王 磊，魏 娜

(中石油管道有限责任公司西气东输分公司，上海 200122)

0 概述

在长输天然气管道快速发展的今天，随着骨干网络的建成，天然气作为清洁能源在居民日常生活和工业生产活动中扮演着越来越重要的角色，更加凸显管道安全运行的重要性。长输天然气管道压力等级高、地理跨度长，整体呈线型走向，用于截断的阀室和用于增压、分输的站场沿管道呈点状离散分布。伴随着管道智能化水平的提升，目前长输天然气管道采用以计算机为核心的SCADA(Supervisory Control and Data Acquisition)系统用于数据采集和监控，通过工业控制系统进行站场设备数据的采集、处理和控制，并通过专用网络将现场数据上传至调控中心，以实现管道设备的远程数据监视和控制。

由于当年技术条件限制或其他原因，部分工控设备出厂后或多或少会存在一些漏洞，随着时间的推移和技术的发展，这些潜在的漏洞存在被恶意利用的风险。目前，针对工控系统网络设备的攻击对工业生产、国计民生已经造成严重影响，例如著名的伊朗核电站“震网”事件、乌克兰电网大面积停电事件等。

长输天然气管道的集中调度、参数控制、异常报警等智能化功能的实现均以工控系统网络及设备为载体，因此，工控系统网络的安全运行是管道平稳运行的必要前提。近年来，随着网络安全事件的高发，特别是针对工控系统网络的攻击时有发生，为长输天然气管道工控系统网络安全敲响了警钟。

1 工控系统概况

1.1 工控设备概况

目前长输天然气管道使用的工控系统设备主要为国际主流厂商提供的产品，用于现场数据的采集、运算、控制，如施耐德、AB、BB、霍尼韦尔、西门子、西斯奈特等公司提供的工业可编程控制器，思科、赫斯曼等厂家提供的路由器、交换机，人机交互系统硬件主要为Windows操作系统的工控计算机，软件主要包括PKS、IFIX、CIMPILICITY、INTOUCH、OASYS、VIEWSTAR等产品。一些国内厂商也可提供部分工控产品，如华为、中兴、浙江中控、中油龙慧等。另外，中石油独立知识产权的人机交互软件PCS目前已进入工业化试验阶段。

按照目前各厂家发出的通知，部分工控系统产品如果存在一定的漏洞，厂商会从技术层面给出一定的解决方案，但是部分升级方案由于其本身限制性或者升级过程可能对现场正常运行的系统造成一定影响而不具备可执行性。

1.2 工控网络特点

长输天然气管道站场内设备独立构成局域网，通过光纤、DDN或卫星等通信网络将数据传输至控制中心，沿线分布的站场、阀室与控制中心构成“树”状分布的网络结构[1]。典型的工控系统网络拓扑如图1所示：

图1 典型网络拓扑图

图1中SCS(Station Control System)为站场控制系统，包括可编程控制器、安全仪表系统以及配套的网络通信设备。RTU(Remote Terminal Unit)为阀室控制系统，用于阀室数据的采集和控制。SCS和RTU分别采集站场和阀室的数据，通过冗余专网上传至控制中心，并接受中心下达的指令。OAD(Operation and Display)为设置在地区管理处的数据显示终端，用于所辖站场和阀室的数据监视[2]。

长输天然气管道工控网络原则上独立成网，严禁与互联网进行连接，不同站场之间不允许互相访问。由于工业控制网络专网专用、不允许与互联网进行连接的特性，导致基于互联网进行升级的各类漏洞、补丁无法或者不便于进行升级[3]。

2 工控系统安全防护现状及措施

2011年9月工信部发布《关于加强工业控制系统信息安全管理的通知》，国内各行各业对工控系统网络安全认知逐渐提升，地方政府、行业组织定期开展安全检查活动。2014年国家成立中央网络安全和信息化领导小组，从顶层设计定位“网络安全和信息化是事关国家安全和国家发展、事关广大人民群众工作生活的重大战略问题”，另外在其他会议中也指出“特别是国家关键信息基础设施面临较大风险隐患，网络安全防控能力薄弱，难以有效应对国家级、有组织的高强度网络攻击，应加快构建关键信息基础设置安全保障体系”。2017年6月1日，《中华人民共和国网络安全法》正式实施，明确指出“国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护”。由此可见，作为关键信息基础设施的一部分，长输天然气管道工控系统网络安全保护已从法律层面进行明确。

