信息化油气田自动控制技术

油气田自动化系统安全防护技术,西南石油大学电气信息学院青小渠2015.09,石油石化工业控制系统网络安全,1概述,工业控制系统（ICS）包括数据采集系统（SCADA），分布式控制系统（DCS），程序逻辑控制（PLC）以及其他控制系统等，目前已应用于电力、水力、石化、医药、食品以及汽车、航天等工业领域，成为国家关键基础设施的重要组成部分，关系到国家的战略安全。,法规,国家信息安全技术指南中华人民共和国计算机信息系统安全保护条例国际上有ANSI/ISA-99控制系统网络安全指引等法规,2011年10月27日，工信部协2011451号文件关于加强工业控制系统信息安全管理的通知强调了加强工业控制系统信息安全管理的重要性和紧迫性，并明确了重点领域如：石油石化、电力、钢铁、化工等行业工业控制系统信息安全管理要求。,1.1工业控制网络安全问题的危害,（1）系统性能下降，影响系统可用性；（2）关键控制数据被篡改或丧失；（3）失去控制；（4）严重的经济损失；（5）环境灾难；（6）人员伤亡；（7）破坏基础设施；（8）危及公众安全及国家安全。,典型工业控制系统入侵事件,1982年的夏天，前苏联西伯利亚一条天然气输送管道发生了大爆炸。“这场爆炸可谓是迄今为止最为壮观的非核弹爆炸，爆炸引起的熊熊大火甚至可以从太空中观测到。苏联通往西欧国家的输气管线大面积中断，前苏联的国内经济几乎因此一蹶不振。美国专家评估这次爆炸等级相当于3000吨TNT。”这是由里根时期的白宫官员托马斯.里德所著的个人回忆录在深渊：一个内幕人的冷战历史解密的内容。当时根据美国政府的计划，美国中情局在天然气管道的操作软件上做了手脚，对那些关系到油泵、涡轮和阀门运作的软件程序进行了特定的编程，特意安置了“定时炸弹”。这些软件可以正常运作一段时间，但不久就会重新调整油泵的速度和阀门的设置，产生大大超过油管接头和焊接承受的压力，最终破坏整个管道系统。,2010年，以美国为首的西方国家通过网络对伊朗核设施发动了攻击。国际核能组织观察到伊朗浓缩铀工厂在接下来的几个月内就有两千个离心机报废。占伊朗浓缩铀工厂离心机的四分之一。伊朗核发展因此受到严重阻碍。而致使离心机报废的原因，就是受到了著名的“震网”病毒武器的攻击。这种病毒首先由被感染的U盘带入伊朗，当优盘插入计算机的时候，通过Windows系统自动播放而进入计算机。通过盗用的合法电子签名躲过计算机病毒软件的安全保护。然后在计算机中寻找西门子公司的一个控制软件，并经过该控制软件的数据库传染到局域网内其它节点。西门子公司的这个控制软件是用来控制伺服系统的电动机、电路开关和气体液体阀门，广泛应用于各行各业。该病毒找到西门子控制软件以后，截获控制软件给可编程逻辑控制设备(PLC)的指令，找出并识别应用在离心机上的软件，然后发出虚假指令，让离心机转速不正常造成设备损坏。,典型工业控制系统入侵事件,2007年，攻击者入侵加拿大的一个水利SCADA控制系统，通过安装恶意软件破坏了用于取水调度的控制计算机；2008年，攻击者入侵波兰某城市的地铁系统，通过电视遥控器改变轨道扳道器，导致4节车厢脱轨；2010年，“网络超级武器”Stuxnet病毒通过针对性的入侵ICS系统，严重威胁到伊朗布什尔核电站核反应堆的安全运营；2011年，黑客通过入侵数据采集与监控系统SCADA，使得美国伊利诺伊州城市供水系统的供水泵遭到破坏。,工业控制系统网络安全防护九大误区,误区一：工业控制系统(ICS)是与外界隔离的,实际上，基础设施领域不仅包括生产和控制系统，还包括市场分析、财务计划等信息管理系统。生产系统与管理系统的互联已经成为ICS的基本架构，与外界完全隔离几乎不可能。