长输油气管道SCADA系统信息安全问题探讨
2014-12-24魏国富
摘 要:针对日益严峻的工控系统信息安全问题,文章结合国内典型长输油气管道SCADA系统的信息安全现状,分析了其存在的几种常见的信息安全漏洞及风险,并针对这些风险提出提高信息安全水平的实施对策。
关键词:输油气管道;数据采集与监视控制系统(SCADA);信息安全;网络病毒
前言
随着西气东输二线、中缅天然气管道等重大工程相继投产运行,西气东输三线正在紧张建设,乃至规划设计中的其他油气管道等,国内油气管道行业蓬勃发展,国家能源战略稳步前行。但随着计算机和网络技术的发展,特别是信息化与工业化深度融合以及物联网的快速发展,长输油气管道SCADA系统产品越来越多的采用通用协议、通用硬件和通用软件,存在很多能为木马、病毒等威胁侵入的漏洞,长输油气管道SCADA系统信息安全问题日益突出。2010年发生的以西门子ICS/SCADA为攻击目标的Stuxnet“震网”病毒事件,充分反映出工业控制系统信息安全面临着严峻的形势,因此,作为影响国计民生的基础能源设施工程,高度重视国内输油气管道SCADA系统信息安全,增强风险意识、提高系统安全性能迫在眉睫。
1 国内长输油气管道SCADA系统简介
SCADA系统即数据采集与监视控制系统,是以计算机为基础的生产过程控制与远程调度相结合的自动化系统,目前已广泛应用于油气管道领域。在长输管道的生产过程中,SCADA系统实时采集现场数据对工业现场进行自动控制,实时顺序输送控制,设备、管道沿线及站控系统运行状况监控,管道泄漏检测,管道仿真模拟及生产安全保护等多方面功能,并为生产、调度和管理提供必要的数据 [1]。
长输油气管道SCADA系统核心设备由通信服务器、站控HMI、过程控制PLC、安全系统ESD、远程终端RTU、交换机、路由器等组成,控制方式一般分为调控中心控制、站场控制和就地控制三级。目前国内各条油气管道SCADA系统使用设备及系统种类较多,以国外知名自动化公司的产品占主导地位,常用PLC有AB ControlLogix系列、施耐德quantum系列和compact、BB controlwave系列、Honywell SafetyManager等,上位机系统有Veiwtar、OAsys、PKS、Vijeo Citect、WINCC等等,常用数据通信协议有TCP/IP、Modbus RS485/232、IEC 104等。
2 国内长输油气管道SCADA系统信息安全现状分析
近年来,随着信息技术的迅猛发展,油气管道SCADA系统大量的采用通用的TCP/IP技术,每条管线的各站场之间、站场与阀室之间、站场和调控中心之间都能通过广域网进行有效的数据通信,虽然目前国内管道SCADA系统网络与企业办公网络、互联网等有物理上的隔离,但仍有很多漏洞和缺陷可导致系统感染病毒及恶意攻击,SCADA系统中任何一点受到攻击都将有可能导致整个系统的瘫痪。
2.1 信息安全漏洞分析
因长输油气管道SCADA系统本身设计及管理的部分缺陷,有不少信息安全漏洞及缺陷威胁着油气管道工程的安全运行,主要有六大方面。
2.1.1 操作系统漏洞
目前国内输油气管道SCADA系统数据通信服务器、工程师站、站控机HMI等使用的主要操作系统有Windows XP、Windows 2000、Windows Vista、LINUX和UNIX系统等,其中使用LINUX和UNIX系统的服务器相对而言抗病毒攻击性能较强,系统运行相对稳定。但基于Windows平台的服务器或站控机为保证过程控制系统的相对独立性,同时也考虑到系统的稳定运行,通常在现场工程安装调试开车后就不会对原Windows系统安装微软公司发布的任何补丁,存在的问题是不安装补丁系统就存在被攻击的可能,从而埋下安全隐患。
2.1.2 杀毒软件漏洞
