滕卫明,蔡钧宇,尹 峰
(1.浙江浙能天然气运行有限公司,浙江 杭州 310052;2.国网浙江省电力有限公司电力科学研究院,浙江 杭州 310014)
石油燃气行业作为全球经济的发动机、电力能源的重要来源,极有可能成为网络攻击的目标。《中华人民共和国国家安全法》第二十五条特别强调了关键基础设施安全关系到国计民生。燃气高压管网对整个城市生活和能源供应的影响巨大,一旦出问题就会造成人员伤亡和重大财产损失,并且影响人民的正常生产、生活。随着互联设备的增加以及自动化运行速度的不断提速,网络安全在燃气行业受到前所未有的重视和关注。
城镇燃气输配系统一般由门站、储配站(含储气设施)、输配管网、调压设施、运行管理设施和监控系统等组成[1]。其中:数据采集与监视控制(supervisory control and data acquisition,SCADA)系统是高压管网的核心中枢,直接监控整个管网的安全运行[2]。SCADA系统是工业控制系统的一部分,对燃气管网SCADA系统信息安全的分析研究迫在眉睫。
目前,典型的燃气SCADA系统由中央主控室设备、通信信道和各个燃气管网子站共同组成。燃气管网的中央主控室设备通常包括建立在以太网连接之上的SCADA服务器、工程师站、操作员站、域服务器,以及主控室显示大屏、打印机和不间断电源(uninterruptible power supply,UPS)等外设。外设通过以太网交换机与中央主控室外部通信信道相连。
燃气管网子站则是控制网络的控制和执行部分。典型配置包括与通信信道相连接的光纤收发器和工业交换机;通过工业以太网连接的控制设备包括远程终端单元(remote terminal unit,RTU)、本地工作站和人机界面(human machine interface,HMI);与RTU通过现场总线相连的设备包括现场控制设备可编程逻辑控制器(programmable logic controller,PLC)和现场执行设备(例如工业阀门)[3-4]。
系统网络体系架构如图1所示。
图1 系统网络体系架构图
由于分布式控制微处理器的使用,SCADA系统的应用范围不断扩展。系统作用主要体现在:业务系统可利用现代自动控制系统提供的大量数据;操作人员可实现远程监控、诊断和资产管理;增强了数据综合管理能力;改善了与资产健康相关的决策制定;减少用于配置和运转的时间和工作量;使现场解决设备问题的需求降至最低;提高了整个公司范围内的合作效率。
上述功能和应用的实现依赖于一些重要的因素,如由传感器、执行装置、控制器构成的复杂网络连接能力、多源异构数据的利用能力,以及实时高效的计算能力等。
然而,要实现工业物联网的体系架构应用价值还存在大量的阻碍,如安全、互操作性和现有设备的局限性。从2010年的震网病毒到乌克兰电网的Black Energy[5]网络攻击,近年来一系列信息网络安全事件使大家对工业控制系统的网络和信息安全比以往任何时候都更加关注。
燃气管网系统的信息安全现状和面临的挑战基本反映了典型SCADA系统的普遍问题。这些问题主要包括:防止网络威胁影响运营以及导致产品、人员安全或环境破坏的故障;保护运营中的大量数据;实现对现场企业系统和智能设备的安全访问,以避免关键系统处于风险之中;保护老化、易受攻击或未打补丁的服务器;针对各种分布地理环境,提供高效保护;各种威胁的病毒变种、新的攻击途径和零日漏洞的利用;来自内部的威胁与来自外部的威胁一样具有破坏性,有时更加难以防范。面对这样的现实,需要强有力的安全防护技术来降低燃气管网中的安全威胁。
利用安全平台的方法,可减少人工干预的情况。 通过将集成元素共享安全关联性并协同工作,自动防止系统在端点、网络和数据受快速变化威胁的影响。利用防火墙技术对所有的流量包括加密流量进行分类,在不牺牲性能的前提下强制执行基于应用、用户和内容的安全策略;采用入侵防御系统(intrusion prevention system,IPS)、恶意软件防御、域名服务器(domain name server,DNS)陷阱以及对命令控制的防御等威胁阻止机制;URL过滤不断更新的钓鱼和恶意软件的站点信息及相关攻击;以行为分析检测用户行为和设备行为的可疑异常,查询源头并快速阻止;以全局保护,将网络安全的范围扩展到员工、供应商和第三方临时雇员的移动设备;以端点保护,消除传统防病毒的需求并且持续更新;借助关联威胁情报服务识别和定义重要威胁的优先级,将它们关联并查看所在行业的典型威胁;通过物理方式或虚拟形式的网络安全管理,降低管理员的工作负荷,并通过统一工作平台查看、配置、创建和发布安全策略并生成报告,提升安全态势感知能力[6]。
