刘 锐，薛金良，包贤晨，王永军，郑承洧

(1. 中油国际管道公司，北京100029 ；2. 浙江国利网安科技有限公司，浙江 宁波315000)

0 引言

近年来，全球工业信息安全总体风险处于持续攀升的高危状态，工业控制系统(以下简称工控系统) 相关高危漏洞不断出现，重大工业信息安全事件频繁发生[1]。截止至2020年12月31日，2020年新增工控系统行业漏洞589个，其中高危239个，中危307个，低危43个，较2019年数量显著增多[2]。2021年5月美国Colonial Pipeline 公司遭受名为Dark Side 的网络犯罪团伙攻击，该攻击行为被称为美国能源基础设施有史以来最具破坏性的网络攻击，造成了美国东海岸45% 的燃油供应暂停，美国东部多州宣布进入紧急状态[3]。

信息化和工业化的深度融合，使传统的工控系统逐步由单机走向互联、由封闭走向开放。传统的工业控制系统与IT 系统，甚至与互联网连接越来越紧密，导致工控系统面临的安全威胁不断增多[4]。为保障工业信息化健康、快速发展，确保工业生产业务安全高效运行，加强工控系统防护能力成为重中之重[5]。

由于过去油气管道工控系统设计建设时，工控系统安全态势尚不严峻，因此并未充分考虑工控系统安全相关需求。现今，为保障油气管道系统安全，对系统展开风险分析，采取有力措施减少工控系统中可能存在的安全隐患，确保工控系统能够安全、稳定运行[6]成为当务之急。

1 油气管道SCADA 系统现状

油气管道作为保障国家能源供给的重要基础设施，其SCADA 系统安全是油气管道业务正常运营的先决条件。本文参考国内某油气管道SCADA 系统进行分析。

油气管道SCADA 系统通信线路拓扑示意图如图1 所示，其网络通信线路分为光纤通信链路和卫星通信链路。油气管道SCADA 系统通常以光纤链路作为主链路，通过SDH 光传输设备进行管理，各场站必须通过在调控中心的路由策略才能实现相互间的通信，各阀室会将数据同步发送给所属场站和调控中心。当光纤链路出现故障时，阀室会将数据传输至上下游其他场站，使用场站的VAST 卫星链路与调控中心进行数据交互。

图1 油气管道SCADA 系统通信线路拓扑示意图

通过对油气管道SCADA 系统通信线路拓扑的分析，可以发现阀室无论使用光纤链路或是卫星链路进行数据交互时，最终都需要经过调控中心或场站的核心交换机。因此，针对阀室的防护和检测能力，可以由所属场站和调控中心来提供。由于阀室网络结构简单、数据流向明确、控制功能单一，因此在本文中不对其进行单独分析。

下文针对调控中心及场站的工控信息安全进行风险分析。

2 油气管道SCADA 系统风险分析

2.1 工控系统风险分析模型

本文参考《 信息安全技术 工业控制系统风险评估实施指南》(GB/T 36466-2018) 所确定的风险评估标准构建风险分析模型，将资产、威胁、脆弱性作为三个基本要素并与每个要素的相关属性进行关联，围绕这些基本要素展开，从而建立各要素之间的相互作用机制关系模型。以下针对要素及属性进行分析，建立风险分析模型。

三个基础要素中，资产作为风险分析目标对象，是风险分析模型中的出发点。通过对工控系统资产进行整理分析，找到其面临的威胁源；再结合资产本身存在的接入方式和工控系统中存在的脆弱性，从而统筹分析出资产可能面临的安全问题，归纳出工控系统所面临的工控安全防线[7]。风险分析模型示意图如图2 所示。本文将通过风险分析模型中三个基本要素： 资产、威胁源、脆弱性，逐个对油气管道SCADA 系统展开风险分析，找到可能存在的安全风险。

图2 风险分析模型示意图

2.2 工控系统资产分析

资产的价值属性是其风险存在的根源[8]，资产分析是风险分析的出发点和落脚点。本文对油气管道SCADA 系统中的调控中心及场站中存在的资产进行分析，为后续威胁源识别与脆弱性利用提供依据。

2.2.1 调控中心资产分析

某油气管道区域调控中心网络拓扑示意图如图3 所示，通过对油气管道拓扑分析可以发现，调控中心各场站、阀室通过SDH 设备的光纤链路和VAST设备的卫星链路与调控中心进行通信；在工控网络边界方面，调控中心与OPC 服务器通过防火墙进行逻辑隔离；OPC 服务器与管理信息系统进行通信；调控中心与Web 发布服务器通过防火墙进行逻辑隔离，并将工控数据传输至Web 发布服务器，使得场站办公网可以访问并获得工控网络信息；调控中心与VPN 设备通过防火墙进行逻辑隔离，该VPN 用于远程访问分调控中心服务器和工作站。

