1.5 外部系統(tǒng)數(shù)據(jù)傳輸數(shù)據(jù)
日常生產(chǎn)中,中控系統(tǒng)需要和許多外部系統(tǒng)進(jìn)行數(shù)據(jù)交換,包括管道生產(chǎn)管理系統(tǒng)、模擬仿真系統(tǒng)、能耗計(jì)量系統(tǒng)、批次跟蹤系統(tǒng)、調(diào)度培訓(xùn)系統(tǒng)、調(diào)度評價(jià)系統(tǒng)等。
目前一般有兩種方式實(shí)現(xiàn)中控系統(tǒng)和外部系統(tǒng)的數(shù)據(jù)傳輸:
1)數(shù)據(jù)庫:直接讀寫方式。中控系統(tǒng)使用OPC協(xié)議向PI數(shù)據(jù)庫寫入數(shù)據(jù)作為鏡像,外部系統(tǒng)直接連接訪問PI數(shù)據(jù)庫。比如模擬仿真系統(tǒng)就通過這種方式間接獲取SCADA實(shí)時(shí)數(shù)據(jù)。
2)文件傳輸方式。源系統(tǒng)將數(shù)據(jù)寫入一個(gè)XML文件中,并傳至一個(gè)共享文件區(qū)或FTP,目標(biāo)系統(tǒng)將自動(dòng)讀取文件獲取數(shù)據(jù)。比如成品油的批次計(jì)劃信息就通過這種方式傳入SCADA系統(tǒng)中。
2 風(fēng)險(xiǎn)分析及解決方案
2.1 風(fēng)險(xiǎn)分析
當(dāng)前油氣管道SCADA系統(tǒng)中數(shù)據(jù)傳輸安全方而的防護(hù)措施不多,風(fēng)險(xiǎn)主要存在于中控系統(tǒng)和站控系統(tǒng)的數(shù)據(jù)傳輸過程,主要有以下幾個(gè)方面。
2.1.1非法接入風(fēng)險(xiǎn)
Risley等認(rèn)為攻擊者無法入侵物理隔離網(wǎng)絡(luò)的看法是一種理解錯(cuò)誤[5],Byres更是直言物理隔離在現(xiàn)實(shí)世界中毫無用處,建議工業(yè)用戶開始放棄這種方法[8]。
中國石油一直在大力建設(shè)中控系統(tǒng)和站控系統(tǒng)的物理安全防護(hù)設(shè)施,但是若干系統(tǒng)之間的數(shù)據(jù)交換需求促使各個(gè)簡單孤立的系統(tǒng)逐漸形成一個(gè)復(fù)雜的SCADA網(wǎng)絡(luò)。
現(xiàn)在的網(wǎng)絡(luò)技術(shù)發(fā)展非常快,對于任何形式的網(wǎng)絡(luò)都可以提供多種接入方式,SCADA網(wǎng)絡(luò)也不例外。局域網(wǎng)無論怎么隔離,只要有對外的數(shù)據(jù)傳輸,就總會通過一根專線、一臺設(shè)備或者一個(gè)內(nèi)網(wǎng)和更大的企業(yè)網(wǎng)相連。攻擊者完全有可能利用這些鏈接獲取到對站場設(shè)備的接入途徑[4],一旦非法接入,后果不可設(shè)想。
2.1.2協(xié)議開放風(fēng)險(xiǎn)
Byres等認(rèn)為使用私有協(xié)議是更安全的[9]。但是目前出于工程實(shí)施難度和成本的考慮,油氣管道SCADA系統(tǒng)中使用的是一些開放的標(biāo)準(zhǔn)協(xié)議,且多是基于以太網(wǎng)和TCP/IP協(xié)議棧的應(yīng)用層協(xié)議。
標(biāo)準(zhǔn)開放的同時(shí),也使得攻擊者能夠更容易、更深層次地理解SCADA網(wǎng)絡(luò)運(yùn)行的機(jī)制,從而大大增加了風(fēng)險(xiǎn)。
2.1.3明文數(shù)據(jù)風(fēng)險(xiǎn)
油氣管道SCADA系統(tǒng)中傳輸?shù)氖敲魑臄?shù)據(jù),沒有進(jìn)行特殊的安全處理,其保密性、完整性無法得到保證。