为了保证SCADA系统工控软件的可用性,很多管线服务器和站控机通常不会安装杀毒软件(如西气东输二线、阿独线、双兰线等),甚至有些服务器和站控机关闭了防火墙,这使服务器和站控机丧失了基本的病毒查杀和网络攻击防御功能。即使有些管线SCADA系统的服务器和站控机安装了杀毒软件(如西气东输一线,站控机安装了金山毒霸的客户端,由西气东输公司压缩机处定期进行软件的升级和更新),在使用过程中也有很大的局限性,原因在于使用杀毒软件很关键的一点是其病毒库需要不定期的经常更新,这一要求对和外界互联网隔离的SCADA系统网络环境而言很不适合[2]。再者,杀毒软件对新网络病毒的处理总是滞后的,杀毒软件的运行对设备的配置及性能较高。
2.1.3 网络风险
由于SCADA系统网络的连通性,每条管线的各站场和站场之间、站场和RTU阀室之间、调控中心和阀室之间都能通过以太网相互通信,可远程登录服务器,可远程在线控制程序,可远程登录路由器、交换机等,这种远程访问服务的开放,增加了SCADA系统被远程侵入的风险。在SCADA系统的调试及维护中,为了方便起见,有时间会经常进行远程连接PLC,远程登录服务器等操作,类似操作存在着使PLC系统控制失效、服务器死机等风险。而作为物理安防最为薄弱的RTU阀室,因无人值守,且能和站场及调控中心建立通信连接,最容易成为敌对势力窃入并植入病毒和取得SCADA系统控制权的部位。国内SCADA系统网络设计相对简单,缺少数据安全控制功能。
2.1.4 登录口令设置缺陷
为了限制无关人员登录SCADA系统的各设备,每个输油气站场的系统和设备大都会设置登录口令。上位机系统一般都会根据不同的权限设置不同的登录用户名和口令,但存在登录口令设置过于简单,登录口令长期不改变,登录口令的保密性不强等问题。输油气管线的PLC系统,部分设置了登录口令,但部分管线未设置口令,可以随便上载、下载、修改控制程序。如,西气东输一线工程,下位机部分使用的施耐德140 PLC、安全控制系统使用的HIMI PLC、RTU阀室使用的施耐德COMPACT和BB的Controlwave都设置了登录口令,在进行程序的在线、上载等操作之前都需要登录口令,且西气东输一线维护单位对口令的保密性工作比较到位。而西二线、西三线等使用的AB ControLogix系列PLC、安全系统SafetyManager(SM) PLC及BB的Controlwave PLC等都未设置登录口令,其中SM和Controlwave PLC需要拥有最新的程序就能进行登录,而AB ControLogix 系列PLC只要拥有编程软件并能连接到SCADA系统网络,便可上载并连接每个站的控制程序。这种PLC的无登录口令访问方式虽然很大程度上方面了维护人员的作业,但另一方面也增大了被黑客等控制的风险。
2.1.5 技术资料的开放性漏洞
由于SCADA系统逐渐成为一个开放的系统,加之互联网络的开放性,与SCADA系统运作有关的资料随处可得。一部分是因为自动化产品市场竞争日益激烈,SCADA系统使用的通信标准和协议在出版的技术手册中毫不费力即可找到,其中包括控制中心之间的标准,告警信号的处理,控制命令的发出,以及数据的轮训方式等等一系列重要的技术标准,而且,SCADA系统的生产厂家常常出于方便用户的考虑出版其产品的设计和维护手册,发售工具软件包以便于用户在SCADA系统环境下进行二次开发,这一切都使得SCADA系统日益成为一个“透明运作”的系统,暴露了其脆弱点[3]。另一部分是国内SCADA系统的设计资料、相关技术论文、设备的维护资料等都由于保密性不强,很容易流向企业外界。
2.1.6 信息安全管理漏洞
就国内输油气管道SCADA系统的管理的现状而言,对运行人员、维护人员和调试人员的SCADA系统信息安全的培训和意识培养不到位,在调试和维护工作中经常出现个人笔记本电脑接入SCADA系统网络进行编程调试、资料拷贝的现象,且在服务器和站控机的资料拷贝、工程备份中经常使用不安全的私人移动存储设备,这种缺乏信息安全意识和缺乏有效监督管理的作业行为很容易将病毒带入到SCADA系统内部。而且国内输油气管线SCADA系统缺乏信息安全机构定期的评估与检查,运营单位缺乏信息安全方面的人力资源,对SCADA系统的信息安全风险识别不到位、不专业。
