采油工控系统介绍及风险分析

  • A+
所属分类:安全文章

采油工控系统介绍及风险分析

1. 概述

随着信息化飞速发展,石油工业正向智能化和信息化过渡,“数字油气田”已被发达国家列为油气田发展战略,成为石油行业的一种趋势。我国的石油开采技术水平相比于发达国家还有一定的差距,很多油气田的数据采集仍然依靠人工完成,但是由自动化代替人工的油气田、加工早已是趋势,油气田工业控制系统正向自动化、信息化的方向发展,很多石油企业建立了MIS信息管理系统,实现对油井现场油气田工艺的实时监控和调度管理,油气田SCADA系统的建立,使油气田已建或在建信息网络向井口扩展,形成了油气田生产调度管理与油井监控一体化的信息中心。
目前,我国规模较大的油气田都相继开展信息化建设,实现石油生产的自动化作业。随着油气田信息化的发展,为实现管控一体化需求,越来越多的油气田工控系统已不再是与外界隔离的孤立系统,而是逐渐放宽与IT网络的互通性,借此提高油气田企业的业务能力,油气田在快速发展的同时也开始面临日益增多的来自信息网络的安全威胁。油气田企业是典型的资金和技术密集型企业,油气开发生产的连续性非常强,大多采用控制系统实现生产调度管理,油气田工业控制系统的控制网络一旦出现问题,极有可能通过网络直接影响到生产设备,导致意外停产,甚至引发严重的生产安全事故。
石油天然气行业是典型的高危行业,安全突发事件屡见不鲜,如井喷、漏油、硫化氢泄露、油气爆炸等。油气生产企业安全突发事件若不加以预防和控制,会导致一般的安全事件扩散成为重大安全事件,且有可能导致一系列连锁反应。油气田工业控制系统主要保障油气田生产的自动化,核心功能是实现对油气开采加工的生产调度管理,随着数字油气田信息化的加速普及,控制网络逐渐被接入到信息网络中,因此网络安全问题更加凸显,病毒、攻击和入侵等网络安全问题必须引起人们的高度重视,在保证生产平稳的基础上,应加强对油气田控制系统的网络安全防护。
2010年伊朗震网事件的出现,2015年乌克兰电力遭受BlackEnergy恶意软件的攻击,2016年德国Gundremmingen核电站计算机系统发现恶意程序,再到2017年勒索病毒全球泛滥,这些事件体现了“震网 ”、“火焰”、“毒区”、“沙虫”等恶意软件完全可以影响关键工业基础设施的稳定运行,充分反映了工业控制系统网络安全面临的严峻形势。

2.油气田工控系统介绍

2.1油气田工业控制系统应用现状

油气田大多分布在条件艰苦的偏远地区,生产地域分布广泛,人工作业艰难,因此,依靠油气田自动化信息建设完成油气自动化采集,油井远程监控、集输站库自动化监控、配电线自动化系统、输油管线泄露检测等信息化作业。其中,油气采集和油井自动化监控是油气田工业控制系统的重要组成部分,主要目的是利用现场控制系统,自动采集油井数据,然后借助油气田控制网将数据自动加载到厂级数据库,为各管理部门提供开放的数据平台。生产和管理人员可通过油气田控制系统获取实时数据,及时控制和掌握生产实时动态,进行数据统计、分析、优化,实现整个生产过程的自动化。
油气田的生产规模大,各地的物理环境各不相同,生产区的自动化水平和建设规模也都不一样,既有采南、石西等沙漠整装自动化油气田,也有自动化程度较低的老油区。目前,油气田工控系统的应用类型大致有:位于井口测控的PLC和工控机PC机控制系统;位于集气站、处理站、接转站等站场的DCS集散型控制系统;位于厂级及以上的调度中心的SCADA系统,负责管辖控制油井现场的实时生产。工控系统设备选型多种多样,尚未形成统一的生产自动化应用标准,有些地方的各个系统之间相互独立,有些则是部分连通的。与典型工业控制系统结构基本相同,油气田工控系统也是由现场仪表、远程终端单元(RTU)、区域控制室计算机、控制中心计算机系统和通讯网络所组成。工业控制系统的应用能全面地提高油气生产效率和减少遥远井站24小时制的连续人工管理的操作,通过精确及时的数据采集监视输送计量数据,它能自动地控制各个井站的运行参数和产量,提高总的生产率,降低运行成本。