數(shù)據(jù)在傳輸過程中或者存儲在終端設(shè)備時(shí)都有可能被侵入網(wǎng)絡(luò)和設(shè)備的攻擊者輕松獲得、更改。如果攻擊者對數(shù)據(jù)進(jìn)行r篡改,甚至偽造重要的控制指令,系統(tǒng)本身小具備任何能力發(fā)現(xiàn)。一旦這些數(shù)據(jù)進(jìn)入SCADA系統(tǒng),可能引起嚴(yán)重事故,造成不可估量的損失。
2.1.4??非定制的軟硬件產(chǎn)品帶來的風(fēng)險(xiǎn)
油氣管道SCADA系統(tǒng)存建設(shè)過程中,很少選擇定制產(chǎn)品,而是選擇市場上較大廠商的典型軟硬件產(chǎn)品,這樣做大大降低了設(shè)計(jì)難度和建設(shè)成本,但同時(shí)也帶來了潛在的風(fēng)險(xiǎn)。
由于絕大多數(shù)產(chǎn)品不是為了SCADA系統(tǒng)專門設(shè)計(jì)的,都不帶任何安全功能。這些產(chǎn)品通常兼容一些基于以太網(wǎng)和TCP/IP協(xié)議棧的應(yīng)用層協(xié)議,在基于TCP/IP的網(wǎng)絡(luò)攻擊面前非常脆弱。如果不加入一些專門的網(wǎng)絡(luò)安全設(shè)備,SCADA網(wǎng)絡(luò)和普通的百聯(lián)網(wǎng)一樣,安全性和可靠性非常低。
2.2 安全標(biāo)準(zhǔn)
針對上述數(shù)據(jù)傳輸存在的風(fēng)險(xiǎn)進(jìn)行安全防護(hù)設(shè)計(jì)時(shí),應(yīng)當(dāng)遵循日前已有的油氣管道SCADA系統(tǒng)安全相關(guān)標(biāo)準(zhǔn)。表2中列舉了本文參考文獻(xiàn)的主要標(biāo)準(zhǔn)[10-13]。
?
2.3 常見安全策略
2.3.1接入控制
接入控制是一種常見的SCADA系統(tǒng)安全策略。完善SCADA系統(tǒng)的接入控制機(jī)制是非常必要的。對于企業(yè)級安全來說,必須嚴(yán)格執(zhí)行網(wǎng)絡(luò)安全接入管理制度,并輔以適當(dāng)?shù)募夹g(shù)手段,才能事半功倍。
要在技術(shù)層面實(shí)現(xiàn)接入控制,首先要做到針對所有的接入對象進(jìn)行認(rèn)證,這里的對象呵能足用戶,也可能是設(shè)備。然后,應(yīng)當(dāng)賦予通過認(rèn)證的用戶相應(yīng)的角色和權(quán)限。
2.3.1.1認(rèn)證
針對用戶的認(rèn)證可以保證控制指令是授權(quán)用戶下達(dá)的,針對沒備的認(rèn)證可以保證數(shù)據(jù)來自正確的來源。雙重認(rèn)證比較嚴(yán)格,要求用戶必須在特定的設(shè)備上才能接入系統(tǒng),且只能在該設(shè)備上查看數(shù)據(jù)和發(fā)送指令。
身份認(rèn)證的實(shí)現(xiàn)一般有軟硬兩種方式。軟件實(shí)現(xiàn)可以是軟件系統(tǒng)登錄時(shí)要求使用用戶名、口令進(jìn)行身份認(rèn)證,也可以結(jié)合CA證書。硬件實(shí)現(xiàn)可以使用USBKey,或者智能卡[4]。軟硬方式也可以結(jié)合起來,加大認(rèn)證安全的強(qiáng)度。
有一種較新的做法是在現(xiàn)場設(shè)備近端部署支持DNP3協(xié)議并具有認(rèn)證和完整性功能的設(shè)備,在中控系統(tǒng)內(nèi)部署相對應(yīng)的軟件或硬件[14],在數(shù)據(jù)傳輸時(shí)利用“質(zhì)疑??回應(yīng)”機(jī)制進(jìn)行認(rèn)證。這種方式可以確?,F(xiàn)場一些特別重要的設(shè)備收到來源合法的控制指令,但是僅支持DNP3協(xié)議,而且實(shí)施成本非常高。
