1.5 外部系統(tǒng)數(shù)據(jù)傳輸數(shù)據(jù)
日常生產中�����,中控系統(tǒng)需要和許多外部系統(tǒng)進行數(shù)據(jù)交換�,包括管道生產管理系統(tǒng)、模擬仿真系統(tǒng)����、能耗計量系統(tǒng)����、批次跟蹤系統(tǒng)��、調度培訓系統(tǒng)�、調度評價系統(tǒng)等��。
目前一般有兩種方式實現(xiàn)中控系統(tǒng)和外部系統(tǒng)的數(shù)據(jù)傳輸:
1)數(shù)據(jù)庫:直接讀寫方式��。中控系統(tǒng)使用OPC協(xié)議向PI數(shù)據(jù)庫寫入數(shù)據(jù)作為鏡像�,外部系統(tǒng)直接連接訪問PI數(shù)據(jù)庫。比如模擬仿真系統(tǒng)就通過這種方式間接獲取SCADA實時數(shù)據(jù)����。
2)文件傳輸方式。源系統(tǒng)將數(shù)據(jù)寫入一個XML文件中�,并傳至一個共享文件區(qū)或FTP,目標系統(tǒng)將自動讀取文件獲取數(shù)據(jù)�����。比如成品油的批次計劃信息就通過這種方式傳入SCADA系統(tǒng)中��。
2 風險分析及解決方案
2.1 風險分析
當前油氣管道SCADA系統(tǒng)中數(shù)據(jù)傳輸安全方而的防護措施不多�,風險主要存在于中控系統(tǒng)和站控系統(tǒng)的數(shù)據(jù)傳輸過程,主要有以下幾個方面。
2.1.1非法接入風險
Risley等認為攻擊者無法入侵物理隔離網絡的看法是一種理解錯誤[5]��,Byres更是直言物理隔離在現(xiàn)實世界中毫無用處�����,建議工業(yè)用戶開始放棄這種方法[8]�����。
中國石油一直在大力建設中控系統(tǒng)和站控系統(tǒng)的物理安全防護設施�����,但是若干系統(tǒng)之間的數(shù)據(jù)交換需求促使各個簡單孤立的系統(tǒng)逐漸形成一個復雜的SCADA網絡�����。
現(xiàn)在的網絡技術發(fā)展非?��??����,對于任何形式的網絡都可以提供多種接入方式����,SCADA網絡也不例外。局域網無論怎么隔離����,只要有對外的數(shù)據(jù)傳輸,就總會通過一根專線����、一臺設備或者一個內網和更大的企業(yè)網相連�����。攻擊者完全有可能利用這些鏈接獲取到對站場設備的接入途徑[4]��,一旦非法接入�,后果不可設想。
2.1.2協(xié)議開放風險
Byres等認為使用私有協(xié)議是更安全的[9]���。但是目前出于工程實施難度和成本的考慮���,油氣管道SCADA系統(tǒng)中使用的是一些開放的標準協(xié)議,且多是基于以太網和TCP/IP協(xié)議棧的應用層協(xié)議�����。
標準開放的同時,也使得攻擊者能夠更容易���、更深層次地理解SCADA網絡運行的機制�����,從而大大增加了風險���。
2.1.3明文數(shù)據(jù)風險
油氣管道SCADA系統(tǒng)中傳輸?shù)氖敲魑臄?shù)據(jù),沒有進行特殊的安全處理�,其保密性、完整性無法得到保證����。
數(shù)據(jù)在傳輸過程中或者存儲在終端設備時都有可能被侵入網絡和設備的攻擊者輕松獲得、更改����。如果攻擊者對數(shù)據(jù)進行r篡改,甚至偽造重要的控制指令��,系統(tǒng)本身小具備任何能力發(fā)現(xiàn)���。一旦這些數(shù)據(jù)進入SCADA系統(tǒng)��,可能引起嚴重事故����,造成不可估量的損失。
2.1.4??非定制的軟硬件產品帶來的風險
油氣管道SCADA系統(tǒng)存建設過程中���,很少選擇定制產品�,而是選擇市場上較大廠商的典型軟硬件產品�����,這樣做大大降低了設計難度和建設成本��,但同時也帶來了潛在的風險�����。
由于絕大多數(shù)產品不是為了SCADA系統(tǒng)專門設計的���,都不帶任何安全功能。這些產品通常兼容一些基于以太網和TCP/IP協(xié)議棧的應用層協(xié)議��,在基于TCP/IP的網絡攻擊面前非常脆弱。如果不加入一些專門的網絡安全設備�����,SCADA網絡和普通的百聯(lián)網一樣����,安全性和可靠性非常低。
2.2 安全標準
針對上述數(shù)據(jù)傳輸存在的風險進行安全防護設計時��,應當遵循日前已有的油氣管道SCADA系統(tǒng)安全相關標準��。表2中列舉了本文參考文獻的主要標準[10-13]����。
?
