【博燃专稿】论燃气行业SCADA系统信息安全

　　SCADA系统(Supervisory control and Data Acquisition)，即数据采集与监视控制系统，他是以计算机、网络、自动化控制为基础的生产过程控制与调度自动化系统，广泛应用于各领域的数据采集与监视控制以及过程控制。燃气SCADA系统通过对门站、调压站、阀室、工商用户的运行设备进行监视和控制，以实现数据采集、测量、设备控制、参数调节以及各类信号报警等多种功能。

　　燃气SCADA系统主要由调度中心上位机系统、现场下位机系统、通信网络系统三部分组成，上位机系统包括SCADA系统服务器、数据库服务器、操作站等硬件和操作系统、实时数据库、组态软件、应用软件等软件，其中操作系统是所有软件的基础，实时数据库是系统信息交换的平台，组态软件是系统架构的工具，应用软件则是SCADA系统功能的具体体现。下位机通常指硬件层上的，即各种数据采集设备，如各种RTU、 DTU、PLC及智能控制设备，这些采集设备与现场的设备或仪表相结合，实时感知设备各种参数的状态，并将这些状态信号转换成数字信号，并通过特定数字通信或数字网络传递到上位机中，在必要的时候，这些智能系统也可以向设备发送控制信号。通信网络是连接上位机和下位机的桥梁，SCADA系统中的通信系统包括有线和无线网络，实现各站控系统和监测点PLC/RTU与调度中心的通信，保证SCADA系统数据交换的实时性，使其及时、准确、可靠、协调、高效率的工作。客户与服务器间以及服务器与服务器间一般有三种通信形式，请求式，订阅式与广播式，设备驱动程序与I/O设备通信一般采用请求式，大多数设备都支持这种通信方式，当然也有的设备支持主动发送方式。

　　随着计算机网络技术及通信技术的迅速发展，燃气SCADA系统已不再像以往那样，是一个相对安全的物理隔离的系统。如今很多燃气SCADA系统已与企业网络互联，变得相对开放透明，这使得燃气SCADA系统面临诸多安全问题，如恶意病毒、信息泄漏和篡改、系统宕机等。燃气SCADA 系统是燃气企业控制系统的核心，是国家能源关键设施的重要组成部分，大家也越来越多地关注燃气SCADA系统的安全性问题。

　　1.操作系统的安全漏洞问题 

　　由于考虑到工控软件与操作系统补丁兼容性的问题，系统运行后一般不会对Windows平台打补丁，导致系统带着风险运行。

　　2.杀毒软件安装及升级更新问题 

　　用于燃气SCADA系统的Windows操作系统基于工控软件与杀毒软件的兼容性的考虑，通常不安装杀毒软件，有的即使安装了杀毒软件，也不会及时升级更新病毒库，给病毒与恶意代码传染与扩散留下了空间。   

　　3.使用移动存储设备导致的病毒传播问题

　　由于在燃气SCADA系统中的管理终端一般没有对移动存储设施的使用进行有效管理，导致外设的无序使用而引发的安全事件时有发生，伊朗核电站的“震网”病毒就是通过U盘传播的。 

　　4. 设备维修时笔记本电脑的随便接入问题 

　　燃气SCADA系统的管理维护过程中，没有到达一定安全基线的笔记本电脑接入燃气SCADA系统，会对燃气SCADA系统的安全带来隐患。 

　　5. 存在燃气SCADA系统被有意或无意控制的风险问题 

      如果对燃气SCADA系统的操作行为没有监控和响应措施，燃气SCADA系统中的异常行为或人为行为会给燃气SCADA系统带来很大的风险。 

　　6. 燃气SCADA系统控制终端、服务器、网络设备故障没有及时发现而响应延迟的问题 

　　对燃气SCADA系统中基础设备的运行状态进行监控，是燃气SCADA系统稳定运行的基础，不能及时发现故障，会给燃气SCADA系统自身及企业生产运营造成威胁。  

　　7.工控系统采用通用软硬件带来的风险

　　燃气SCADA系统向工业以太网结构发展，开放性越来越强。基于TCP/IP以太网通讯的OPC技术在该领域得到广泛应用。在燃气SCADA系统中，由于信息系统集成和使用的便利性，大量使用了工业以太环网和OPC通信协议进行了燃气SCADA系统的集成;同时，也大量的使用了PC服务器和终端产品，操作系统和数据库也大量的使用了通用的系统，很容易遭到来自企业管理网或互联网的病毒、木马、黑客的攻击。

