安盟信息油气长输管道工控安全案例解析

一、背景说明

油气长输管道是我国国民经济的基础,在促进国民经济和社会发展中具有重要地位和作用。在油气、化工、储运的数字化、智慧化发展趋势下,工控系统逐渐从彼此孤立向数据互通、系统互联的数字运营方向发展,网络安全风险和隐患陡然加剧,给油化行业数字化、智慧化转型带来新的安全挑战与风险。

二、需求分析

2.1标准合规性需求

长输管道是主要运用站场自控系统、调度 SCADA 系统相结合,实现长输管道的油气输送调度,在长输管道智能化、智慧化的过程中要加快完成安全技术体系与管理体系的建设工作,使之符合《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)、《信息安全技术信息系统密码应用基本要求》(GB/T 39786-2021)、《工业控制系统信息安全防护指南》及油化行业网络安全相关要求。

2.2业务安全性需求

从工控网络与架构、分控、站场自身安全性需求进行如下分析:

长输管道工控网络与架构安全分析

长输管道业务主要是站场自控系统、分控中心、主调控中心、备调控中心相互之间组成的工业控制网络,涉及生产控制网、视频监控网、安全监控网、无线网络等。增压站、输配站、首站、末站等分别承载着不同的业务功能,由于系统繁多,大多长输管道企业存在数据流向不清晰、隔离措施不完善、隔离强度不达标等问题,造成各网络子域间及跨网交换非授权访问风险以及病毒横向传播风险。

分控中心需求分析

由于长输管道距离长,整体网络规模相对庞杂,地域分布较广,分控中心缺少对站控网络统一的安全管理、监控;缺少来自终端、网络、存储、网络设备、安全设备各种报警事件的采集与分析。长输管道场站中的工控系统上位机、服务器漏洞无处不在,长输管道企业迫切需要对工控主机采取加固及病毒免疫等措施。

站场自控需求分析

站场的分控中心、主调控中心、备调控中心与站控形成了“全国一张网”,即“中心-站控-阀室-中心”通信关系,各类安全威胁不断涌入控制系统,而内部缺少对工业流量监测审计的手段,无法针对工控系统协议层面存在的恶意攻击、异常流量进行审计,更无法对工控指令攻击和控制参数篡改行为进行实时监测和告警,大大增大[11]了网络入侵的风险,最终导致安全生产事故的发生。

2.3新技术安全需求

在智能化、智慧管网的建设中,运用大数据、云计算、物联网、5G 等现代信息技术手段,打造网格化管理信息中枢系统 ,[2] 使得一些非法攻击与入侵更容易进入长输管道调度网络,存在非法访问、实时攻击、APT 威胁的安全隐患。

三、方案实施

3.1方案体系架构

长输管道运营企业工控安全体系依据国家法律法规、政策标准等打造可靠的安全技术体系、安全管理体系、仿真验证体系、安全运营体系四大信息安全体系。

长输管道工控安全体系架构图

3.2产品部署说明

按照长输管道生产系统的特点,遵循分层、分区、划域的原则,按照“站场、增压站、分控中心”划分安全域,从“边界、通信、计算环境”安全的角度对长输管道运营业务场景工控安全建设进行整体规划设计。

长输管道工控安全方案拓扑结构示意图

3.2.1分控中心/场站/增压站安全区域边界

分别部署了安盟华御工业防火墙进行逻辑隔离,在数据转换服务器边界部署工业安全隔离装置,安全管理中心边界部署下一代防火墙,同时采用工业应用审计系统对分控中心、站场、首末站、增压站等工控网络中的全流量通信、操作行为、异常行为等进行审计及预警;通过部署入侵检测系统实时监测工控网络异常流量,对异常的、入侵行为的数据进行监测和报警。

3.2.2分控中心/场站/增压站安全通讯网络

针对长输管道企业的实际安全需求,终端安全接入模块与摄像头、无线设备等物联网设备进行融合安全设计。

3.2.3分控中心/场站/增压站安全计算环境

在操作员站、工程师站、服务器等部署工控主机卫士软件或机甲卫士系统,对操作系统本身的安全加固,打造服务器本身的免疫系统。

在分控中心部署数据库审计系统,对数据库访问行为、数据库风险操作、数据泄漏等进行精准识别与预警。

3.2.4分控中心/场站/增压站安全管理中心

建设分控中心、站场、首末站、增压站等安全管理中心,实现网络准入控制、漏洞弱点发现、运维安全管控、日志审计、安全管理、态势感知等系统功能。

3.2.5生产管理层

在分控中心到站场边界部署工业防火墙进行逻辑隔离,并进行细粒度控制。

3.4工程交付

安盟信息工程服务团队通过众多长输管道实践案例,具备丰富的同类项目实施经验。在项目交付阶段,安盟信息迅速成立工程项目组并制定项目章程,克服极寒型复杂环境的现场,以工程项目组为核心服务机构,依托安盟信息的安全服务体系,保证高质量、短工期完成本项目的交付实施。满足客户对于项目快速交付的强烈需求。

四、用户价值

4.1促进长输管道智慧化发展

通过建设长输管道运营业务工控安全保障体系,保障长输管道运营业务系统安全、可靠运转,加速向“网格化运营、智能管道、智慧管网”迈进。

4.2构建长输管道体系化安全

通过强化长输管道调度网络安全区域内网络、主机及数据的安全防护,确保长输管道运营业务安全生产、可持续运营,构建网络边界安全、工控系统安全的纵深防护体系。

4.3提升长输管道生产安全性

深度融合长输管道运营企业生产环境中系统应用,为企业稳定连续作业,构建智能感知、智慧运营、智慧决策的运营体系提供可靠的安全保障。

4.4满足标准合规性要求

符 合《信 息 安 全 技 术 网 络 安 全 等 级 保 护 基 本 要 求》(GBT22239-2019)、《信息安全技术信息系统密码应用基本要求》(GB/T 39786-2021)、《工业控制系统信息安全防护指南》等相关政策、标准及监管要求。

安盟信息将凭借在工业互联网安全、商用密码应用与数据安全方面积累的经验,继续深耕网络安全技术防护措施、持续落实网络安全制度,为油化企业数字化、智慧化转型发展保驾护航!