技术分享|燃气行业管网SCADA系统工控安全解决方案

机电工控人生

一、城市燃气管网SCADA系统

城市燃气广泛应用于居民生活、工商业、发电、交通运输、分布式能源等多个领域，是城市发展不可或缺的重要能源。同时，城市燃气的输配系统是城市基础设施建设的重要组成部分，是城市现代化的重要标志之一。近年来，随着长输管线、省级管线以及城市管道的大量建设，管道燃气已经成为城市燃气消费中最重要的运输和消费形式。



城市燃气系统

目前，随着现代计算机技术和自动化技术在管道燃气行业的广泛应用，城市燃气企业建立起了相应的城市燃气管网SCADA系统，实现对燃气传输管线、燃气输气场站、燃气储备站的远程管理、集中控制、数据自动实时采集、事故报警、参数调整、气量调节等管理功能，降低了管理成本和生产风险，节省了人力资源。大多数的城市燃气企业采用SCADA系统，集合PLC和RTU等控制设备，操作人员在调度控制中心通过SCADA系统可完成对燃气输配系统的监控和运行管理。

门站

门站是城镇燃气输配系统的重要设施，是输配气系统的起点和总枢纽。其作用是接受长输管道（或气源厂）来气，并根据需要进行除尘、调压、计量、加臭、质量检测后，送入城镇燃气输配管网分配给各级用户或直接送大用户。门站系统主要包括净化系统、调压系统、计量系统、加臭系统、质量检测、和站控系统。燃气在管道内长距离输送后，其主要杂质为腐蚀产物和铁屑粉末，为了保证设备和仪表的正常工作并保护其不被损坏，必须除去固体杂质，净化系统的旋风分离器是该系统的核心设备，其主要功能为尽可能除去输送介质气体中携带的固体颗粒杂质和液滴，达到气固液分离，以保证管道及设备的正常运行。



门站图

调压站

调压站在城市燃气管网系统中是用来调节和稳定管网压力的设施。通常是由入口紧急切断阀（ESD阀）、超声波流量计、粗过滤器（旋风分离器）、精过滤器（凝聚式过滤器）、增压机、电加热器和集污筒组成。其中ESD保护系统是调压站重要的安全保护系统，其作用是实现与上游管道的电绝缘、火灾、严重泄漏等紧急事故时的紧急切断，关断时间<3秒，执行机构有气动型，和气液联动型，一般配置绝缘接头以实现调压站和上游管线的电绝缘。



调压站图

阀室

阀室大多分布在一些野外、山里或者戈壁无人区等区域，主要是用于管道的分节管控。阀室的核心器件为关断阀。当管道发生泄露时，阀室控制系统会关掉泄露节段两端的阀门，减少漏油漏气量。在维修管道时，阀室控制系统会关闭两个阀室的阀门，阀门关闭后进行分段维修。阀室还有一些监控设备，比如压力表，通讯设备等，该监控设备主要作用为监控管道的运行状态。



阀室图

随着科技水平的飞速发展，城市燃气管网SCADA系统的自动化技术也在不断提高，它在保护环境、减轻污染、方便生活、促进和繁荣经济等方面发挥着重大作用。然而任何科学技术都是一把双刃剑，均具有利弊二重性。门站系统中使用的可编程控逻辑控制器存在大量安全漏洞，如绕过权限修改内部寄存器值的漏洞，此漏洞被利用后，可导致门站系统中的旋风分离器停止工作，管路中聚集大量固体颗粒杂质和液滴，导致管路腐蚀泄漏，由于城镇燃气具有易燃、易爆和有毒等特点，一旦供气用燃气设施发生泄漏，极易发生火灾、爆炸及中毒事故，使国家和人民生命财产遭受损失。全社会对燃气安全缺乏足够的认识，燃气事故不断上升，仅北京每年发生燃气事故2000到3000起，通过对4个城市的燃气企业和对23个液化石油气站的调研发现，我国城镇燃气的安全现状令人担忧。

二、城市燃气管网SCADA系统的风险

根据2017年对燃气行业的调研，尤其是生产企业工业控制系统网络安全的调研统计，几乎90%的企业对工控网络安全没有完整的认识和防护意识。目前城市燃气管网SCADA系统主要存在以下工控安全问题。

1、通信协议漏洞

自动化和信息化的高度融合和物联网的发展使得ModBus协议、ProfiBus协议、OPC协议等工业协议越来越广泛地应用在工业控制网络中，协议的公开性导致极易遭受攻击，而传统IT防火墙无法发现和防范出现的安全问题。

2、工业设备漏洞

国内城市燃气管网SCADA系统大量采用西门子、霍尼韦尔等产品，但由于该系列产品存在漏洞，可利用漏洞进行脚本攻击改变操作指令，进而影响生产正常进行。

3、操作系统漏洞

城市燃气管网SCADA系统的工程师站/操作站/HMI都是Windows平台的，为保证过程控制系统的相对独立性，同时考虑到系统的稳定运行，通常现场工程师站/操作站/HMI在系统运行后不会对Windows平台安装任何补丁，存在很大的安全隐患。

