★国家石油天然气管网集团有限公司云南分公司郭娟，秦鹏，杨念峰

★昆仑数智科技有限责任公司董黎芳，邓田，徐轶

关键词：油气长输管道；SCADA系统；等级保护；网络安全防护

作为国家重要的能源基础设施和公用设施^[1]，长输油气管道承担了石油、天然气输送任务，具有易燃、易爆和高压等特点，其运行安全直接影响到我国国民经济的发展，关系到国家能源战略安全。

油气管道SCADA（数据采集与监视控制）系统不仅可以提高油气管道的生产效率，降低运行成本，而且可以减轻操作人员的工作强度，保证管道生产安全可靠地运行，因此油气管道SCADA系统作用愈发凸显。然而随着信息化和工业化的不断融合，管道SCADA系统也面临着病毒、木马以及黑客等网络威胁，一旦遭到破坏，会导致生产实时数据采集、监视控制、生产调度不能正常运行，可能造成管道系统输量剧烈波动和大范围停产、停供、设备损坏、管道破裂等，且易发生闪燃、闪爆、严重环境污染，严重的时候会导致人员伤亡，因此油气长输管道SCADA系统安全建设迫在眉睫。

1　长输油气管道SCADA系统现状

随着数字化转型的发展和推动，油气管道企业通过新建生产调控中心，采集所属站场的生产数据，实现调度日常运行、设备远程诊断与维护、综合报警等管理功能，为生产运行、设备维护管理、生产决策等提供了有效支持，快速提升了生产效率。长输油气管道SCADA系统一般可分为SCADA中控系统和SCADA站控系统^[2]：SCADA中控系统作为生产调控中心实现下辖站场、阀室的管理，其主要由SCADA数据库和工作站组成，并将相关业务传送到生产管理系统中；SCADA站控系统负责站场及阀室内工艺过程的数据采集和监控。按照工业控制系统网络层次油气管道SCADA系统可分为过程监控层、现场控制层、现场设备层^[3]，其架构如图1所示。

过程监控层：主要包括各类监控系统，涉及操作员站、工程师站、实时数据库、历史数据库、管线运行优化类和管线故障监测及告警类系统等。

现场控制层：主要包括各类控制器，如PLC、智能网关等。

现场设备层：主要包括各类过程传感设备与执行设备单元^[4]，涉及各种不同类型的管线生产设施、直接连接到管道和过程控制设备的温度和压力传感器、电控阀门执行器，以及计量装置、压缩机、电机等。

图1 长输油气管道SCADA系统架构

生产调控中心与站场的互联互通给SCADA系统带来了更多的网络安全隐患，为配合《网络安全法》的实施和落地，落实国家网络安全等级保护2.0制度，生产调控中心及站场正在积极进行网络安全建设，它们具有以下的特点：

（1）生产调控中心属于新建系统，鉴于其重要性一般按等保三级进行备案和建设，且网络安全建设具有与系统建设“同步规划、同步建设、同步使用”的特点。

（2）站场由于地域分布广，因此需要分开定级，当前大部分站场已经按照等保三级和二级等级进行了等保备案，但是没有进行过网络安全建设，缺乏必要的网络安全设施。

2　长输油气管道SCADA系统安全分析

通过对大量站场及生产调控中心进行调研分析总结，我国长输油气管网SCADA普遍存在以下安全风险：

（1）环境风险：长输油气管道站场多，地域分布广，多数中小型站场位于野外，周边自然条件恶劣，无人值守，物理安全防护难度大。

（2）资产风险：虽然油气长输管道做了一部分的国产化替换，但是SCADA系统中的PLC、RTU、SCADA等软件大部分使用国外品牌^[5]，存在安全漏洞^[6]、后门等安全隐患。同时控制系统内部操作员站、服务器、网络交换机等设备存在远程运维未做访问控制规则、账号共享、弱口令、默认共享和高危端口使用等安全问题，这些都容易成为黑客攻击的目标。

（3）工控协议风险：油气管道中心普遍通过Modbus/TCP等工控协议对站场进行监控，存在数据传输过程无接入认证、无权限控制、明文传输^[7]等问题，容易导致非法接入、数据的窃取、篡改等。

（4）网络风险：新建生产调控中心与站场互联互通，缺乏区域划分，部分站场数据传输没有明确的访问控制，且缺乏安全审计、入侵检测机制，意味着站场一旦被攻陷，任意一台主机被控制即可实现与中心及其他站场进行通信，容易导致纵向、横向渗透的风险。

（5）人员风险：运行人员、维护人员和调试人员的SCADA系统安全意识不够，在调试和维护工作中经常出现个人笔记本电脑及移动存储设备的随意接入和资料拷贝，容易将病毒带入到SCADA系统内部。

3　油气管道SCADA系统安全防护设计

3.1　总体设计

依据国家等级保护的建设规范和技术要求，结合生产调控中心和站场SCADA系统的安全需求，我们分别从安全通信网络、安全区域边界、安全计算环境以及安全管理中心4个方面进行网络安全建设，如图2所示，总体设计如下：

