天然气管道工控系统安全防护问题不容小觑

时间:2021-08-06 11:33 来源:《石油与装备》8月 作者:姜勇


习总书记说过:“要树立正确的网络安全观”,因为工业控制系统已成为当今天然气管道行业的关键基础,随着近年来管道建设大发展, 截至2020年底,中国长输油气管道总里程达到16.5万公里,城市天然气管网总里程76.79万公里,天然气管道已经承担起国计民生的主要能源保供任务,天然气管道调度生产运行管理业务也在升级,随着智慧管道、智慧燃气、智慧无人值守站的普及,依托工业控制系统(SCADA等)等高科技应用手段,调控中心监控系统和集控中心内众多子系统相连,网络覆盖面广,工控网络安全问题越来越突出。其安全性也变得日益重要,所产生的网络安全风险及网络安全管理问题也日益突出。特别是一些需要集中控制的关键区域,工控网络安全问题关乎人身安全、生产安全、财产安全等多方面,需要引起足够的重视并在正确的网络安全观指导下开展工作。
 
2021年5月7日,美国最大的油气管道系统科洛尼尔管道公司(Colonial Pipeline)遭到了网络攻击,随即美国17个州以及哥伦比亚特区都进入了“紧急状态”。部分美国城市的油价更是大涨10%。能源价格承压,网络安全监管等级提升等潜在因素,也让各大科技巨头股价受挫。当天,美国科技五巨头组成的“FAAMG”概念股纷纷下跌超2%,累计蒸发市值2633亿美元,约合1.7万亿人民币。由此可见能源行业的工控网络安全牵一发而动全身。
 
现存常见的安全问题
 
当前,调控中心一般都基于 SCADA 系统完成对天然气管网的统一监视、控制和调度管理。SCADA系统是由调度控制中心主计算机与多套分布在各站场的远程终端相连构成的系统。由于工业控制系统资源有限,与物理世界存在交互关系,对稳定性、可用性和实时性要求极高,生命周期长等问题,都有可能导致企业无法将成熟的IT信息安全技术直接应用于工业控制系统的信息安全保护中去,故产生了以下几处安全风险。

天然气管道(含城市燃气管道——目前全国城市燃气管网97%都使用管道天然气了,很少使用煤制气的)智能集中调控带来的安全风险问题。开展集中调控的工作过程中,通常需要进行生产过程的实时数据采集和系统控制,天然气公司会通过逻辑隔离的方式实现工业控制系统与企业管理系统之间的连接和数据交换,有时系统间还需要集成。企业管理网和工业控制网之间、工业控制网络区域间如果没有进行有效的分区、隔离、异常监测、访问控制等防护措施,很容易造成一点发生病毒或攻击,影响全部工控系统甚至整个企业网络。

 天然气生产设备(设施)维修时笔记本电脑接入问题。工业控制系统进行运行维护时经常会接入笔记本电脑,没有达到一定安全基线的笔记本接入工业控制系统(SCADA)后会有很大的安全隐患。第三方外来工作人员在运维生产系统控制设备时可能会造成重要数据信息的泄露,可能对能源公司甚至是国家能源安全造成巨大损失。并且,相关人员的操作没有进行网络安全审计记录,一旦发生安全事件后很难取证。

使用U盘、光盘导致病毒传播问题。SCADA等工控系统中的管理终端一般都没有技术措施进行外设的有效管理,U盘和光盘的无序使用会引发开发工作站、监控工作站等设备被感染病毒或恶意代码,进而严重影响生产的产量、质量及效率。

操作系统的安全漏洞问题。目前大多数工业控制系统的工程师站、操作站、HMI都是Windows操作系统,考虑到工控软件与操作系统补丁的兼容性问题,工控系统开车后基本上不会对操作系统安装任何补丁,操作系统存在的漏洞不能及时弥补,容易被攻击。

杀毒软件安装及升级更新问题。为了保证工控软件的可用性,许多工控系统操作站通常不会安装杀毒软件。即使安装了杀毒软件,在使用过程中也基本不会进行更新,因为有些更新可能会违反控制系统的设定规则,造成控制系统无法正常运行。所以,工业控制系统抵御外界攻击的能力较弱。

缺少完备的工业控制系统的安全管理制度和流程,使得部分操作人员不按规范执行导致相关安全问题发生及影响生产质量;对于第三方外来人员未设置严格的管理规范,可能会被第三方人员盗取公司设备和产品的机密信息,或是第三方人员误操作导致损失;未针对工业控制系统建立统一的应急响应机制,使得发生问题后不能在最短时间内响应处理。
 
