久久久91-久久久91精品国产一区二区-久久久91精品国产一区二区三区-久久久999国产精品-久久久999久久久精品

★王天宇中國科學院沈陽自動化研究所

★趙嬌沈陽職業技術學院

★王銘浩國家機器人創新中心

★張博文中國科學院沈陽自動化研究所

1　引言

在當今世界，能源安全是國家戰略的重要組成部分，而油氣管網作為能源供應鏈的關鍵環節，其安全穩定運行對國家安全和經濟發展至關重要。在工業自動化和信息化技術的快速進步推動下，油氣管網的工業控制系統已成為自動化和智能化管理的關鍵基礎設施。這些系統不僅承擔著油氣輸送的監控與控制任務，還涵蓋了數據的采集、處理和通信等關鍵步驟，以保障油氣資源的安全和高效運輸。然而，網絡技術的普及也給工業控制系統帶來了日益增加的網絡安全挑戰，特別是系統中存在的漏洞可能遭到惡意攻擊，引發重大的安全事件和經濟損失。因此，對工控系統漏洞的識別技術進行深入研究，對于保障油氣管網的安全運行具有極其重要的意義。

油氣管網工控系統的復雜性和關鍵性要求必須對其安全漏洞給予足夠的重視^[1]。這些系統通常包含大量的傳感器、執行器、控制器等設備，它們通過各種通信協議連接在一起，形成了一個龐大的網絡。由于工控系統的實時性、可靠性要求極高，任何一個小小的漏洞都可能導致整個系統的癱瘓，甚至引發災難性的后果。此外，工控系統的設備和協議種類繁多，技術標準不一，這也增加了漏洞識別的復雜性和難度。

在油氣管網工控系統的實際應用中，漏洞識別技術面臨著許多挑戰^[2]：（1）工控系統的復雜性和多樣性使得漏洞識別變得非常困難，不同的設備和協議可能有不同的漏洞，而且這些漏洞可能因為系統的配置和環境的不同而表現出不同的特點；（2）工控系統的實時性和可靠性要求使得漏洞識別不能影響系統的正常運行，這意味著漏洞識別技術必須在不干擾系統的前提下進行，這就對技術的精確性和敏感性提出了很高的要求；（3）工控系統的安全威脅是不斷變化的，隨著攻擊手段的不斷更新和環境的不斷變化，新的漏洞和威脅不斷出現，這要求漏洞識別技術能夠及時更新和適應；（4）在識別和修復漏洞的過程中，必須保護企業和用戶的隱私和權益，遵守相關的法律法規。

本文詳細介紹了現有工控系統漏洞安全方面的研究，并針對油氣管網工控漏洞識別技術的發展態勢進行了討論。通過加強漏洞識別技術研發等措施，可以大幅提高油氣管網工控系統的安全性，保障國家能源安全和經濟穩定發展。

2　油氣管網面對的工控漏洞威脅

工業控制系統的安全性至關重要，因為它們不僅保護關鍵基礎設施免受網絡攻擊，還確保了工業流程的連續性和可靠性，從而保障了公共安全和經濟穩定。任何工控系統的安全漏洞都可能導致嚴重的生產中斷、環境污染，甚至人員傷亡，因此，維護其安全性是保障國家和企業利益的首要任務。在油氣管網這一關鍵領域，工控系統的安全性尤為重要。油氣管網是國家能源供應的大動脈，其工控系統負責監控和控制油氣的輸送，確保能源的穩定供應。這些系統不僅涉及數據采集、處理、通信等多個環節，還直接關聯到國家安全和公共安全。因此，任何對這些系統的威脅都可能產生災難性的后果。自“震網”病毒事件爆發以來，工業控制系統的信息安全問題引起了國際社會的廣泛關注。美國國家標準技術研究院（NIST）、國際電工委員會（IEC）等眾多國家和國際組織紛紛出臺了相關工控安全標準和文件。我國工信部和國務院也相繼發布了加強工控系統信息安全防護的通知和意見，強調了保障工業控制系統安全的重要性。

隨著通用軟硬件和網絡設施在工控領域的廣泛應用，以及工控系統與企業管理系統的深度集成，工控系統與企業內網甚至互聯網之間的數據交互變得日益頻繁。這使得工業控制系統趨向開放，傳統的“信息孤島”已不復存在。攻擊者通過互聯網或企業內網能夠輕松獲取工控系統信息，而工控行業內普遍較差的安全意識為非法入侵者提供了可乘之機^[3、4]。歷史上的一系列工控安全事故，如2010年伊朗布什爾核電站受“震網病毒”攻擊導致上千臺離心機被物理性損毀、2014年“蜻蜓組織”利用水坑攻擊感染Havex病毒，通過OPCServer攻擊SCADA系統獲取生產數據，影響歐洲上千家能源企業，以及2015年12月23日烏克蘭電力系統遭到“BlackEnergy”（黑暗力量）網絡攻擊引發的大面積停電事故，都凸顯了工控安全事故的嚴重性和快速增長趨勢。這些事件涉及眾多關鍵基礎設施行業，表明面對技術日益成熟的黑客組織，工控系統所面臨的安全威脅正變得日益嚴峻。近年來國際管網工控信息安全事件頻發，圖1展示了較為典型的工控安全事件。

圖1 近年油氣管網相關工控安全事件

美國時間2021年5月7日，美國最大的天然氣和柴油運輸管道公司科洛尼爾（Colonial Pipeline）宣布遭高強度網絡攻擊，被迫關閉東部沿海各州關鍵燃油網絡。科洛尼爾負責運營美國東海岸地區約45%的液體燃料管道運輸供應服務，每天輸送汽油、柴油、航空燃料等成品油250萬桶，覆蓋5000萬人。科洛尼爾公司稱尚不清楚誰應為此次網絡入侵負責，也不清楚該公司的管道運營將被暫停多久。美國FBI、能源部、網絡安全與基礎設施安全局等多個聯邦機構一起參與了事件調查。美國時間2021年5月9日，白宮宣布：美國進入國家緊急狀態。這是美國首次因網絡攻擊而宣布進入國家緊急狀態。由于此次攻擊事件已經被上升到了網絡襲擊的程度，5月10日DarkSide組織在暗網上發布了道歉聲明：對于任何“社會后果”，他們深表歉意并向受害者保證，DarkSide只是為了賺錢而已。經過事后分析，該次事件的攻擊流程為：（1）DarkSide掃描目標管道控制系統中的漏洞，并攻擊；（2）對被控制設備進行局域網掃描并控制現場控制器；（3）投遞DarkSide勒索軟件本體，準備勒索環境；（4）運行勒索病毒，癱瘓目標網絡，留下勒索信件；（5）相關業務受到不同程度影響，管道監控流程失控。圖2較為詳細地展示了整個攻擊過程。

圖2 2021年勒索病毒攻擊關停事件攻擊過程示意圖

工業控制系統（工控系統），作為監測和控制國家關鍵基礎設施行業如電力、化工、石油天然氣、交通運輸和關鍵制造等物理過程運行的信息物理系統，涵蓋了數據采集系統（SCADA）、分布控制系統（DCS）、可編程邏輯控制器（PLC）等多種類型控制系統。在油氣管網這一關鍵領域，任何技術的進步和創新都必須以確保系統的絕對安全為前提。因此，開發和應用更加高效、精準的漏洞識別技術，對于保障油氣管網工控系統的安全運行、維護國家能源安全和經濟穩定發展，具有不可估量的價值。

3　工業控制系統漏洞安全

油氣管網的工業控制系統對國家能源安全和經濟穩定至關重要。隨著PC架構、Windows平臺和標準網絡協議的廣泛應用，工控系統逐漸從封閉走向開放，提高了集成先進功能的能力，增強了系統的靈活性和擴展性。然而，這種開放性也引入了新的安全風險，如病毒、木馬和黑客攻擊，對關鍵基礎設施的安全造成了嚴重威脅。面對這些挑戰，油氣管網工控系統的信息安全變得尤為重要，必須采取更有效的安全措施，包括加強網絡安全防護、提高物理安全。同時，隨著工業4.0和智能制造的發展，工控系統需要整合物聯網、云計算和大數據分析等新興技術，來提高智能化水平和決策能力。這進一步增加了系統的開放性，也帶來了新的安全挑戰。

3.1　國外工業控制系統漏洞安全現狀

在全球化背景下，歐盟和美國在計算機技術和工業自動化領域占據領導地位，他們對工控系統安全的重視始于20世紀初。這些地區不僅技術發展領先，而且在工控系統安全防護上也展現出了前瞻性視角。自2005年起，歐盟和美國開始研究相關技術，并建立國家級工控安全實驗室，使之成為工控安全研究和技術創新的重要基地。隨后，歐盟和美國發布戰略框架和標準法規，并構建國家級工控安全體系，將工控安全上升到國家戰略層面，使其成為國家安全的重要組成部分。在油氣管網這一關鍵領域，工控系統的安全性直接關系到能源供應穩定性和國家能源安全，因此，歐盟和美國在該領域的投入和研究顯得尤為重要。