（1）安全通信网络方面，对SCADA系统进行分区分域、清晰网络结构、规范网络边界，为各个边界有层次地实施边界防护措施奠定基础。

（2）安全区域边界方面，对工业控制网络内部各安全域之间以及工业控制网络与非工业控制网络之间的数据访问进行控制；对工业控制网络流量进行监测审计，对工业控制网络中的网络攻击、病毒等安全事件进行检测，及时发现工业控制网络中的威胁信息。

（3）安全计算环境方面，对工业主机进行白名单防护，同时对主机、服务器、SCADA软件、网络设备等的账户、权限、口令、审计、漏洞等进行安全加固，保证系统整体安全。

（4）安全管理中心方面，加强安全设备的集中管控、重要设备的集中运维、安全事件的集中采集和分析，以便进行快速响应处置。

图2 长输油气管道SCADA系统安全防护设计

3.2　安全通信网络设计

安全的网络架构是保证计算机网络正常运行和数据安全的关键，因此油气管道站场和生产调控中心侧通过服务器、核心交换机等关键设备的硬件、网络的冗余建设，以及SCADA系统数据上传采用专网及一主一备方式，满足了“网络架构”的部分要求，但是不满足安全分区的要求。

（1）安全分区

根据系统的功能性、实时性等要求，结合实际业务需求，将具有相似安全需求的设备划分到同一安全区，并在安全区之间采取严格的访问控制、病毒查杀等技术措施，避免安全问题在不同的安全区之间泛滥。因此针对生产调控中心和站场的通信特点，将油气管道SCADA系统划分为中控SCADA系统和站控SCADA系统，结合生产调控中心的计算机控制系统、业务现状及未来发展规划，根据系统的实时性、功能、使用者、各业务系统的数据交互关系等将生产调控中心进一步划分为服务器域、调度终端域、安全防护管理域等。

（2）安全数据传输设计

网络安全建设中，存在各站SCADA网络安全数据上传到生产调控中心。为了降低其对工业控制系统网络的影响，需要构建独立的网络安全管理网络，即各站场与生产调控中心设置一条单独的网络安全数据通信信道，在物理层面上实现与工业控制系统业务网络的安全隔离。安全设备管理网络搭建时可以使用单独的网络设备与管道网络进行隔离，若存在共用网络设备的情况，则需通过交换机划分VLAN、光纤划分时隙的方式进行隔离。

3.3　安全区域边界设计

3.3.1　边界防护设计

在安全分区的基础上对安全域进行边界保护，对跨安全域的防护进行监控，阻止非合规访问流量通过边界。边界防护的策略设计如下：

（1）在中控SCADA系统与生产管理区的边界处，以及站控SCADA系统与第三方系统外联的边界处部署网闸，在SCADA网络与其他网络之间实现单向隔离以及恶意代码防护。

（2）在中控SCADA系统与站控SCADA系统的边界处分别部署工业防火墙，通过对ModbusTCP、CIP等工控协议的深度报文解析，实现细粒度的访问控制，并结合自学习的白名单及工控威胁漏洞库等识别并阻断安全威胁。

（3）对工业防火墙进行以下访问控制规则的配置：

·确认场站与中心两端的合规IP、端口、协议，启用工业防火墙五元组安全访问控制；

·开启工业防火墙的黑名单等安全防护，防护已知的攻击行为；

·基于对工控协议的深度解析，分析工控协议通信行为过程，对正常工控协议的通信行为建立模型，建立白名单防护基线，保障业务正常运行的同时阻止异常攻击行为。

3.3.2　网络监测审计设计

当SCADA系统出现安全事故后很难定位是误操作、恶意操作还是系统自身故障所导致，因此需要对通信流量进行检测、对操作行为进行审计，才能从全局上去分析安全事件所产生的原因。

（1）在中控SCADA和站控SCADA系统中分别部署网络入侵检测系统，通过实时地监视网络，结合协议分析和入侵检测引擎，及时检测和准确发现网络中存在的网络风险和攻击行为，从而快速识别安全威胁和风险，并且及时发出告警。

（2）在中控SCADA和站控SCADA系统中分别部署工业网络安全审计系统，对网络流量进行采集、分析和审计，检测和记录SCADA系统中的操作行为和异常网络行为，便于事后进行事件取证和定责。

3.4　安全计算环境设计

油气管道SCADA系统的计算环境主要包括操作员站、工程师站、服务器等工业主机，交换机、路由器等网络设备，工业防火墙、网闸等网络安全设备，SCADA软件、数据库等工业应用软件。安全的计算环境是保证SCADA系统网络安全的重要基础。

（1）工业主机安全防护及加固

一般主机主要通过杀毒软件对主机进行安全防护，而油气管道SCADA系统工业主机主要运行SCADA监控软件，通讯协议及通讯数据比较固定，对实时性要求高，且与互联网物理隔离，不适合通过病毒库升级的方式来提高安全防护能力，故适合采用白名单防护软件，通过对应用程序、移动存储介质、特定对象完整性等进行白名单防护，切断病毒和木马的传播路径。

