长输成品油管网工业控制系统网络安全

摘要：通过分析成品油管网工业控制系统攻击的真实案例，重点介绍成品油管网工业控制系统现状和存在的安全隐患，提出改进措施；展示工业控制系统网络安全可能受到的威胁和攻击途径，说明工控系统网络安全的脆弱性和加强防护的重要性。概括介绍了当今世界计算机网络安全总体形势，以及对工业控制系统安全整体性的介绍。引起人们对成品油管网工业控制系统网络安全的重视，并对可能的安全威胁有初步了解，做到知己知彼、防患于未然，保障成品油管网工业控制系统安全、稳定运行。

关键词：成品油管道；工业控制系统；网络安全

1成品油管网工控网络安全实例

中石化华北管网控制系统曾发生工控网络受攻击的案例，技术人员对攻击过程、后果，攻击手段进行分析，从加强制度管理，弥补技术漏洞等方面入手，提高管道控制网络的防范能力。

1.1工控网络故障现象及过程

华北成品油管网调控中心SCADA控制系统自投入使用，一直稳定运行，2012年7月，调度管理几千公里、几十个成品油管网输油站场运行的中心SCADA服务器突然出现故障，控制中心所有操作员站从SCADA系统中退出，无法连接到服务器，将控制权限切换到站场控制，才未造成更大的影响。第二年7月，服务器再次出现同样故障，故障持续时间更长，解决过程更为复杂。经技术人员分析确认系统故障的直接原因是受到病毒软件攻击，深入调查发现是自控厂家个别技术人员内外勾结，恶意植入病毒，破坏控制系统以谋取经济利益，最终相关涉案人员被绳之于法，病毒被清理，自控系统恢复正常运行。调查发现，案犯以厂家技术人员的身份做掩护，利用对自控系统技术细节的了解，编制专门针对系统服务器的病毒文件植入工作站电脑。该病毒利用SUN公司服务器Solaris操作系统漏洞，获取服务器的root用户权限，将病毒文件从工作站自动拷贝到服务器上，并修改部分系统配置信息。病毒通过替换了服务器上一个不常用的系统服务进程，利用该进程不定时对SCADA系统核心进程进行干扰，导致调度工作站访问SCADA系统服务失败。

1.2工控网络安全事件特点

一是利用病毒原理传播攻击程序，需要对全网进行查杀，否则漏网之鱼会再次感染服务器；二是利用系统漏洞获取系统最高权限，即便重新安装服务器或修改root用户密码，都徒劳无用；三是利用身份掩护，从系统内部发起攻击。该管道的自控系统与外网并无直接联系，很难从外部网络发起攻击，而此次攻击恰恰是从系统最薄弱的内部开始攻击的。

1.3采取的安全措施和改进计划

1.3.1加强制度管理

（1）厂家技术人员进行系统调试时，要填写详细的调试内容，并在规定的时间由企业技术人员陪同进行操作。厂家技术人员只能在指定的工作站上操作，并且工作站所在房间有摄像头24小时监控。（2）对于站控操作员站，锁定系统操作界面，加强软硬件密码管理。强化对站场调度人员的培训教育，严禁在调度工作站连接个人USB存储设备和通过USB口给手机充电等与工作无关的行为，让操作人员了解错误做法的危害性及所承担的后果；加强对外来人员的登记管理，防止在安装调试及维修对系统造成的危害。

1.3.2完善技术薄弱环节

（1）在调控中心增加一套备用应急SCADA系统，保证在主用系统发生故障无法及时恢复时，能满足调控中心基本的监视控制功能。服务器安装相应的补丁，这样就使得攻击程序在服务器端无法运行。

（2）在调控中心和输油站场各局域网之间加装工业防火墙。在调控中心安装了工控防火墙和工控网络异常感知系统。工控防火墙在实际运行过程中，对网络中的OPC协议、DNP3.0协议、MODBUS协议进行了实时的协议解析，为使用上述协议通信的网络资产进行了有效的安全防护。同时该系统对网络中的工程师站、操作员站、服务器、PLC等资产设备进行了有效识别，对全网资产行为进行了实时监控，提高了SCADA业务网络的可靠性与运行效率。该系统还能出具详尽的网络异常行为报告，也为判断网络故障、制定安全防护策略提供了重要依据。