2.2典型油气田工控系统网络结构

随着工业与信息化的高度融合,油气田自动化系统已不再是由一个个信息孤岛组成,为了有效指导石油、天然气高效率开采和传输,使用通信系统将各地油气田的网络相连接,便于生产管理和高层决策。结合油气田的生产特点和实际需求,将典型的油气田工业控制系统分成三层“感知和执行层-采集和控制层-监视控制层”,通过网络通信实现数据的交互。

典型油气田工控系统网络结构如下图所示:

                           

采油工控系统介绍及风险分析

                  图1典型油气田工控系统网络结构

感知和执行层位于油气田生产现场,油气田的井口分布了大量的传感器和执行器等工业物理设备,获取油气生产过程中的温度、压力、流量等参数,按照预设的程序对数据进行处理,并通过执行器实现对物理过程的控制。
数据采集与控制层由分布在各个井口的自动监测的控制装置组成,它们与井口的工业物理传感设备相连接,获取油气采集、处理和传输过程中的生产数据,交给监视控制层,并执行监视控制层下发的指令,如打开、关闭阀门。该层的控制设备主要包括PLCRTUDCS等。
监视控制层是油气田工控系统的核心部分,是油气田巡检指令的上传下达部门,主要负责远程监控油气田控制网络和处理生产数据。对远程的生产现场所采集到的数据进行监视,并下达必要的控制指令,可以控制远程场区的控制装置。通过对现场设备的控制,可以实现打开或关闭阀门,采集传感数据,检测现场环境。
数据是油气田生产的核心组成成分,在油气田企业的控制网络中,数据通信主要体现在两个层面:
  • 井口传感设备与工业控制器之间的数据交互

这是从物理空间到信息空间的信号传输,这些数据信息主要包括井口温度、压力、流量等物理过程状态,通过传感器感知物理状态,将电气信号转化为数字信号转发给PLCRTU等现场控制器,该过程即为工控系统中的感知与控制。
  • 油气田现场控制器与监视中心的数据交互

即将已采集的油气信息发送到厂级以上监控中心的上位机等系统,同时将操作人员的控制命令下发到各个油气田现场的过程。在实际油气田应用中,油井信号传输主要依靠数传电台、3GGPRS等无线网络实现;而油气田现场的站控系统由于地理分布相对集中,为保证实时性和数据的精确性一般使用电缆、光纤等有线网络传输数据。监控中心通过网络接收到测控现场的数据,通过HMI等上位机软件显示出来,实时监控油气田现场的生产运行情况,并对数据进行统一整理、存储和分析,与此同时,操作人员还可发送控制指令,对现场的工控设备进行远程控制、下发控制程序等。

3.风险分析

油气田企业在规划和设计控制系统网络时,往往把油气生产的可靠性、实时性等放在首位,而忽略了网络的信息安全和鲁棒性。油气数据是油气田生产中非常重要的组成部分,依靠油气田的工控网络完成数据信息传输和指令传送,一旦控制网络流量异常,或者网络中传输负载过高,都有可能致使油气数据丢失、通信中断,甚至造成油气田工控系统的DCSPLCSCADA设备死机或停止生产。
油气田工业控制系统的信息化、自动化建设为油气生产提供了便利,也不可避免地存在各种信息安全问题。油气田工控系统至上而下、由里到外均面临着不可预知的安全威胁,根据油气田工控系统目前的现状可知,其面临的安全威胁主要有:

3.1漏洞威胁管控不足

油气田的工业控制系统部分采用施耐德、西门子、AB等国外产品,这些设备多数存在安全漏洞,且多数能够造成远程攻击、越权执行的严重威胁类漏洞,而且近两年漏洞的数量呈快速增长的趋势;另一方面,国外设备存在留有后门的可能性,近两年报出的“棱镜门”事让全世界为之震惊,也给我们敲响了一个警钟。而且工业控制系统通信协议种类繁多、系统软件难以及时升级、设备使用周期长以及系统补丁兼容性差、发布周期长等现实问题,又造成工业控制系统的补丁管理困难,难以及时处理威胁严重的漏洞。

目前工控行业大多数的攻击事件均使用了工控设备的漏洞。根据CNVD的统计工控系统行业漏洞已达到2100多个,另外各家安全厂商以及黑客等其他机构掌握的漏洞远超过CNVD的数量,可见设备自身漏洞就存在极大的安全隐患。

