单翔宇
摘要:SCADA系统以其精准采集数据、远程控制设备、智能调节参数、信号报警等功能优势,广泛应用于油气行业的集注站、集配站的站控系统中。通过采取操作授权、网络安全防御、加密认证等技术防护措施,最大程度避免系统和设备故障的发生,解决来自于通讯网络、区域边界、计算环境等SCADA系统中存在的安全问题,满足SCADA系统数据采集与监视控制需求,为系统科学全面的进行安全分析提供技术保障。
关键词:SCADA系统;数据安全问题;区域边界安全防护
通讯网络担负着SCADA系统传输数据的重要作用,公共通信链路数据传输缺乏机密性和完整性、通信网络安全监管与审计防护缺失等易导致通讯网络被非法入侵。油气SCADA系统网络边界和内部各层间边界、核心服务器和各类终端、漏洞扫描、运维风险防护等安全防护措施缺失或者不足,均易使计算环境和区域边界存在安全问题,进而影响SCADA系统的整体运行安全。
1.SCADA系统在油气行业应用中存在的安全问题
1.1通讯网络存在安全问题
当SCADA系统的公共通信链路缺失安全防护措施时,易导致数据信息在传输过程中出现丢失、破损等问题,不仅无法保障数据的完整性、原始性、机密性。而加密技术水平滞后,使系统无法通过通讯网络控制指令数据,同时缺失鉴别信息和监控数据保密性的控制能力。当通信网络安全监管与审计无法满足生产控制行为的异常监测要求,系统无法及时而完整的接收到工控信息网络反馈的全程录制分析信息,影响工控网络行为安全的自动化和智能化运行效果,使通讯网络存在安全问题。
1.2区域边界存在安全问题
SCADA系统网络边界防护担负着边界控制访问、完整性检测、入侵防御、安全设计等重要安全防护功能,一旦SCADA系统网络边界防护薄弱,在区域边界受到来自于网络虚拟空间的非法攻击时,会出现边界失控、系统检测不完整等安全故障问题。SCADA系统内部各层之间的安全防御一旦发生不足或者薄弱,容易出现单点受攻击后故障扩散到全网的安全风险,使系统整体的访问路径控制、入侵检测与防护、技术隔离、安全审计等能力不佳,未将全网划分为不同的安全网络层次,使区域边界存在安全问题。
1.3计算环境存在安全问题
核心服务器和各类终端一旦无防护措施,在受到非法攻击、违规操作时将无法进行有效防护。安全风险平度不足容易使SCADA系统存在安全漏洞问题,无法对工业控制系统中的设备、系统进行定期自动化的漏洞扫描,进而使漏洞扫描和风险评估不全面,已知和未知漏洞无法被全部识别,影响系统对工业环境全方位检测的准确性,使工控系统的风险评估无法发挥出科学参考作用。同时运维人员作为SCADA系统运行安全的直接操作者,一旦无审计措施,出现违规操作、失误操作等均会导致人为产生的系统安全问题。
2.SCADA系统在油气行业应用中安全问题的应对措施
2.1部署通讯网络安全装置
通过在调度中心安装终端加密装置、工控信息安全监控引擎,在门站系统安装加密认证装置,可对公共通信链路进行加密认证安全防护,使公网有线和无线链路传输的控制质量、重要数据等都能够被加密和认证保护,确保数据传输过程中的机密性、完整性、原始性,避免数据信息在传播过程中出现泄漏、破损、丢失、被恶意篡改等不安全问题,而且不影响原有网络和终端设备的正常配置,兼具安全审计功能,算法和设备安全可靠。利用工控信息安全监控引擎对SCADA系统各服务器进行安全防护,分析系统内部工控协议数据流量,以设定的阈值控制关键操作指令,并与终端加密装置进行联动防护,可有效减少恶意操作、误操作等人为因素引发的安全问题,进而解决SCADA系统存在的通讯网络不安全问题。
2.2部署区域边界安全防火墙
在区域边界中部署安全防火墙,能够有效满足SCADA系统对网络边界的防护需求,杜绝来自网络虚拟空间的非法攻击,有效解决区域边界存在的安全问题。在油气行业的生产和办公系统边界部署网闸,可实现外部网络的Web服务器与调度中心的SCADA系统各服务器的隔离,以物理隔离方式保障工程师站、操作员站、视频工作站等各业务站点系统的正常运行,彻底隔离办公应用区域与调度中心间的网络连接,防止内部信息被非法窃取,杜绝来自网络空间对SCADA系统的非法入侵。同时在调度中心与门站系统间部署工业防火墙,使工业以太网/GPRS等广域网得到边界安全防护,除物理隔离防护措施以外,利用白名单、规则匹配等安全防护方式,全面而深入的控制网络出口流量,对各工控协议进行深度检测、安全控制、高效防护,以保障区域边界的安全。
2.3部署计算环境安全防护系统
为了有效解决人为操作失误、非法入侵等安全问题,对核心服务器和各类终端采取部署安全防护系统的措施,提高计算环境安全防护效果,保障SCADA系统在油气行业应用中的运行安全。重点防护SCADA系统中的历史和实时数据库服务器,在其外围统一部署工业防火墙,深度解析各类总线协议,提高全部数据库服务器的安全防护水平。在终端安全防护系统中,安装工控漏洞扫描系统,限制非法操作通过工程师站、操作员站、视频工作站,利用白名单、规则匹配等安全防护方式,以权威漏洞库对目标工控系统进行全方位检测,智能识别系统设备信息,分析已知漏洞和深度挖掘未知漏洞,从操作系统层面限制非法入侵。在门站系统中安装仪表探针,监听、解析、处理该区域全部设备和系统的通信信息,一旦发现安全异常,仪表探针会通过信息采集、安全预警、安全态势评分等自动发出报警和提示,有利于SCADA系统尽快排除故障。部署运维人员身份管理、访问权限控制、操作审计等安全防护系统,解决操作者权限问题。
结语:SCADA系统在油气行业应用中,除了以上常见安全问题以外,管理安全也是影响系统运行安全的重要因素。需要针对统一监管需求进行安全防护,对工业集中管理平台进行总体部署,定期组织相关人员进行信息安全培训,以事前防御、事中控制、事后审计的原则进行SCADA系统运行安全管理,强化工作人员安全意识,以技术与管理并重的安全问题应对措施,全面保障SCADA系统运行安全。
參考文献:
[1]张姗姗,胡铭鉴.SCADA系统在油气行业应用中存在的安全问题及应对策略[J].科技视界,2020(24):2.
[2]左果.国内油气SCADA系统信息安全管理问题及防护措施[J].中国仪器仪表,2017(1):4.