图3 调控中心网络拓扑示意图

在对调控中心网络进行分析的过程中，可知SCADA 系统的ACL 策略配置只允许分调控中心和场站通信，场站相互之间不能直接通信。各RTU 阀室数据必须经由场站交换机跳转才能送至调控中心。在接入方式方面，存在远程诊断系统、VPN 等额外链路，设备厂家工程师可以从工控网络外直接对天然气管道的压缩机组进行参数修改或操控。而在安全防护方面，由于部署的防火墙为传统防火墙，因此通常不具备工控协议深度解析能力和工业环境适应能力，无法为工控系统提供全面的防护。

2.2.2 场站资产分析

场站工控系统拓扑如图4 所示。由拓扑可知，场站与调控中心以随管道铺设的自有光纤作为主通信链路，租用卫星网络为备通信链路，同时在核心交换机处存在通向上下游RTU 阀室的链路和GPS 校时信号的链路。天然气管道的压缩机组独立组网，通过交换机接入场站工控网络；发电机组、第三方设备通过协议转换器接入场站工控网络。ACL策略配置只允许调控中心和场站进行通信，场站相互之间不能直接通信，各RTU 阀室数据必须经由场站交换机跳转才能送至调控中心。压缩机组网络存在远程诊断系统、VPN 等额外链路，设备厂家工程师可以从工控网络外直接对压缩机组控制系统进行维护、优化。

图4 场站工控系统拓扑示意图

2.3 威胁源分析

威胁是指可能造成工控系统危害的潜在起因。威胁源作为产生威胁的主体，不同的威胁源具有不同的攻击能力。在进行威胁调查时，首先应识别存在哪些威胁源，同时分析这些威胁源的动机和能力[9]。威胁源对威胁客体造成的破坏，有时候并不是直接的，而是通过中间若干媒介的传递，形成一条威胁路径。本文通过对威胁源的动机、能力等方面的分析，将油气管道SCADA 系统所面临威胁源大致分为三大类： 恶意员工、有组织攻击者以及外国政府支持的黑客组织[10]。由于场站与调控中心在威胁源方面相似，因此针对威胁源方面进行统一分析。

(1) 从恶意员工角度分析，由于公司内部可能存在抱有恶意目的的员工，可能会对SCADA 系统进行信息窃取或实施破坏。恶意员工具有的知识和技能一般非常有限，攻击能力较弱，但可能掌握关于SCADA系统的大量信息，并具有一定的权限，而且比外部的攻击者有更多的攻击机会，攻击的成功率高。例如恶意员工可以直接进入场站或调控中心，并利用自身权限操作SCADA 软件，从而可以对工业控制设备进行操作，当恶意员工采取恶意操作时，则会造成生产流程的停止，乃至于SCADA 系统的破坏。

(2) 从有组织攻击者角度分析，油气管道SCADA系统主要面临来自民间黑客组织及恐怖组织的威胁。首先，由于SCADA 系统存在大量重要信息，信息价值高，因此吸引了大量潜在的民间黑客组织，这些民间黑客组织主要以BlackShadow 、DarkSider 和Silence Hacking Crew 等这一类以勒索或窃取机密信息并售卖的黑客组织为主。其具有一定的资金、人力和技术资源，可以实施网络犯罪，且对犯罪有精密计划和准备。

其次，从地理位置上可以发现，部分油气管道位于恐怖组织的活动范围内，这些恐怖组织为了获得资源或者博得大国的支持，可能会对SCADA 系统进行长时间的攻击。

(3) 从外国政府支持的黑客组织角度出发，基于我国当前国际政治环境以及油气管道在我国基础设施中的重要地位，油气管道SCADA 系统很可能会受到外国政府支持的黑客组织的攻击。该类威胁源不仅组织严密，具有充足资金、人力和技术资源，而且目的性强，破坏欲望高。

2.4 脆弱性分析

2.4.1 接入方式

工控系统存在的接入方式是脆弱性利用的初始条件，也是攻击者非法访问的切入点。通过对威胁源接入方式的分析，得出风险分析报告，从而为安全防范措施部署提供依据，进而提高工控系统的安全防护能力。针对油气管道的威胁接入方式分类如表1 所示。

表1 接入方式分类表

2.4.2 脆弱性介绍

脆弱性是指资产能被威胁利用的弱点。狭义的脆弱性有时等同于“ 弱点” 和“ 漏洞” 等。由于资源受限、环境封闭及高可用性要求等原因[11]，工控系统设计之初缺乏对安全的充分考虑，这注定了工控系统的脆弱性无法避免[12]。同时，由于无法得知工控系统变化是否会对工业生产产生影响，企业往往不敢对工控系统进行安全防护、漏洞修复、版本更新等操作。这也就导致了工控系统存在大量漏洞，工控安全防护能力低，存在极大安全隐患。

针对油气管道SCADA 系统技术层面脆弱性分析如表2 所示。

表2 脆弱性分类表

2.4.3 脆弱性利用途径及影响

在对场站及调控中心的网络拓扑分析中，从威胁源的接入方式角度分析，可以发现几条脆弱性利用途径，分析如下。

2.4.3.1 调控中心脆弱性利用途径及影响

根据调控中心拓扑结构，脆弱性利用途径如图5所示。

图5 调控中心攻击路径示意图

(1) 威胁源可通过1 号线以物理接触接入的方式抵达工作站，直接操作工控软件，获得该工作站的相应工控操作权限，实现对现场设备的启停等操作；

(2) 威胁源可通过2 号线以网络跳板接入的方式从调控中心内部网络向工作站发起访问，利用其脆弱性获得工作站远程操控权限，进而将工作站的屏幕界面导出给攻击者，此时攻击者将获得该工作站的相应工控操作权限；

(3) 威胁源可通过3 号线以远程网络接入方式或物理相邻接入的方式从调控中心外界网络向工作站发起访问，利用其脆弱性获得工作站远程操控权限，进而将工作站的屏幕界面导出给攻击者，此时攻击者将获得该工作站的相应工控操作权限。

2.4.3.2 场站脆弱性利用途径及影响

根据场站网络拓扑结构，脆弱性利用途径如图6所示。

图6 油气管道SCADA 系统场站攻击路径示意图

(1) 威胁源可通过1 号线以物理接触接入的方式抵达工作站，直接操作工控软件，获得该工作站的相应工控操作权限，实现对现场设备的启停等操作。

(2) 威胁源可通过2 号线以网络跳板接入的方式从场站内部网络向工作站发起访问，利用其脆弱性获得工作站远程操控权限，进而将工作站的屏幕界面导出给攻击者，此时攻击者将获得该工作站的相应工控操作权限；威胁源向PLC 发起访问时，利用工控协议脆弱性，向PLC 发送符合协议规约要求格式的指令即可达到控制PLC 的目的。

(3) 威胁源可通过3 号线以远程网络接入或物理相邻接入的方式从场站外界网络向工作站发起访问，利用其脆弱性获得工作站远程操控权限，进而将工作站的屏幕界面导出给攻击者，此时攻击者将获得该工作站的相应工控操作权限；威胁源向PLC 发起访问时，利用工控协议脆弱性，向PLC 发送符合协议规约要求格式的指令即可达到控制PLC 的目的。

3 结论

本文通过构建风险分析模型的方式，对某国际油气管道SCADA 系统进行风险分析，可发现系统存在如下风险：

(1) 边界安全风险

调控中心和场站部署边界防护设备不具备工控协议深度解析功能，无法提供全面的工控安全防护能力，一旦被威胁源侵入，无法将威胁限制在有限范围内，导致威胁扩散。

(2) 网络安全风险

工控系统缺乏OT 网络行为审计手段，无法及时发现非法的工控操作行为，对非法接入、异常通信、非法外联等网络事件也无法及时告警，当安全事件发生后无法进行审计和分析操作。

同时，由于设备厂家工程师可以通过远程诊断系统、VPN 等直接访问压缩机组网络，进行远程巡检、调整参数等操作，一旦远程电脑被成功钓鱼攻击，威胁源将可以直接访问压缩机组网络，继而引发威胁。

(3) 软件安全风险

工控软件和数据库软件等存在安全漏洞，难以进行补丁更新或系统升级，攻击者可利用相关漏洞进行拒绝服务、渗透入侵、勒索软件等攻击，被攻击目标存在被迫终止服务、窃取信息、植入后门或对控制设备进行恶意操控的风险。

(4) 硬件安全风险

工业控制设备存在安全漏洞且处于无防护状态，存在关键信息被窃取、被恶意操控、被重放或篡改数据的风险。

通过对系统的风险分析，可以发现其中存在的脆弱性攻击路径，解释了可能存在的安全问题的形成原因。本文对SCADA 系统安全情况进行总结归纳，以分析报告的方式为管理人员提供改进意见，从而督促管理人员重点针对发现的安全风险进行修复改善。只有从安全风险分析结果入手，并结合项目实际生产运行，才能更好地对SCADA 系统工控安全架构进行整体规划和部署，做出准确的判断及决策，持续加固完善工控安全防护体系，切实保障油气管道SCADA 系统正常运行。