据了解，国外已成形的工业控制系统信息安全标准主要包括IEC 62443系列《工业过程测量、控制和自动化网络与系统信息安全》、ISO/IEC TR 27019《基于ISO/IEC 27002的用于能源行业过程控制系统的信息安全管理指南》、NIST SP 800-82《工业控制系统(ICS)安全指南》等。目前，国内发布的用于工控网络安全防护、评估的文件主要包括工业和信息化部2016年10月17日印发《工业控制系统信息安全防护指南》，国家规范有GB/T 32919-2016《信息安全技术工业控制系统安全控制应用指南》、GB/T 30976.1-2014《工业控制系统信息安全 第1部分：评估规范》、GB/T 30976.1-2014《工业控制系统信息安全 第2部分：验收规范》、GB/T 20984-2007《信息安全技术 信息安全风险评估规范》等。

目前行业尚欠缺具体的、细化的、可用于指导工控网络安全建设、检查、验收、评估的规范。由于针对工控网络安全的要求暂不完善，各家公司多依据各自生产经验进行工控网络安全防护的管理和策略设置。目前,常用的基本安全防护措施主要包括以下方面：

2.1 边界安全防护

工控网络一般独立成网，需要与其他工控网络进行连接时，应通过工控网络边界防护设备来进行，禁止直接与互联网、其他工控网络或企业信息网连接。工控网络边界安全防护设备包括工业防火墙、工业网闸、单向隔离设备及企业定制的边界安全防护网关等。

工控网络数据应用应根据其业务需求进行划分，对于需要大批量、持续性使用SCADA系统的情况，应在区域之间设置边界安全防护措施，配置专用数据传输服务器，通过数据传输服务器对外统一发布数据。

2.2 终端病毒防护

基于Windows操作系统的客户端、服务器等工作站存在病毒防护需求。由于工控系统网络不允许与互联网进行连接，导致常规的病毒查杀软件无法自动进行病毒库升级，从而使病毒查杀软件失去抵御新病毒的能力。而若采用离线升级的方式进行病毒库升级，对于站场分布广且数量多的情况存在很大的不便利性，耗费较多人力，且在多点离线升级时，无法掌控每点的作业质量，同时还可能在设备接入过程中带入其他风险。

为解决病毒库无法升级的情况，可以在与每个站点均有通讯的中心设置病毒库升级服务器，该服务器只接入工控网络而不接入互联网，每次只对中心设置的服务器进行离线升级，然后各个站点的工作站通过连接中心服务器实现自动升级。需要特别注意的是，在对中心服务器进行离线升级的过程中，一定要确保移动介质本体的安全性，且此方式需要对病毒库进行测试，在确定不影响现场工控软件运行后方可实施。

另外一种解决方案，可以在客户端、服务器等工作站上安装基于白名单的防病毒软件，对于设备运行的信任程序一次性加入白名单，对于白名单以外的任何程序均禁止运行。

2.3 身份认证

工控网络设备在出厂时一般均设置默认账号和密码，在系统建设期间，厂商为了方便使用，一般不对默认账号和密码进行更改，或统一更改为一致的账号、密码。在系统投入正常运行后，要及时对默认账号和密码进行更改，定期对密码进行更改。另外，应合理分类设置账户权限，以最小特权原则分配账户权限，确保账号丢失后造成损失的最小化[4]。

2.4 设备接入

在对工控系统设备进行维护的过程中，不可避免地存在外部设备的临时接入，日常工作中应严格要求用于系统维护的调试终端专本专用，禁止用于其他活动，统一安装杀毒软件，并保证其病毒库为最新版本，及时更新系统补丁，确保调试笔记本的本体安全。

用于数据拷贝的移动存储介质，在接入工控系统设备之前必须在调试笔记本进行数据扫描、病毒查杀，确保移动存储介质的安全性。工作站上不需要使用的USB、光驱等容易被攻击接口,应进行拆除或封闭处理。

2.5 数据多渠道备份

在日常系统维护中定期对工控系统设备的数据进行备份，包括程序、配置文件等，实行数据的多渠道保存，在工控系统遇到攻击或其他故障时，可以及时调取存档数据，第一时间恢复系统运行。