　　8. “两化融合”给燃气SCADA系统带来的风险 

　　燃气 SCADA系统最早和企业管理系统是隔离的，但近年来为了实现实时的数据采集与生产控制，满足“两化融合”的需求和管理的方便，通过逻辑隔离的方式，使燃气SCADA系统和企业管理系统可以直接进行通信，实现数据交换，导致燃气SCADA系统不再是一个独立运行的系统，而要与管理系统甚至互联网进行互通、互联，在这种情况下，燃气SCADA系统接入的范围不仅扩展到了企业网，而且也面临着来自互联网的威胁。

　　通过对燃气SCADA系统安全状况分析，我们可以看到，燃气SCADA系统采用通用平台，加大了燃气SCADA系统面临的安全风险，而“两化融合”、“互联网+”和燃气SCADA系统自身的缺陷造成的安全风险，必须从四个方面进行安全防护。 

　　1、安全技术体系

　　燃气SCADA系统安全解决方案在技术上系统性地考虑了调度中心和各站控系统之间的网络纵向互联、横向互联和数据通信等安全性问题，通过划分安全区、专用网络、专用隔离和加密认证等项技术从多个层次构筑纵深防线，抵御网络黑客和恶意代码攻击。

　　1)物理环境安全防护。

　　物理环境分为室内物理环境和室外物理环境，包括调度中心以及站控系统机房物理环境、PLC等终端设备部署环境等。根据设备部署安装位置的不同，选择相应的防护措施。室内机房物理环境安全需满足对应信息系统等级的等级保护物理安全要求，室外设备物理安全需满足国家对于防盗、电气、环境、噪音、电磁、机械结构、铭牌、防腐蚀、防火、防雷、电源等要求。

　　2)边界安全防护。

　　燃气SCADA系统边界包括横向边界、纵向边界，其中横向边界包括燃气SCADA系统不同功能模块之间，与其他系统之间的边界，纵向边界包括控制中心与站控系统之间的边界。对于横向边界通过采用不同强度的安全设备实施横向隔离保护，如专用隔离装置、硬件防火墙或具有ACL访问控制功能的交换机或路由器等设备;调度中心与站控系统之间的纵向边界采用认证、加密、访问控制等技术措施实现安全防护，如部署纵向加密认证网关，提供认证与加密服务，实现数据传输的机密性、完整性保护。

　　3)网络安全防护。

　　燃气SCADA系统的专用通道应采用独立网络设备组网，在物理层面上实现与对外服务区网络以及互联网的安全隔离;采用虚拟专网VPN技术将专用数据网分割为逻辑上相对独立的实时子网和非实时子网，采用QoS技术保证实时子网中关键业务的带宽和服务质量;同时核心路由和交换设备应采用基于高强度口令密码的分级登陆验证功能、避免使用默认路由、关闭网络边界关闭OSPF路由功能、关闭路由器的源路由功能、采用增强的SNMPv2及以上版本的网管协议、开启访问控制列表、记录设备日志、封闭空闲的网络端口等安全配置。

　　4)主机系统安全防护。

　　燃气SCADA系统应对主机操作系统、数据库管理系统、通用应用服务等进行安全配置，以解决由于系统漏洞或不安全配置所引入的安全隐患。如按照国家信息安全等级保护的要求进行主机系统的安全防护，并采用及时更新经过测试的系统最新安全补丁、及时删除无用和长久不用的账号、采用12位以上数字字符混合口令、关闭非必须的服务、设置关键配置文件的访问权限、开启系统的日志审计功能、定期检查审核日志记录等措施。

