據(jù)報(bào)道,當(dāng)?shù)貢r(shí)間5月7日,美國最大成品油輸送管道運(yùn)營商Colonial Pipeline遭黑客勒索軟件攻擊,被迫全面暫停運(yùn)營。
隨著信息化、自動(dòng)化、數(shù)字化在油氣管道和城市燃?xì)庑袠I(yè)中的加速發(fā)展應(yīng)用,我國油氣管道和城市燃?xì)庑袠I(yè)普遍采用了高度自動(dòng)化的生產(chǎn)技術(shù)裝備和高度信息化的運(yùn)營管理手段,極大提升了調(diào)度生產(chǎn)運(yùn)行效率。在此過程中,涉及很多新技術(shù)、新業(yè)務(wù)、新模式,生產(chǎn)數(shù)據(jù)、技術(shù)參數(shù)、傳輸信號等數(shù)據(jù)資源共享也越來越深入,工控系統(tǒng)越來越開放。
然而,我國油氣管道和城燃行業(yè)尚未針對工控系統(tǒng)及時(shí)建立完善的工控安全保障體系,部署工控安全系統(tǒng),安全防護(hù)措施相對滯后,造成企業(yè)自身缺失網(wǎng)絡(luò)安全規(guī)范,缺少足夠的安全事件應(yīng)急處置能力,導(dǎo)致石油化工行業(yè)工控系統(tǒng)信息安全問題突出,能源行業(yè)面臨的安全形勢愈發(fā)嚴(yán)峻。
工控系統(tǒng)網(wǎng)絡(luò)安全加固不容忽視
截至2020年底,中國油氣管道總里程達(dá)到16.5萬公里,其中長輸天然氣管道里程全球排名第四,城市天然氣管網(wǎng)總里程76.79萬公里,管道運(yùn)輸承擔(dān)了80%以上的油氣運(yùn)輸任務(wù)。工控網(wǎng)絡(luò)安全防范方面出現(xiàn)嚴(yán)重問題極有可能引發(fā)全國性油氣管網(wǎng)和城市燃?xì)夤芫W(wǎng)大癱瘓。
目前,全國有幾十個(gè)(長輸管道)油氣調(diào)控中心(包括各省管網(wǎng)調(diào)控中心)和上千家城市燃?xì)夤菊{(diào)控中心,大多達(dá)不到公安部《GA1166-2014石油天然氣管道系統(tǒng)治安風(fēng)險(xiǎn)等級和安全防范要求》的標(biāo)準(zhǔn),眾多城市燃?xì)夤就ǔUJ(rèn)為自己不屬于“石油天然氣管道系統(tǒng)”,絕大部分燃?xì)夤菊{(diào)控中心SCADA系統(tǒng)都人為定底到等保二級,國內(nèi)各油氣調(diào)控中心已參與等保評測的目前最高僅被評定為三級。反觀國家電網(wǎng)調(diào)控中心等保評級為四級(次高級),但按照五級(最高級)投資防護(hù)建設(shè),直接導(dǎo)致油氣管道和城燃調(diào)控中心工控網(wǎng)絡(luò)安全防護(hù)建設(shè)力度不夠、投資不夠、重視不夠。不僅如此,因?yàn)槎壍灼瘘c(diǎn)低,工控網(wǎng)絡(luò)安全防護(hù)技術(shù)研發(fā)和實(shí)踐應(yīng)用都不到位。
傳統(tǒng)IT信息安全重點(diǎn)防護(hù)對象是辦公網(wǎng)絡(luò),以TCP/IP、UDP等協(xié)議為主,對企業(yè)資源層業(yè)務(wù)系統(tǒng)(ERP、OA)、辦公PC以及互聯(lián)網(wǎng)出入口等進(jìn)行安全防護(hù),通常都將保密性放在首位,以保護(hù)用戶信息的安全;將完整性放在第二位;將可用性放在最后。
工控網(wǎng)絡(luò)安全重點(diǎn)防護(hù)對象是生產(chǎn)網(wǎng)絡(luò),以Modbus TCP/RTU/+、OPC、IEC61850、DNP3、s7等工業(yè)控制協(xié)議為主,對生產(chǎn)管理層(MES)、過程監(jiān)控層(SCADA、HMI)、現(xiàn)場控制層(PLC、DCS、RTU)系統(tǒng)進(jìn)行安全防護(hù),將可用性放在第一位。而系統(tǒng)的可用性直接影響到企業(yè)生產(chǎn),生產(chǎn)線停機(jī)或者誤動(dòng)作都可能導(dǎo)致巨大的經(jīng)濟(jì)損失,甚至威脅人的生命安全、破壞環(huán)境。安全防護(hù)的重點(diǎn)是監(jiān)測為主,及時(shí)發(fā)現(xiàn)安全隱患并上報(bào)告警。同時(shí),工業(yè)控制系統(tǒng)的實(shí)時(shí)性非常重要,大多要求響應(yīng)時(shí)間在1毫秒以內(nèi)。傳統(tǒng)IT信息安全無法對工控網(wǎng)絡(luò)做到全面有效的安全防護(hù),所以,工控網(wǎng)絡(luò)安全需要依靠專業(yè)的工業(yè)安全設(shè)備及系統(tǒng)來完成。
根據(jù)中國特色城市燃?xì)夤緲I(yè)務(wù)結(jié)構(gòu)、管理職責(zé)等方面的實(shí)際情況,按照四級監(jiān)控管理模式,自上而下分別是:總公司調(diào)度室(一級)、區(qū)域省級調(diào)度室(二級)、市級項(xiàng)目公司調(diào)度室(三級)、縣級以下站控室(四級)。建議生產(chǎn)控制系統(tǒng)網(wǎng)絡(luò)安全加固的重點(diǎn)范圍是二級到四級,各區(qū)域調(diào)度室、項(xiàng)目公司調(diào)度室、站控室相關(guān)的生產(chǎn)控制系統(tǒng)及視頻監(jiān)控系統(tǒng),均屬于應(yīng)當(dāng)安全加固的網(wǎng)絡(luò)防護(hù)對象。