3 工控系统安全防护面临的形势

目前，按照已公布的数据和案例，工控系统存在安全漏洞，且黑客的攻击手段越来越有针对性，而政府、行业对工控系统网络安全认知及应急手段尚存在一定的欠缺，工控系统网络安全防护形势严峻[5]。

3.1 安全漏洞多、风险程度高

按照国家信息安全漏洞共享平台公布的数据来看，自2000年以来，2010年前工控系统漏洞均为个位数，2010年以后数量急剧增多。2000-2016年工控漏洞数量请详见图2。

图2 2000-2016年工控漏洞数量

按照漏洞危险等级分为低危、中危、高危，其中低危占比6%、中危占比46%、高危占比48%，详见图3。

图3 各类漏洞所占比例

从以上数据可以看出工控系统安全漏洞自2010年以来一直维持在较多的数量，且基本均为中、高危险程度的漏洞，形势不容乐观。

3.2 攻击更有针对性、手段更加专业

由于工控网络直接用于控制工业生产活动，一旦生产活动受到控制，将产生巨大的经济影响或者社会影响，网络黑客正是看到了业主害怕造成重大损失而存在巨大的勒索空间，因此越来越多的攻击活动瞄准了工控系统网络。

2017年初，乔治亚理工学院的研究员演示了一种新研发的、可感染工控设施的勒索软件LogicLocker，攻击对象是ICS和SCADA等基础设施，通过LogicLocker感染PLC并修改密码锁定合法用户，对工业生产过程发出恶意的指令，从而造成恶劣的后果。LogicLocker主要针对Schneider Modicon M221、Allen Bradley MicroLogix 1400和Schneider Modicon M241，利用API接口扫描工控系统内已知安全漏洞设备，通过感染和绕过方式突破安全机制，锁定设备合法用户，修改PLC代码破坏工控设备或设置程序逻辑炸弹触发更严重的安全威胁。2017年4月初CRITIFENCE“关键基础设施和SCADA/ICS网络威胁”研究小组展示了一款概念型勒索软件ClearEnergy验证模型，攻击对象是SCADA、ICS系统，意在勒索关键资产和基础设施。ClearEnergy是基于CVE-2017-6032、CVE-2017-6034漏洞发起的攻击，影响范围非常大，包括Schneider Electric Unity系列PLC和2.6版及更高版本的Unity OS。

上述事例说明，工控系统网络中的设备存在的漏洞可以被专业人员利用，进行恶意攻击后可以对工业生产过程造成影响，而如此专业的、有针对性的攻击其背后的人员技术力量非常强大。

3.3 人员配置不足、思想认识欠缺

由于国内工控系统网络安全近年来刚起步，企业内部的工控系统网络安全管理均未配置专职人员，一般均为工控相关专业人员兼职管理，而相关的培训及知识普及较少，管理人员普遍缺乏专业的、系统的培训，针对工控系统网络安全的知识体系不完善，认识存在欠缺。

日常运行过程中，短期可能无法直接感受到工控系统网络安全投入带来的直接收益，也无法直接看到立竿见影的效果，只有当系统受到攻击，影响了正常生产，才能意识到带来的严重后果，而彼时为时已晚。

此前，政府、行业本身未意识到工控网络安全的重要性，国内科研院所的研究也相对偏少，技术企业也没有有针对性地开发出实用型产品。虽然近年来国家对工控网络安全的日渐重视，地方政府及公司每年对工控系统运行情况进行检查，整体工控网络安全情况有所好转，但是目前的检查大多停留在工控系统设备使用情况的摸排层面，方案针对性和实用性不强，现场检查的深度及对应的整改措施尚有待提升完善。

3.4 应急手段不足

常规的信息网络应急已经有一套相对成熟的危机应对机制以及经验丰富的人才储备，通过监测手段可以提前预测可能存在的风险，在风险发生后亦能短时间内组织专业人员分析原因、制定解决方案并及时公布应对措施，通过互联网及时对问题进行有针对性的处理，以最快速度恢复系统、设备正常工作。

由于工控系统网络的特殊性，目前针对其的安全防护体系研究尚无成熟措施，应急专业技术团队建设更是欠缺。特别是对于企业，一旦发生大规模的工控系统网络安全事件，可落实的措施及资源屈指可数。

