刘刚,林棋，边学文

中油国际管道公司（北京 100007）

工业控制系统（Industrial Control Systems，ICS），主要是以高可靠性、高实时性为特点，随着世界科技的进步，互联网技术的发展，从“德国工业4.0”到“中国制造2025”生产工业制造计划的提出，工业控制系统也迎来了大发展，但随之而来的是工业控制网络安全保护的严重滞后，运维人员对工业系统安全意识淡薄，同时相关知识技能的缺乏也是导致近些年国际上工控系统安全事件频发的主要原因。从2015 年开始工控系统安全作为黑帽大会的热门话题，工控系统安全事件逐年增长，2019 年更是创下新高，工控系统安全问题不容忽视[1-2]。

1 中亚某天然气管道工控系统现状

1.1 系统构成

长输天然气管道工业控制系统多数基于SCA⁃DA(Supervisory Control And Data Acquisition)系统，即数据采集与监视控制系统，是以计算机为基础的DCS 与电力自动化监控系统，由此实现对管道全线设备参数的监控。其包括：数据/报警信息采集、参数测量及调控、设备状态控制等。其主要由调控中心、站场/阀室、现场仪表及通讯系统组成。其中，调控中心负责对全线系统进行监控；站场及阀室负责现场数据采集及设备综合控制；现场仪表负责检测、测量站点的运行参数并实现设备控制；通讯系统通常分为有线及无线[3-4]。

1.2 网络架构

中亚天然气管道是我国重要的能源进口通道，实现天然气多元化进口，保障国内天然气的稳定供应，对于巩固国家能源安全保障具有重要意义，同时有利于管道沿线国家经济发展和政治稳定。鉴于此，保障中亚天然气管道的安全、可靠、高效运行是运行单位的重点。目前该管道已运行十余年，在设计初期并未全面考虑工控系统安全问题，这也使得该工控系统急需更新升级，加快建设安全防护体系，保障天然气管道的运行安全。

该工业控制系统主要采用霍尼韦尔PKS SCA⁃DA 系统，BB 公司 Controlwave PLC 以及霍尼韦尔SM ESD控制器。同时为实现上层数据应用，在调控中心设有一套霍尼韦尔PHD 系统。各站站场采用C/S 结构，设置有冗余的PKS 服务器、操作员工作站、工程师站。调控中心设置有两台冗余PKS 服务器，和站场服务器之间构成DSA结构，共享数据，操作员工作站直接从站控服务器读取数据。每站设置一台PHD buffer 服务器，通过 RDI 接口从 PKS 服务器获取数据，并上传至调控中心PHD服务器。同时调控中心设置一套磁盘阵列，与各站场之间设有专用的存储网络，与各站服务器连接，各站服务器历史归档数据可存储到磁盘阵列。各站到调控中心采用主备光缆通信链路，备用卫星通信，Safenet网络设置专用主备光缆链路。各站主服务器与调控中心磁盘阵列之间通过存储网络连接[5-8]。

1.3 安全性分析

该工控网络在站场与控制中心采用的是星型冗余网络，在各个站场之间采用的是线型冗余网络。在星型拓扑结构中，网络中的各节点通过点到点的方式连接到一个中央节点，星形网络的特点是网络结构简单，便于维护管理，故障隔离和检测容易，但是控制中心服务器的负荷较大，当其故障时将直接导致整个网络瘫痪，而站点服务器故障不会影响整体正常工作。同时其采用广播信息的传送方法，系统网络中任意站点均可收达来自任意一个站点传送的信息，进而决定了网络隐患的存在，由于工况系统为内部局域网，可规避此项影响。线型冗余结构是基于单链路共享传输总线，系统中所有的服务器等设备通过电缆接口接入此共享链路，此种线型拓扑网络便于分布，利于扩充，但网络的响应时间会有所影响，并且故障诊断困难，任一个节点出现故障会导致整个网络无法正常工作，故障隔离困难，对节点要求高，每个节点都要有访问控制功能，为此主要应用于计算机设备数量较少的系统局域网络中。

目前该天然气管道的工控网络系统安全设备部署现状是，在站场控制设备与站场SCADA系统服务器边界之间、在各个站场之间边界之间、在站场与控制中心边界之间均未部署网络安全防护设备和入侵检测设备，相应的侧重于事后分析的网络审计系统也未部署。但是在工控网络与其他工作网络部署了防火墙设备。由此可以看出在该工控网络设计初期并未考虑过系统安全性。

除了工控网络架构的安全防护缺失外，根据实际检测发现在用的工控软件也有安全风险，需予以重视，如思科路由器、GE CIMPLICITY 软件、霍尼韦尔PKS 系统均存在软件漏洞，该系统正在使用的是Windows XP操作系统和Windows 2003服务器，还需考虑后期工控软件的升级和操作系统兼容性问题，以及系统在运行期间很难对系统打补丁。基于对工控软件与杀毒软件的兼容性考虑，该工控系统有些计算机未安装杀毒软件，有些即使安装了杀毒软件也一直未作更新处理，这些都给病毒或恶意代码传播留下了空间。

除了以上客观存在的风险点外，还要考虑人的主观因素，人员安全意识也需要加强，安全管理需要全面提升，如在该工控系统中的管理终端并没有安装有效的防护软件和硬件来对外界的移动存储设备进行有序安全管理，如软盘、光盘、移动硬盘和U盘等。非安全管理监护下使用移动存储设备进行频繁数据交换将直接加剧内部网络的安全隐患。