2.2 病毒及恶意攻击连接接入点分析
典型输油气管线SCADA系统的设备通过各种外部设备的连接容易感染病毒且遭受恶意攻击。病毒及恶意攻击在SCADA系统中最容易窃入的接入接口有:交换机的以太网端口、PLC的串口、移动存储设备使用的USB口等,常见病毒的载体有:移动存储设备、工程笔记本、受感染的数据文件、不安全的远程访问等,病毒的攻击对象包括:服务器、站控机、路由器、交换机、PLC等所有SCADA系统中的智能设备,假如病毒在SCADA系统的任意一点接入,则有可能迅速传播开来,以致导致整个SCADA系统瘫痪。
3 长输油气管道SCADA系统信息安全防御措施探讨
长输油气管道SCADA系统并没有想象中的那么安全,针对前文总结的信息安全漏洞,为提高SCADA系统的信息安全水平,可以通过以下几条措施加以防御:
(1)在新建管道设备选型时SCADA系统服务器尽量采用系统运行稳定、抗病毒攻击能力强的UNIX或Linux系统,对使用WINDOWS系统的服务器或站控机定期进行系统漏洞补丁安装,以减少操作系统漏洞。
(2)与业界知名信息安全防护公司合作,针对不同配置的SCADA系统服务器和站控机等计算机安装防护杀毒软件,并定期对杀毒软件进行统一的更新升级。对用于工程备份的移动介质或U盘定期进行杀毒,在不影响工程的情况下尽量启用WINDOWS防火墙,以提高整个系统服务器和站控机的防病毒能力。
(3)优化网络结构,增加网络信息安全设备,使用VLAN等网络技术,建立一种按不同物理区间和就地功能划分区域的以太网,阻断所有没必要的网络连接,把一切无关人员和应用拒之门外,应该避免操纵员对路由器、服务器等设备的远程访问,假如必须应用远程访问,可以使用VPN网络远程访问技术或通过设置访问权限、登录时长及多次登录口令输入错误后禁止登录等方式,来提高远程访问的安全性[4]。在SCADA系统的服务器和站控机上尽量减少应用软件的安装,即只安装非用不可的应用软件,绝不允许安装其他无关的应用软件,且应该尽可能关闭服务器和站控机不使用的通信服务选项及进程。
(4)各设备和系统能设置登录口令的前提下,尽量设置复杂的登录口令,定期修改口令,并做好登录口令的保密性工作,防止无关人员了解口令。重要的工程备份文件、资料等进行加密保护。且在上位机系统因设置多个不同权限的账户及登录口令,明确不同权限对应不同级别的操作,已防止误操作或者恶意操作。
(5)做好油气管道技术资料的保密工作,从施工单位至运行单位,控制工程用于设计、调试、维护、操作的技术资料流向外界社会并被不法份子利用,增强员工技术资料的保密性。
(6)建立完善的SCADA系统信息安全管理机制,定期进行站场运行及维护人员的信息安全知识培训及突发信息安全事件应急演练,培养信息安全的意识。聘请专业的安全分析专家,定期对SCADA系统进行信息安全评估,对发现的问题及时采取相应对策,定期进行风险识别,做好风险管控工作。做好外部设备接入口的安全把关,严格控制移动存储设备及工程笔记本等外部设备接入SCADA系统网络,禁止私人存储设备及工程笔记本接入SCADA系统网络进行数据备份、工程调试等作业。RTU阀室等无人值守的地方,应加强物理安防建设,杜绝不法分子利用物理安防薄弱点进行SCADA系统的入侵和破坏。
4 结束语
长输油气管道是国家基础能源战略通道,关乎国计民生的重点工程,而管道SCADA系统信息安全问题日益严峻,文章结合国内知名输油气管道的SCADA系统现状,分析了输油气管道SCADA系统信息安全存在的漏洞和缺陷,并以典型输气管道SCADA系统为列,画图分析了病毒最容易入侵的接入点和常见的病毒载体,并针对SCADA系统的信息安全漏洞,就如何提高SCADA系统信息安全水平进行了探讨并提出6条防御措施。
参考文献
[1]郭晓瑛,路艳斌,郑娟.国内外长输管道SCADA系统标准现状[J].油气储运,2011,30(2):156-159.
[2]罗扬.SCADA系统中存在的安全风险及对策[J].
[3]张帅.ICS工业控制系统安全风险分析[Z].金山网络企业安全事业部,2012.