4 安全防护相关建议

为了进一步加强工控系统网络安全运行，落实事故发生后的应急处置措施及技术支持，结合工作经验，建议从以下几个方面进行考虑。

4.1 加快推进工控系统网络安全相关标准建设

近年来工控网络安全逐渐受到重视，并已开展相关研究，但是目前工控网络安全方面标准规范尚不完善，建议尽快推进国家、行业、企业标准规范的编制工作，用于指导工控系统网络安全的设计、建设、验收、评估、升级、报废等全生命周期的活动[6]。

4.2 建立专门的机构及专业应急队伍

目前，国家信息安全漏洞共享平台、中国国家信息安全漏洞库对计算机系统及工控系统漏洞均进行及时公布，但是由于工控系统使用单位人员数量限制及人员针对工控系统网络知识掌握的局限性，无时间也无能力在该平台筛选出针对工控系统的升级补丁、解决方案是否适用于现场设备。即使能按照对应型号筛选出相关内容，在不进行模拟环境实际测试的情况下，也不敢贸然对工控系统现场运行设备进行升级。而模拟测试则需要一定的具备丰富网络知识、工控设备知识的专业工程师，以及进行模拟测试的实验室环境。

因此，建议设立专门工控系统网络安全机构，以国家信息安全漏洞共享平台、中国国家信息安全漏洞库为依托，借助工控安全厂商、设备厂家力量，多途径收集漏洞信息，并通过工控系统网络安全专用信息发布平台发布漏洞信息、补丁文件、解决方案等内容，根据实际情况对可能产生后果的严重程度进行评估，在进行测试论证后，对存在问题给出明确指导意见。

同时，培养一批专业技术支持人员，在发生工控系统网络安全事件后，能及时有效地组织制定解决方案，发布应对措施，防止灾害的进一步扩大，恢复受损系统的正常运行。

4.3 借鉴成熟的网络技术防范手段

常规的信息网络防护已经有一套成熟经验，工控网络安全防护可以借鉴其成功经验，结合本身实际情况有选择性的进行使用，如采取物理安全策略、访问控制策略、系统防火墙、入侵检测和网络安全管理等，从外部对企图共享信息资源的非法用户和越权访问进行封堵，对异常行为进行检测并预警等。

4.4 加快企业人才培养及资金投入

为了确保工控系统网络安全工作的高质量开展，建议配置专职人员，并对人员进行系统的培训。根据现场实际情况，投入一定的资金用于支持保障工控系统网络安全技术手段的建设，如边界防护措施的落实、网络安全状况的评估及整改、网络监测设备的布置等。

4.5 产品国产化开发势在必行

长输天然气管道目前在用主要工业控制系统产品为国外产品，对于部分进口软、硬件核心部件，很难发现设备中是否存在“后门”、“陷阱”、“隐蔽指令”、“漏洞”等安全威胁，如果存在且一旦这些漏洞被用来对工业控制网络实施攻击，其后果将不堪设想。提高我国工控系统自主可控能力，加强具有自主知识产权产品的研究与开发，已势在必行。

5 结束语

工控系统安全防护在工业生产过程中极为重要，工控系统安全受到恶意攻击，不仅仅会造成重大的经济影响，也会造成恶劣的社会影响，波及范围大，持续时间长，而目前各方面防范措施相对欠缺，防护形势比较严峻。在实际工作中，应加快国家、行业、企业层面的标准规范、专门机构及梯队技术人员队伍建设工作，借鉴国际发达国家工控安全相关政策、标准和实践做法，推进工控系统网络安全工作的有序开展，以及在应急状态下的专业技术支持，确保工控系统安全平稳运行。

[1] 段冲,梁建青,段绍明,等.SCADA系统在西气东输管道中的应用[J].石油工程建设,2007,33(4):5-7.

[2] 曹永乐.基于西气东输管道SCADA系统的应用分析[J].自动化应用, 2017(8):64-66.

[3] 吕锋. 工控系统安全威胁及防护应用探讨[J].化工管理.2017 (9).

[4] 徐慧敏. 石油企业网络信息安全监控技术研究[J].信息通信,2016(6):146-147.

[5] 王文宇,刘玉红.工控系统安全威胁分析及防护研究[J].信息安全与通信保密, 2012 (2):33-35.

[6] 王婷, 戴忠华,彭勇等. 油田工业控制系统信息安全防护方法研究[J]. 石油工业计算机应用, 2014(3):36-41.