǒng)調(diào)度控制中心的安全策略[J]．天然氣工業(yè)，2005，25(6)：ll3-115．

XIE Anjun．Safe strategy of SCADA system dispatching and controlling center for oil／gas pipeline[J]．Natural Gas Industry，2005，25(6)：ll3-115．

4VINAY M I，SEAN A L，RONALD D W．Security issues in SCADA networks[J]．Computers＆Security，2006，25(7)：498-506．

[5]RISLEY A，ROBERTS J，LADow P．Electronic security of real time protection and SCADA communications[C]// Fifth Annual Western Power Delivery Automation Conference，1-3 April 2003，Washington DC，USA．

[6]American Gas Association(AGA)．cryptographic protection of SCADA communications，Part l：Background，policies and test plan(AGA l2，Part l)[S]．Washington DC：AGA，2006．

[7]KEVIN M．Data and command encryption for SCADA[R]．Schneider Electric，Canada,2012．

[8]BYRES E．Privacy and security the air gap：SCADA’s enduring security myth[J]．Conmmnication of the ACM，2013，56(8)：29-31．

[9]BYRES E，LOWE J．The myths and facts behind cyber security risks for industrial control systems[C]//VDE Congress，VDE Association for Electrical，Electronic＆Information Technologies，October 2004，Berlin，Germany．

[10]American Petroleum Institute(API)．SCADA Security (API ll64)[S]．API，2004．

[11]American Gas Association(AGA)．Cryptographic protection of SCADA communications，Part 2：Performance test results(AGA l2，Part 2)S．Washington DC：AGA，2007．

[12]Institute of Electrical and Electronics Engineers(IEEE)．Trial use standard for a eryptographic protocol for cyber security of substation seriallinks(IEEE Pl711—2010)[S]．USA：IEEE，2011．

[13]中國石油北京油氣調(diào)控中心．油氣管道SCADA系統(tǒng)網(wǎng)絡(luò)安全技術(shù)規(guī)范Q／SY BD 46—2010[S]．北京：中國石油天然氣股份有限公司，2010．

PetroChina Oil and Gas Pipeline Control Center．Q／SY BD 46—2010 Network security and protection for SCADA of oil＆．gas pipelines[S]．Beijing：PetroChina，2010．

[14]JEFFREY L H，JACOB S，JAMES H G．A security-bard ened appliance for implementing authentication and access control in SCADA infrastructures with legacy field devices[J]．International Journal of Critical Infrastructure Protection，2013(6)：12-24．

[15]KANG D J，LEE J J，KIM B H，et al．Proposal strategies of key management for data encryption in SCADA network of electric power systems[J]．Electrical Power and Energy Systems，2011，33：l521-1526．