2.3 常見安全策略
2.3.1接入控制
接入控制是一種常見的SCADA系統(tǒng)安全策略。完善SCADA系統(tǒng)的接入控制機制是非常必要的����。對于企業(yè)級安全來說,必須嚴格執(zhí)行網絡安全接入管理制度���,并輔以適當?shù)募夹g手段���,才能事半功倍����。
要在技術層面實現(xiàn)接入控制�,首先要做到針對所有的接入對象進行認證,這里的對象呵能足用戶�����,也可能是設備�。然后,應當賦予通過認證的用戶相應的角色和權限��。
2.3.1.1認證
針對用戶的認證可以保證控制指令是授權用戶下達的�,針對沒備的認證可以保證數(shù)據(jù)來自正確的來源。雙重認證比較嚴格�,要求用戶必須在特定的設備上才能接入系統(tǒng)�,且只能在該設備上查看數(shù)據(jù)和發(fā)送指令。
身份認證的實現(xiàn)一般有軟硬兩種方式��。軟件實現(xiàn)可以是軟件系統(tǒng)登錄時要求使用用戶名����、口令進行身份認證,也可以結合CA證書�����。硬件實現(xiàn)可以使用USBKey,或者智能卡[4]��。軟硬方式也可以結合起來�����,加大認證安全的強度��。
有一種較新的做法是在現(xiàn)場設備近端部署支持DNP3協(xié)議并具有認證和完整性功能的設備�����,在中控系統(tǒng)內部署相對應的軟件或硬件[14]��,在數(shù)據(jù)傳輸時利用“質疑??回應”機制進行認證����。這種方式可以確保現(xiàn)場一些特別重要的設備收到來源合法的控制指令�,但是僅支持DNP3協(xié)議,而且實施成本非常高�����。
2.3.1.2權限控制
用戶權限一般是通過角色來賦予的,角色是權限的集合��,系統(tǒng)定義了若干個角色�,并分配給用戶,用戶只能進行權限范圍以內的操作��。
在SCADA系統(tǒng)中��,通常有多種角色�,比如調度員、工程師�����、管理員以及開發(fā)商等��。使用基于角色的分配策略大大簡化了權限管理工作��。
當用戶通過認證后發(fā)出操作請求時�����,需要檢查其是否具備實施該操作的權限���。如果權限條件不滿足�,系統(tǒng)將自動拒絕用戶的請求�。
用戶認證和權限的信息,通常統(tǒng)一存儲在一臺身份認證服務器中���。
2.3.2數(shù)據(jù)加密
加密是一種有效的數(shù)據(jù)安全策略���,可以有效地提高數(shù)據(jù)的保密性和完整性。SCADA系統(tǒng)的加密可以在不同的網絡分層實現(xiàn)�����,比如在應用層加密和在網絡層加密����。
2.3.2.1應用層加密
應用層加密是在應用通過網絡進行數(shù)據(jù)傳輸?shù)慕涌谥衼韺崿F(xiàn)的,通信雙方均需支持相匹配的加解密算法���。運行時��,需要依賴復雜的加密確認機制���,每次發(fā)送和接收數(shù)據(jù)前�����,應用之間需先交互確認彼此加密�、解密狀態(tài)���,才能開始傳輸數(shù)據(jù)�����。應用層加密方式與數(shù)據(jù)傳輸?shù)膶嶋H網絡路徑無關���,但是其擴展性較差,系統(tǒng)一旦進行應用擴展�����,新的應用必須實現(xiàn)數(shù)據(jù)加解密功能���。
2.3.2.2網絡層加密
網絡層加密實現(xiàn)較之應用層加密實現(xiàn)更為底層�。網絡層加密直接對網絡通道進行加密�,與具體的應用無關,在加密通道中傳輸?shù)臄?shù)據(jù)都將獲到保護��。這種方式將加密功能和系統(tǒng)應用分離開來���,有利于系統(tǒng)擴展����。不過網絡層加密需要引入額外的加密設備�,一定程度上增加了建設成本。