另外，维护用的移动设备或移动电脑也会打破系统与外界的隔离，打开网络安全风险之门。事实证明，不管多严格的隔离措施也会有隐患发生。2003年Davis-Besse核电站被Slammer蠕虫病毒侵入；2006年13家Daimler-Chrysler汽车企业因感染Zotob蠕虫病毒被迫停工；2008年有超过千万台的设备，包括所谓隔离了的设备，受到Conficker蠕虫病毒的攻击。即使在太空也不能做到完全隔离：2008年美国宇航局证实其国际太空站笔记本电脑遭到病毒入侵。2010年震惊世界的伊朗震网病毒。,误区二：没有人会袭击我们,上个世纪，虽然有些零星事件发生，公众对ICS网络安全问题并没有足够认识。直到2000年澳大利亚MaroochyShire排水系统受攻击事件报道之后，人们才意识到ICS系统一旦受袭击有可能造成严重后果。该次事件中，由于数据采集和监控系统(SCADA)受到攻击，导致800，000升污水直接排放到环境中。另外，ICS系统并不是坚不可摧。2006年以来，美国计算机应急响应小组对外公布的ICS系统安全漏洞越来越多。2009底其数据库显示的24条SCADA相关漏洞都是已经预警的，而且，主流黑客工具如MetasploitFramework中已经集成有其中一些漏洞的攻击方法。越来越多的迹象表明，ICS系统已经受到黑客、政治对手、不满的员工或犯罪组织等各类攻击者的目标关注。,误区三：黑客不懂我们的协议/系统，系统非常安全,实际上，工业环境中已广泛使用商业标准件(COTS)和IT技术；除开某些特殊环境，大部分通讯采用的是以太网和TCP/IP协议；ICS、监控站以及嵌入式设备的操作系统也多以Microsoft和Linux为主。其中，Microsoft已通过智能能源参考架构(SERA)打进电力行业，意图将微软技术安插到未来智能电网架构的核心中。那些特殊环境采用的内部协议其实也有公开的文档可查。典型的电力系统通讯协议定义在IEC和IEEE标准中都可以找到。象Modbus这些工业协议，不仅可以轻易找到详细说明，其内容也早已被黑客圈子熟知。另外，由于ICS设备功能简单、设计规范，只需少许计算机知识和耐心就可以完成其逆向工程，何况大部分的工业协议都不具备安全防护特征。甚至某些应急工具都可以自动完成逆向工程。即使经过加密处理的协议也可以实施逆向工程。例如，GSM手机全球系统、缴费终端及汽车点火装置的射频信号、DVD反复制保护机制，他们都采用专门的加密技术，但最终都被破解。,误区四：ICS系统不需要防病毒软件或有防病毒软件就可以了；我们的防火墙会自动提供保护等,认为ICS系统不需要防病毒和误区一(系统是隔离的)和误区三(黑客不了解系统)有关。实际上，除了Window平台易受攻击，Unix/Linux都有过病毒或跨平台病毒攻击的经历。Proof-of-concept病毒则是专门针对SCADA和AMI系统的。所以对ICS系统，防病毒软件不可或缺，并且需要定时更新。那么，有了防病毒软件是否就高枕无忧了？虽然有效管理的防病毒措施可以抵御大部分已知的恶意软件，但对更隐蔽或鲜为人知的病毒的防御还远远不够。而且，防病毒软件本身也有弱点存在。从最近一次安全会议得知，在对目前使用最多的7个防病毒软件进行防病毒能力挑战时，有6个可以在2分钟内被攻破。另外，虽然防火墙也是应用最广泛的安全策略之一，但其发挥效用的前提是必须正确设置了防火墙的安全规则。即使智能型防火墙，也需要自定义安全规则。研究表明，由于设置规则比较复杂，目前80%的防火墙都没有正确配置，都没有真正起到安全防护的作用。,误区五：网络安全事件不会影响系统运行,事实证明，ICS系统遭受攻击后不仅可能影响运行，还可能导致严重后果。前面提到的澳大利亚MaroochyShire排水系统受攻击事件就是一例；2003年Davis-Besse核电站因Slammer蠕虫病毒入侵导致系统计算机停机6小时以上；2007年美国爱达荷国家实验室一台为13.8KV网格测试台供电的柴油发电机因网络攻击而被毁；2008年Hatch核电厂一工程师在数据采集服务器上测试软件更新时，在其不知情的情况下，测试值被供应商软件同步设置到生产系统上，结果导致反应堆自动停机事故。另外，攻击者也会想法设法接近ICS设备，如将携有恶意软件的U盘以礼相送；或是向收集到的目标企业工作人员邮寄地址发送电子邮件，一旦邮件内链接被打开，恶意软件就会下载到工作站。攻击者声称，通过这些恶意软件，他们可以全面控制工作站和SCADA系统。,误区六：ICS组件不需要特别的安全防护，供应商会保证产品的安全性,人们能够理解ICS系统核心组件(如数据库、应用软件、服务器等)安全性的重要，但常常会忽视ICS系统外围组件(如传感器、传动器、智能电子设备、可编程逻辑控制器、智能仪表、远程终端设备等)的安全防护。其实这些外围设备很多都内置有与局域网相联的网络接口，采用的也是TCP/IP协议。这些设备运行时可能还有一些调试命令，如telnet和FTP等，未及时屏蔽。这种情况在网络服务器上也很常见。网络服务器一般隐含有一项特殊功能，即允许用户通过定位某个网址重新启动远程终端设备(RTU)。用户通常以为供应商会对他们产品的缺陷和安全性了如指掌，实际上供应商对他们产品的认识仅限于产品所能提供的功能方面，而且对出现的安全问题也做不到快速响应。2008年研究人员发现ICS特有的数据通讯协议(WonderwareSuitlink)存在漏洞后，立即联系了供应商Wonderware，但是Wonderware1个月后才开始回应；等到Wonderware认识到产品缺陷，并知会Suitlink用户相关补救措施时，已是三个月以后的事了。这件事让很多供应商开始关注自己产品的安全性，但对大部分供应商来说，还是任重道远。,误区七：ICS系统的接入点容易控制,ICS系统存在很多未知或已知但不安全的接入点，如维护用的手提电脑可以直接和ICS网络联接、可不经过防火墙的接入点、远程支持和维护接入点、ICS设备和非ICS设备的连接点、ICS网络设备中的可接入端口等。实际上，ICS系统的所有者并不知晓有多少个接入点存在以及有多少个接入点正在使用，也不知道个人可以通过这种方式访问ICS系统。,误区八：系统安全可以一次性解决或是可以等到项目结束再解决,以前，ICS系统功能简单，外部环境稳定，现场维护设备也非智能型，所以，针对某一问题的解决方案可以维持很长一段时间不变。然而，现在的ICS系统功能复杂，外部环境经常变化，现场维护设备也需要定期更新和维护。不仅ICS系统和现场维护设备需要安全防护，其管理和维护工作也需要安全防护，而且是动态管理的安全防护，即一旦有新的威胁或漏洞产生，就要及时采取安全措施。近些年，虽然ICS项目建设开始关注系统安全，但是由于工期较长，通常在最后阶段才开始考虑安全防护问题，但此时不仅实施不易，而且成本颇高。因为需求变更越晚或漏洞发现越迟，更改或弥补的费用越高。,误区九：单向通信100%安全,某些情况下，极重要的ICS系统允许以单向通讯方式与其他安全区域联接。但是，这种联接方式是很不严密的，其安全程度高低取决于单向通信的实现方式。方式一为限制发起方方式，即通信只能由某一方发起，然后双方可以互相通信；方式二为限制负载流方式，即在方式一基础上，对方只能发送控制信号，不能发送数据或应用信息；方式三最严格，仅允许一方发送信息，不允许另一方发送任何信息。方式一采用基本防火墙就能实现，方式二需要进行信息包检测，方式三需要采用特殊设备实现。通常认为，将前两种方式结合起来将是最安全的防护措施。但是，即使它们可以提供很强的安全保护，网络攻击还是有可能发生。因为控制和信号信息允许进入受保护区域，经过设备编译后，恶意代码就有可能得到运行。所以，单向通信并不能提供100%的安全保护。,1.2工业控制系统的安全分析,首先，传统工业控制系统的出现时间要早于互联网，它需要采用专用的硬件、软件和通信协议，设计上基本没有考虑互联互通所必须考虑的通信安全问题。,其次，互联网技术的出现，导致工业控制网络中大量采用通用TCP/IP技术，工业控制系统与各种业务系统的协作成为可能，愈加智能的ICS网络中各种应用、工控设备以及办公用PC系统逐渐形成一张复杂的网络拓扑。,另一方面，系统复杂性、人为事故、操作失误、设备故障和自然灾害等也会对ICS造成破坏。在现代计算机和网络技术融合进ICS后，传统ICP/IP网络上常见的安全问题已经纷纷出现在ICS之上。例如用户可以随意安装、运行各类应用软件、访问各类网站信息，这类行为不仅影响工作效率、浪费系统资源，而且还是病毒、木马等恶意代码进入系统的主要原因和途径。以Stuxnet蠕虫为例，其充分利用了伊朗布什尔核电站工控网络中工业PC与控制系统存在的安全漏洞（LIK文件处理漏洞、打印机漏洞、RPC漏洞、WinCC漏洞、S7项目文件漏洞以及Autorun.inf漏洞）。,1.3工业控制系统的安全解决方案,（1）安全管理体系：建立适应工业控制系统安全目标、策略、流程，内容包括：安全管理平台建设、安全管理制度规范建设；（2）安全运行维护体系：建立有效的运行维护、漏洞发现与预警、应急响应体系，内容包括：模拟环境下安全风险评估、模拟环境下安全整改措施验证、事件响应应急预案、操作人员安全技术培训等；（3）安全技术体系：建立工业控制系统的技术防护体系、安全审计跟踪体系，内容包括：身份鉴别、边界访问控制、攻击检测预警、行为审计跟踪、数据加密与备份等。,2石油石化工业控制网络的特点,管控一体化,系统结构,3工业控制网络系统的安全隐患,3.1网络通信协议安全漏洞3.2操作系统安全漏洞3.3安全策略和管理流程漏洞3.4杀毒软件漏洞3.5应用软件安全漏洞,3.6控制网络的安全隐患,入侵、组织性攻击拒绝服务攻击病毒与恶意代码,(1)控制器和操作站之间无隔离防护PLC、DCS、IED和RTU等现场设备非常脆弱，一般的病毒攻击就可能造成死机。(2)DCS控制系统与上层数采网无隔离防护基于Windows平台的控制系统工作站发生病毒感染和传播的影响极大。目前国内没有用于工业协议的防火墙。(3)APC与其它网络无隔离APC网络经常和外界接触，感染病毒的风险比较大，需要和别的网络隔离开来。(4)OPCServer无操作权限管理工厂环境中，不同角色的用户需要对每个OPC数据项的添加、浏览、读/写定义不同的权限，而目前的防护方式做不到深度检查。(5)网络安全事件无法追踪对网络故障进行快速的诊断，并记录、存储、分析，为减少事故带来的损失和加强日后的事件管理带来很大的方便。,3.7常规网络安全技术的局限性,常规网络安全技术的作用防火墙的局限性与不足其他安全技术的局限,4网络隔离技术及防护产品,4.1网络隔离技术,4.2网络隔离防护产品（1）网闸（2）工业隔离网关,5工业控制系统安全解决方案,5.1工业控制系统安全防护目标,(1)通讯可控能够直观的观察、监控、管理通讯电缆中流过的数据，这是首先要达到的目标。对控制网络而言仅需要保证制造商专有协议数据通过即可，对其它通讯一律禁止，创造一个私有通信网络环境。(2)区域隔离现代计算机网络最可怕的是病毒的急速扩散，它会瞬间令整个网络瘫痪。