[4]徐金伟.SCADA系统主要信息安全风险分析[J].计算机安全,2012,
01:4-9.
作者简介:魏国富(1987,11-),男,青海省西宁市,现职称:助理工程师,学历:本科,研究方向:自动化、通信工程。
2.1.5 技术资料的开放性漏洞
由于SCADA系统逐渐成为一个开放的系统,加之互联网络的开放性,与SCADA系统运作有关的资料随处可得。一部分是因为自动化产品市场竞争日益激烈,SCADA系统使用的通信标准和协议在出版的技术手册中毫不费力即可找到,其中包括控制中心之间的标准,告警信号的处理,控制命令的发出,以及数据的轮训方式等等一系列重要的技术标准,而且,SCADA系统的生产厂家常常出于方便用户的考虑出版其产品的设计和维护手册,发售工具软件包以便于用户在SCADA系统环境下进行二次开发,这一切都使得SCADA系统日益成为一个“透明运作”的系统,暴露了其脆弱点[3]。另一部分是国内SCADA系统的设计资料、相关技术论文、设备的维护资料等都由于保密性不强,很容易流向企业外界。
2.1.6 信息安全管理漏洞
就国内输油气管道SCADA系统的管理的现状而言,对运行人员、维护人员和调试人员的SCADA系统信息安全的培训和意识培养不到位,在调试和维护工作中经常出现个人笔记本电脑接入SCADA系统网络进行编程调试、资料拷贝的现象,且在服务器和站控机的资料拷贝、工程备份中经常使用不安全的私人移动存储设备,这种缺乏信息安全意识和缺乏有效监督管理的作业行为很容易将病毒带入到SCADA系统内部。而且国内输油气管线SCADA系统缺乏信息安全机构定期的评估与检查,运营单位缺乏信息安全方面的人力资源,对SCADA系统的信息安全风险识别不到位、不专业。
2.2 病毒及恶意攻击连接接入点分析
典型输油气管线SCADA系统的设备通过各种外部设备的连接容易感染病毒且遭受恶意攻击。病毒及恶意攻击在SCADA系统中最容易窃入的接入接口有:交换机的以太网端口、PLC的串口、移动存储设备使用的USB口等,常见病毒的载体有:移动存储设备、工程笔记本、受感染的数据文件、不安全的远程访问等,病毒的攻击对象包括:服务器、站控机、路由器、交换机、PLC等所有SCADA系统中的智能设备,假如病毒在SCADA系统的任意一点接入,则有可能迅速传播开来,以致导致整个SCADA系统瘫痪。
3 长输油气管道SCADA系统信息安全防御措施探讨
长输油气管道SCADA系统并没有想象中的那么安全,针对前文总结的信息安全漏洞,为提高SCADA系统的信息安全水平,可以通过以下几条措施加以防御:
(1)在新建管道设备选型时SCADA系统服务器尽量采用系统运行稳定、抗病毒攻击能力强的UNIX或Linux系统,对使用WINDOWS系统的服务器或站控机定期进行系统漏洞补丁安装,以减少操作系统漏洞。
(2)与业界知名信息安全防护公司合作,针对不同配置的SCADA系统服务器和站控机等计算机安装防护杀毒软件,并定期对杀毒软件进行统一的更新升级。对用于工程备份的移动介质或U盘定期进行杀毒,在不影响工程的情况下尽量启用WINDOWS防火墙,以提高整个系统服务器和站控机的防病毒能力。
(3)优化网络结构,增加网络信息安全设备,使用VLAN等网络技术,建立一种按不同物理区间和就地功能划分区域的以太网,阻断所有没必要的网络连接,把一切无关人员和应用拒之门外,应该避免操纵员对路由器、服务器等设备的远程访问,假如必须应用远程访问,可以使用VPN网络远程访问技术或通过设置访问权限、登录时长及多次登录口令输入错误后禁止登录等方式,来提高远程访问的安全性[4]。在SCADA系统的服务器和站控机上尽量减少应用软件的安装,即只安装非用不可的应用软件,绝不允许安装其他无关的应用软件,且应该尽可能关闭服务器和站控机不使用的通信服务选项及进程。
