油氣長輸管道是我國國民經(jīng)濟的基礎,在促進國民經(jīng)濟和社會發(fā)展中具有重要地位和作用。在油氣、化工、儲運的數(shù)字化、智慧化發(fā)展趨勢下,工控系統(tǒng)逐漸從彼此孤立向數(shù)據(jù)互通、系統(tǒng)互聯(lián)的數(shù)字運營方向發(fā)展,網(wǎng)絡安全風險和隱患陡然加劇,給油化行業(yè)數(shù)字化、智慧化轉(zhuǎn)型帶來新的安全挑戰(zhàn)與風險。

二、需求分析

2.1標準合規(guī)性需求

長輸管道是主要運用站場自控系統(tǒng)、調(diào)度 SCADA 系統(tǒng)相結合,實現(xiàn)長輸管道的油氣輸送調(diào)度,在長輸管道智能化、智慧化的過程中要加快完成安全技術體系與管理體系的建設工作,使之符合《信息安全技術 網(wǎng)絡安全等級保護基本要求》(GB/T 22239-2019)、《信息安全技術信息系統(tǒng)密碼應用基本要求》(GB/T 39786-2021)、《工業(yè)控制系統(tǒng)信息安全防護指南》及油化行業(yè)網(wǎng)絡安全相關要求。

2.2業(yè)務安全性需求

從工控網(wǎng)絡與架構、分控、站場自身安全性需求進行如下分析:

長輸管道工控網(wǎng)絡與架構安全分析

長輸管道業(yè)務主要是站場自控系統(tǒng)、分控中心、主調(diào)控中心、備調(diào)控中心相互之間組成的工業(yè)控制網(wǎng)絡,涉及生產(chǎn)控制網(wǎng)、視頻監(jiān)控網(wǎng)、安全監(jiān)控網(wǎng)、無線網(wǎng)絡等。增壓站、輸配站、首站、末站等分別承載著不同的業(yè)務功能,由于系統(tǒng)繁多,大多長輸管道企業(yè)存在數(shù)據(jù)流向不清晰、隔離措施不完善、隔離強度不達標等問題,造成各網(wǎng)絡子域間及跨網(wǎng)交換非授權訪問風險以及病毒橫向傳播風險。

分控中心需求分析

由于長輸管道距離長,整體網(wǎng)絡規(guī)模相對龐雜,地域分布較廣,分控中心缺少對站控網(wǎng)絡統(tǒng)一的安全管理、監(jiān)控;缺少來自終端、網(wǎng)絡、存儲、網(wǎng)絡設備、安全設備各種報警事件的采集與分析。長輸管道場站中的工控系統(tǒng)上位機、服務器漏洞無處不在,長輸管道企業(yè)迫切需要對工控主機采取加固及病毒免疫等措施。

站場自控需求分析

站場的分控中心、主調(diào)控中心、備調(diào)控中心與站控形成了“全國一張網(wǎng)”,即“中心-站控-閥室-中心”通信關系,各類安全威脅不斷涌入控制系統(tǒng),而內(nèi)部缺少對工業(yè)流量監(jiān)測審計的手段,無法針對工控系統(tǒng)協(xié)議層面存在的惡意攻擊、異常流量進行審計,更無法對工控指令攻擊和控制參數(shù)篡改行為進行實時監(jiān)測和告警,大大增大[11]了網(wǎng)絡入侵的風險,最終導致安全生產(chǎn)事故的發(fā)生。

2.3新技術安全需求

在智能化、智慧管網(wǎng)的建設中,運用大數(shù)據(jù)、云計算、物聯(lián)網(wǎng)、5G 等現(xiàn)代信息技術手段,打造網(wǎng)格化管理信息中樞系統(tǒng) ,[2] 使得一些非法攻擊與入侵更容易進入長輸管道調(diào)度網(wǎng)絡,存在非法訪問、實時攻擊、APT 威脅的安全隱患。

三、方案實施

3.1方案體系架構

長輸管道運營企業(yè)工控安全體系依據(jù)國家法律法規(guī)、政策標準等打造可靠的安全技術體系、安全管理體系、仿真驗證體系、安全運營體系四大信息安全體系。

長輸管道工控安全體系架構圖

3.2產(chǎn)品部署說明

按照長輸管道生產(chǎn)系統(tǒng)的特點,遵循分層、分區(qū)、劃域的原則,按照“站場、增壓站、分控中心”劃分安全域,從“邊界、通信、計算環(huán)境”安全的角度對長輸管道運營業(yè)務場景工控安全建設進行整體規(guī)劃設計。