歐盟和美國在戰略框架方面，通過連續發布工業控制系統安全戰略，來應對日益增長的針對工控網絡的攻擊，特別是針對油氣管網等關鍵基礎設施的網絡攻擊^[4、5]。美國還推出了一系列計劃，涵蓋從預防、檢測到響應和恢復的全方位安全措施。亞洲各國也發布了保護國家關鍵工業控制系統網絡安全的政策文件，如日本的《網絡安全戰略》和新加坡的《國家網絡安全總體規劃》。在標準法規方面，歐盟遵循IEC62443標準，建立了較為完善的安全體系，而美國則發布了一系列文件，從行業層面對工控系統安全提出了具體要求。歐盟和美國的安全體系包括應急響應組、提供事故響應和取證分析的現場支持、執行漏洞和惡意代碼分析、協調共享漏洞信息收集和威脅分析工作。這些舉措體現了歐盟和美國在工控系統安全領域的前瞻性和行動力，為全球工控安全的發展樹立了標桿。

3.2　國內工業控制系統漏洞安全現狀

在中國，工業化與信息化的深度融合標志著一個關鍵轉型時期，這一時期不僅推動了經濟的快速發展，也使得工業控制系統的安全問題日益凸顯，帶來了前所未有的挑戰。特別是在油氣管網這一關鍵領域，ICS的安全性直接關系到國家能源安全和國民經濟的命脈。2010年的“震網”事件敲響了警鐘，使得ICS的安全問題成為公眾和政策制定者關注的焦點，促使我國將工控安全提升至國家戰略層面。油氣管網作為國家能源供應的重要基礎設施，其ICS的安全性尤為關鍵。然而，隨著網絡技術的廣泛應用，ICS也面臨著日益嚴峻的網絡安全威脅，尤其是系統漏洞可能被惡意利用，導致嚴重的安全事故和經濟損失。因此，深入研究ICS漏洞的識別技術，對于保障油氣管網的安全運行具有極其重要的意義。

為了加強ICS漏洞的安全，國家相關部門正在大力推進相關工作，強調ICS安全的重要性，并提出需要進一步完善ICS安全的管理體制。同時，這些部門積極部署ICS安全保障工作，并從政策、技術以及相關規范等多個方面進行深入研究和完善。這些措施的實施，對于提升油氣管網ICS的安全性、保障國家關鍵基礎設施的穩定運行和國家安全具有重要意義。我國在2017年和2019年先后發布了一系列文件，規范了網絡治理，旨在構建一個更加健全和高效的ICS安全管理體系^[6]。隨著工業4.0和智能制造的發展，工控系統在油氣管網中的應用將更加廣泛和深入，這不僅要求我們對現有的工控系統進行安全升級，還需要對未來可能出現的新技術、新威脅進行預判和準備。同時，工控系統的安全防護也需要考慮到國際合作的重要性。在全球化的背景下，能源供應鏈的安全性不僅受到國內因素的影響，還受到國際政治、經濟和技術的影響。因此，加強與國際社會的合作，共享安全情報，共同應對跨國網絡威脅，對于保障油氣管網工控系統的安全同樣至關重要。總之，中國正處于工業化與信息化深度融合、實現轉型的關鍵時期，在這一進程中，工業控制系統的安全問題日益凸顯，帶來了前所未有的挑戰。油氣管網工控系統的安全問題尤為突出，需要從技術、管理等多個層面進行綜合施策，以確保國家能源安全和經濟的穩定發展。

4　漏洞識別技術現狀及發展態勢

信息技術的快速發展使這些系統成為網絡攻擊的目標，安全漏洞可能被惡意利用，導致嚴重后果。漏洞掃描技術在油氣管網工控系統中的應用尤為重要，它通過識別和修復潛在脆弱性，主動提高系統安全性。這一技術的發展，從基于規則的掃描到基于行為分析和自動化漏洞檢測，為油氣管網工控系統的安全防護提供了更多選擇和可能。盡管漏洞掃描技術為油氣管網工控系統提供了安全保障，但它也面臨著挑戰。工控系統的復雜性和特殊性要求漏洞掃描技術必須具備高度的適應性和精確性。同時，隨著攻擊手段的不斷進化，漏洞掃描技術也必須不斷更新以應對新的威脅。此外，考慮到系統的實時性和可靠性，漏洞掃描技術在掃描過程中不能影響系統的正常運行。隨著技術的不斷進步和創新，漏洞掃描技術有望為油氣管網工控系統的安全防護提供更加堅實的保障。