　　5)应用和数据安全防护。

　　(1)应用系统安全防护，在燃气SCADA系统开发阶段，要加强代码安全管控，系统开发要遵循相关安全要求，明确信息安全控制点，严格落实信息安全防护设计方案，根据国家信息安全等级保护要求，确定的相应的安全等级，部署身份鉴别及访问控制、数据加密等应用层安全防护措施。

　　(2)用户接口安全防护，用户远程连接应用系统需进行身份认证，需根据燃气SCADA系统等级制定相应的数据加密、访问控制、身份鉴别、数据完整性等安全措施，并采用密码技术保证通信过程中数据的完整性。

　　(3)系统数据接口安全防护，燃气SCADA系统间的数据共享交换采用两种模式，系统间直接数据接口交换或通过应用集成平台进行数据交换，处于这两种数据交换模式的系统均应制定数据接口的安全防护措施，对数据接口的安全防护分为域内数据接口安全防护和域间数据接口安全防护;域内数据接口是指数据交换发生在同一个安全域的内部，由于同一个安全域的不同应用系统之间需要通过网络共享数据，而设置的数据接口;域间数据接口是指发生在不同的安全域间，由于跨安全域的不同应用系统间需要交换数据而设置的数据接口;对于域内系统间数据接口和安全域间的系统数据接口，根据确定的等级，部署身份鉴别、数据加密、通信完整性等安全措施;在接口数据连接建立之前进行接口认证，对于跨安全域进行传输的业务数据应当采用加密措施;对于三级系统应具有在请求的情况下为数据原发者或接收者提供数据原发或接收证据的功能，可采用事件记录结合数字证书或其他技术实现。

　　2、安全管理体系

　　规范化管理是燃气SCADA系统安全的保障。以“三分技术，七分管理”为原则，建立信息安全组织保证体系，落实责任制，明确各有关部门的工作职责，实行安全责任追究制度;建立健全各种安全管理制度，保证燃气SCADA系统的安全运行;建立安全培训机制，对所有人员进行信息安全基本知识、相关法律法规、实际使用安全产品的工作原理、安装、使用、维护和故障处理等的培训，以强化安全意识，提高技术水平和管理水平。

　　3、安全服务体系

　　建立完善的安全服务体系，进行燃气SCADA系统上线前的安全测评、上线后的安全风险评估、安全整改加固以及监控应急响应，用于保护、分析对系统资源的非法访问和网络攻击，并配备必要的应急设施和资源，统一调度，形成对重大安全事件(遭到黑客、病毒攻击和其他人为破坏等)快速响应的能力。

　　4、安全基础设施

　　燃气SCADA系统安全防护的基础安全设施主要包括建立基于公钥技术的数字证书体系以及远程容灾备份体系。数字证书体系为燃气SCADA控制中心和站控系统的关键用户和设备提供数字证书服务，实现高强度的身份认证、安全的数据传输以及可靠的行为审计。远程容灾备份体系应尽量采用应用级的容灾备份，且要做好网络链路的冗余和应用的异地接管。

　　2017年6月1日起正式施行的《中华人民共和国网络安全法》第三十一条明确规定，国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。按《信息安全等级保护管理办法》，能源行业信息系统属三级等保。随着我国能源行业“两化融合”、“互联网+”进程的不断加快，燃气SCADA系统的应用日益广泛，其安全防护已纳入国家战略，建立燃气SCADA的信息安全防护体系，在燃气SCADA系统出现故障时就能够及时、准确地恢复。同时，应制定合理的远程容灾备份策略和进行定期恢复验证，一方面可以验证容灾备份数据的可用性，没有经过验证的备份风险非常大，这样就可以发现备份没有完成、或者备份错误等情况;另一方面也可以锻炼系统管理员的灾难处理能力，避免在出现故障时无从下手，从而确保燃气SCADA系统的安全、稳定和高效运行,使之更好地为国民经济高速发展和满足人民生活需要服务。