2.3.1.2權(quán)限控制
用戶權(quán)限一般是通過角色來賦予的,角色是權(quán)限的集合,系統(tǒng)定義了若干個(gè)角色,并分配給用戶,用戶只能進(jìn)行權(quán)限范圍以內(nèi)的操作。
在SCADA系統(tǒng)中,通常有多種角色,比如調(diào)度員、工程師、管理員以及開發(fā)商等。使用基于角色的分配策略大大簡化了權(quán)限管理工作。
當(dāng)用戶通過認(rèn)證后發(fā)出操作請求時(shí),需要檢查其是否具備實(shí)施該操作的權(quán)限。如果權(quán)限條件不滿足,系統(tǒng)將自動(dòng)拒絕用戶的請求。
用戶認(rèn)證和權(quán)限的信息,通常統(tǒng)一存儲在一臺身份認(rèn)證服務(wù)器中。
2.3.2數(shù)據(jù)加密
加密是一種有效的數(shù)據(jù)安全策略,可以有效地提高數(shù)據(jù)的保密性和完整性。SCADA系統(tǒng)的加密可以在不同的網(wǎng)絡(luò)分層實(shí)現(xiàn),比如在應(yīng)用層加密和在網(wǎng)絡(luò)層加密。
2.3.2.1應(yīng)用層加密
應(yīng)用層加密是在應(yīng)用通過網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)傳輸?shù)慕涌谥衼韺?shí)現(xiàn)的,通信雙方均需支持相匹配的加解密算法。運(yùn)行時(shí),需要依賴復(fù)雜的加密確認(rèn)機(jī)制,每次發(fā)送和接收數(shù)據(jù)前,應(yīng)用之間需先交互確認(rèn)彼此加密、解密狀態(tài),才能開始傳輸數(shù)據(jù)。應(yīng)用層加密方式與數(shù)據(jù)傳輸?shù)膶?shí)際網(wǎng)絡(luò)路徑無關(guān),但是其擴(kuò)展性較差,系統(tǒng)一旦進(jìn)行應(yīng)用擴(kuò)展,新的應(yīng)用必須實(shí)現(xiàn)數(shù)據(jù)加解密功能。
2.3.2.2網(wǎng)絡(luò)層加密
網(wǎng)絡(luò)層加密實(shí)現(xiàn)較之應(yīng)用層加密實(shí)現(xiàn)更為底層。網(wǎng)絡(luò)層加密直接對網(wǎng)絡(luò)通道進(jìn)行加密,與具體的應(yīng)用無關(guān),在加密通道中傳輸?shù)臄?shù)據(jù)都將獲到保護(hù)。這種方式將加密功能和系統(tǒng)應(yīng)用分離開來,有利于系統(tǒng)擴(kuò)展。不過網(wǎng)絡(luò)層加密需要引入額外的加密設(shè)備,一定程度上增加了建設(shè)成本。
在AGA-l2:2和IEEE Pl711-2010標(biāo)準(zhǔn)中[11-12],均定義了子站串行保護(hù)協(xié)議(SSPP),要求加密設(shè)備必??須以網(wǎng)絡(luò)嵌入式(BITW)的形式串行接入網(wǎng)絡(luò),并部??署在數(shù)據(jù)傳輸網(wǎng)絡(luò)路徑的起始兩端,加密應(yīng)對數(shù)據(jù)傳輸過程實(shí)現(xiàn)透明。
2.3.2.3密鑰管理
數(shù)據(jù)加密還需要建立有效的密鑰管理機(jī)制,AGA也建立了并仍在完善相關(guān)的標(biāo)準(zhǔn)。Kang在他的研究中列舉了一些有效的密鑰管理策略吲。