在公司数字化转型升级大背景下，管理的提升离不开现代网络数字化技术，这也将引入新的风险源至工控网络，目前采用的是物理隔离方式，工控系统与企业专业管理系统间的通信在物理上和逻辑上都是断开的。但是随着专业管理提升的需要，EAM 系统（Enterprise Assets Management）、PIS 系统（Pipeline Integrity Management System）的上线，届时将进行工况系统与专业管理系统的网络集成及数据交互，这样就使工控系统与管理信息网络直接通信成为必需，这样就导致工控系统不再是独立的网络环境，而是要与企业管理网络通信，甚至与外部互联网通信互联，面临的风险进一步加大。

2 工控系统的防护设计

2.1 标准依据

目前国家已经陆续出台了一些工控网络系统安全方面的指导标准，在进行工控网络防护方面需要遵循相关标准，如《工业控制系统信息安全防护指南》、GB/T 22239—2008《信息系统安全等级保护基本要求》、《关于加强工业控制系统信息安全管理的通知》、GB/T 22239—2019《信息安全技术网络安全等级保护基本要求》、《网络安全等级保护2.0 标准》、《工业控制系统信息安全事件应急管理工作指南》等[9-12]。

2.2 防护架构

通过分析该天然气管道工业控制系统的安全现状，为适应现代工业控制系统的安全防护，需要对该系统软硬件进行安全防护升级，并增加部署相应的防护设备，提高工控系统的安全等级。部署方案如图1所示。

图1 工控系统防护架构构建图

1）该工控网络防护以边界防护为主，在工控网络内部没有防御纵深，边界采用防火墙进行防护，需升级为工业网闸，将逻辑隔离改为物理隔离，提升防护能力。

2）需要在调控中心与各个站场边界部署工业防火墙进行逻辑隔离，做到网络层级间的安全隔离和防护。各站场的控制设备与工作站之间也要部署防护设备，如各站场PLC/RTU等工控设备的网络出口处部署工业防火墙，使重要工控设备达到单体设备级的安全防护等级，从而在整体上形成纵向分层、横向分域的防护策略。

3）在工控网络与企业管理系统之间数据交互的关键网络节点需要部署入侵检测系统，在站场内部的核心交换机处部署入侵检测系统，实时发现针对SCADA、PLC 等重要工控设备的攻击和破坏行为，以及木马病毒等恶意软件的扩散传播行为，及时有效保护系统不被破坏。

4）在工控网络与企业管理系统之间数据交互的关键网络节点需要部署网络审计系统，在站场内部的核心交换机处部署网络审计系统，从而能够为企业提供监控、事中记录、事后审计服务。

5）对存在漏洞的软硬件设备进行升级，更新补丁，减少漏洞利用的概率。

2.3 安全管理平台

针对管道工控系统弱点，加大加强防护覆盖范围，在调控中心搭建工控系统统一安全管理平台，通过采集、分析部署在工控系统网络节点中各安全防护设备产生的实时数据，做到对管道工控系统网络进行安全分析、安全攻击溯源、安全事件挖掘和危害消除，从而具有快速检测威胁、分析和处置能力。

统一安全管理平台服务于工业控制系统，以保障整个系统设施的安全（如：以太网、各终端设备、各数据库服务器、各操控应用系统等），从系统安全出发对设备运行安全等各类IT资源进行实时监控，对各类安全事件及时做出预警及响应，以保障工业控制系统的安全稳定运行。一般统一安全管理平台应满足如下功能需求：①实时监控服务器、以太网设备的实时运行状态及流量，如端口流量、CPU及内存等；②在线/离线管理各操作终端外设、进程及桌面；③监控各层边界数据交互；④监控工控系统网络操作行为；⑤监控分析工控系统日志；⑥预警响应工控系统中各类异常事件；⑦划分工控网络与企业管理系统虚拟安全域。

由于工业控制系统管理终端的安全防护技术措施十分薄弱，所以病毒、木马、黑客等攻击行为都会利用这些安全弱点，在终端上发生、发起，并通过网络感染或破坏其他系统。工业控制系统终端最大特点是应用相对固定，终端主要安装工业控制系统程序，所以，要防范传统方式的病毒或木马等恶意软件，最直接的方式就是利用工业控制系统对终端应用程序进程进行管理。工业控制系统安全管理平台终端安全管理应满足如下功能需求。

1）终端准入控制功能，防止未达安全基线的便携设备操作控制各终端。

2）终端安全防护功能，可对工控系统终端进行安全防护、加固，以满足安全基线要求。

3）外设管理功能，对串口、网卡、USB 接口及光驱等外设进行统一管理。

4）工业控制系统应用程序监控功能，对各系统软件进行实时监控及动态管理。

5）工业通信协议监控功能，降低协议漏洞利用概率。

6）针对部分无法在线管理的终端，应具备离线管理控制功能。

7）身份认证功能，工控系统各在线、离线终端都应有身份认证，防止被控制。

3 结束语

结合中亚某天然气管道工控系统安全现状进行分析，对该工控网络采用的星型冗余网络和线型冗余网络拓扑结构优缺点进行描述，对该系统的安全脆弱性进行分析。构建相关防护架构体系，设置安全管理平台，做到实时有效保护工控网络，旨在提升该工控系统网络安全，避免由于系统、软件等的漏洞原因而导致整个网络受到攻击破坏，达到防御恶意攻击、提升该工控系统安全性、运行稳定性的目的，可为输油气管道的工业控制系统安防优化提供借鉴。