油气田工业控制系统现状

石油石化行业综述

石油石化行业分为上游、中游和下游。其中，上游从事的业务包括原油、天然气的勘探、开发，中游主要是油气 的存储与运输，下游则涵盖炼油、化工、天然气加工等流程型业务及加油站
零售等产品配送、销售型业务。通常情况下， 将以石油和天然气为原料生产石油产品和石油化工产品的加工工业称为石油化学工业（简称石化工业），而其余统称为 石油工业。图9 石油石化行业分层
由于石油化工行业
的业务工艺流程不通，上游的油气田开发和中下游的存储传输、化工炼化等在工业控制系统的 组成和构建是不尽相同的，本章节主要是上游业务的油气田开发的工业控制系统的组成和环境重点针对 SCADA 系统的 网络结构，介绍对于石油石化行业的工控安全解决思路。#### 油气田
工业控制系统现状油气田的工业控制系统建设以生产现场的生产数据采集和传输，以及安全监控为主，主要包括：生产单元的自动 化数据采集及传输系统建设；覆盖生产场所的传输网络建设；各类站场的视频监视系统建设等。
油气田行业专业名词涉及如下：阀室、井站（油井站、气井站）、站场、监控中心和调度中心其涵盖范围如下：

• 阀室包括监控阀室和监视阀室； 水站；
  • 油井站包括自喷井、抽油机井；气井站包括非高含硫无工 监控中心包括区域控制中心（RCC）、中心站（SCS）及 艺单井、非高含硫单井、非高含硫丛式井、高含硫无工艺 其它有人值守站场的监控室； 单井、高含硫单井，高含硫丛式井； 调度中心包括地区调度管理中心（DCC）和总调指挥中
    • 站场包括集气站、输气站、配气站、增压站、回注站和脱 心（GMC）
      油气田企业的工业控制系统一般分三个层级，上级站提供全局范围内各要素的遥测服务、采油生产分析；中继站 负责数据的采集和指令的下发；底层 RTU实现现场数据采集和控制过程，并提供应急响应服务。实现油井图像实时采 集、油井状况分析，并可远程对抽油机进行启停控制，注水井远程配注监控。一般由井场数据采集与控制系统、站点数 据采集与控制系统、视频监控与闯入报警系统、以太网络传输系统及控制中心等系统组成。主要对油压、套压、产油量、 注水量、含水率等生产工艺参数进行监控和采集，并通过生产管理系统采用实时数据库、历史数据库为分析和管理平台， 实现对监控子系统的数据采集、存储、处理、异常分析、远程管理、异常报警。
      油气田工业控制系统在结构上大致可分为总调指挥中心（GMC）、地区调度管理中心（DCC）、区域控制中心（RCC）、 中心站监控室及部分井 / 站场监控系统等部分。根结规划的功能结构，具体业务需求及实现的不同，按四级架构进行分层： 即应用层、调度层、监控层和现场层。而 SCADA系统做为油气田生产信息化建设的一个重要组成部分，只涉及调度层、 监控层和现场层三层，不涉及应用层，SCADA系统的数据在 DCC 和非 SCADA系统的数据汇聚后，统一提供给应用层， 以便开发各种应用。整条体系通过对数据采集传输、视频图像监视、数据存储转出、数据发布及网络浏览、生产调度及 管理等的优化完善，实现工艺流程和管理流程进一步优化，提升生产效率。
• 应用层： 主要指生产数据经过处理之后的应用部分，包括 数据平台的应用展示、各种基于数据分析和数据解释的应 用。企业办公网从数据平台读取的数据主要用于 产运行管理指挥系统等的应用。 调度层：指油气生产物联网建设中主要行使调度功能的集 中管理单元，是实现生产调度管理的重要平台。调度层通 常指设置在分公司的总调指挥中心和设置在各二级单位 的区域调度管理中心。
  • 监控层： 指油气生产物联网建设中主要行使监控功能的集 中管理单元，是实现生产监控、执行生产指令的重要平台。
    监控层通常指设置在作业区的区域控制中心、中心站监控 室和站场监控室；
    OA、生 现场层： 主要指实现现场生产数据采集、物联设备状态采
    集、声光报警、入侵探测、工业视频监控、双向语音对讲 及喊话、远程控制、状态检测及实时故障报警、电量检测 及智能管理等功能的单元，包括现场仪表、RTU控制器、 控制柜、工业视频监控设备、双向语音对讲及喊话设备、 声光报警设备、入侵探测设备、太阳能供电系统、电动阀、 ESD 系统等。
    图10 油气田工业控制系统结构
    生产信息化自动采集的生产数据与 SCADA 系统数据在作业区区域控制中心 RCC 进行融合，进入 SCADA 系统， 通过 SCADA 系统上传至二级单位 DCC 的 SCADA 系统数据库，再经 DCC 的 SCADA 系统数据库上传至成都总调度指 挥中心（GMC）和备用调度指挥中心（BGMC）。此外，在二级单位 DCC 系统数据库中所有的站场数据传输至设置 在二级单位的生产数据平台数据库，再上传到位于总调度中心的生产数据平台数据库。所有生产数据和图片数据由生产 信息网单向传输入办公网，由生产数据平台向各上层应用系统统一提供数据服务。在 SCADA 系统控制流传递模式上主 要使用两种传递方式，分布式和集中式，两种模式可以并存，根据实际的油气田工业控制系统环境来选择不同的控制流 模式。
    SCADA 系统分布式控制流如下，SCS 实现就地控制，RCC 实行两级控制，SCADA 系统的控制流有两种模式，与 数据流模式相关联，在两种模式中， GMC 均不实现控制，即控制流不到 GMC。
    SCADA 系统集中式控制流如下，SCS 实现就地控制，DCC 实现远程控制，RCC 不实现控制功能，只实现数据监
    控功能。
    图11 SCADA系统控制流

