1.5 外部系統數據傳輸數據
日常生產中�,中控系統需要和許多外部系統進行數據交換���,包括管道生產管理系統���、模擬仿真系統���、能耗計量系統��、批次跟蹤系統、調度培訓系統、調度評價系統等����。
目前一般有兩種方式實現中控系統和外部系統的數據傳輸:
1)數據庫:直接讀寫方式����。中控系統使用OPC協議向PI數據庫寫入數據作為鏡像�����,外部系統直接連接訪問PI數據庫�����。比如模擬仿真系統就通過這種方式間接獲取SCADA實時數據。
2)文件傳輸方式。源系統將數據寫入一個XML文件中,并傳至一個共享文件區或FTP�����,目標系統將自動讀取文件獲取數據����。比如成品油的批次計劃信息就通過這種方式傳入SCADA系統中�。
2 風險分析及解決方案
2.1 風險分析
當前油氣管道SCADA系統中數據傳輸安全方而的防護措施不多,風險主要存在于中控系統和站控系統的數據傳輸過程����,主要有以下幾個方面���。
2.1.1非法接入風險
Risley等認為攻擊者無法入侵物理隔離網絡的看法是一種理解錯誤[5]�,Byres更是直言物理隔離在現實世界中毫無用處��,建議工業用戶開始放棄這種方法[8]�。
中國石油一直在大力建設中控系統和站控系統的物理安全防護設施��,但是若干系統之間的數據交換需求促使各個簡單孤立的系統逐漸形成一個復雜的SCADA網絡���。
現在的網絡技術發展非?��??,對于任何形式的網絡都可以提供多種接入方式�,SCADA網絡也不例外。局域網無論怎么隔離���,只要有對外的數據傳輸,就總會通過一根專線����、一臺設備或者一個內網和更大的企業網相連�����。攻擊者完全有可能利用這些鏈接獲取到對站場設備的接入途徑[4]��,一旦非法接入,后果不可設想���。
2.1.2協議開放風險
Byres等認為使用私有協議是更安全的[9]��。但是目前出于工程實施難度和成本的考慮����,油氣管道SCADA系統中使用的是一些開放的標準協議�,且多是基于以太網和TCP/IP協議棧的應用層協議。
標準開放的同時�����,也使得攻擊者能夠更容易���、更深層次地理解SCADA網絡運行的機制��,從而大大增加了風險�。
2.1.3明文數據風險
油氣管道SCADA系統中傳輸的是明文數據�,沒有進行特殊的安全處理,其保密性���、完整性無法得到保證。
數據在傳輸過程中或者存儲在終端設備時都有可能被侵入網絡和設備的攻擊者輕松獲得�����、更改���。如果攻擊者對數據進行r篡改�����,甚至偽造重要的控制指令����,系統本身小具備任何能力發現��。一旦這些數據進入SCADA系統,可能引起嚴重事故���,造成不可估量的損失。
2.1.4??非定制的軟硬件產品帶來的風險
油氣管道SCADA系統存建設過程中,很少選擇定制產品�����,而是選擇市場上較大廠商的典型軟硬件產品���,這樣做大大降低了設計難度和建設成本����,但同時也帶來了潛在的風險。
由于絕大多數產品不是為了SCADA系統專門設計的,都不帶任何安全功能��。這些產品通常兼容一些基于以太網和TCP/IP協議棧的應用層協議�����,在基于TCP/IP的網絡攻擊面前非常脆弱���。如果不加入一些專門的網絡安全設備���,SCADA網絡和普通的百聯網一樣���,安全性和可靠性非常低�����。
2.2 安全標準
針對上述數據傳輸存在的風險進行安全防護設計時,應當遵循日前已有的油氣管道SCADA系統安全相關標準。表2中列舉了本文參考文獻的主要標準[10-13]����。
?
2.3 常見安全策略
2.3.1接入控制
接入控制是一種常見的SCADA系統安全策略���。完善SCADA系統的接入控制機制是非常必要的���。對于企業級安全來說����,必須嚴格執行網絡安全接入管理制度�����,并輔以適當的技術手段��,才能事半功倍。
要在技術層面實現接入控制,首先要做到針對所有的接入對象進行認證,這里的對象呵能足用戶�,也可能是設備���。然后�,應當賦予通過認證的用戶相應的角色和權限�����。
2.3.1.1認證
針對用戶的認證可以保證控制指令是授權用戶下達的�,針對沒備的認證可以保證數據來自正確的來源�����。雙重認證比較嚴格��,要求用戶必須在特定的設備上才能接入系統,且只能在該設備上查看數據和發送指令。
身份認證的實現一般有軟硬兩種方式���。軟件實現可以是軟件系統登錄時要求使用用戶名���、口令進行身份認證��,也可以結合CA證書��。硬件實現可以使用USBKey,或者智能卡[4]��。軟硬方式也可以結合起來�����,加大認證安全的強度�。
有一種較新的做法是在現場設備近端部署支持DNP3協議并具有認證和完整性功能的設備�,在中控系統內部署相對應的軟件或硬件[14],在數據傳輸時利用“質疑??回應”機制進行認證�。這種方式可以確?�,F場一些特別重要的設備收到來源合法的控制指令,但是僅支持DNP3協議�,而且實施成本非常高�。
2.3.1.2權限控制
用戶權限一般是通過角色來賦予的����,角色是權限的集合,系統定義了若干個角色����,并分配給用戶����,用戶只能進行權限范圍以內的操作�����。
在SCADA系統中,通常有多種角色,比如調度員、工程師、管理員以及開發商等�����。使用基于角色的分配策略大大簡化了權限管理工作。
當用戶通過認證后發出操作請求時�����,需要檢查其是否具備實施該操作的權限����。如果權限條件不滿足,系統將自動拒絕用戶的請求�����。
用戶認證和權限的信息����,通常統一存儲在一臺身份認證服務器中。
2.3.2數據加密
加密是一種有效的數據安全策略����,可以有效地提高數據的保密性和完整性��。SCADA系統的加密可以在不同的網絡分層實現,比如在應用層加密和在網絡層加密�����。
2.3.2.1應用層加密
應用層加密是在應用通過網絡進行數據傳輸的接口中來實現的�,通信雙方均需支持相匹配的加解密算法。運行時����,需要依賴復雜的加密確認機制,每次發送和接收數據前,應用之間需先交互確認彼此加密、解密狀態,才能開始傳輸數據���。應用層加密方式與數據傳輸的實際網絡路徑無關,但是其擴展性較差,系統一旦進行應用擴展����,新的應用必須實現數據加解密功能��。
2.3.2.2網絡層加密
網絡層加密實現較之應用層加密實現更為底層。網絡層加密直接對網絡通道進行加密,與具體的應用無關��,在加密通道中傳輸的數據都將獲到保護���。這種方式將加密功能和系統應用分離開來�����,有利于系統擴展�����。不過網絡層加密需要引入額外的加密設備,一定程度上增加了建設成本。
在AGA-l2:2和IEEE Pl711-2010標準中[11-12]����,均定義了子站串行保護協議(SSPP)�,要求加密設備必??須以網絡嵌入式(BITW)的形式串行接入網絡���,并部??署在數據傳輸網絡路徑的起始兩端�,加密應對數據傳輸過程實現透明。
2.3.2.3密鑰管理
數據加密還需要建立有效的密鑰管理機制,AGA也建立了并仍在完善相關的標準。Kang在他的研究中列舉了一些有效的密鑰管理策略吲��。
2.3.3網絡安全設備
網絡安全設備是一種特殊的硬件設備��,它們結合了接入控制和加密策略����,針對特定需求定制開發軟件并嵌入到硬件中�。這些設備可以用來對數據傳輸網絡進行安全防護���,常見的有硬件防火墻和安全網關���。
2.3.3.1硬件防火墻
硬件防火墻具有軟件防火墻所有功能,并具有內容過濾(CF)�、入侵偵測(IDS)��、入侵防護(IPS)以及虛擬專用網絡(VPN)等功能。
硬件防火墻可以在應用系統訪問控制���、流量控制、防病毒網關、用戶權限控制���、惡意代碼的阻止、異常行為阻斷等方面對SCADA網絡進行控制。
2.3.3.2安全網關
通常����,SCADA系統內的數據網關是用來進行協議轉換的����,并不具備安全功能���。安全網關是一類針對數據傳輸安全需求沒汁出來的設備��,除了兼容油氣管道SCADA系統常用的盼議���,還提供認證���、加密�、殺毒等安全功能�。
2.4 油氣管道SCADA系統數據傳輸安全方案
為降低前述的數據傳輸風險����,本文參考常見安全策略,結合中國石油油氣管道SCADA系統的實際情況�����,針對中控系統與站控系統的數據傳輸過程��,初步設計了以下安全方案�����。
2.4.1建立接入控制機制
部署證書體系,為全網用戶提供統一身份標識�;部署身份認證服務器�����,為全網用戶提供統一身份認證服務,并統一管理權限����;部署網絡認證服務器�,加強全網統一接入認證管理���。
采用USBKey�����、證書����、口令相結合的身份認證方式:SCADA系統驗證用戶身份時�����,首先確認用戶是否插入USBKey,然后驗證口令是否正確,最后確認證書是否有效。當以上三者均通過驗證���,用戶才能進行權限內的操作。
2.4.2部署網絡安全設備
在中控系統和站控系統接入通信系統的邊界上部署硬件防火墻和加密網關�����,以抵御基于TCP/IP的網絡攻擊����,并對傳輸數據進行加密保護�。
加密網關需特別定制且具有以下特點:
1)選用國家密碼管理局認可的商密算法��。
2)支持網絡層BITW部署模式�����,對原有網絡和使用協議無影響。
3)支持對端無加密網關的部署模式����。
4)支持對通道加密�,僅對重要設備數據進行加密�。
5)支持單向加密,可僅對下行指令加密��,對上行數據不加密���。
6)支持旁路(bypass)功能��,當設備無法正常工作時����,可以自動切換為明文傳輸模式�����。
網絡安全設備的部署方式如圖4所示。
?
此外,還應部署設備管理中心和密鑰管理中心��,對全網的加密網關進行管理����。
2.4.3加強對外安全
將中控系統和外部系統進行物理隔離,并對所有系統及設備進行認證;對所有數據傳輸通道進行加密����;使用加密的文件傳輸方式�����。
3 結束語
油氣管道SCADA系統安全直接影響油氣管道生產安全,乃至國家能源、經濟安全�,因此格外重要����。該系統經過多年的發展���,已經形成依托于通信網絡的分布式架構��。本文針對該系統中數據傳輸的情況進行了介紹����,并對目前存在的主要風險進行了分析�。參照國內外一些SCADA安全方面相關的標準,結合中國石油油氣管道SCADA系統建設現狀�,本文提出了一個基于接入控制和加密的數據傳輸安全方案,并計劃在未來的工業實驗中進行驗證�����。
?
參考文獻
[1]National Transportation Safety Board(NTSB).Supervisory control and data acquisition(SCADA)in liquid pipelines[R].Washington DC:NTSB��,2006.
[2]BOYER S A.SCADA supervisory control and data acquisitionl M.USA:International Society of Automation(ISA)���,2010.
[3]謝安?。蜌夤芫€SCADA系統調度控制中心的安全策略[J].天然氣工業�����,2005�,25(6):ll3-115.
XIE Anjun.Safe strategy of SCADA system dispatching and controlling center for oil/gas pipeline[J].Natural Gas Industry����,2005,25(6):ll3-115.
4VINAY M I�����,SEAN A L,RONALD D W.Security issues in SCADA networks[J].Computers&Security�����,2006�����,25(7):498-506.
[5]RISLEY A���,ROBERTS J,LADow P.Electronic security of real time protection and SCADA communications[C]// Fifth Annual Western Power Delivery Automation Conference��,1-3 April 2003���,Washington DC���,USA.
[6]American Gas Association(AGA).cryptographic protection of SCADA communications�����,Part l:Background�����,policies and test plan(AGA l2,Part l)[S].Washington DC:AGA��,2006.
[7]KEVIN M.Data and command encryption for SCADA[R].Schneider Electric�,Canada,2012.
[8]BYRES E.Privacy and security the air gap:SCADA’s enduring security myth[J].Conmmnication of the ACM,2013��,56(8):29-31.
[9]BYRES E���,LOWE J.The myths and facts behind cyber security risks for industrial control systems[C]//VDE Congress��,VDE Association for Electrical���,Electronic&Information Technologies��,October 2004,Berlin�����,Germany.
[10]American Petroleum Institute(API).SCADA Security (API ll64)[S].API��,2004.
[11]American Gas Association(AGA).Cryptographic protection of SCADA communications,Part 2:Performance test results(AGA l2,Part 2)S.Washington DC:AGA���,2007.
[12]Institute of Electrical and Electronics Engineers(IEEE).Trial use standard for a eryptographic protocol for cyber security of substation seriallinks(IEEE Pl711—2010)[S].USA:IEEE,2011.
[13]中國石油北京油氣調控中心.油氣管道SCADA系統網絡安全技術規范Q/SY BD 46—2010[S].北京:中國石油天然氣股份有限公司,2010.
PetroChina Oil and Gas Pipeline Control Center.Q/SY BD 46—2010 Network security and protection for SCADA of oil&.gas pipelines[S].Beijing:PetroChina,2010.
[14]JEFFREY L H,JACOB S����,JAMES H G.A security-bard ened appliance for implementing authentication and access control in SCADA infrastructures with legacy field devices[J].International Journal of Critical Infrastructure Protection�,2013(6):12-24.
[15]KANG D J����,LEE J J,KIM B H,et al.Proposal strategies of key management for data encryption in SCADA network of electric power systems[J].Electrical Power and Energy Systems�,2011����,33:l521-1526.
常壓爐拆除風險評價及控制措施
長輸燃氣管道的安全保護距離