安全防范体系等级不足
 
除了上述安全风险,在目前的安全防范体系方面,工控系统集控中心往往还存在如下的系统性安全隐患。

调控中心网各局域网之间的隔离不明晰,网络的互联和相对开放使各局域网承受着来自外界所有可能存在的安全威胁,如地址欺骗、连接盗用、服务拒绝或恶意扫描等,很可能影响到安全生产的进行。

调控中心网中没有数据传输安全的考虑,各级网络之间每天都有频繁的控制和业务数据传输,以明文形式传播,没有经过任何的保护措施,外部入侵者在线路中很容易窃取和篡改,可能造成控制错误和企业无形资产的严重流失。

生产网络内部访问控制力度不够,对于访问局域网的内部成员用户进行访问控制不够,构成企业内部的安全风险。对网络内部各专业系统之间必要的信息交换与共享没有统一的用户身份和访问权限管理机制。

缺少安全监控手段,生产网络不仅要采取被动防御策略,更要主动侦查网络中的可疑操作,防患于未然也是必须的。即在不影响系统正常运行、不改变系统连接拓扑的情况下,通过相应的监控系统,完成系统运行中相关的安全数据采集、故障预警和报警以及数据分析等等保定级级别太低,公安部发布有《GA1166-2014石油天然气管道系统风险等级和安全防范要求》的标准,但因为是从国家管网主干线油气管道角度设计的,众多民营城市燃气公司就认为自己不属于“石油天然气管道系统”,人为自我降低防范要求。
 
许多民营燃气公司调控中心(调度值班室)压根不做等保定级(有的民营燃气公司很小,就是个县区的燃气公司,认为自己不重要所以不愿意花钱做),即使做也为了省事(等保三级一年复评一次、等保二级两年复评一次),绝大部分民营燃气公司调控中心调度系统(SCADA系统)都人为故意定底到等保二级,国内各油气调控中心已参与等保评测的目前最高仅被评定为三级,反观国家电网调控中心等保评级为四级,但按照最高级五级标准投资防护建设,这直接导致城市燃气调控中心工控网络安全防护建设力度不够、投资不够、重视不够,因为定级底起点低,工控网络安全防护技术研发和实践应用都不到位。
 
解决方案的构想
 
建立工控信息安全管理平台,对95%以上的信息安全防护设备以及网络交换机、操作员工作站、开发工作站等设备,并实时收集工控网络信息安全相关信息,单体可扩展管理20000个网络设备。建立用户终端的基于网络的业务访问关系,形成业务访问规则,包括:网络访问路径、业务流量基线、业务安全指令集、漏洞库、资产库等元素。并且系统支持规则自学习功能,可扩展支持40000条规则的定义和管理。

 

工业控制系统服务器集群的安全防护,主要针对工业控制系统服务器进行安全防护,抵御来自工控网与现场场站及运维管理区域连接的一切风险,隔离对不合法的一切连接,阻止非法入侵与攻击。对服务器访问进行控制,明确访问的目的地址与源地址,防止非法访问,在连接生产网的每一套工业控制系统服务器集群前面,部署工业防火墙。

网络安全检测,部署工控异常检测设备,对网络内部进行异常监测。防止网络边界不清晰使病毒进入工业控制系统网络中,并且及时发现网络异常行为。

系统主机安全防护,对工业控制系统系统的开发主机、运维主机、监控主机进行安全防护,主要是对工作站主机进行保护,部署终端防护设备,针对一些孤立的或者在很小范围内实现网络互联的一些工控系统主机进行保护。对工控系统的所有网络设备、主机设备、中间件等进行基准的安全要求核查。

系统运维过程审计,通过在现有账号密码增加动态密码防护,保护账号安全;部署运维审计网关(堡垒机),实现对运维操作进行控制和审计。实现自然人对资源的统一授权,同时,对授权人员的运维操作进行记录、分析、展现。

按照等级保护安全技术设计要求,建立工业控制信息安全管理平台。

建立工控安全管理制度规范,按照国际SP800-82标准和国家等级保护标准,本次项目在完成技术防护措施基础上,建立安全管理制度,制度从组织人员、物理及环境、应急预案、运维管理几个方面保障在制度层面对工控系统有完整的保护措施。
 
殷鉴不远,在夏之后世,通过这次美国油气管道控制系统遭受网络攻击的教训,我们必须提高重视程度,通过各种安全解决方案的实施和升级管理,有助于各类调控中心(调度室)工控系统安全防护能力提升,有效抵御网络威胁对重要油气基础设施的破坏,也是为了国家能源安全和民生保供。这也正是习总书记所说的:“网络安全要依靠人民,维护网络安全是全社会共同责任,需要政府、企业、社会组织、广大网民共同参与,共筑网络安全防线”。
战略合作
战略合作 全球石油化工网 世伟洛克 北京石油展 API 斯伦贝谢