信息化油气田自动控制技术

信息化油气田自动控制技术

油气田自动化系统 安全防护技术西南石油大学电气信息学院 青小渠 2015.09

信息化油气田自动控制技术

石油石化工业控 制系统网络安全

信息化油气田自动控制技术

1概述工业控制系统(ICS)包括数据采集 系统(SCADA),分布式控制系统 (DCS),程序逻辑控制(PLC)以及其 他控制系统等，目前已应用于电力、水力、 石化、医药、食品以及汽车、航天等工业 领域，成为国家关键基础设施的重要组成 部分，关系到国家的战略安全。

信息化油气田自动控制技术

法 规《国家信息安全技术指南》 《中华人民共和国计算机信息系统安全保护 条例》 国际上有《ANSI/ISA-99控制系统网络安全 指引》等法规

信息化油气田自动控制技术

2011年10月27日，工信部协[2011]451号文 件《关于加强工业控制系统信息安全管理的 通知》 强调了加强工业控制系统信息安全管理的重 要性和紧迫性，并明确了重点领域如：石油 石化、电力、钢铁、化工等行业工业控制系 统信息安全管理要求。

信息化油气田自动控制技术

1.1工业控制网络安全问题的危害

(1)系统性能下降，影响系统可用性； (2)关键控制数据被篡改或丧失； (3)失去控制； (4)严重的经济损失； (5)环境灾难； (6)人员伤亡； (7)破坏基础设施； (8)危及公众安全及国家安全。

信息化油气田自动控制技术

典型工业控制系统入侵事件

1982年的夏天，前苏联西伯利亚一条天然气输送管道发生 了大爆炸。“这场爆炸可谓是迄今为止最为壮观的非核弹爆 炸，爆炸引起的熊熊大火甚至可以从太空中观测到。苏联通 往西欧国家的输气管线大面积中断，前苏联的国内经济几乎 因此一蹶不振。美国专家评估这次爆炸等级相当于3000吨 TNT。”这是由里根时期的白宫官员托马斯.里德所著的个 人回忆录《在深渊：一个内幕人的冷战历史》解密的内容。 当时根据美国政府的计划，美国中情局在天然气管道的操作 软件上做了手脚，对那些关系到油泵、涡轮和阀门运作的软 件程序进行了特定的编程，特意安置了“定时炸弹”。这些 软件可以正常运作一段时间，但不久就会重新调整油泵的速 度和阀门的设置，产生大大超过油管接头和焊接承受的压力 ，最终破坏整个管道系统。

信息化油气田自动控制技术

2010年，以美国为首的西方国家通过网络对伊朗核设施发 动了攻击。国际核能组织观察到伊朗浓缩铀工厂在接下来的 几个月内就有两千个离心机报废。占伊朗浓缩铀工厂离心机 的四分之一。伊朗核发展因此受到严重阻碍。而致使离心机 报废的原因，就是受到了著名的“震网”病毒武器的攻击。 这种病毒首先由被感染的U盘带入伊朗，当优盘插入计算机 的时候，通过Windows系统自动播放而进入计算机。通过 盗用的合法电子签名躲过计算

机病毒软件的安全保护。然后 在计算机中寻找西门子公司的一个控制软件，并经过该控制 软件的数据库传染到局域网内其它节点。 西门子公司的这个控制软件是用来控制伺服系统的电动机、 电路开关和气体液体阀门，广泛应用于各行各业。该病毒找 到西门子控制软件以后，截获控制软件给可编程逻辑控制设 备(PLC)的指令，找出并识别应用在离心机上的软件，然后 发出虚假指令，让离心机转速不正常造成设备损坏。

信息化油气田自动控制技术

典型工业控制系统入侵事件

2007年，攻击者入侵加拿大的一个水利SCADA控制系统， 通过安装恶意软件破坏了用于取水调度的控制计算机； 2008年，攻击者入侵波兰某城市的地铁系统，通过电视遥 控器改变轨道扳道器，导致4节车厢脱轨； 2010年，“网络超级武器”Stuxnet病毒通过针对性的入侵 ICS系统，严重威胁到伊朗布什尔核电站核反应堆的安全运 营； 2011年，黑客通过入侵数据采集与监控系统SCADA,使得 美国伊利诺伊州城市供水系统的供水泵遭到破坏。

信息化油气田自动控制技术

工业控制系统网络安全防护九大误区

误区一：工业控制系统(ICS)是与外界隔离的

信息化油气田自动控制技术

实际上，基础设施领域不仅包括生产和控制系统，还包括市 场分析、财务计划等信息管理系统。生产系统与管理系统的 互联已经成为ICS的基本架构，与外界完全隔离几乎不可能 。另外，维护用的移动设备或移动电脑也会打破系统与外界 的隔离，打开网络安全风险之门。 事实证明，不管多严格的隔离措施也会有隐患发生。2003 年Davis-Besse核电站被Slammer蠕虫病毒侵入；2006年 13家Daimler-Chrysler汽车企业因感染Zotob蠕虫病毒被迫 停工；2008年有超过千万台的设备，包括所谓隔离了的设 备，受到Conficker蠕虫病毒的攻击。即使在太空也不能做 到完全隔离：2008年美国宇航局证实其国际太空站笔记本 电脑遭到病毒入侵。2010年震惊世界的伊朗震网病毒。