(4)各设备和系统能设置登录口令的前提下,尽量设置复杂的登录口令,定期修改口令,并做好登录口令的保密性工作,防止无关人员了解口令。重要的工程备份文件、资料等进行加密保护。且在上位机系统因设置多个不同权限的账户及登录口令,明确不同权限对应不同级别的操作,已防止误操作或者恶意操作。
(5)做好油气管道技术资料的保密工作,从施工单位至运行单位,控制工程用于设计、调试、维护、操作的技术资料流向外界社会并被不法份子利用,增强员工技术资料的保密性。
(6)建立完善的SCADA系统信息安全管理机制,定期进行站场运行及维护人员的信息安全知识培训及突发信息安全事件应急演练,培养信息安全的意识。聘请专业的安全分析专家,定期对SCADA系统进行信息安全评估,对发现的问题及时采取相应对策,定期进行风险识别,做好风险管控工作。做好外部设备接入口的安全把关,严格控制移动存储设备及工程笔记本等外部设备接入SCADA系统网络,禁止私人存储设备及工程笔记本接入SCADA系统网络进行数据备份、工程调试等作业。RTU阀室等无人值守的地方,应加强物理安防建设,杜绝不法分子利用物理安防薄弱点进行SCADA系统的入侵和破坏。
4 结束语
长输油气管道是国家基础能源战略通道,关乎国计民生的重点工程,而管道SCADA系统信息安全问题日益严峻,文章结合国内知名输油气管道的SCADA系统现状,分析了输油气管道SCADA系统信息安全存在的漏洞和缺陷,并以典型输气管道SCADA系统为列,画图分析了病毒最容易入侵的接入点和常见的病毒载体,并针对SCADA系统的信息安全漏洞,就如何提高SCADA系统信息安全水平进行了探讨并提出6条防御措施。
参考文献
[1]郭晓瑛,路艳斌,郑娟.国内外长输管道SCADA系统标准现状[J].油气储运,2011,30(2):156-159.
[2]罗扬.SCADA系统中存在的安全风险及对策[J].
[3]张帅.ICS工业控制系统安全风险分析[Z].金山网络企业安全事业部,2012.
[4]徐金伟.SCADA系统主要信息安全风险分析[J].计算机安全,2012,
01:4-9.
作者简介:魏国富(1987,11-),男,青海省西宁市,现职称:助理工程师,学历:本科,研究方向:自动化、通信工程。
2.1.5 技术资料的开放性漏洞
由于SCADA系统逐渐成为一个开放的系统,加之互联网络的开放性,与SCADA系统运作有关的资料随处可得。一部分是因为自动化产品市场竞争日益激烈,SCADA系统使用的通信标准和协议在出版的技术手册中毫不费力即可找到,其中包括控制中心之间的标准,告警信号的处理,控制命令的发出,以及数据的轮训方式等等一系列重要的技术标准,而且,SCADA系统的生产厂家常常出于方便用户的考虑出版其产品的设计和维护手册,发售工具软件包以便于用户在SCADA系统环境下进行二次开发,这一切都使得SCADA系统日益成为一个“透明运作”的系统,暴露了其脆弱点[3]。另一部分是国内SCADA系统的设计资料、相关技术论文、设备的维护资料等都由于保密性不强,很容易流向企业外界。
2.1.6 信息安全管理漏洞
就国内输油气管道SCADA系统的管理的现状而言,对运行人员、维护人员和调试人员的SCADA系统信息安全的培训和意识培养不到位,在调试和维护工作中经常出现个人笔记本电脑接入SCADA系统网络进行编程调试、资料拷贝的现象,且在服务器和站控机的资料拷贝、工程备份中经常使用不安全的私人移动存储设备,这种缺乏信息安全意识和缺乏有效监督管理的作业行为很容易将病毒带入到SCADA系统内部。而且国内输油气管线SCADA系统缺乏信息安全机构定期的评估与检查,运营单位缺乏信息安全方面的人力资源,对SCADA系统的信息安全风险识别不到位、不专业。
2.2 病毒及恶意攻击连接接入点分析
典型输油气管线SCADA系统的设备通过各种外部设备的连接容易感染病毒且遭受恶意攻击。病毒及恶意攻击在SCADA系统中最容易窃入的接入接口有:交换机的以太网端口、PLC的串口、移动存储设备使用的USB口等,常见病毒的载体有:移动存储设备、工程笔记本、受感染的数据文件、不安全的远程访问等,病毒的攻击对象包括:服务器、站控机、路由器、交换机、PLC等所有SCADA系统中的智能设备,假如病毒在SCADA系统的任意一点接入,则有可能迅速传播开来,以致导致整个SCADA系统瘫痪。