4、安全策略和管理流程漏洞

追求可用性而牺牲安全，是很多工业控制系统存在的普遍现象，缺乏完整有效的安全策略与管理流程也给工业控制系统信息安全带来了一定的威胁。例如工业控制系统中移动存储介质的使用和不严格的访问控制策略，包括笔记本电脑、U盘等设备。

5、杀毒软件漏洞

为了保证工控应用软件的可用性，许多工控系统操作站通常不会安装杀毒软件。即使安装了杀毒软件，在使用过程中也有很大的局限性，原因在于使用杀毒软件很关键的一点是，其病毒库需要不定期的经常更新，这一要求尤其不适合于工业控制环境。

6、应用软件漏洞

由于应用软件多种多样，很难形成统一的防护规范以应对安全问题；另外当应用软件面向网络应用时，就必须开放其应用端口。因此常规的IT防火墙等安全设备很难保障其安全性。

三、城市燃气管网SCADA系统的现状

如下图所示，城市燃气管网SCADA系统按照区域和功能一般划分为调度控制中心、传输网络（有线+无线备份）和站控系统。调度控制中心内主要包含SCADA服务器、数据库服务器、WEB服务器、通讯服务器和工作站（操作员工作站、工程师工作站、视频工作站），调度控制中心一般通过通讯服务器或专用服务器与外部系统实现数据交互。调度控制中心与下属站控通过光纤专线和运营商无线网络（如：GPRS、CDMA等）互联同时实现线路冗余备份。站控系统根据功能主要分为门站、调压站、阀室三类。



典型城市燃气管网SCADA系统结构图

城市燃气管网SCADA系统作为关键信息基础设施，系统的安全稳定运行直接关系到市民生活和社会稳定。与传统信息系统不同，工业控制系统在建设初期兼顾应用环境、控制管理等实际环境因素，首要保证系统高可用性和实际业务的正常稳定运行，缺乏对网络安全风险的考量。随着工业控制系统开放化的趋势和大量传统信息技术的广泛应用，传统以太网和信息系统所面临的病毒、木马、网络攻击等安全问题也同样威胁着各大中小城市燃气管网SCADA系统。

四、系统安全防护建议

综合分析城市燃气管网SCADA系统主机、网络、数据和应用安全各方面风险，结合工控系统运行环境相对稳定固化，系统更新频率较低的特点。威努特建议采用基于"白名单"机制的工业控制系统信息安全"白环境"解决方案，通过对工控网络流量、工程师站工作状态等进行监控，收集并分析工控网络数据及软件运行状态，建立工控系统正常工作环境下的安全状态基线和模型，构筑工控安全"白环境"，确保：

只有可信任的设备，才能接入工控网络

只有可信任的消息，才能在工控网络上传输

只有可信任的软件，才允许被执行

城市燃气管网SCADA系统安全防护部署示意图

边界隔离：建议在城市燃气管网SCADA系统和外部系统网络边界部署工业防火墙，通过工业协议深度解析，结合自学习白名单安全防护策略，实现细粒度的边界访问控制和安全隔离，通过最小化规则尽可能规避来自外部系统的非法/违规数据访问。

内部区域防护：通过明确内部安全区域，建议在调度控制中心、门站、调压站和重要阀室区域网络边界部署工业防火墙，实现内部安全区域边界防护，通过建立白名单策略，规范和细化区域内的网络和应用访问规则，阻断数据篡改伪造和恶意攻击等行为，有效保护安全区域内核心数据和应用。

主机防护：对SCADA系统网络内的主机进行安全防护，主要是针对调度控制中心和各站控系统区域内的主机，建议部署工控主机卫士+安全U盘，通过主机应用程序白名单机制，阻止非工作程序在主机上的操作运行，阻断由于操作系统漏洞、应用软件漏洞而引起的恶意攻击，同时通过安全U盘实现移动安全数据存储。

网络实时监测与审计：在SCADA系统调度控制中心旁路部署监测审计平台，建立业务通信模型实现对工控指令攻击、控制参数篡改、病毒和蠕虫等恶意代码攻击行为的实时监测和告警，同时对网络中的攻击行为、网络会话、数据流量、重要操作等进行审计，实现安全事件的日志回溯和取证。

统一安全管理：建立管网SCADA系统安全管理平台，对工控网络中的相关防护产品进行统一的管理及运维，对整网防护设备进行策略配置下发、网络流量分析，对各设备进行集中化策略配置下发、存储、备份、查询、审计、告警、响应，并出具丰富的报表和报告，实时掌握工业控制网络情况，获悉工业控制网络整体的安全状态，实现全生命周期的日志管理。

五、小结

针对燃气行业的特点和网络现状，同时结合行业工控系统网络结构和安全需求，对目前燃气管网SCADA系统存在的安全威胁提出相应解决策略。希望通过燃气行业工控系统安全解决方案，帮助燃气企业建立工控系统安全保障体系，增强安全风险防范能力，促进工控系统安全、稳定运行，降低燃气行业工业控制系统网络安全风险。

---

威努特工控安全
专注工控·捍卫安全