在AGA-l2:2和IEEE Pl711-2010標準中[11-12]���,均定義了子站串行保護協(xié)議(SSPP)���,要求加密設備必??須以網絡嵌入式(BITW)的形式串行接入網絡,并部??署在數(shù)據(jù)傳輸網絡路徑的起始兩端�����,加密應對數(shù)據(jù)傳輸過程實現(xiàn)透明�。
2.3.2.3密鑰管理
數(shù)據(jù)加密還需要建立有效的密鑰管理機制,AGA也建立了并仍在完善相關的標準�。Kang在他的研究中列舉了一些有效的密鑰管理策略吲。
2.3.3網絡安全設備
網絡安全設備是一種特殊的硬件設備�����,它們結合了接入控制和加密策略,針對特定需求定制開發(fā)軟件并嵌入到硬件中�。這些設備可以用來對數(shù)據(jù)傳輸網絡進行安全防護,常見的有硬件防火墻和安全網關�����。
2.3.3.1硬件防火墻
硬件防火墻具有軟件防火墻所有功能����,并具有內容過濾(CF)、入侵偵測(IDS)���、入侵防護(IPS)以及虛擬專用網絡(VPN)等功能�。
硬件防火墻可以在應用系統(tǒng)訪問控制�、流量控制、防病毒網關�、用戶權限控制、惡意代碼的阻止�、異常行為阻斷等方面對SCADA網絡進行控制。
2.3.3.2安全網關
通常�,SCADA系統(tǒng)內的數(shù)據(jù)網關是用來進行協(xié)議轉換的,并不具備安全功能�����。安全網關是一類針對數(shù)據(jù)傳輸安全需求沒汁出來的設備,除了兼容油氣管道SCADA系統(tǒng)常用的盼議���,還提供認證���、加密�����、殺毒等安全功能�。
2.4 油氣管道SCADA系統(tǒng)數(shù)據(jù)傳輸安全方案
為降低前述的數(shù)據(jù)傳輸風險,本文參考常見安全策略�,結合中國石油油氣管道SCADA系統(tǒng)的實際情況,針對中控系統(tǒng)與站控系統(tǒng)的數(shù)據(jù)傳輸過程���,初步設計了以下安全方案�。
2.4.1建立接入控制機制
部署證書體系���,為全網用戶提供統(tǒng)一身份標識����;部署身份認證服務器�,為全網用戶提供統(tǒng)一身份認證服務�����,并統(tǒng)一管理權限�����;部署網絡認證服務器����,加強全網統(tǒng)一接入認證管理�����。
采用USBKey��、證書����、口令相結合的身份認證方式:SCADA系統(tǒng)驗證用戶身份時,首先確認用戶是否插入USBKey��,然后驗證口令是否正確�,最后確認證書是否有效。當以上三者均通過驗證,用戶才能進行權限內的操作�����。
2.4.2部署網絡安全設備
在中控系統(tǒng)和站控系統(tǒng)接入通信系統(tǒng)的邊界上部署硬件防火墻和加密網關���,以抵御基于TCP/IP的網絡攻擊��,并對傳輸數(shù)據(jù)進行加密保護�。
加密網關需特別定制且具有以下特點:
1)選用國家密碼管理局認可的商密算法��。
2)支持網絡層BITW部署模式�,對原有網絡和使用協(xié)議無影響�。
3)支持對端無加密網關的部署模式。
4)支持對通道加密�,僅對重要設備數(shù)據(jù)進行加密。
5)支持單向加密�,可僅對下行指令加密,對上行數(shù)據(jù)不加密�����。
6)支持旁路(bypass)功能����,當設備無法正常工作時��,可以自動切換為明文傳輸模式����。
網絡安全設備的部署方式如圖4所示�。
?