所以,要根據(jù)中國國情深入貫徹落實(shí)國家網(wǎng)絡(luò)安全等級保護(hù)制度和關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)制度,健全完善各管道公司和城燃公司生產(chǎn)網(wǎng)絡(luò)安全防護(hù)體系,有效防范針對能源行業(yè)生產(chǎn)控制系統(tǒng)的安全威脅,全面推進(jìn)能源企業(yè)生產(chǎn)網(wǎng)絡(luò)、信息系統(tǒng)、辦公網(wǎng)絡(luò)、智能化工業(yè)控制系統(tǒng)等,在新技術(shù)、新應(yīng)用、新環(huán)境下的安全運(yùn)行。同時(shí),根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》和《網(wǎng)絡(luò)安全等級保護(hù)基本要求》等法律法規(guī)和國家標(biāo)準(zhǔn)要求,更好地落實(shí)生產(chǎn)網(wǎng)絡(luò)安全加固工作,提高各級單位工控網(wǎng)絡(luò)安全管理水平,結(jié)合中國特色油氣企業(yè)運(yùn)行體制的實(shí)際情況做好能源互聯(lián)網(wǎng)的應(yīng)用。
符合國家法律法規(guī)且具有行業(yè)特色
建設(shè)符合國家法律法規(guī)且具有行業(yè)特色的工業(yè)生產(chǎn)控制網(wǎng)絡(luò)防護(hù)體系。
《中華人民共和國網(wǎng)絡(luò)安全法》第二十一條規(guī)定,國家實(shí)行網(wǎng)絡(luò)安全等級保護(hù)制度;第三十一條規(guī)定,國家對公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域,在網(wǎng)絡(luò)安全等級保護(hù)制度的基礎(chǔ)上實(shí)行重點(diǎn)保護(hù);第五十九條規(guī)定,對不履行網(wǎng)絡(luò)安全保護(hù)義務(wù)的單位和直接負(fù)責(zé)的主管人員進(jìn)行相關(guān)處罰。
在我國網(wǎng)絡(luò)安全等級保護(hù)要求中明確了工業(yè)控制系統(tǒng)安全擴(kuò)展要求。同時(shí),工信部下發(fā)了《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》。另外,公安部每年都組織開展專項(xiàng)活動(dòng)。上述顯示了從國家層面到各級主管部門對工業(yè)控制系統(tǒng)的信息安全高度重視。所以,我們更要未雨綢繆,抓緊開展工業(yè)控制系統(tǒng)安全防護(hù)專項(xiàng)工作,建設(shè)符合我國法律法規(guī)的油氣工業(yè)生產(chǎn)控制網(wǎng)絡(luò)防護(hù)體系,達(dá)到保障國家能源安全的目的。
工控系統(tǒng)網(wǎng)絡(luò)安全加固要求
能源行業(yè)工業(yè)生產(chǎn)控制系統(tǒng)網(wǎng)絡(luò)安全加固以監(jiān)測審計(jì)、工控主機(jī)防護(hù)為主。通過旁路采集流量,深度解析工控協(xié)議,實(shí)現(xiàn)實(shí)時(shí)流量監(jiān)測及異常告警,實(shí)時(shí)掌握工控網(wǎng)絡(luò)運(yùn)行狀況,發(fā)現(xiàn)潛在的安全問題,同時(shí)具備工控資產(chǎn)管理、通信拓?fù)渥詣?dòng)生成、白名單安全基線、流量監(jiān)測與深度分析等功能。應(yīng)做好工業(yè)控制網(wǎng)內(nèi)部邊界防護(hù),對生產(chǎn)控制系統(tǒng)相關(guān)操作員站、工程師站等工控主機(jī)進(jìn)行安全加固,實(shí)現(xiàn)終端進(jìn)程白名單及USB移動(dòng)介質(zhì)管控。
國內(nèi)油氣行業(yè)企業(yè)應(yīng)該深入分析油氣行業(yè)工業(yè)控制(SCADA系統(tǒng))的系統(tǒng)架構(gòu)、應(yīng)用特點(diǎn)、安全現(xiàn)狀、安全威脅和安全需求,將縱深防御理念引入到過程控制信息安全領(lǐng)域,認(rèn)真重視。安全生產(chǎn)大檢查時(shí)不能忽視網(wǎng)絡(luò)安全的檢查,要通過結(jié)合油氣儲(chǔ)運(yùn)輸配氣環(huán)節(jié)過程控制的系統(tǒng)特點(diǎn),及時(shí)發(fā)現(xiàn)生產(chǎn)網(wǎng)絡(luò)中的異常行為,對發(fā)現(xiàn)潛在的未知威脅提供有效的技防手段,實(shí)時(shí)告警和響應(yīng)及時(shí)告知工控系統(tǒng)中存在的安全風(fēng)險(xiǎn),啟動(dòng)網(wǎng)絡(luò)安全應(yīng)急預(yù)案,減少網(wǎng)絡(luò)安全事故帶來的損失,提升企業(yè)效益,完成油氣保供工作,保障國家的能源安全。