4.1　網絡流量分類

在油氣管網工控系統的網絡安全領域，網絡流量分類是核心任務，它對于數據管理、攻擊識別和系統安全至關重要。網絡流量分類方法主要包括四種：基于端口、深度包檢測、協議解析和機器學習。每種方法都有其優勢和適用場景，它們共同構成網絡安全防護的基礎^[7~9]。

基于端口的方法簡單快速，依賴端口號區分流量，適用于實時性高的工控環境，但易受欺騙攻擊影響。深度包檢測通過分析數據包內容識別流量，準確性和安全性高，但計算資源需求大，可能影響實時性能。協議解析側重于協議特征分析，適應性強，但對協議變化敏感。機器學習通過訓練模型識別流量，適應性和泛化能力好，但需大量標注數據和高計算資源。

這些方法需根據實際安全需求、系統資源和環境條件綜合考慮。隨著技術進步和威脅演變，這些方法不斷融合創新，以適應油氣管網工控系統復雜的網絡安全需求。未來，網絡流量分類技術將更加智能化、自動化，實時響應新威脅，為油氣管網工控系統的穩定運行提供技術支撐。

4.2　惡意程序識別

惡意程序對網絡安全構成嚴峻挑戰，尤其在油氣管網工控系統中，安全漏洞可能導致供應中斷和環境災難。因此，開發有效的惡意程序識別技術至關重要。機器學習分類算法因其高效性和準確性成為主流選擇，它通過分析樣本數據訓練模型，為網絡安全提供防線。目前在惡意程序識別中應用較為廣泛的技術是單分類器和多分類器模型。單分類器模型結構簡單、運行高效，但在精確度和泛化能力上表現不佳，尤其是在面對復雜網絡威脅時。多分類器模型通過集成多個分類器輸出，可提高分類準確性和泛化能力，從多角度審視問題，提高了識別可靠性^[10、11]。

多分類器模型通過集成學習從復雜數據集中提取特征，提升識別能力，尤其在油氣管網工控系統中，需處理不同設備、協議、網絡環境的海量數據。其適應性和魯棒性使其在處理多樣化和演變的惡意程序時展現出更強的應對能力。該模型需高效率和高準確性，以保護分布在廣闊地理區域的系統。多分類器模型通過集成多個分類器提高識別率，減少誤報和漏報，對保護油氣管網安全運行至關重要。此外，其能適應不斷變化的網絡威脅環境，可通過集成不同學習算法捕捉變化，提高了對新型惡意程序的識別能力。這種模型的靈活性和可擴展性使其能隨著網絡安全威脅的變化而進化，保持領先地位。在油氣管網工控系統中，多分類器模型可與其他安全措施結合，形成多層次防御體系，提高系統安全性。隨著技術進步和網絡威脅演變，多分類器模型將在保護油氣管網免受惡意程序侵害方面發揮關鍵作用。

4.3　漏洞數據庫

漏洞數據庫^[12~16]的研究對于識別和防御網絡攻擊具有重大意義，它們分為公開和私有兩種，積累了豐富的信息資源，是網絡安全防御體系的重要組成部分。公開數據庫如CVE和NVD為全球網絡安全社區提供共享平臺，而私有數據庫則包含敏感或專有漏洞信息，對保護內部網絡和系統至關重要。這些數據庫收集、篩選漏洞信息，提供專家建議、補丁程序和檢測腳本，對油氣管網工控系統安全維護至關重要。

盡管取得了進展，但目前尚未形成全面覆蓋網絡流量的漏洞攻擊數據庫，尤其在油氣管網工控系統領域。這一領域的特殊性，包括對實時性、可靠性的高要求和系統組件的多樣性、復雜性，使得構建全面、精確的漏洞數據庫對提高油氣管網網絡安全防護能力具有重要意義。技術進步推動了漏洞數據庫領域的快速發展，官方組織和互聯網安全企業積極研究開發相關技術，提高了漏洞識別的準確性和效率，為油氣管網工控系統的安全防護提供了新的解決方案。油氣管網工控系統正變得更加智能化和互聯化，也帶來了新的安全挑戰。因此，漏洞數據庫的研究和應用必須與時俱進，以適應新的技術環境和安全需求。通過加強技術研發等措施，共同提高油氣管網工控系統的網絡安全防護能力。

5　分析及展望

工控安全是工業控制系統穩定運行的基礎，其安全直接關聯國家能源安全和經濟穩定。油氣管網工控系統包含傳感器、執行器、PLC等設備，通過通信協議連接，形成復雜網絡。然而，當前漏洞掃描技術存在不足，特別是在主動探測風險、工業協議分析覆蓋范圍和工控系統漏洞掃描模型研究方面。主動探測可能加重設備負擔，私有協議研究不足，且漏洞掃描器缺乏多樣性和精確性。因此，研究更安全的探測技術、深化工業協議研究和開發全面的漏洞掃描模型至關重要。這不僅可以提升油氣管網工控系統的安全性，也可以保障國家能源和經濟安全，具有戰略價值和緊迫性。