安全风险分析

传统的工业控制系统，是孤岛式、封闭式的结构，只是在本企业或者本行业内部建立相对应的生产流程。同时， 工业控制系统的要求，第一位是可用性，即生产设备能购完成生产所需；第二位是可靠性，就是要连续不间断的工作， 而不会出现任何问题；第三位才是安全性。但是，随着信息技术的不断发展，两网融合的契机，特别是不断地在工业控 制领域的推广，原本封闭孤岛式的工业控制系统变成了开放的形式。很多企业将生产环境转变为网络自动化形式，所有 的设备都通过网络连接、搭建、管理和控制，很多工业生产现场都实现了完全的无人化，个别甚至将企业对外宣传和内 部管理的网站同生产网络进行了互联，其间没有任何保护设备和防护措施。只是单纯的增加防火墙、网闸就可以有效的 保护工业网络安全的想法，是不切实际的。
2000 年以后，在全球范围内，工控网络安全事件呈爆炸式增长。尤其在中国网络遭受黑客攻击增长 15 倍以上，其 中 30% 是对国家基础设施，涉及天然气、运输、制造、医药、核设施以及汽车等众多行业，给国家和企业造成了大量 的损失。
通过利用生产网络的漏洞，黑客轻而易举的入侵工控系统，轻而易举的进行漏洞挖掘和破坏，导致了很多安全事 件的发生，而这些危险的发生主要由操作系统、应用系统、工控设备、网络通信协议、工业协议漏洞和移动介质等风险 源造成。
2.5.3.1 操作系统漏洞
企业整个 SCADA 系统数据服务器多数采用 Unix操作系统，工作站均采用 Windows 操作系统，由于工业控制网络 与互联网及企业网络的隔离，同时为保证过程控制系统的相对独立性，以及考虑到系统的稳定运行，现场工程师未对 Windows 平台安装任何补丁，但是存在的问题是，不安装补丁系统就存在被攻击的可能，从而埋下安全隐患。如 Unix 操作系统发布开发都是以打补丁（Patch）的方式进行，操作系统的程序可以动态链接包括 I/O 驱动程序与系统服务， 这些都为不法人员提供了可乘之机。常见的 0day 漏洞、UPNP 服务漏洞、RDP 漏洞等 ，不法人员轻易通过这些漏洞通 过入侵、控制主机，进行破坏和窃取机密信息。
2. 应用系统漏洞
SCADA系统包括 SCADA系统监控软件、数据服务器、操作员工作站、工程师工作站、磁盘阵列、授时系统、仿真软件、 OPC 软件、网络管理软件等应用系统，由于应用软件多种多样，很难形成统一的防护规范以应对安全问题。国内外主 流 SDCAD 软件都有可能存在较大的权限泄露风险，如下：
|漏洞名称|发布时间|危害等级|漏洞类型|漏洞简介|
|ICONICS GENESIS32 缓 冲区溢出漏洞 GENESIS32 缓 冲区溢出漏洞|2012-4-19|危急|缓冲区溢出|

