天然气作为一种清洁、低排放的高效能源，在发电、交通运输、化工等方面都有着对传统能源良好的替代性。“十三五”期间，国家层面的能源结构优化和环境污染治理将成为天然气消费最主要的推动力。我国将持续提高天然气在一次性能源消费中所占的比例，增加天然气发电的投资规模、加速天然气配套基础设施建设、开展分布式能源利用项目将成为未来几年天然气应用市场发展的重点。

城市燃气高压管网中的工业控制系统主要以SCADA系统为主。SCADA系统连接整个燃气工业控制网络内的相关设备，通过数据采集及相关通信技术可以对现场的运行的设备进行监视和控制，以实现数据采集、设备控制、测量、参数调节，以及各类信号报警等各项功能。现场控制系统主要是接收调度中心和现场控制人员的控制指令，以及自定义控制的策略，进行对现场阀门或者其它执行机构的控制和保护功能，并能实时地把运行数据传输至远程调度中心。

然而，现有的绝大多数工控系统网络包括SCADA系统都缺乏相关的安全防護规划与设计，在“两化融合”的大背景下几乎完全裸露在外部网络环境中。工业控制系统的脆弱性凸显，所面临的威胁不断加剧，主要表现如下：用于工业控制的通信协议在设计之初是没有考虑安全因素的，大多采用明文传输，没有加密机制，这样控制信息在传输的时候就有可能会被侦测到，一旦掌握这些信息，就有可能为进一步的攻击提供有价值的信息。

以往的工业控制协议是没有身份验证机制的，无论是谁，只要按照协议规定发送信息到控制单元控制单元都会根据接收到的信息发送命令到执行部件，比如阀门。控制单元是无法核实该命令是否是有权限的合法指令。

在很多通信软件的开发过程中，只注意一致性的检查而没有对产品的健壮性进行测试，在协议报文出现变形时，不能及时处理造成设备挂起或死机的现象时有发生。由于没有身份验证，非法的恶意报文也导致设备崩溃。工业设备一旦安装，工作正常，固件从不更新的情况也十分常见。工业设备的漏洞呈上升趋势，通常设备提供商在得知产品的漏洞时都会对其产品做修复处理。如果不及时更新固件，攻击者可以轻易采用已知漏洞对设备进行攻击。

通过燃气仿真平台的搭建，真实还原天然气高压管网中子站的实际状态。在燃气仿真平台中，利用小管径管道模拟燃气管道，PLC控制电磁阀门的开关，管道中流动的是压缩空气来模拟天然气。正常运行状态下，由SCADA控制中心收集管道、阀门中的各类参数。当工控网络被入侵时，黑客可以关闭管道中电磁阀导致供气停止，影响下游居民、企业用气，造成恶劣影响。

在本案例中，我们通过在内部网络中加入一个微型4G接口设备，攻击工控网络内部设备。

通过在仿真系统中部署全网监测预警平台，可自主发现网络中所有已知和未知的网络资源，并可对采集获取的流量数据进行统计分析，并以图表等简单直观的方式显示，被动在线监测工控网络中的数据信息，并实时进行流量分析，发现、预警、分析工控网络威胁，实现多方式实时报警。全网监测预警平台能够监视系统记录黑客攻击路线，为后续的应急响应和防护研究提供有效的参考资料。

立思辰新技术有限公司开发并研制搭建了一套完整的燃气高压官网SCADA系统，并部署了工业控制系统安全防护产品工控全网监测预警平台，提供国家基础设施仿真环境的安全测试环境。

立思辰搭建了一套完整的城市高压管网SCADA系统仿真环境，包含一套调度控制中心的仿真，27个燃气管网子站（其中包含各类门站、大型调压站）的仿真和通信方式的仿真。

建立完善的入侵检测机制，在攻击者入侵后，可以研究黑客的攻击途径和方法，以及攻击源，随时了解针对工控系统发动的最新侦测方法和攻击手段，并且通过在“蜜罐”中部署的监视系统记录黑客攻击路线，为后续的应急响应和防护研究提供有效的资料。

城市燃气管网SCADA系统，包括：门站、高中压调压站、中低压调压站、重点客户调压站、阀室的工艺系统和辅助系统的仪控装置、设备、软件、HMI和数据库，实现以燃气管道调度控制中心对全线生产运行的调度管理，远程控制和管理，调度、管理和优化运行整个管道。

本方案中搭建了一套完整的城市高压管网SCADA系统仿真环境，包含一套调度控制中心的仿真，27个燃气管网子站（其中包含各类门站、储备站、大型调压站）的仿真和通信信道的仿真。在27个燃气管网的子站中，选取典型的4类子站做实际仿真，其余各个子站采取计算器软件虚拟仿真的技术，对其余各个子站的功能进行仿真搭建。从而能够更加全面地对城市高压管网SCADA系统进行仿真。

系统网络采用Client/Server结构。整个系统分为两级，第一级为调度中心的控制管理级，调度中心设在燃气公司的调度大楼里，由计算机、网络等设备构成局域网；第二级为现场控制站的过程控制级（PLC、RTU），分别位于门站、储配站、各级调压站、管网监测点、楼栋调压箱处；通信网络是保证SCADA 系统数据能否实时、可靠的关键，通信网络的介质选择是有线方式通信。

SCADA数据采集与监控仿真子系统包含了SCADA数据采集与监控仿真平台、Web服务器、FTP服务器、操作员站、主控室显示大屏等。其中最主要的SCADA数据采集与监控仿真平台主要实现调度控制中心的一系列功能。

典型站控系统由操作员工作站（运行SCADA软件）、PLC、交换机、路由器、打印机等设备组成站控局域网。

仿真系统平台搭建完成后，能够在监控中心监视各个子站的通信信息，并能监视各个远程子站的运行状态，重要监测数据和报警信息等。同时还可以通过子站控制页面对远程子站的阀门进行控制。

门站区域控制站能够完成对门站内各种工艺设备的监控和管理，同时负责将有关信息上传给调度控制中心，并接受和执行其下达的命令。方案共设计27个门站子系统，其中选取燃气行业使用国内目前市场占有率前四的PLC/RTU做真实物理仿真，其它系统用仿真系统来实现模拟仿真，以实现其它23个子系统的控制通信效果。

工控全网监测预警平台（xAlert）能够被动在线监测工控网络中的数据信息，并实时进行流量分析，能够对入侵设备检测，发现、预警、分析工控网络威胁，并能实现多方式实时报警。工控全网监测预警平台（xAlert）能够监视系统记录黑客攻击路线，对整个入侵过程进行记录，为后续的应急响应和防护研究提供有效的资料。支持资产自动发现，支持网络资产可视化，支持工控网络数据流向监测，支持工控协议深度检测，支持PLC/DCS工控设备关键操作监测，支持PLC/DCS工控设备探测与Dos攻击报警，支持PLC/DCS工控设备自身异常行为预警，支持工控网络基线白名单环境确定，支持工控网络行为异常监测及智能预警，支持Email、手机、Pad多种方式实时报警，分布式平台，易部署、易操作，工控网络环境零干预。

部署了工控全网监测预警平台能使网络安全管理人员把握网络系统的整体运行情况，及时对网络安全的态势进行评估和预测，尽可能在早期识别并清除对网络安全的威胁，将网络恶意行为扼杀在萌芽状态。

通过在高压燃气SCADA仿真系统中的实际应用，利用工控全网监测预警平台能够实时发现工控网络中关键操作，并对所有的操作根据制定的规则划分报警等级，能使企业管理人员迅速发现网络内存在的安全问题，及时响应，做出相应的安全防护措施。工控全网监测预警平台能够被动在线监测工控网络中的数据信息，并实时进行流量分析，发现、预警、分析工控网络威胁，并能实现多方式实时报警。工控全网监测预警平台能够监视系统记录黑客攻击路线，为后续的应急响应和防护研究提供有效的参考资料。endprint