对工业主机进行安全加固，主要包括启用账号口令复杂度配置、启用账户登录失败处理策略、启用账户审计策略、关闭与业务无关的服务端口、更新操作系统补丁、删除多余账户、关闭默认共享、关闭远程桌面等。

（2）网络设备安全加固

对交换机、路由器、防火墙等网络、安全设备进行安全加固，主要包括采用SSH进行远程管理、限制远程管理地址、启用账户口令复杂度策略、启用账户登录失败处理策略、修改默认账户、删除多余账户、启用日志审计集中采集等。

（3）工业应用安全加固对SCADA、数据库等软件进行安全加固，主要包括保证账号口令复杂度配置、修改默认账户、删除多余账户、对审计日志进行集中保存、重要敏感数据进行加密处理，并对安全漏洞进行修复。

3.5　安全管理中心设计

以上几个方面的设计，实现了单点上的边界防护、入侵检测、安全审计、主机防护等安全功能，但不能从整体上管理网络的安全问题。从企业的长远安全运维考虑，需要进行安全管理中心设计，一方面满足SCADA系统重要设备的集中安全运维，另一方面实现将分散的日志进行集中存储和分析，同时将安全设备的运行状态、安全策略、安全事件集中统一的管理起来，因此安全管理中心设计如下：

（1）通过部署堡垒机为服务器、数据库、交换机、路由器等重要设备的运维提供统一的身份认证接口、多种远程运维管理方式，对资产及其账号等进行集中管理和授权，审计并记录运维操作过程，同时也为当前重要设备无法实现双因子身份鉴别带来的风险进行补偿控制，保障远程运维的安全可控。

（2）通过部署日志审计与分析系统对站场及中心的网络设备、安全设备、工业主机的日志信息进行集中收集，以统一格式的日志形式进行集中存储和管理，结合日志统计汇总及综合分析功能，实现对网络整体安全状况的全面审计，一方面解决交换机、路由器等设备日志存放分散、数量多、格式不统一、保存周期短、易被篡改破坏等问题，另一方面对日志进行关联分析，实现安全事件溯源和告警，协助运维人员进行调查取证、闭环控制等操作。

（3）通过部署工业安全管理平台实现对站场和中心部署的工业防火墙、安全审计等安全产品的集中管理，即所有安全设备状态的集中监测、安全事件的集中收集以及安全策略的管控等功能，及时发现各类网络安全风险事件，为安全设备策略的及时调整、安全事件的及时处理提供统一的入口，从而实现SCADA系统网络安全的闭环管理。

4　总结与展望

油气长输管道站场和调控中心SCADA系统经过安全建设后，其安全防护能力得到了切实的提高，不仅拦截了主机及网络的日常攻击、非常规操作等，且经过安全事件报警及日志关联分析，安全管理人员可以快速定位威胁来源和相关联的资产和业务，并通过策略优化、基线配置等进行快速响应，实现了安全事件的闭环控制。

然而随着工控网络安全问题的日益突出，工控网络安全防护是个持久战，需要深刻理解油气长输管道的业务需求、网络架构、通信协议、数据流、资产信息等现状，需要结合当前市场发布的漏洞信息和安全事件等不断地对安全策略进行优化，并提高对安全事件的分析、定位及相应的安全运维能力。

作者简介：

郭　娟（1995-），女，云南昆明人，中级工程师，硕士，现就职于国家石油天然气管网集团有限公司云南分公司，研究方向为通信与自动化、物联网安全。

秦　鹏（1990-），男，云南大理人，中级工程师，学士，现就职于国家石油天然气管网集团有限公司云南分公司，研究方向为自动化、物联网安全。

杨念峰（1991-），男，云南大理人，中级工程师，学士，现就职于国家石油天然气管网集团有限公司云南分公司，研究方向为工控网络安全、通信与自动化。

参考文献：

[1] 刘亮. 油气管道网络安全问题与对策[J]. 软件, 2021, 42 (5).

[2] 杨斌, 仝望斐. 论SCADA系统在长输管道中的应用[J]. 山西电子技术, 2014 (6).

[3] 张晓明, 王丽宏, 何跃鹰, 等. 工业控制系统信息安全风险分析及漏洞检测[J]. 物联网学报, 2017, 1 (1).

[4] GB/T22239-2019, 信息安全技术 网络安全等级保护基本要求[S].

[5] 穆云婷, 王云龙, 等. 油气长输管道工业控制网络安全风险与应对措施[J]. 网络空间安全, 2021, 12 (Z1).

[6] 张翔宇, 路来顺. 工业控制系统网络安全分析与研究[J]. 网络空间安全, 2019, 10 (5).

[7] 闻宏强, 李富勇, 等. Modbus/TCP协议安全性分析与防护技术探讨[J]. 物联网技术, 2018, 8 (11).

摘自《自动化博览》2024年10月刊