以下CVE统计的部分工控产品的漏洞情况:

3.1.1 西门子PLC CVE漏洞

序号

漏洞名称

漏洞描述

1

Siemens SIMATIC 信息泄露漏洞

Siemens SIMATIC S7-1200 2.x PLC中存在漏洞,该漏洞源于未正确保护SIMATIC CONTROLLER Certification  Authority证书的私有密钥。远程攻击者可利用该漏洞通过使用此密钥创建一个伪造证书进而欺骗S7-1200web服务器。

2

Siemens SIMATIC 网络服务器跨站脚本漏洞

基于Siemens SIMATIC S7-1200 PLCs 2.x3.0.1版本中的网络服务器中存在跨站脚本(XSS)漏洞。远程攻击者可利用该漏洞通过特制的URI注入任意web脚本或HTML

3

Siemens SIMATIC 拒绝服务漏洞

Siemens SIMATIC  S7-1200 PLCs 2.x3.x版本中存在漏洞。远程攻击者可通过发送到102端口(又名ISO-TSAP端口)的特制TCP数据包,利用该漏洞造成拒绝服(defect-mode转换和控制中断)。

4

Siemens SIMATIC 拒绝服务漏洞

Siemens SIMATIC  S7-1200 PLCs 2.x3.x版本中存在漏洞。远程攻击者可通过发送161端口(又名SNMP端口)的特制UDP数据包利用该漏洞造成拒绝服务(defect-mode转换和控制中断)。

5

Siemens SIMATIC  S7-1200 CPU PLC 加密问题漏洞

使用3.0.2及之前版本固件的Siemens  SIMATIC S7-1200 CPU PLC设备上的随机数生成器中存在安全漏洞,该漏洞源于随机数生成器没有充足的熵。远程攻击者可利用该漏洞破坏加密保护机制,劫持会话。

6

Siemens SIMATIC  S7-1200 CPU PLC 拒绝服务漏洞

使用3.0.2及之前版本固件的Siemens  SIMATIC S7-1200 CPU PLC设备中存在拒绝服务漏洞。远程攻击者可通过发送特制的PROFINET数据包利用该漏洞造成拒绝服务(设备故障)。

7

Siemens SIMATIC  S7-1200 CPU PLC 拒绝服务漏洞

使用3.0.2及之前版本固件的Siemens  SIMATIC S7-1200 CPU PLC设备中存在拒绝服务漏洞。远程攻击者可通过发送特制的ISO-TSAP数据包利用该漏洞造成拒绝服务(设备故障)。

8

Siemens SIMATIC  S7-1200 CPU PLC 拒绝服务漏洞

使用3.0.2及之前版本固件的Siemens  SIMATIC S7-1200 CPU PLC设备中存在拒绝服务漏洞。远程攻击者可通过发送特制的HTTP数据包利用该漏洞造成拒绝服务(设备故障)。

9

Siemens SIMATIC  S7-1200 CPU PLC 拒绝服务漏洞

使用3.0.2及之前版本固件的Siemens  SIMATIC S7-1200 CPU PLC设备中存在拒绝服务漏洞。远程攻击者可通过发送特制的HTTPS数据包利用该漏洞造成拒绝服务(设备故障)。

10

Siemens SIMATIC  S7-1200 CPU设备跨站脚本漏洞

Siemens SIMATIC  S7-1200 CPU设备2.x3.x版本的集成的Web服务器中存在跨站脚本漏洞。远程攻击者可利用该漏洞注入任意Web脚本或HTML

11

Siemens SIMATIC  S7-1200 CPU设备CRLF注入漏洞

Siemens SIMATIC  S7-1200 CPU设备2.x3.x版本的集成的Web服务器中存在CRLF注入漏洞。远程攻击者可利用该漏洞注入任意HTTP头。

12

Siemens SIMATIC  S7-1200 CPU设备开放重定向漏洞

使用4.1之前版本固件的Siemens  SIMATIC S7-1200 CPU设备的integrated Web服务器存在开放重定向漏洞。远程攻击者可利用该漏洞将用户重定向到Web网站,实施钓鱼攻击。

13

Siemens SIMATIC  S7-1200 CPU设备跨站请求伪造漏洞

使用4.1.3之前版本固件的Siemens  SIMATIC S7-1200 CPU设备中的Web服务器中存在跨站请求伪造漏洞。远程攻击者可利用该漏洞执行未授权操作。