所以即使在控制网局部出现问题，也需要保持装置或工厂的安全稳定运行。通过在关键通道上部署网络隔离，为控制系统创造了一个相对独立的网络环境。(3)报警追踪能及时发现网络中存在的感染及其它问题，准确找到故障的发生点，是维护控制网络安全的前提。把网络安全问题消灭在萌芽中，同时通过对报警事件记录存储，为已发生过的安全事件提供分析依据，告别以前主观经验推断的模式。,5.2“纵深防御”策略,（1）即使在某一点发生网络安全事故，也能保证装置或工厂的正常安全稳定运行（2）工厂操作人员能够及时准确的确认故障点，并排除问题,5.2.1工业系统网络结构及安全区域的划分,5.2.2基于纵深防御策略的工业控制系统信息安全,（1）企业管理层和数采监控层之间的安全防护（2）数采监控层和控制层之间的安全防护（3）保护关键控制器（4）隔离工程师站，保护APC先控站（5）与第三方控制系统之间的安全防护,5.2.3报警管理平台报警管理平台的功能包括集成系统中所有的事件和报警信息，并对报警信息进行等级划分。提供实时画面显示、历史数据存储、报警确认、报警细目查询、历史数据查询等功能。报警管理平台还负责捕获现场所有安装有工业防火墙的通讯信道中的攻击，并详细显示攻击来自哪里、使用何种通信协议、攻击目标是谁，以总揽大局的方式为工厂网络故障的及时排查、分析提供了可靠依据。5.2.4“测试”模式系统工程师可以利用工业防火墙提供的“测试”模式功能，在真正部署防火墙之前，在真实工厂操作环境中对防火墙规则进行测试。通过分析确认每一条报警信息，实现全面的控制功能，从而确保工控需求的完整性和可靠性。,5.3工控网络安全解决方案,5.3.1安全解决方案组件加拿大ByresSecurity公司推出的Tofino工业网络安全解决方案，由Tofino安全设备模块(TofinoSecurityAppliance,TSA)、可装载安全软插件(LoadableSecurityModules,LSM)和中央管理平台(CentralManagementPlatform,CMP)三部分构成。(1)安全设备模块(TSA),图4Tofino安全模块（TSA-100）图5Tofino安全模块（TSA-220）,(2)可装载安全软插件(LSM)专为TSA设计的功能性安全软插件，通过组态软件下装至TSA，提供安全服务。包括工业通信防火墙(Firewall)、事件与报警管理(EventLogger)、OPC/ModbusTCP通信深度检查(OPC/ModbusTCPEnforcer)、资产管理(SecureAssetManagement)、VPN加密等,(3)中央管理平台(CMP)窗口化的中央管理平台系统，用于TSA的配置、组态和管理，并能进行报警的实时显示和查看。通过一个工作站进行配置、管理和监测网络上的所有TSA。使用CMP，可以快速创建整个控制网络模型。可视的拖放式编辑工具可以帮助您轻松地创建、编辑和测试TSA。通过CMP可以看到整个系统的运行状态，并用一系列措施应对网络遇到的威胁。独特的三种操作模式，可以保证在对系统无扰动的情况下在线添加。,CMP是基于实时网络安全报警的全新安全管理平台，具有实时画面显示、历史数据存储、报警确认、报警细目查询、历史数据查询等功能，可集成所有事件报警信息，并划分等级进行报警，用手机短信、电子邮件等方式实时通知相关主管人员。该平台能够准确捕获现场所有安装TSA的通讯信道中的网络攻击，并且详细显示攻击来自哪里、使用怎样的通讯协议以及攻击目标是谁，以总揽大局的方式为工厂网络故障的及时排查、分析提供了可靠依据。,（4）安全管理平台（SMP）SMPServer接收CMP或TSA的日志和报警记录，并将日志和报警存储在服务器数据库中。