通过部署合适的安全体系架构,可有效控制信息安全风险。图2是美国普渡大学于1992年提出的传统普渡企业参考模型。模型主要包括:物理过程(1层)、基本控制(2层)、站点生产运营和控制(3层)、业务规划和物流(4层)、企业业务系统(enterprise resource planning系统)(5层)。在这个模型中,3.5层非军事区(demilitarized zone,DMZ)可帮助分割系统更好地进行访问控制[7]。
图2 传统普渡企业参考模型
虽然工业物联网系统与这个模型有一些差异,但是它仍然可以通过强化边界计算来保证功能的实现。所采用的安全措施既可以是传统的网络安全防护措施,也可以是利用云服务来实现内在的访问控制和通信安全。
采用自动防护保护措施分析恶意软件的攻击,利用最新的技术手段提升威胁诊断能力,减少安全团队的工作负荷。具体内容包括:在虚拟环境中对可疑内容(包括加密内容)进行动态分析,发现全网范围的全新威胁;触发新保护措施的创建,并定期将它们自动推送到平台的IPS,更新URL过滤功能。通过获取新的网络钓鱼方式、恶意软件网站、电子邮件中的恶意链接和命令等众多新的病毒,持续更新安全设备,从而阻止新型未知攻击;阻止将用户凭据发送到无法识别的网站,阻止网络钓鱼尝试窃取用户名和密码[8]。
一些燃气设施依然依赖运行老旧操作系统的硬件。新技术通过自动识别并停止尝试的漏洞来防止脆弱系统的网络攻击。通过利用新技术,还可以防止新威胁影响端点设备,使其能够采用主动预防思维而不是传统的被动保护。
燃气管网SCADA系统在网络安全方面存在的主要问题既包括非故意的设备故障或人员操作错误,又包括故意的网络攻击。威胁可能来自内部,也可能来自外部。
①网络流量异常跨域传导。由于中央中控室网络和燃气管网子站的网络是直接跨域相连的,任何网络流量的异常,都会扩散到燃气管网其他子站,从而影响现场的控制系统与现场执行设备。
②关键设施缺乏操作审计。燃气 SCADA 系统通过实现数据采集、设备控制、测量、参数调节以及各类信号报警等参与输气生产,SCADA服务器等关键设施是整个系统的数据处理核心。如果没有针对操作人员的必要行为审计,一旦出现内部人员违规或恶意操作,将使整个燃气管网面临风险。
③对外接口管理缺少规范。为快速解决现场出现的问题,设备供货商经常要求业主提供远程维护的网络接口,工程师可以远程操作并进行数据传输。如果没有规范的接入管理措施与技术手段,开放这样的远程端口很容易被人利用,并带来安全隐患。
④存在病毒攻击威胁。工业控制系统一旦投入使用,极少进行系统升级,给病毒入侵制造了机会。通常,病毒入侵的途径包括远程维护外来接入设备、本地维护外来介入设备、移动媒介(例如 U 盘)、钓鱼软件等。
⑤工控设备通用安全隐患。很多工业控制设备采用明文传输,没有加密机制,信息传输时易被侦测;工业控制协议缺乏身份验证机制,无法核实控制命令来源;软件健壮性不足,协议报文变形时出现挂起或死机;产品一旦安装,修复漏洞的固件更新相对困难,攻击者可轻易利用已知漏洞对控制设备进行攻击[9]。
了解燃气管网信息系统面临的主要问题后,在燃气SCADA系统部署安全防护设施是必然的选择。针对典型的燃气SCADA系统的网络结构,建议采取分布式的工业防火墙和工控监控平台的部署、白名单软件、运维审计平台和网络隔离这4种安全防护措施。燃气管网SCADA系统安全防护建议架构如图3所示。
3.2.1 工业防火墙+监控平台
工业防火墙+监控平台的防护模式是基本的安全加固措施,由位于中央主控室的工控安全监控平台以及分布在每个燃气管网子站的工业防火墙共同完成。工控安全监控平台和分布在现场的工业防火墙协同工作。工业防火墙系统在传统防火墙的功能基础上,提供了多种工控协议的深度解析,并通过分布式部署和人工智能分析方法确保发生事件的网络节点可以被迅速地检测到;同时,其他网络节点在第一时间会收到预警,实现全网联动。而工控安全监控平台通过工业防火墙完成实时部署安全策略、监控工业防火墙的工作状态,以及实时获取工控网络安全事件的日志和报警的任务。