3 长输油气管道SCADA系统信息安全防御措施探讨
长输油气管道SCADA系统并没有想象中的那么安全,针对前文总结的信息安全漏洞,为提高SCADA系统的信息安全水平,可以通过以下几条措施加以防御:
(1)在新建管道设备选型时SCADA系统服务器尽量采用系统运行稳定、抗病毒攻击能力强的UNIX或Linux系统,对使用WINDOWS系统的服务器或站控机定期进行系统漏洞补丁安装,以减少操作系统漏洞。
(2)与业界知名信息安全防护公司合作,针对不同配置的SCADA系统服务器和站控机等计算机安装防护杀毒软件,并定期对杀毒软件进行统一的更新升级。对用于工程备份的移动介质或U盘定期进行杀毒,在不影响工程的情况下尽量启用WINDOWS防火墙,以提高整个系统服务器和站控机的防病毒能力。
(3)优化网络结构,增加网络信息安全设备,使用VLAN等网络技术,建立一种按不同物理区间和就地功能划分区域的以太网,阻断所有没必要的网络连接,把一切无关人员和应用拒之门外,应该避免操纵员对路由器、服务器等设备的远程访问,假如必须应用远程访问,可以使用VPN网络远程访问技术或通过设置访问权限、登录时长及多次登录口令输入错误后禁止登录等方式,来提高远程访问的安全性[4]。在SCADA系统的服务器和站控机上尽量减少应用软件的安装,即只安装非用不可的应用软件,绝不允许安装其他无关的应用软件,且应该尽可能关闭服务器和站控机不使用的通信服务选项及进程。
(4)各设备和系统能设置登录口令的前提下,尽量设置复杂的登录口令,定期修改口令,并做好登录口令的保密性工作,防止无关人员了解口令。重要的工程备份文件、资料等进行加密保护。且在上位机系统因设置多个不同权限的账户及登录口令,明确不同权限对应不同级别的操作,已防止误操作或者恶意操作。
(5)做好油气管道技术资料的保密工作,从施工单位至运行单位,控制工程用于设计、调试、维护、操作的技术资料流向外界社会并被不法份子利用,增强员工技术资料的保密性。
(6)建立完善的SCADA系统信息安全管理机制,定期进行站场运行及维护人员的信息安全知识培训及突发信息安全事件应急演练,培养信息安全的意识。聘请专业的安全分析专家,定期对SCADA系统进行信息安全评估,对发现的问题及时采取相应对策,定期进行风险识别,做好风险管控工作。做好外部设备接入口的安全把关,严格控制移动存储设备及工程笔记本等外部设备接入SCADA系统网络,禁止私人存储设备及工程笔记本接入SCADA系统网络进行数据备份、工程调试等作业。RTU阀室等无人值守的地方,应加强物理安防建设,杜绝不法分子利用物理安防薄弱点进行SCADA系统的入侵和破坏。
4 结束语
长输油气管道是国家基础能源战略通道,关乎国计民生的重点工程,而管道SCADA系统信息安全问题日益严峻,文章结合国内知名输油气管道的SCADA系统现状,分析了输油气管道SCADA系统信息安全存在的漏洞和缺陷,并以典型输气管道SCADA系统为列,画图分析了病毒最容易入侵的接入点和常见的病毒载体,并针对SCADA系统的信息安全漏洞,就如何提高SCADA系统信息安全水平进行了探讨并提出6条防御措施。
参考文献
[1]郭晓瑛,路艳斌,郑娟.国内外长输管道SCADA系统标准现状[J].油气储运,2011,30(2):156-159.
[2]罗扬.SCADA系统中存在的安全风险及对策[J].
[3]张帅.ICS工业控制系统安全风险分析[Z].金山网络企业安全事业部,2012.
[4]徐金伟.SCADA系统主要信息安全风险分析[J].计算机安全,2012,
01:4-9.
作者简介:魏国富(1987,11-),男,青海省西宁市,现职称:助理工程师,学历:本科,研究方向:自动化、通信工程。