由于油氣管網工控系統不可間斷，傳統主動掃描方法不適用，需構建動態更新的漏洞信息庫，實現被動識別。當前技術如防火墻、入侵檢測等為信息庫建設提供基礎，同時要求防護技術適應新技術挑戰。油氣管網環境復雜，安全技術需可靠性、適應性和靈活性。實現全天候監測需實時發現和監測資產，實現工控系統可視化管理。動態漏洞信息庫是關鍵，它能及時發現安全威脅，并采取安全措施。《油氣管網設施公平開放監管辦法（試行）》要求油氣管網安全穩定供應，構建信息庫符合法規要求。在全球化背景下，油氣管網面臨跨國界安全挑戰，需與國際標準接軌。構建動態更新的漏洞信息庫，提升信息安全防護水平，不僅對保障國家能源安全、滿足法規要求至關重要，也為國家能源戰略和經濟發展提供了保障。

★基金項目：國家重點研發計劃（2023YFB3107700），遼寧省自然科學基金(2023JH1/104000760)。

作者簡介

王天宇（1990-），男，遼寧沈陽人，副研究員，博士，現就職于中國科學院沈陽自動化研究所機器人學國家重點實驗室、中國科學院網絡化控制系統重點實驗室，主要從事工控安全、工業物聯網、復雜網絡分析方面的研究。

趙　嬌（1987-），女，遼寧沈陽人，講師，現就職于沈陽職業技術學院工商管理學院，主要從事大數據分析方面的研究。

王銘浩（1994-），男，吉林長春人，工程師，學士，現就職于沈陽智能機器人國家研究院有限公司，主要從事工業互聯網、工業信息安全方面的研究。

張博文（1994-），男，遼寧沈陽人，工程師，碩士，現就職于中國科學院沈陽自動化研究所中國科學院網絡化控制系統重點實驗室，主要從事工控安全、人工智能方面的研究。

參考文獻：

[1] 魏國富. 長輸油氣管道SCADA系統信息安全問題探討[J]. 科技創新與應用, 2014 (36) : 2.

[2] 李欣嶸, 郭亮, 朱同, 等. 油氣管道工控系統網絡性能提升與隔離防護[J].油氣田地面工程, 2022, 41 (10) : 51 - 58.

[3] 尚文利, 王天宇, 曹忠, 等. 工業測控設備內生信息安全技術研究綜述[J]. 信息與控制, 2022, 51 (1) : 1 - 11.

[4] 張依夢譯. 國防工業基礎網絡安全戰略(譯文)[J]. 信息安全與通信保密, 2024 (4) : 37 - 46.

[5] Bossong, Raphael. The European Programme for the protection of critical infrastructures-meta-governing a new security problem?[J]. European Security, 2014,23 (2) : 210 - 226.

[6] 劉徐州, 崔堯. 網絡治理的主要成就與未來趨勢[J]. 網絡傳播, 2018 (8) : 3.

[7] Wang Z. The Application of Deep Learning on Traffic Identification[J]. 2015.

[8] Wang W, Zhu M, Wang J, et al. End-to-end encrypted traffic classification with one-dimensional convolution neural networks [C]//IEEE InternationalConference on Intelligence and Security Informatics (ISI), IEEE, 2017.

[9] Wang W, Zhu M, Zeng X, et al. Malware traffic classification using convolutional neural network for representation learning[C]//International Conference onInformation Networking (ICOIN), IEEE, 2017.

[10] Hwang R H, Peng M C, Huang C W. Detecting IoT Malicious Traffic Based on Autoencoder and Convolutional Neural Network[C]//2019 IEEE GlobecomWorkshops (GC Wkshps), IEEE, 2020.

[11] Bensaoud A, Kalita J. CNN-LSTM and transfer learning models for malware classification based on opcodes and API calls[J]. Knowledge-based systems,2024, 290: 111543.

[12] 美國國家漏洞數據庫 NVD[EB/OL].

[13] 通用漏洞披露 CVE[EB/OL].

[14] 中國通用漏洞披露 CNCVE[EB/OL].  

[15] 中國國家信息安全漏洞庫 CNNVD[EB/OL].  

[16] 國家信息安全漏洞共享平臺 CNVD[EB/OL].

摘自《自動化博覽》2025年1月刊