3.2.2 白名单技术
为燃气SCADA系统定制的第二重安全防护加固措施是白名单技术。白名单技术是指创建预先批准或受信任的应用及进程列表,仅允许这些“已知良好”的应用和进程运行,并默认阻止其他一切应用和进程。由于工业环境运行的应用数量相对有限,易于枚举,因此白名单能够比黑名单更好地解决工业环境的安全问题。白名单技术减缓了多种潜在威胁的影响(包括恶意软件和其他未得到授权的软件)。因此,它可代替杀毒软件,进行病毒防护、阻止恶意软件攻击、禁止非授权程序运行等。同时,白名单技术解决了“零日”漏洞攻击和性能问题。
3.2.3 运维审计平台
运维审计平台是目前信息化程度和信息安全需求较高的行业普遍使用的安全防护技术平台。在燃气SCADA系统中,网络规模较大,中央主控室和燃气管网子站中存在多个操作员站和工程师工作站。这些工作站的用户管理和访问授权的管理方式使帐号和口令的安全性受到了极大影响,造成业务管理和安全之间的失衡。因此,原有的帐号口令管理措施不能满足安全防护的要求。
工控运维审计平台,也称堡垒机,部署在燃气管网中央主控室。为了保障网络和数据不受来自外部和内部用户的入侵和破坏,而运用各种技术手段实时收集和监控网络环境中每一个组成部分的系统状态、安全事件、网络活动,以便集中报警、记录、分析、处理[10]。
3.2.4 网络隔离
当实施安全的体系架构时,一个重要的特点就是将网络正确划分,实现所谓基于普渡模型的分区。分区后,除了应用防火墙之外,网络隔离也是重要的防护手段。网络隔离着力解决网络流量异常的安全隐患,以及病毒和木马的入侵,并且提供中央主控室和燃气管网子站间物理隔离而逻辑相通的安全数据交换通道。
当燃气SCADA系统部署了工控网络隔离设备之后,通过网络物理隔离、双重操作系统、高强度的加密算法就可以保障数据的安全传输;同时也将中控室中所有突发的网络流量封闭在中央中控室网络之内,使其不会对管网子站的工控部件和现场设备造成影响。网络隔离设备上客户端的IP白名单可以有效地避免来自外部网络的攻击,杜绝病毒木马的感染,隐藏并保护燃气管网子站网络内部的计算机[11]。
3.3.1 安全防护平台化技术
燃气公司为了能够与供应商、合作伙伴和服务提供商有效沟通,正在不断采用数字解决方案和物联网(Internet of things,IoT)技术来提高产品服务质量和系统正常运行时间,优化资产使用,降低风险和成本,并允许快速响应实时生产信息。平台化的安全防护方案可帮助燃气管网网络在不影响安全或运营的情况下,保持效率并利用创新的、节省成本的技术(如云、物联网),提供实时可见性和内聚安全性,从而降低网络风险。
3.3.2 云环境下的虚拟防火墙技术
在虚拟化和云环境下,入侵流量并不会路由到外面的物理设备,而是在物理机内部的虚拟机之间完成传输。因此,需要一种新的防护方案来满足虚拟机和云计算环境下新的安全防护要求。虚拟防火墙(virtual firewall,VFW)应运而生。VFW是完全在虚拟化环境中运行的网络防火墙服务或设备,复制了物理网络防火墙的功能,可以对通过物理网络的流量使用安全策略,进行数据包过滤和监控[12]。
3.3.3 基于人工智能的安全分析技术
新的风险模式需要持续分析漏洞和风险管理,以现有采集到的病毒数据和威胁知识作为训练数据集,应用机器学习方法训练漏洞分析模型。一旦机器与检测新攻击、发现新漏洞的能力相结合,安全防护系统将能以更高效的方式抵御威胁。
系统在某城市燃气公司中央控制室及子站进行了部署。通过在该燃气公司SCADA系统网络不同网段之间建立安全控制点,允许、拒绝或重新定向经过的数据流等方式,实现对不同网段之间的网络通信和访问进行审计及控制。同时,系统通过实时获取工业控制网络内安全事件日志和报警,监控工控现场防火墙的工作状态。系统应用结果显示,管网监控系统的整体信息安全防护能力有所提升,信息数据有效降低了安全风险。
燃气管网的安全防护与燃气管网的技术发展密切相关,目前对燃气管网的安全防护是基于当前的系统中存在的安全隐患所采取的应对措施,既体现了SCADA工业控制系统的普遍性,又是目前切合实际的安全问题解决方案。工业物联网技术和云技术将继续推动安全防护体系的不断升级和完善。