信息化油气田自动控制技术

误区二：没有人会袭击我们

信息化油气田自动控制技术

上个世纪，虽然有些零星事件发生，公众对ICS网络安全问 题并没有足够认识。直到2000年澳大利亚MaroochyShire 排水系统受攻击事件报道之后，人们才意识到ICS系统一旦 受袭击有可能造成严重后果。该次事件中，由于数据采集和 监控系统(SCADA)受到攻击，导致800,000升污水直接排 放到环境中。 另外，ICS系统并不是坚不可摧。2006年以来，美国计算机 应急响应小组对外公布的ICS系统安全漏洞越来越多。2009 底其数据库显示的24条SCADA相关漏洞都是已经预警的， 而且，主流黑客工具如MetasploitFramework中已经集成 有其中一些漏洞的攻击方法。 越来越多的迹象表明，ICS系统已经受到黑客、政治对手、

不满的员工或犯罪组织等各类攻击者的目标关注。

信息化油气田自动控制技术

误区三：黑客不懂我们的协议/系统，系统非 常安全

信息化油气田自动控制技术

实际上，工业环境中已广泛使用商业标准件(COTS)和IT技 术；除开某些特殊环境，大部分通讯采用的是以太网和 TCP/IP协议；ICS、监控站以及嵌入式设备的操作系统也多 以Microsoft和Linux为主。其中，Microsoft已通过智能能 源参考架构(SERA)打进电力行业，意图将微软技术安插到 未来智能电网架构的核心中。 那些特殊环境采用的内部协议其实也有公开的文档可查。典 型的电力系统通讯协议定义在IEC和IEEE标准中都可以找到 。象Modbus这些工业协议，不仅可以轻易找到详细说明， 其内容也早已被黑客圈子熟知。 另外，由于ICS设备功能简单、设计规范，只需少许计算机 知识和耐心就可以完成其逆向工程，何况大部分的工业协议 都不具备安全防护特征。甚至某些应急工具都可以自动完成 逆向工程。 即使经过加密处理的协议也可以实施逆向工程。例如， GSM手机全球系统、缴费终端及汽车点火装置的射频信号 、DVD反复制保护机制，他们都采用专门的加密技术，但最 终都被破解。

信息化油气田自动控制技术

误区四：ICS系统不需要防病毒软件或有防 病毒软件就可以了；我们的防火墙会自动提 供保护等

信息化油气田自动控制技术

认为ICS系统不需要防病毒和误区一(系统是隔离的)和误区 三(黑客不了解系统)有关。实际上，除了Window平台易受 攻击，Unix/Linux都有过病毒或跨平台病毒攻击的经历。 Proof-of-concept病毒则是专门针对SCADA和AMI系统的 。所以对ICS系统，防病毒软件不可或缺，并且需要定时更 新。 那么，有了防病毒软件是否就高枕无忧了？虽然有效管理的 防病毒措施可以抵御大部分已知的恶意软件，但对更隐蔽或 鲜为人知的病毒的防御还远远不够。而且，防病毒软件本身 也有弱点存在。从最近一次安全会议得知，在对目前使用最 多的7个防病毒软件进行防病毒能力挑战时，有6个可以在2 分钟内被攻破。 另外，虽然防火墙也是应用最广泛的安全策略之一，但其发 挥效用的前提是必须正确设置了防火墙的安全规则。即使智 能型防火墙，也需要自定义安全规则。研究表明，由于设置 规则比较复杂，目前80%的防火墙都没有正确配置，都没有 真正起到安全防护的作用。

信息化油气田自动控制技术

误区五：网络安全事件不会影响系统运行

信息化油气田自动控制技术

事实证明，ICS系统遭受攻击后不仅可能影响运行，还可能 导致严重后果。前面提到的澳大利亚MaroochyShire排水 系统受攻击事件就是一例；2003年Davis-Besse核电站因 Slammer蠕虫病毒入侵导致系统计算机停机6小时以上； 2007年美国爱达荷国家实验室一台为13.8KV

网格测试台供 电的柴油发电机因网络攻击而被毁；2008年Hatch核电厂一 工程师在数据采集服务器上测试软件更新时，在其不知情的 情况下，测试值被供应商软件同步设置到生产系统上，结果 导致反应堆自动停机事故。另外，攻击者也会想法设法接近 ICS设备，如将携有恶意软件的U盘以礼相送；或是向收集 到的目标企业工作人员邮寄地址发送电子邮件，一旦邮件内 链接被打开，恶意软件就会下载到工作站。攻击者声称，通 过这些恶意软件，他们可以全面控制工作站和SCADA系统 。

信息化油气田自动控制技术

误区六：ICS组件不需要特别的安全防护， 供应商会保证产品的安全性

信息化油气田自动控制技术

人们能够理解ICS系统核心组件(如数据库、应用软件、服务 器等)安全性的重要，但常常会忽视ICS系统外围组件(如传 感器、传动器、智能电子设备、可编程逻辑控制器、智能仪 表、远程终端设备等)的安全防护。其实这些外围设备很多 都内置有与局域网相联的网络接口，采用的也是TCP/IP协 议。这些设备运行时可能还有一些调试命令，如telnet和 FTP等，未及时屏蔽。这种情况在网络服务器上也很常见。 网络服务器一般隐含有一项特殊功能，即允许用户通过定位 某个网址重新启动远程终端设备(RTU)。 用户通常以为供应商会对他们产品的缺陷和安全性了如指掌 ，实际上供应商对他们产品的认识仅限于产品所能提供的功 能方面，而且对出现的安全问题也做不到快速响应。2008 年研究人员发现ICS特有的数据通讯协议 (WonderwareSuitlink)存在漏洞后，立即联系了供应商 Wonderware,但是Wonderware1个月后才开始回应；等 到Wonderware认识到产品缺陷，并知会Suitlink用户相关 补救措施时，已是三个月以后的事了。这件事让很多供应商 开始关注自己产品的安全性，但对大部分供应商来说，还是 任重道远。

本文来源：https://www.bwwdw.com/article/r13e.html