（3）在控制中心调度大厅、服务器机房、输油站场的操作室和PLC机柜间等都设有监控探头，做到360度无死角实时监控，将视频数据集中保存，以便日后调阅。

2网络安全及工业控制系统安全

2.1网络安全现状

全球已有近60个国家网络安全战略。据微软公司2016年度安全情报报告(SIR)，中国的电脑用户有21.1%至少遭到过一次网络恶意软件攻击，通过微软自带的恶意软件扫描工具，每千台次电脑扫描有5.3台查出过恶意软件。通过这些数据可以看出加强网络安全的急迫性和重要性。网络安全受到的威胁既有社会工程攻击、内部攻击等人的行为，也有因技术缺陷导致的软件安全防护失效被利用的情况。著名的OWASP网站每年都会全球面临的几大网络应用隐患，主要为：不安全的身份验证、敏感信息泄露、访问控制失效、错误的安全配置、跨站脚本漏洞、不安全的反序列化、使用易受攻击的程序组件、登录和监控不足等。

2.2工业控制系统安全

广义上讲，工业控制系统安全可分成三个方面：功能安全、物理安全和信息安全。

（1）功能安全是为达到设备和工厂安全功能，受保护的和控制设备的安全相关部分必须正确执行其功能，而且当失效或故障发生时，设备或系统必须仍能保持安全条件或进入到安全状态。例如长输成品油管道主输泵的出口压力超高，PLC系统会根据接受到的泵出口压力传感器信号发出报警，达到一定数值后还会发出联锁停泵命令以保护设备。即使PLC设备故障不能发出停泵命令，现场的压力开关仍将信号直接送到电气系统，切断主输泵的电源来保证安全。

（2）物理安全是减少由于电击、火灾、辐射、机械危险、化学危险等因素造成的危害。例如控制系统机房里安装有烟感、温感等火灾报警设备，并配有气体灭火系统来保障控制系统设备的安全。

（3）信息安全主要防止非法或不必要的渗透和干扰对工业控制系统正确、预期的操作造成影响。工业控制系统的信息安全问题主要源自外部威胁和自身漏洞。其中工业控制系统的信息安全问题造成的危害并不像生产安全直接对人的健康、自然环境带来风险和破坏，而是通过对生产过程中关键信息和指标的篡改、误发等造成的系统的不正常，进而产生直接的危害。例如，伊朗核设施的“震网”病毒破坏事件，破坏者通过入侵控制计算机，利用控制计算机对离心机发出的调速指令，在离心机已经超出安全运行速度时，控制计算机仍显示一切正常，导致离心机因为长时间超速运转未被发现而烧坏。一般企业对前两个方面比较重视，能采取良好的应对措施；而在信息安全方面虽也采取一定措施，如物理隔离、权限控制等手段，但很难全面仍然存在漏洞，就可能被人利用产生危害。

3结语

随着各种智能设备的广泛使用、新技术的应用和网络应用的快速发展，工业控制网络在给生产带来效率极大提升的同时，面对的各种风险也逐渐增多。在成品油管道案例中，本以为与外界隔离的系统网络应当是非常安全可靠的，事实上仍有很多系统和管理上的漏洞可能被利用，从而对整个自控系统造成严重的影响。因此，如何更好地利用网络的优势服务与生产，避免和减少网络不足给生产带来的影响，需要从管理制度、技术措施、软硬件设备和人员素质等多方面进行加强，重视工业控制系统的网络安全，使工业控制网络为我所用，物尽其用。

参考文献：

[1]2016年中国经济周刊第16期《代码战争：全球工业网络安全新战场大揭秘》.

[2]www.microsoft.com/en-us/security/intelligence-report.

[3]www.owasp.org《Top10for2017ReleaseCandidate》.

作者:刘文超 单位:中国石化销售有限公司华北分公司