14

Siemens SIMATIC  S7-1200 CPU 安全漏洞

Siemens SIMATIC  S7-1200 CPU 4.0之前版本中存在安全漏洞。远程攻击者可利用该漏洞绕过‘user program block’保护机制。

3.1.2 InTouch CVE漏洞

序号

漏洞名称

漏洞描述

1

Wonderware InTouch Machine Edition 安全漏洞

Schneider Electric InduSoft Web Studio 7.1.3.5 Patch 5之前版本和Wonderware  InTouch Machine Edition 7.1 SP3 Patch 4及之前版本中存在安全漏洞,该漏洞源于程序使用明文存储project-window密码。本地攻击者可通过读取文件利用该漏洞获取敏感信息。

2

SchneiderE1ectric Wonderware InTouch Access Anywhere Server 基于栈的缓冲区溢出漏洞

Schneider Electric Wonderware InTouch Access Anywhere Server 10.6版本和11.0版本中存在基于栈的缓冲区溢出漏洞。远程攻击者可通过请求不存在的文件利用该漏洞执行任意代码。

3

Siemens ProcessSuite/Invensys Wonderware InTouch 本地信息泄露漏洞

Siemens ProcessSuiteInvensys Wonderware InTouch 2012 R2和早期版本中存在本地信息泄露漏洞。本地攻击者利用该漏洞获得未授权访问到密码文件的权限,获得的信息可导致进一步攻击

4

Invensys Wonderware 多个产品不安全库加载漏洞

Invensys Wonderware多个产品中存在漏洞,可被恶意攻击者利用操控用户的系统。该漏洞源于应用程序在不安全方式中加载库。攻击者可利用该漏洞通过诱使用户打开位于远程WebDAVSMB分享的项目文件加载任意库。以下产品中存在漏洞:InTouch 2012版本和早期版本、Wonderware  Application Server 2012版本和早期版本、Wonderware Information Server 4.5版本和早期版本、Foxboro Control  Software 4.0版本和早期版本、InFusion CE/FE/SCADA 2.5版本和早期版本、InBatch 9.5 SP1版本和早期版本、Wonderware  Historian 10.0 SP1版本和早期版本。

5

WonderWare SuiteLink slssvc.exe远程拒绝服务漏洞

WonderWare在处理畸形请求数据时存在漏洞,远程攻击者可能利用此漏洞导致服务不可用。

WonderWareSuiteLink服务在5413/TCP端口上监听连接。连接到该服务的非认证客户端程序可以发送畸形报文,通过调用new()运算符导致内存分配操作失败并返回空指针。由于对内存分配操作的结果缺少错误检查,程序之后可能会使用空指针作为内存拷贝操作的目标,这可能触发内存访问异常并终止服务。

3.1.3 Mesh系统CVE漏洞

序号

漏洞名称

漏洞描述

1

Mesh OS 不充分加密漏洞

基于Tropos无线网状路由器上的Mesh OS 7.9.1.1之前版本中存在漏洞,该漏洞源于程序没有对SSH密钥使用充分资源的熵。通过对来自别处的产品安装的密钥信息加以利用,中间人攻击者利用该漏洞欺骗设备或修改主从架构数据流。

2

Mesh Mesh::type 缓冲区溢出漏洞

Mesh Viewer0.2.2mview程序mesh.c中的Mesh::type存在缓冲区溢出漏洞。

远程攻击者可以通过特制的mesh文件,利用此漏洞执行任意代码。

3

iMesh.Com iMesh 1.02缓冲区溢出漏洞

iMesh 1.02版本存在缓冲区溢出漏洞。远程攻击者借助超长iMesh端口字符串可以执行任意命令。

4

TheIMWeb.IMWebControl.1ActiveXcontrol 拒绝服务攻击漏洞

IMWeb.dllIMWeb.IMWebControl.1 ActiveX控件,以及iMesh 7.1.0.x版本及其早期版本的IMWebControl.dll,远程攻击者可以借助ProcessRequestEx中参数的一个空字符造成拒绝服务(Internet  Explorer 7 崩溃)

 3.2缺乏清晰的网络边界

油气田企业的SCADA控制系统是一个分布式结构,各井口分散在野外的各个地方,点多、面广,且信息自动化程度相差很大,大多数自动化程度不高的油气田控制网中的控制单元、网络域、监控域、办公域只是简单地互联,导致各层之间通信相连通,一旦某一环节出现隐患,影响极易扩散,给关键的生产控制带来安全风险。

