长输油气管道SCADA系统信息安全问题探讨

　　摘要：针对日益严峻的工控系统信息安全问题，文章结合国内典型长输油气管道SCADA系统的信息安全现状，分析了其存在的几种常见的信息安全漏洞及风险，并针对这些风险提出提高信息安全水平的实施对策。

　　关键词：输油气管道；数据采集与监视控制系统（SCADA）；信息安全；网络病毒

　　前言

　　随着西气东输二线、中缅天然气管道等重大工程相继投产运行，西气东输三线正在紧张建设，乃至规划设计中的其他油气管道等，国内油气管道行业蓬勃发展，国家能源战略稳步前行。但随着计算机和网络技术的发展，特别是信息化与工业化深度融合以及物联网的快速发展，长输油气管道SCADA系统产品越来越多的采用通用协议、通用硬件和通用软件，存在很多能为木马、病毒等威胁侵入的漏洞，长输油气管道SCADA系统信息安全问题日益突出。2010年发生的以西门子ICS/SCADA为攻击目标的Stuxnet“震网”病毒事件，充分反映出工业控制系统信息安全面临着严峻的形势，因此，作为影响国计民生的基础能源设施工程，高度重视国内输油气管道SCADA系统信息安全，增强风险意识、提高系统安全性能迫在眉睫。

　　1国内长输油气管道SCADA系统简介

　　SCADA系统即数据采集与监视控制系统，是以计算机为基础的生产过程控制与远程调度相结合的自动化系统，目前已广泛应用于油气管道领域。在长输管道的生产过程中，SCADA系统实时采集现场数据对工业现场进行自动控制，实时顺序输送控制，设备、管道沿线及站控系统运行状况监控，管道泄漏检测，管道仿真模拟及生产安全保护等多方面功能，并为生产、调度和管理提供必要的数据[1]。

　　长输油气管道SCADA系统核心设备由通信服务器、站控HMI、过程控制PLC、安全系统ESD、远程终端RTU、交换机、路由器等组成，控制方式一般分为调控中心控制、站场控制和就地控制三级。目前国内各条油气管道SCADA系统使用设备及系统种类较多，以国外知名自动化公司的产品占主导地位，常用PLC有ABControlLogix系列、施耐德quantum系列和compact、BBcontrolwave系列、HonywellSafetyManager等，上位机系统有Veiwtar、OAsys、PKS、VijeoCitect、WINCC等等，常用数据通信协议有TCP/IP、ModbusRS485/232、IEC104等。

　　2国内长输油气管道SCADA系统信息安全现状分析

　　近年来，随着信息技术的迅猛发展，油气管道SCADA系统大量的采用通用的TCP/IP技术，每条管线的各站场之间、站场与阀室之间、站场和调控中心之间都能通过广域网进行有效的数据通信，虽然目前国内管道SCADA系统网络与企业办公网络、互联网等有物理上的隔离，但仍有很多漏洞和缺陷可导致系统感染病毒及恶意攻击，SCADA系统中任何一点受到攻击都将有可能导致整个系统的瘫痪。

　　2.1信息安全漏洞分析

　　因长输油气管道SCADA系统本身设计及管理的部分缺陷，有不少信息安全漏洞及缺陷威胁着油气管道工程的安全运行，主要有六大方面。

　　2.1.1操作系统漏洞

　　目前国内输油气管道SCADA系统数据通信服务器、工程师站、站控机HMI等使用的主要操作系统有WindowsXP、Windows2000、WindowsVista、LINUX和UNIX系统等，其中使用LINUX和UNIX系统的服务器相对而言抗病毒攻击性能较强，系统运行相对稳定。但基于Windows平台的服务器或站控机为保证过程控制系统的相对独立性，同时也考虑到系统的稳定运行，通常在现场工程安装调试开车后就不会对原Windows系统安装微软公司发布的任何补丁，存在的问题是不安装补丁系统就存在被攻击的可能，从而埋下安全隐患。