ICONICS GENESIS32 是由美国 ICONICS 公司研制开发的新一代 工控软件。ICONICS GENESIS32 8.05 版本、9.0 版本、9.1 版本、

9.2 版本与 BizViz 8.05版本、9.0 版本、9.1 版本和 9.2 版本中的 Security Login ActiveX 控件中存在缓冲区溢出漏洞。远程攻击者 可利用该漏洞借助长密码导致拒绝服务（应用程序崩溃）或者执 行任意代码。

|
|Siemens SIMATIC WinCC 拒绝服务漏洞|2012-2-7|高危|高危 |

Siemens SIMATIC WinCC 多个版本中的运行加载器中的 HmiLoad 中存在拒绝服务漏洞，远程攻击者可利用该漏洞通过越过 TCP 发 送特制数据，导致拒绝服务（应用程序崩溃）。这些版本包括：

Siemens WinCC flexible 2004 版 本、2005 版 本、2007 版 本、 2008 版 本，WinCC V11 （ 也 称 TIA portal），TP、OP、 MP、 Comfort Panels 和 Mobile Panels SIMATIC HMI 面 板，WinCC V11 Runtime Advanced 以及 WinCC flexible Runtime。

|
|

WellinTech KingView

KVWebSvr.dll ActiveX 控件栈 缓冲区溢出漏洞

|2011-8-17|危急|缓冲区溢出|WellinTech KingView 6.52 和 6.53 版 本 的 KVWebSvr.dll 的 ActiveX 控件中存在基于栈的缓冲区溢出漏洞。远程攻击者可借助 ValidateUser 方法中超长的第二参数执行任意代码。|
|

Siemens SIMATIC WinCC

安全漏洞

|2012-2-7|危急|授权问题|Siemens SIMATIC WinCC 多个版本中存在漏洞，该漏洞源于 TELNET daemon 未能执行验证。远程攻击者利用该漏洞借助 TCP 会话更易进行访问。这些版本包括：Siemens WinCC flexible 2004 版本、2005 版本、2007 版本、2008 版本，WinCC V11 （也称 TIA portal），TP、OP、 MP、 Comfort Panels 和 Mobile Panels SIMATIC HMI面板、WinCC V11 Runtime Advanced 以及 WinCC flexible Runtime。|
|Invensys Wonderware Information Server 权限许可 和访问控制漏洞|2012-4-5|高危|权限许可和 访问控制|Invensys Wonderware Information Server 4.0 SP1 和 4.5 版本中存 在漏洞，该漏洞源于未正确实现客户端控件。远程攻击者利用该 漏洞借助未明向量绕过预期访问限制。|
|

GE Proficy iFix

HMI/SCADA 任 意代码执行漏洞

|2011-12- 22|危急|缓冲区溢出|GE Proficy iFix HMI/SCADA 的 installations 中存在漏洞，远程攻 击者可利用该漏洞执行任意代码。对于利用这个漏洞来说并不需 要认证。通过默认 TCP 端口号 14000 监听的 ihDataArchiver.exe 进程中存在特殊的漏洞。在这个模块中的代码信任一个通过网络 提供的值，并且使它作为把用户提供的数据复制到堆缓冲区的数 组长度，通过提供一个足够大的值，缓冲区可能会溢出导致在运 行服务的用户上下文中执行任意代码|
|Sunwayland ForceControl httpsvr.exe 堆缓 冲区溢出漏洞|2011-8-1|危急|缓冲区溢出|

