油氣長輸管道是我國國民經濟的基礎,在促進國民經濟和社會發展中具有重要地位和作用。在油氣、化工、儲運的數字化、智慧化發展趨勢下,工控系統逐漸從彼此孤立向數據互通、系統互聯的數字運營方向發展,網絡安全風險和隱患陡然加劇,給油化行業數字化、智慧化轉型帶來新的安全挑戰與風險。

二、需求分析

2.1標準合規性需求

長輸管道是主要運用站場自控系統、調度 SCADA 系統相結合,實現長輸管道的油氣輸送調度,在長輸管道智能化、智慧化的過程中要加快完成安全技術體系與管理體系的建設工作,使之符合《信息安全技術 網絡安全等級保護基本要求》(GB/T 22239-2019)、《信息安全技術信息系統密碼應用基本要求》(GB/T 39786-2021)、《工業控制系統信息安全防護指南》及油化行業網絡安全相關要求。

2.2業務安全性需求

從工控網絡與架構、分控、站場自身安全性需求進行如下分析:

長輸管道工控網絡與架構安全分析

長輸管道業務主要是站場自控系統、分控中心、主調控中心、備調控中心相互之間組成的工業控制網絡,涉及生產控制網、視頻監控網、安全監控網、無線網絡等。增壓站、輸配站、首站、末站等分別承載著不同的業務功能,由于系統繁多,大多長輸管道企業存在數據流向不清晰、隔離措施不完善、隔離強度不達標等問題,造成各網絡子域間及跨網交換非授權訪問風險以及病毒橫向傳播風險。

分控中心需求分析

由于長輸管道距離長,整體網絡規模相對龐雜,地域分布較廣,分控中心缺少對站控網絡統一的安全管理、監控;缺少來自終端、網絡、存儲、網絡設備、安全設備各種報警事件的采集與分析。長輸管道場站中的工控系統上位機、服務器漏洞無處不在,長輸管道企業迫切需要對工控主機采取加固及病毒免疫等措施。

站場自控需求分析

站場的分控中心、主調控中心、備調控中心與站控形成了“全國一張網”,即“中心-站控-閥室-中心”通信關系,各類安全威脅不斷涌入控制系統,而內部缺少對工業流量監測審計的手段,無法針對工控系統協議層面存在的惡意攻擊、異常流量進行審計,更無法對工控指令攻擊和控制參數篡改行為進行實時監測和告警,大大增大[11]了網絡入侵的風險,最終導致安全生產事故的發生。

2.3新技術安全需求

在智能化、智慧管網的建設中,運用大數據、云計算、物聯網、5G 等現代信息技術手段,打造網格化管理信息中樞系統 ,[2] 使得一些非法攻擊與入侵更容易進入長輸管道調度網絡,存在非法訪問、實時攻擊、APT 威脅的安全隱患。

三、方案實施

3.1方案體系架構

長輸管道運營企業工控安全體系依據國家法律法規、政策標準等打造可靠的安全技術體系、安全管理體系、仿真驗證體系、安全運營體系四大信息安全體系。

長輸管道工控安全體系架構圖

3.2產品部署說明

按照長輸管道生產系統的特點,遵循分層、分區、劃域的原則,按照“站場、增壓站、分控中心”劃分安全域,從“邊界、通信、計算環境”安全的角度對長輸管道運營業務場景工控安全建設進行整體規劃設計。

長輸管道工控安全方案拓撲結構示意圖

3.2.1分控中心/場站/增壓站安全區域邊界

分別部署了安盟華御工業防火墻進行邏輯隔離,在數據轉換服務器邊界部署工業安全隔離裝置,安全管理中心邊界部署下一代防火墻,同時采用工業應用審計系統對分控中心、站場、首末站、增壓站等工控網絡中的全流量通信、操作行為、異常行為等進行審計及預警;通過部署入侵檢測系統實時監測工控網絡異常流量,對異常的、入侵行為的數據進行監測和報警。

3.2.2分控中心/場站/增壓站安全通訊網絡

針對長輸管道企業的實際安全需求,終端安全接入模塊與攝像頭、無線設備等物聯網設備進行融合安全設計。

3.2.3分控中心/場站/增壓站安全計算環境

在操作員站、工程師站、服務器等部署工控主機衛士軟件或機甲衛士系統,對操作系統本身的安全加固,打造服務器本身的免疫系統。

在分控中心部署數據庫審計系統,對數據庫訪問行為、數據庫風險操作、數據泄漏等進行精準識別與預警。

3.2.4分控中心/場站/增壓站安全管理中心

建設分控中心、站場、首末站、增壓站等安全管理中心,實現網絡準入控制、漏洞弱點發現、運維安全管控、日志審計、安全管理、態勢感知等系統功能。

3.2.5生產管理層

在分控中心到站場邊界部署工業防火墻進行邏輯隔離,并進行細粒度控制。

3.4工程交付

安盟信息工程服務團隊通過眾多長輸管道實踐案例,具備豐富的同類項目實施經驗。在項目交付階段,安盟信息迅速成立工程項目組并制定項目章程,克服極寒型復雜環境的現場,以工程項目組為核心服務機構,依托安盟信息的安全服務體系,保證高質量、短工期完成本項目的交付實施。滿足客戶對于項目快速交付的強烈需求。

四、用戶價值

4.1促進長輸管道智慧化發展

通過建設長輸管道運營業務工控安全保障體系,保障長輸管道運營業務系統安全、可靠運轉,加速向“網格化運營、智能管道、智慧管網”邁進。

4.2構建長輸管道體系化安全

通過強化長輸管道調度網絡安全區域內網絡、主機及數據的安全防護,確保長輸管道運營業務安全生產、可持續運營,構建網絡邊界安全、工控系統安全的縱深防護體系。

4.3提升長輸管道生產安全性

深度融合長輸管道運營企業生產環境中系統應用,為企業穩定連續作業,構建智能感知、智慧運營、智慧決策的運營體系提供可靠的安全保障。

4.4滿足標準合規性要求

符 合《信 息 安 全 技 術 網 絡 安 全 等 級 保 護 基 本 要 求》(GBT22239-2019)、《信息安全技術信息系統密碼應用基本要求》(GB/T 39786-2021)、《工業控制系統信息安全防護指南》等相關政策、標準及監管要求。

安盟信息將憑借在工業互聯網安全、商用密碼應用與數據安全方面積累的經驗,繼續深耕網絡安全技術防護措施、持續落實網絡安全制度,為油化企業數字化、智慧化轉型發展保駕護航!