2.3.3網(wǎng)絡(luò)安全設(shè)備
網(wǎng)絡(luò)安全設(shè)備是一種特殊的硬件設(shè)備,它們結(jié)合了接入控制和加密策略,針對特定需求定制開發(fā)軟件并嵌入到硬件中。這些設(shè)備可以用來對數(shù)據(jù)傳輸網(wǎng)絡(luò)進(jìn)行安全防護(hù),常見的有硬件防火墻和安全網(wǎng)關(guān)。
2.3.3.1硬件防火墻
硬件防火墻具有軟件防火墻所有功能,并具有內(nèi)容過濾(CF)、入侵偵測(IDS)、入侵防護(hù)(IPS)以及虛擬專用網(wǎng)絡(luò)(VPN)等功能。
硬件防火墻可以在應(yīng)用系統(tǒng)訪問控制、流量控制、防病毒網(wǎng)關(guān)、用戶權(quán)限控制、惡意代碼的阻止、異常行為阻斷等方面對SCADA網(wǎng)絡(luò)進(jìn)行控制。
2.3.3.2安全網(wǎng)關(guān)
通常,SCADA系統(tǒng)內(nèi)的數(shù)據(jù)網(wǎng)關(guān)是用來進(jìn)行協(xié)議轉(zhuǎn)換的,并不具備安全功能。安全網(wǎng)關(guān)是一類針對數(shù)據(jù)傳輸安全需求沒汁出來的設(shè)備,除了兼容油氣管道SCADA系統(tǒng)常用的盼議,還提供認(rèn)證、加密、殺毒等安全功能。
2.4 油氣管道SCADA系統(tǒng)數(shù)據(jù)傳輸安全方案
為降低前述的數(shù)據(jù)傳輸風(fēng)險(xiǎn),本文參考常見安全策略,結(jié)合中國石油油氣管道SCADA系統(tǒng)的實(shí)際情況,針對中控系統(tǒng)與站控系統(tǒng)的數(shù)據(jù)傳輸過程,初步設(shè)計(jì)了以下安全方案。
2.4.1建立接入控制機(jī)制
部署證書體系,為全網(wǎng)用戶提供統(tǒng)一身份標(biāo)識;部署身份認(rèn)證服務(wù)器,為全網(wǎng)用戶提供統(tǒng)一身份認(rèn)證服務(wù),并統(tǒng)一管理權(quán)限;部署網(wǎng)絡(luò)認(rèn)證服務(wù)器,加強(qiáng)全網(wǎng)統(tǒng)一接入認(rèn)證管理。
采用USBKey、證書、口令相結(jié)合的身份認(rèn)證方式:SCADA系統(tǒng)驗(yàn)證用戶身份時(shí),首先確認(rèn)用戶是否插入U(xiǎn)SBKey,然后驗(yàn)證口令是否正確,最后確認(rèn)證書是否有效。當(dāng)以上三者均通過驗(yàn)證,用戶才能進(jìn)行權(quán)限內(nèi)的操作。
2.4.2部署網(wǎng)絡(luò)安全設(shè)備
在中控系統(tǒng)和站控系統(tǒng)接入通信系統(tǒng)的邊界上部署硬件防火墻和加密網(wǎng)關(guān),以抵御基于TCP/IP的網(wǎng)絡(luò)攻擊,并對傳輸數(shù)據(jù)進(jìn)行加密保護(hù)。
加密網(wǎng)關(guān)需特別定制且具有以下特點(diǎn):
1)選用國家密碼管理局認(rèn)可的商密算法。
2)支持網(wǎng)絡(luò)層BITW部署模式,對原有網(wǎng)絡(luò)和使用協(xié)議無影響。
3)支持對端無加密網(wǎng)關(guān)的部署模式。
4)支持對通道加密,僅對重要設(shè)備數(shù)據(jù)進(jìn)行加密。
5)支持單向加密,可僅對下行指令加密,對上行數(shù)據(jù)不加密。
6)支持旁路(bypass)功能,當(dāng)設(shè)備無法正常工作時(shí),可以自動(dòng)切換為明文傳輸模式。
網(wǎng)絡(luò)安全設(shè)備的部署方式如圖4所示。
?
此外,還應(yīng)部署設(shè)備管理中心和密鑰管理中心,對全網(wǎng)的加密網(wǎng)關(guān)進(jìn)行管理。
2.4.3加強(qiáng)對外安全
將中控系統(tǒng)和外部系統(tǒng)進(jìn)行物理隔離,并對所有系統(tǒng)及設(shè)備進(jìn)行認(rèn)證;對所有數(shù)據(jù)傳輸通道進(jìn)行加密;使用加密的文件傳輸方式。
3 結(jié)束語
油氣管道SCADA系統(tǒng)安全直接影響油氣管道生產(chǎn)安全,乃至國家能源、經(jīng)濟(jì)安全,因此格外重要。該系統(tǒng)經(jīng)過多年的發(fā)展,已經(jīng)形成依托于通信網(wǎng)絡(luò)的分布式架構(gòu)。本文針對該系統(tǒng)中數(shù)據(jù)傳輸?shù)那闆r進(jìn)行了介紹,并對目前存在的主要風(fēng)險(xiǎn)進(jìn)行了分析。參照國內(nèi)外一些SCADA安全方面相關(guān)的標(biāo)準(zhǔn),結(jié)合中國石油油氣管道SCADA系統(tǒng)建設(shè)現(xiàn)狀,本文提出了一個(gè)基于接入控制和加密的數(shù)據(jù)傳輸安全方案,并計(jì)劃在未來的工業(yè)實(shí)驗(yàn)中進(jìn)行驗(yàn)證。
?
參考文獻(xiàn)
[1]National Transportation Safety Board(NTSB).Supervisory control and data acquisition(SCADA)in liquid pipelines[R].Washington DC:NTSB,2006.
[2]BOYER S A.SCADA supervisory control and data acquisitionl M.USA:International Society of Automation(ISA),2010.
[3]謝安?。蜌夤芫€SCADA系統(tǒng)調(diào)度控制中心的安全策略[J].天然氣工業(yè),2005,25(6):ll3-115.
XIE Anjun.Safe strategy of SCADA system dispatching and controlling center for oil/gas pipeline[J].Natural Gas Industry,2005,25(6):ll3-115.
4VINAY M I,SEAN A L,RONALD D W.Security issues in SCADA networks[J].Computers&Security,2006,25(7):498-506.
[5]RISLEY A,ROBERTS J,LADow P.Electronic security of real time protection and SCADA communications[C]// Fifth Annual Western Power Delivery Automation Conference,1-3 April 2003,Washington DC,USA.
[6]American Gas Association(AGA).cryptographic protection of SCADA communications,Part l:Background,policies and test plan(AGA l2,Part l)[S].Washington DC:AGA,2006.
[7]KEVIN M.Data and command encryption for SCADA[R].Schneider Electric,Canada,2012.
[8]BYRES E.Privacy and security the air gap:SCADA’s enduring security myth[J].Conmmnication of the ACM,2013,56(8):29-31.
[9]BYRES E,LOWE J.The myths and facts behind cyber security risks for industrial control systems[C]//VDE Congress,VDE Association for Electrical,Electronic&Information Technologies,October 2004,Berlin,Germany.
[10]American Petroleum Institute(API).SCADA Security (API ll64)[S].API,2004.
[11]American Gas Association(AGA).Cryptographic protection of SCADA communications,Part 2:Performance test results(AGA l2,Part 2)S.Washington DC:AGA,2007.
[12]Institute of Electrical and Electronics Engineers(IEEE).Trial use standard for a eryptographic protocol for cyber security of substation seriallinks(IEEE Pl711—2010)[S].USA:IEEE,2011.
[13]中國石油北京油氣調(diào)控中心.油氣管道SCADA系統(tǒng)網(wǎng)絡(luò)安全技術(shù)規(guī)范Q/SY BD 46—2010[S].北京:中國石油天然氣股份有限公司,2010.
PetroChina Oil and Gas Pipeline Control Center.Q/SY BD 46—2010 Network security and protection for SCADA of oil&.gas pipelines[S].Beijing:PetroChina,2010.
[14]JEFFREY L H,JACOB S,JAMES H G.A security-bard ened appliance for implementing authentication and access control in SCADA infrastructures with legacy field devices[J].International Journal of Critical Infrastructure Protection,2013(6):12-24.
[15]KANG D J,LEE J J,KIM B H,et al.Proposal strategies of key management for data encryption in SCADA network of electric power systems[J].Electrical Power and Energy Systems,2011,33:l521-1526.