今日頭條
官方微信
官方抖音
案例頻道★孔令武 北京珞安科技有限責任公司
★劉雄源,劉琰祥,黎唐宇 國家石油天然氣管網集團有限公司華南分公司
★吳金寶,劉堯昌 北京珞安科技有限責任公司
關鍵詞:工控安全;網絡邊界隔離;日志監測審計;主機安全加固;安全管理中心
1 引言
在全球能源格局中,長輸油氣管網作為能源輸送的關鍵動脈,其安全穩定運行對國家能源安全、經濟發展和社會穩定起著至關重要的作用。隨著信息技術的迅猛發展,長輸油氣管網加速了數字化轉型。工控系統在提升運營效率的同時,也面臨著前所未有的網絡安全挑戰。構建穩固且高效的工控安全防護體系,已然成為保障長輸油氣管網安全運行的核心任務。
2 長輸油氣管網的戰略意義與安全現狀
2.1 戰略意義
作為國家能源體系的核心組成部分,長輸油氣管網猶如“工業的生命線”,連接著油氣資源的生產地與消費市場,跨越廣袤地域,編織成龐大而復雜的能源輸送網絡。其不僅為工業生產提供了持續穩定的能源供應,支撐了國民經濟的高速發展,而且在保障居民日常生活能源需求方面發揮著不可或缺的作用。從宏觀層面看,長輸油氣管網的安全穩定運行是國家能源戰略布局得以順利實施的關鍵保障,對維護國家能源安全、推動區域經濟協調發展以及確保社會穩定具有深遠的戰略意義。
2.2 安全現狀
在數字化轉型進程中,工控系統從傳統的孤立封閉狀態逐步向互聯互通轉變,這一過程雖帶來了數據共享和協同作業的便利,但也顯著增加了網絡安全風險暴露面。一方面,網絡接入點的增多和數據交互的頻繁為網絡攻擊者提供了更多可乘之機;另一方面,由于安全防護措施未能及時跟上技術發展步伐,導致網絡安全規范缺失、應急處置能力薄弱,使得長輸油氣管網在面對日益復雜多變的網絡攻擊時顯得頗為脆弱,安全形勢極為嚴峻。
3 風險剖析:明確全面安全防護體系構建的關鍵需求
典型油氣管網調度系統架構,如圖1所示。
圖1 典型油氣管網調度系統架構
(1)網絡邊界風險
長輸油氣管網的分控中心與各站場共同構成復雜且廣泛分布的網絡架構。隨著數字化進程的推進,網絡邊界的不確定性增加,若缺乏有效的安全域劃分及隔離防護機制,外部惡意網絡活動可能突破邊界防線,導致網絡入侵事件發生,進而對管網運行安全構成潛在威脅,影響整體能源輸送的穩定性。
(2)網絡安全審計風險
網絡流量的實時監測與審計對于及時發現潛在安全威脅至關重要。在數據大量交互的情況下,若分控中心和各站場缺乏完善的安全流量審計措施,異常流量、違規操作或入侵行為可能隱藏于海量數據中,無法及時被察覺并記錄相關事件,從而錯失在早期階段識別和應對安全風險的時機,增加安全事件潛在影響范圍及后續處理難度。
(3)主機安全風險
主機和服務器作為長輸油氣管網工控系統的核心設備,承載著關鍵業務運行。不同操作系統(如Windows、Linux等)的多樣化環境以及不斷更新的軟件應用,使得主機面臨復雜的安全挑戰。若缺乏全面的終端安全防護措施,尤其是在內核級進程防護與外聯設備安全管控方面存在不足,惡意軟件可能利用系統漏洞入侵,非法訪問可能竊取關鍵數據,進而對關鍵業務的連續性和數據完整性構成挑戰。
(4)業務安全風險
在長輸油氣管網的日常工作中,U盤常被用于資料交互,U盤的廣泛使用帶來了諸多安全隱患。例如,U盤可能在不同設備間隨意插拔,容易感染病毒或惡意軟件,一旦接入工控系統,這些惡意程序可能迅速傳播,感染關鍵業務設備,導致系統故障或數據泄露。惡意人員可能利用U盤輕易竊取敏感數據,且事后難以追蹤數據流向和責任人,給企業帶來聲譽損失和法律風險。
(5)運維安全風險
長輸油氣管網中的生產自動化設備眾多,且第三方運維在設備維護中較為常見。在此情況下,運維過程中的人員、設備和網絡交互頻繁,若缺乏對被運維設備的實時保護以及對運維權限和操作過程的有效管控,惡意代碼可能通過運維路徑傳播,進而增加整個管網系統遭受安全攻擊的風險,影響生產系統的正常運行。
(6)集中安全管理風險
鑒于長輸油氣管網站場地理位置分散的特點,在遠程管理網絡安全設備時,若無法在分控中心實現對各站場網絡安全設備的統一管理,安全策略可能無法及時更新和協同一致,運維成本將增加,安全防護效率將降低,進而使整個管網系統在面對復雜多變的安全威脅時難以形成有效的整體防御能力。
(7)安全態勢感知風險
在動態變化的網絡安全環境中,網絡威脅不斷演進且具有隱蔽性。若無法從宏觀層面通過多維度關聯分析各站場及分控中心的安全數據,及時把握網絡安全態勢,將難以預測潛在安全趨勢,可能導致在面對安全威脅時無法提前做出有效的應對策略,使管網系統處于被動防御狀態,增加安全事件發生的不確定性和潛在損失。
4 防護實踐:全方位構建安全防護體系
根據工控網絡等保定級要求及業務需要,調度/分控中心被定級為三級,站場被定級為二級。為配合《網絡安全法》的實施和落地,并落實國家網絡安全等級保護2.0制度,根據《信息安全技術網絡安全等級保護基本要求》《油氣管網工業控制系統網絡安全防護技術規范》等要求,從安全物理環境、安全通信網絡、安全區域邊界、安全計算環境、安全管理中心等方面進行工控系統網絡安全建設。如圖2所示,總體設計如下:
圖2 全方位構建安全防護體系
(1)安全區域邊界防護
基于長輸油氣管網生產系統的業務邏輯和功能特性,進行科學合理的安全域劃分是構建穩固邊界防護的基礎。在分控中心出口路由器以及各站場出口路由器位置,部署具備VPN功能的工業防火墻。防火墻配置精細的訪問控制策略,嚴格限制外部網絡對內部系統的訪問,同時確保內部網絡之間的安全通信。通過這種方式,有效阻止未經授權的訪問嘗試和惡意網絡攻擊,為長輸油氣管網的安全運行構建起堅實可靠的第一道防線。
(2)安全監測審計體系
在分控中心核心交換機和各站場匯聚交換機處,采用旁路部署工控安全審計系統。該系統具備實時監控人員操作行為的能力,可對網絡中的安全事件進行即時審計和告警。該系統通過深入分析網絡流量數據,能夠精準識別異常操作模式、違規操作行為以及潛在的入侵跡象,并及時發出警報。同時,系統詳細記錄所有安全相關事件,可為后續的安全事件調查和溯源提供準確、完整的數據支持,從而有效增強長輸油氣管網系統的可追溯性和安全性。
(3)主機安全加固策略
在分控中心和各站場的主機及服務器內部,部署專業的主機安全加固系統。該系統綜合運用多種先進技術手段,包括嚴格的身份認證機制、全面的應用防護功能、精細的外設防護策略、嚴格的文件防護措施以及針對性的安全策略加固。通過這些技術措施,從系統內核層面保障終端設備的安全性,有效防止惡意進程的運行和數據泄露風險,顯著提升主機系統的穩定性和抗攻擊能力,確保長輸油氣管網關鍵業務的持續穩定運行。
(4)業務安全管控措施
在分控中心和各站場相關的業務區域部署USB安全管理系統,U盤接入需要經過認證、授權、殺毒、審計,并采用白名單+黑名單機制,內置的文件類型白名單和殺毒引擎能夠有效地阻止未知病毒文件對數據中心系統造成的潛在威脅。上述舉措滿足工業控制系統裝置現場對于移動存儲設備安全訪問的嚴格要求。同時,與主機安全加固系統安全策略組合,對所有主機和服務中空閑的USB端口都通過安全策略實現邏輯封堵,以防止未經授權的設備接入。
(5)運維安全管控機制
在分控中心部署專門的運維安全審計系統,實現對運維賬號的集中管理、細粒度的訪問權限分配以及全面的操作審計功能。通過集中管理運維賬號,確保賬號的安全性和可追溯性;借助細粒度訪問權限分配,嚴格限制運維人員的操作范圍,防止越權操作;通過操作審計功能,對運維人員的所有操作進行詳細記錄和實時監控。這種全方位的運維安全管控機制,能夠有效規范運維操作流程,確保運維過程的安全性,防止因運維操作不當或惡意行為引發的安全事故,從而保障生產自動化設備的穩定可靠運行。
(6)安全管理中心建設
在分控中心構建安全管理中心,并部署工控集中安全管理系統。該系統具備對各站場安全設備進行全面集中化管理的能力,包括設備的注冊、配置管理、狀態監測、策略管理以及配置的統一下發。同時,安全管理中心能夠實時采集、存儲和處理各站場安全設備產生的安全數據,通過數據分析為安全決策提供有力支持。通過建設安全管理中心,提高安全管理的效率和協同性,確保整個長輸油氣管網安全防護體系的高效、有序運行。
在分控中心安全管理中心交換機處和各站場核心交換機處,采用旁路部署方式設置日志審計與分析系統,用于對業務系統、服務器、網絡設備、安全設備、操作系統、數據庫等相關系統日志、運行日志、告警日志進行集中采集和分析。通過大數據分析與搜索技術,對海量日志進行關聯分析,實現安全事件溯源,協助運維人員進行安全監視、審計追蹤、調查取證等操作。
(7)安全態勢感知平臺搭建
在分控中心設立安全管理中心的基礎上,部署先進的工業安全管理與態勢分析系統。該系統具備強大的數據處理能力,能夠對來自各站場及分控中心的海量安全數據進行深度關聯分析。利用大數據融合可視化技術,將復雜的安全態勢以直觀、易懂的方式實時展示給安全管理人員。通過對安全趨勢的精準預測和及時預警,為決策層提供準確、及時的安全信息,助力其制定前瞻性的安全決策和快速響應機制,從而有效提升長輸油氣管網應對網絡安全威脅的整體能力。
5 結論與展望
通過在多個長輸油氣管網項目中的實際應用,上述綜合安全防護體系方案取得了顯著的實踐成果。在實際運行過程中,該解決方案多次成功抵御了來自外部的網絡攻擊,有效降低了安全事件的發生率,顯著提升了長輸油氣管網系統的整體安全性和穩定性。同時,該解決方案的實施優化了安全業務管理流程,提高了安全業務管理效率,降低了安全業務成本,為長輸油氣管網企業的安全生產和可持續發展提供了堅實有力的支撐。
長輸油氣管網工控安全防護是一項長期而復雜的系統工程,其重要性關乎國家能源安全和經濟命脈。隨著信息技術的持續演進和網絡安全形勢的不斷變化,未來需要進一步加大在技術創新方面的投入,持續完善和優化安全防護體系,不斷提升安全防護能力。同時,應積極加強行業內的合作與交流,共同應對不斷涌現的新興安全威脅,為長輸油氣管網的安全穩定運行提供堅實保障,推動能源行業的數字化轉型和可持續發展邁向新的高度。
作者簡介
孔令武(1977-),男,四川成都人,碩士,現就職于北京珞安科技有限責任公司,主要從事工控安全、數據安全、應用安全及工業領域安全運營方面的研究。
劉雄源(1989-),男,廣東潮州人,學士,現就職于國家石油天然氣管網集團有限公司華南分公司,主要從事儀表自動化方面的研究。
劉琰祥(1991-),男,廣東韶關人,助理工程師,學士,現就職于國家石油天然氣管網集團有限公司華南分公司,主要從事工控網絡安全現狀及威脅與應對策略方面的研究。
黎唐宇(1991-),男,廣東佛山人,工程師,學士,現就職于國家石油天然氣管網集團有限公司華南分公司,主要從事工控系統及網絡安全管理與運維方面的研究。
吳金寶(1988-),男,福建泉州人,中級工程師,學士,現就職于北京珞安科技有限責任公司,主要從事工控網絡和數據安全方面的研究。
劉堯昌(1993-),男,廣東韶關人,中級工程師,學士,現就職于北京珞安科技有限責任公司,主要從事工業控制系統網絡與信息安全方面的研究。
參考文獻:
[1] GB/T22240-2020, 信息安全技術 網絡安全等級保護定級指南[S].
[2] GB/T22239-2019, 信息安全技術 網絡安全等級保護基本要求[S].
[3] 穆云婷, 王云龍, 任天曉, 等. 油氣長輸管道工業控制網絡安全風險與應對措施[J]. 網絡空間安全, 2021, 12 (Z1) .
[4] 高志斌, 張曲漢, 李欣嶸, 等. 基于等保2.0的油氣管道工業控制系統網絡安全防護方式探析[J]. 中國石油和化工標準與質量, 2020, 40 (13) : 151 - 152.
[5] 張翔宇, 路來順. 工業控制系統網絡安全分析與研究[J]. 網絡空間安全, 2019, 10 (5) .
摘自《自動化博覽》2025年1月刊
北京市公安局海淀分局備案號:11010802023656號