此外,還應部署設備管理中心和密鑰管理中心���,對全網的加密網關進行管理����。
2.4.3加強對外安全
將中控系統(tǒng)和外部系統(tǒng)進行物理隔離�����,并對所有系統(tǒng)及設備進行認證���;對所有數(shù)據(jù)傳輸通道進行加密����;使用加密的文件傳輸方式�。
3 結束語
油氣管道SCADA系統(tǒng)安全直接影響油氣管道生產安全,乃至國家能源、經濟安全��,因此格外重要�。該系統(tǒng)經過多年的發(fā)展,已經形成依托于通信網絡的分布式架構�����。本文針對該系統(tǒng)中數(shù)據(jù)傳輸?shù)那闆r進行了介紹����,并對目前存在的主要風險進行了分析。參照國內外一些SCADA安全方面相關的標準���,結合中國石油油氣管道SCADA系統(tǒng)建設現(xiàn)狀,本文提出了一個基于接入控制和加密的數(shù)據(jù)傳輸安全方案���,并計劃在未來的工業(yè)實驗中進行驗證�����。
?
參考文獻
[1]National Transportation Safety Board(NTSB).Supervisory control and data acquisition(SCADA)in liquid pipelines[R].Washington DC:NTSB�,2006.
[2]BOYER S A.SCADA supervisory control and data acquisitionl M.USA:International Society of Automation(ISA)�,2010.
[3]謝安俊.油氣管線SCADA系統(tǒng)調度控制中心的安全策略[J].天然氣工業(yè),2005�����,25(6):ll3-115.
XIE Anjun.Safe strategy of SCADA system dispatching and controlling center for oil/gas pipeline[J].Natural Gas Industry�,2005,25(6):ll3-115.
4VINAY M I���,SEAN A L����,RONALD D W.Security issues in SCADA networks[J].Computers&Security�,2006,25(7):498-506.
[5]RISLEY A���,ROBERTS J�����,LADow P.Electronic security of real time protection and SCADA communications[C]// Fifth Annual Western Power Delivery Automation Conference����,1-3 April 2003�,Washington DC�����,USA.
[6]American Gas Association(AGA).cryptographic protection of SCADA communications�,Part l:Background��,policies and test plan(AGA l2�,Part l)[S].Washington DC:AGA,2006.
[7]KEVIN M.Data and command encryption for SCADA[R].Schneider Electric�����,Canada,2012.
[8]BYRES E.Privacy and security the air gap:SCADA’s enduring security myth[J].Conmmnication of the ACM����,2013,56(8):29-31.
[9]BYRES E��,LOWE J.The myths and facts behind cyber security risks for industrial control systems[C]//VDE Congress���,VDE Association for Electrical,Electronic&Information Technologies�����,October 2004,Berlin�����,Germany.
[10]American Petroleum Institute(API).SCADA Security (API ll64)[S].API����,2004.
[11]American Gas Association(AGA).Cryptographic protection of SCADA communications,Part 2:Performance test results(AGA l2����,Part 2)S.Washington DC:AGA,2007.
[12]Institute of Electrical and Electronics Engineers(IEEE).Trial use standard for a eryptographic protocol for cyber security of substation seriallinks(IEEE Pl711—2010)[S].USA:IEEE���,2011.
[13]中國石油北京油氣調控中心.油氣管道SCADA系統(tǒng)網絡安全技術規(guī)范Q/SY BD 46—2010[S].北京:中國石油天然氣股份有限公司��,2010.
PetroChina Oil and Gas Pipeline Control Center.Q/SY BD 46—2010 Network security and protection for SCADA of oil&.gas pipelines[S].Beijing:PetroChina��,2010.
[14]JEFFREY L H����,JACOB S�����,JAMES H G.A security-bard ened appliance for implementing authentication and access control in SCADA infrastructures with legacy field devices[J].International Journal of Critical Infrastructure Protection,2013(6):12-24.
[15]KANG D J��,LEE J J����,KIM B H,et al.Proposal strategies of key management for data encryption in SCADA network of electric power systems[J].Electrical Power and Energy Systems����,2011,33:l521-1526.
談談化工企業(yè)如何做好日常安全管理
長輸燃氣管道的安全保護距離