長輸管道工控安全方案拓撲結構示意圖

3.2.1分控中心/場站/增壓站安全區(qū)域邊界

分別部署了安盟華御工業(yè)防火墻進行邏輯隔離,在數(shù)據(jù)轉(zhuǎn)換服務器邊界部署工業(yè)安全隔離裝置,安全管理中心邊界部署下一代防火墻,同時采用工業(yè)應用審計系統(tǒng)對分控中心、站場、首末站、增壓站等工控網(wǎng)絡中的全流量通信、操作行為、異常行為等進行審計及預警;通過部署入侵檢測系統(tǒng)實時監(jiān)測工控網(wǎng)絡異常流量,對異常的、入侵行為的數(shù)據(jù)進行監(jiān)測和報警。

3.2.2分控中心/場站/增壓站安全通訊網(wǎng)絡

針對長輸管道企業(yè)的實際安全需求,終端安全接入模塊與攝像頭、無線設備等物聯(lián)網(wǎng)設備進行融合安全設計。

3.2.3分控中心/場站/增壓站安全計算環(huán)境

在操作員站、工程師站、服務器等部署工控主機衛(wèi)士軟件或機甲衛(wèi)士系統(tǒng),對操作系統(tǒng)本身的安全加固,打造服務器本身的免疫系統(tǒng)。

在分控中心部署數(shù)據(jù)庫審計系統(tǒng),對數(shù)據(jù)庫訪問行為、數(shù)據(jù)庫風險操作、數(shù)據(jù)泄漏等進行精準識別與預警。

3.2.4分控中心/場站/增壓站安全管理中心

建設分控中心、站場、首末站、增壓站等安全管理中心,實現(xiàn)網(wǎng)絡準入控制、漏洞弱點發(fā)現(xiàn)、運維安全管控、日志審計、安全管理、態(tài)勢感知等系統(tǒng)功能。

3.2.5生產(chǎn)管理層

在分控中心到站場邊界部署工業(yè)防火墻進行邏輯隔離,并進行細粒度控制。

3.4工程交付

安盟信息工程服務團隊通過眾多長輸管道實踐案例,具備豐富的同類項目實施經(jīng)驗。在項目交付階段,安盟信息迅速成立工程項目組并制定項目章程,克服極寒型復雜環(huán)境的現(xiàn)場,以工程項目組為核心服務機構,依托安盟信息的安全服務體系,保證高質(zhì)量、短工期完成本項目的交付實施。滿足客戶對于項目快速交付的強烈需求。

四、用戶價值

4.1促進長輸管道智慧化發(fā)展

通過建設長輸管道運營業(yè)務工控安全保障體系,保障長輸管道運營業(yè)務系統(tǒng)安全、可靠運轉(zhuǎn),加速向“網(wǎng)格化運營、智能管道、智慧管網(wǎng)”邁進。

4.2構建長輸管道體系化安全

通過強化長輸管道調(diào)度網(wǎng)絡安全區(qū)域內(nèi)網(wǎng)絡、主機及數(shù)據(jù)的安全防護,確保長輸管道運營業(yè)務安全生產(chǎn)、可持續(xù)運營,構建網(wǎng)絡邊界安全、工控系統(tǒng)安全的縱深防護體系。

4.3提升長輸管道生產(chǎn)安全性

深度融合長輸管道運營企業(yè)生產(chǎn)環(huán)境中系統(tǒng)應用,為企業(yè)穩(wěn)定連續(xù)作業(yè),構建智能感知、智慧運營、智慧決策的運營體系提供可靠的安全保障。

4.4滿足標準合規(guī)性要求

符 合《信 息 安 全 技 術 網(wǎng) 絡 安 全 等 級 保 護 基 本 要 求》(GBT22239-2019)、《信息安全技術信息系統(tǒng)密碼應用基本要求》(GB/T 39786-2021)、《工業(yè)控制系統(tǒng)信息安全防護指南》等相關政策、標準及監(jiān)管要求。

安盟信息將憑借在工業(yè)互聯(lián)網(wǎng)安全、商用密碼應用與數(shù)據(jù)安全方面積累的經(jīng)驗,繼續(xù)深耕網(wǎng)絡安全技術防護措施、持續(xù)落實網(wǎng)絡安全制度,為油化企業(yè)數(shù)字化、智慧化轉(zhuǎn)型發(fā)展保駕護航!