Sunway ForceControl 6.1 SP1，SP2 和 SP3 版 本 的 httpsvr.exe

6.0.5.3 版本中存在基于堆的缓冲区溢出漏洞。远程攻击者可借助 特制的 URL导致拒绝服务（崩溃）并可能执行任意代码。

|
表2 主流SCADA软件脆弱性
并且，从分公司到场站现场都采用 NTP授时服务，本地向远程 NTP服务器发送 NTP数据包，用的不可靠的 UDP协议， 一方面会造成信息泄露，另一方面会被不法人员利用 NTP Reply 洪水攻击，对整个系统或网络造成影响。
3. 控制设备 / 系统安全风险
现场 PLC、终端、RTU等控制设备大部分使用国外的控制组件，未实现自主可控，一方面存在逻辑炸弹和后门（如 Siemens 固件后门、圣诞节彩蛋等），另一方面现场控制设备基本没有安全防护能力，利用常规的手段对某知名 PLC 测试就可以获取如下信息：
图12 某知名PLC 测试截图
我们可以下载和上传设备 IOS 配置文件，并通过查看配置文件，瞬间就可以破解 TYPE- 7 的加密得到超级管理的 明文密码，从而完全控制网络设备， 即使拿到加密后的密码串无法破解，也可以把下载来的 IOS 文件内的密码清空， 再上传后，依然可以不用密码登陆设备。不法人员可以对现场设备进行篡改和恶意控制。
4. 网络通信漏洞
在油气田的现场，由于作业区域广阔，经常通过光传输网、DDN、卫星、GPRS/CDMA 等传输手段将数据传到控 制中心的路由器，各传输信道间的通道切换使用 HSRP协议。
一方面 CISCO HSRP 协议，不法人员截获 HSRP组的信息，并通过此信息结合相关的攻击手段可以造成 SR路由器 上的 HSRP组频繁切换，进而给整个网络造成中断甚至瘫痪。另一方面一些不具备光纤通讯条件的场站，通过卫星、 GPRS/CDMA 等无线方式通过 PAN 虚拟专用网络采集数据、下发指令，缺少安全论证手段和加密措施，存在较大的安 全风险。
TCP/IP 以太网通讯技术、智能组件的广泛使用给数据传输带来便捷的同时，也给控制网络带来了传统的病毒、木马、 入侵等新的问题。
5. 工业协议漏洞
工业通讯协议是整个系统安全的重要环节，修改工厂的运行过程并不需要破坏组件，只需要构造一个满足工业 协议的 IP数据包然后将其发送给控制器即可。在标准的 PLC中，没有任何安全安全校验和认证，它会接收任何满足 IP数据包格式的数据包并根据数据包中的请求信息来执行实际控制过程。多数工业协议仅仅是对串行帧的简单封装如 Modbus、DNP3 协议，整个过程缺乏加密认证的机制，故很容易被窃取、欺骗和篡改 。
本系统中大量使用 OPC 协议通讯，而 OPC Classic 协议 (OPC DA, OPC HAD 和 OPC A&E) 基于微软的 DCOM 协 议，DCOM 协议是在网络安全问题被广泛认识之前设计的，极易受到攻击，并且 OPC 通讯采用不固定的端口号，导 致目前几乎无法使用传统的 IT 防火墙来确保其 安全性。
6. 移动介质安全
移动存储介质严重影响控制系统安全，控制系统和生产网络安全，对生产网和办公网进行了逻辑物理隔离，但有 一些用户非法使用移动存储介质，如 U 盘等。移动存储介质有意无意的违规使用、非法拷贝、介质丢失、无意连接到 互联网而导致信息泄密，同时也很容易导致 U 盘病毒的传播。一旦移动存储介质受到病毒攻击并作为病毒传输媒介， 将病毒带入内网，在很大程度上破坏了严格意义上的物理隔离。统计数据表明，大部分内网的计算机遭受病毒攻击的事 件，就是因为不规范使用移动存储介质造成的。

参考资料

绿盟 2015绿盟科技工控安保框架白皮书

友情链接

GB-T 21028-2007 信息安全技术 服务器安全技术要求