SMPClient安装在办公局域网上的办公电脑中，支持以图形的方式实时显示CMP或TSA收集的日志和报警记录，并且支持日志和报警的查询。,5.3.2安全解决方案实施,第一步：创建网络安全分区，确定在何处放置TOFINO安全设备TSA。第二步：确定需要哪些可装载安全功能软插件(LSMs)，以确保每个区域安全不同的要求。第三步：选择一个服务器或工作站安装TOFINO中央管理平台CMP和Tofino安全管理平台SMP，CMP和SMP也可以分别安装在不同的机器。,3安全解决方案特点,(1)工业型内置50多种专有工业通信协议。与常规防火墙不同的是，TSA不仅是在端口上的防护，更重要的是基于应用层上数据包深度检查，属于新一代工业通讯协议防火墙，为工业通讯提供独特的、工业级的专业隔离防护解决方案。具备在线修改防火墙组态功能，可以实时对组态的防火墙策略进行修改，而且不影响工厂实时通讯。无需工厂停车就可在线直接插入使用，启动时对控制网络是“透明的”，不存在安全规则配置错误，阻断有效工业通讯的风险。工业型设计，导轨式安装，低功耗无风扇，具备二区防爆认证。,(2)特有的安全连接技术TSA自身是基于非IP的独有专利安全连接技术进行管理，能够阻挡任何欺骗式攻击。TSA能够隐藏后端所有设备的IP地址，让入侵者无法发现目标，更无从谈起发动任何攻击。TSA集防火墙与虚拟路由于一身，能够像网络交通警察一样管控通讯网络数据通讯的路径、对象以及数据流的方向，可以设定数据流入、流出的单向或双向。,(3)实时网络通讯透视镜功能A.能够为目前控制系统网络故障分析、监控、记录提供一个简单、有效的可靠工具。B.能够确切的观察、分析、控制系统网络通信电缆中所使用的通讯协议、数据速度、访问对象等。C.实现对非法通信的实时报警、来源确认、历史记录，保证控制网络通讯的实时诊断。,6工业控制系统安全防护解决方案案例一（炼化企业）,某石化公司是一家特大型炼化企业，其企业网支撑着ERP、MES、OA等多种应用，基本涵盖了整个企业管理和生产控制单元。根据企业网络建设现状，结合业内工业安全的先进安全技术，制定和实施管理网和控制网整体安全解决方案有两部分。,6.1现有控制网和管理网架构体系,6.2现有架构体系下的安全隐患风险,a目前许多控制系统的工程师站/操作站(HMI)都是Windows平台b基于工控软件与杀毒软件的兼容性问题，在操作站上通常不安装杀毒软件。cOPC是基于Microsoft的分布式组件对象模式（DCOM）技术，该技术使用了远程过程调用（RPC）网络协议来实现工业网络中的以太网连接。d在实现数据采集的过程中，数据采集服务器虽然采用了双网卡技术，管理信息网与控制网通过该服务器进行了隔离，部分恶意程序不能直接攻击到控制网络，但对于能够利用Windows系统漏洞的网络蠕虫及病毒等，这种配置没有作用，病毒会在信息网和控制网之间互相传播。安装杀毒软件可以对部分病毒或攻击有所抑制，但病毒库存在滞后，所以不能从根本上进行防护。,6.3控制网安全防护解决方案,目前，该公司使用Tofino技术实施整体网络安全解决方案，现以烯烃厂为例进行说明。针对烯烃厂网络结构及具体应用要求，分别在过程控制网内部、数采网和过程控制网之间、APC控制站与过程控制网之间、DCS与数采网之间安装防火墙，并安装相应的LSM软插件，然后在数采网安装中央管理平台（CentralManagementPlatform，CMP）对TSA进行管理和组态，最后在办公局域网内安装安全管理平台，对整个网络进行实时在线监控。具体方案拓扑图如图10所示。,6.3.1DCS控制网安全防护解决方案,6.3.2工厂信息数采网与控制网之间