3.3访问控制措施不到位

如今油气田工业控制系统与企业信息系统的规模日益复杂,一个油气田工业控制系统中有数以万计的物理设备分布的各大采油区,而很多油气田的控制网络内部各层之间缺乏必要的隔离防护措施,一旦有一层被非法接入,很可能会向其他层蔓延。由于生产的需要,油气田企业需要第三方支持对系统进行远程维护和技术指导,这也给内部网络增加了安全风险,很容易遭受 DDOSICMP-FLOOD等攻击。

3.4缺少网络完整性管控

工控系统在日常生产运营和维护中,为了工作的便捷性,经常私自将笔记本、手机、ipad等设备接入到生产网络中,由于缺少网络准入技术,不能对私自接入的设备进行管控,给生产系统带来了很大的安全隐患。

3.5通信协议的安全风险

在油气田工控系统中,广泛使用基于TCP/IP以太网协议的OPC S7MODBUSCIP协议等,这些工业控制通信协议或规约在设计时通常只强调通信的实时性及可用性,对安全性普遍考虑不足:比如缺少足够强度的认证、加密、授权等。尤其是工业控制系统中的无线通信协议,更容易遭受第三者的窃听及欺骗性攻击。

3.6终端存在安全隐患

生产环境中操作站多数采用WindowsXP,上线后基本不会对操作系统进行升级,而操作系统在使用期间不断曝出漏洞,导致操作站和服务器暴露在风险中;还有诸如系统上线前没有关闭掉多余的系统服务以及系统的密码策略等进行安全加固问题;除此之外,运维人员调试过程需要对操作站安装一些软件,为了方便调试,会开启一些操作系统远程服务、端口,上线后通常不会屏蔽这些功能,从而使得安全配置略为薄弱的操作站系统,特别容易遭受攻击。
同时,在生产环境中存在随意使用U盘、移动硬盘、手机等移动存储介质现象,有可能将传染病毒、木马等威胁因素带入生产系统。加上防病毒软件的安装不全面或者即使安装后也不及时更新防恶意代码软件版本和恶意代码库,出现问题后无法及时准确定位产生问题的原因、影响范围及追究责任。
为了防止修改配置而影响生产的进度,在油气田工控系统中存在的各种账号/口令(如操作系统、SCADA/HMI应用软件、PLC、网络设备等)很多都使用的是出厂默认配置,有的甚至是空口令、弱口令,这无疑成为油气田工控系统的又一大脆弱点。

3.7缺乏运维审计机制

油气田生产地域分布广泛,现场网络维护主要依靠远程调度或是第三方业务伙伴和技术人员的远程调试,这样便产生了控制网对外的接口,病毒可通过这些对外接口对系统入侵攻击。由于缺乏完善的运维审计机制,对运维人员的操作过程没有记录、审计,不能发现越权访问、异常操作等行为以及效率低等问题。一旦发生事故,需要大量时间确定问题,不能够及时有效地解决问题,也没有追溯手段。

3.8缺乏安全管理规范

企业认为控制系统没有与互联网直接连接,黑客、病毒不能进入控制系统。而实际上,很多控制网络都是有对外接口的,系统之间也没有进行有效隔离。由于黑客和病毒入侵途径多种多样,信息网络、移动介质等因素可能导致信息安全问题向控制系统扩散,影响工厂生产控制的安全稳定运行。而管理人员和操作人员普遍缺乏信息安全知识,一旦受到恶意攻击,会直接影响生产设备的正常运行,甚至导致设备全线崩溃和人员伤亡。
油气田工控系统中使用一般的IT防火墙,可实现对常见互联网安全攻击的过滤检测,但工业控制系统通常使用专用以太网协议,对于此类协议的安全性,普通防火墙无法保障。

免责申明:本公众号所载文章为本公众号原创或根据网络搜索编辑整理,文章版权归原作者所有。因转载众多,无法找到真正来源,如标错来源,或对于文中所使用的图片,资料,下载链接中所包含的软件,资料等,如有侵权,请跟我们联系协商或删除,谢谢!

如需了解更多,如免费下载网络安全相关政策、标准以及其他资料;免费下载知网、万方、维普等上的论文;免费下载百度文库、道客巴巴、IT168、豆丁、电器天下等上的文档,请关注“老马玩工控安全”公众号。

采油工控系统介绍及风险分析





发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: