1 項目概況
1.1 項目背景
2020年9月30日國家石油天然氣管網集團全面接管原分屬于三大石油公司的相關油氣管道基礎設施資產(業務)及人員,正式并網運營。2021年4月1日起,中國石油旗下的大連液化天然氣有限公司及所屬大連LNG接收站正式劃轉至國家管網集團。
此次劃轉交接的達成,不單單是組織上的遷移,更是業務上的全面遷移,現網的改造、數據的流向、與國家管網總部的網絡對接、與其他有關部門的數據互通以及國家管網的安全要求都是相當重要的任務與挑戰,做好劃轉交接的網絡安全、工業控制系統安全防護工作也是此次劃轉的重點工作。此次成功劃轉交接后,國家管網集團可以更好地調配全國的天然氣資源,增強北方供暖用氣供給能力,保障國家能源安全。
1.2 項目簡介
本項目中針對大連LNG接收站工業控制系統的特性,綠盟科技提供了從安全評估和咨詢,到設計與建設,再到安全運維及培訓的覆蓋系統全生命周期的工控系統安全防護方案。該方案通過對多種產品、服務的整合,提供集中、高效、實際的風險緩解,幫助大連LNG接收站提高工業控制系統的可用性、降低安全風險、滿足合規要求,保障工業控制系統的安全性。
1.3 項目目標
(1)行業面臨的挑戰
石油天然氣行業規模龐大,網絡安全成熟度卻相對較低,企業針對安全問題的戰略投資也很有限。隨著網絡攻擊的演進,攻擊方式愈發高級,攻擊愈發高頻,攻擊者的目標從原來的個人過渡到企業,攻擊的目的也由原來單純的炫技變為如今的盈利。再加上物聯網的飛速發展,擺在石油天然氣等能源企業面前的網絡風險更是與日俱增。2021年5月9日,美國最大燃油管道被黑客“掐斷”,美國宣布進入國家緊急狀態。美國聯邦政府交通部聯邦汽車運輸安全管理局宣布美國17個州和華盛頓特區進入緊急狀態,以應對勒索軟件的攻擊,該攻擊迫使美國最大的成品油管道系統ColonialPipeline關閉了一條關鍵的運輸管道,此管道承擔美國東岸45%的燃料供給。越來越多的網絡攻擊瞄準石油與天然氣行業中的工業控制系統,對員工安全、企業名譽、運營維護以及環境等造成了嚴重的威脅。攻擊手段層出不窮,包括且不限于:用間諜軟件竊取投標數據,用惡意軟件擾亂生產控制系統,或者用拒絕服務(DoS)阻斷控制系統中的信息流動,甚至還有攻擊者發動聯合攻擊。例如2014年歐洲,網絡攻擊者就利用釣魚戰術和先進的特洛伊木馬程序發動了針對50個石油和天然氣企業的聯合攻擊。石油與天然氣行業擁有著由眾多向量共同構成的龐大網絡攻擊面。單一企業所存儲的敏感數據量即可達到PB級別,其需要利用數十萬塊處理器對石油與天然氣開采環境進行模擬,同時將分析結果與世界各地成千上萬家負責生產及維護鉆井控制系統的供應商及合作伙伴進行共享。在這樣的背景之下,一次攻擊活動即可能造成數百萬美元損失,并導致環境甚至人類生命面臨嚴重風險。
(2)主要目標
本次大連LNG接收站工業控制系統網絡安全防護建設項目,最終達到為大連LNG接收站工業控制網絡提供綜合安全保障,并符合國家管網及等級保護相關要求,保障生產業務健康運營的目標。
(3)總體概述
綠盟科技針對大連LNG接收站的安全需求與特點,參考PDCA的防護思路,同時結合《工業控制系統安全指南》(SP800-82)和等保2.0中從技術、管理和運行三個方面對工控系統安全建設要求的內容,形成從技術防護到快速響應的安全防護模型,實現安全技術能力、安全管理能力的全面提升,實現管、控、防一體化。安全能力逐步覆蓋各個環節,實現工控系統安全的閉環管控。
2 項目實施
2.1 系統架構(如圖1所示)
圖1 項目系統架構圖
本項目主要建設內容包括工業控制網絡邊界防護、入侵檢測、安全審計、主機安全,詳細技術方案如下:
(1)邊界防護
在生產網與管理網之間部署工業網絡安全隔離裝置,徹底阻斷不同安全區域之間的直接通訊。同時通過內嵌的高性能工業通信軟件,對OPC、Modbus、DNP3等主流工業通訊協議和規約進行數據的過濾和擺渡,為工業控制系統網絡間的實時數據交換提供“安全通道”。在同DCS系統之間部署防火墻,將它們分割成不同的安全區域,控制不同安全區域之間的訪問,并對區域間數據交換進行深度過濾,減少區域之間安全問題的擴散和影響。
(2)入侵檢測
在生產網旁路部署工控入侵檢測系統,通過流量鏡像檢測發現網絡或系統中違反安全策略的行為和遭到入侵的跡象,提高了信息安全基礎結構的完整性。
(3)安全審計
采用旁路部署,對交換機鏡像流量進行深度解析,被動式識別網絡中的資產,結合強大的漏洞庫資源,構造高細粒度的網絡資產畫像。對工業網絡通信關系進行識別,形成工業網絡通信基線,及時發現跨區域連接、非法外聯;并可對攻擊進行深度溯源。
(4)主機安全
在工控上位機和服務器上部署保護工控主機環境的安全軟件產品,防范各類已知和未知惡意程序的運行、控制USB移動存儲介質的濫用、對主機系統進行安全加固等,實現對工控主機全面的安全防護。
2.2 應用場景分析
天然氣基礎設施主要包括管道、LNG接收站、儲氣庫、LNG工廠、LNG船、LNG槽車等,其中LNG接收站的數據采集與自動化控制系統包括LNG卸船、LNG存儲、LNG氣化、LNG外輸、槽車充裝、泄漏檢測等系統,智能生產管理系統包括設備管理系統、三維可視化系統、智能巡檢系統、智能Web裝車系統、雙重預防機制系統等。設備管理系統:以設備臺賬為基礎,建立以預防性維修和預測性維修為主的設備完整性管理體制。三維可視化系統,展示設備溫度、壓力及管道流量等信息,界面中心展現天然氣站的主體、管線、設備等整體仿真三維景觀。智能巡檢系統:在無人園區中,巡檢智能機器人根據指定線路,對點位設備進行逐個巡檢排查,采集實時可視化運作數據并進行分析,將異常數據第一時間反饋給控制中心,為管理人員提供應對依據。智能Web裝車系統:該系統通過視覺傳感器完成物流車輛的尺寸確定、類型識別及定位等任務,通“智能化”系統實施,優化業務流程,明晰工作界面,全面提升裝車運營綜合管理水平,促使裝車管理向數字化、信息化、智能化轉變。雙重預防機制系統,安全雙重預防是指“安全生產風險分級管控和隱患排查治理雙重預防體系建設”,通過精準、有效管控風險,切斷隱患產生和轉化成事故的源頭,從根本上防范事故,實現關口前移、預防為主,落實政府、部門、企業、崗位全鏈條安全生產責任制。通過對大連LNG業務場景的洞察,規劃如下安全場景:
(1)基于攻擊/異常行為的識別場景
具備對典型攻擊過程如掃描、遠程溢出的識別能力,能夠對入站流量進行深度檢測,防止非法/異常的通訊數據結構破壞自動化系統運行;同時建立內部訪問會話特征描述,制定運行環境模板,從而降低APT以及其他未知威脅的潛伏可能。
(2)訪問控制場景
工業控制系統應當定義清晰的訪問控制策略,訪問控制策略在滿足實時性的基礎之上對HMI/SCADA服務器、控制器等資產實現防護,避免未授權訪問造成安全風險;并考慮采用VPN技術實現在自動化網絡內授權設備之間實時的授權通信。
(3)符合工業過程特點的安全維護作業場景
充分考慮安全維護作業機制如評估與加固對工時,采用風險可控的替代手段,將安全維護對工業控制系統的干擾和未知影響降到最低。
(4)安全審計場景
充分利用系統(包括操作系統、數據庫系統、應用系統、網絡系統等)的審計機制,并根據業務特點和威脅環境建立獨立于系統的外部審計機制,提供獨立的審核記錄功能。工業控制系統安全防護并非一次性過程,上述安全防護手段從多維度對工業控制系統可能面對的風險進行識別和消除,可有效降低相關系統的安全風險級別,但需要意識到由于外部威脅環境和系統技術演變將可能引入新的風險點,系統、人員、商業目標以及內外部威脅任何對象發生改變時,應對上述防護體系正確性和有效性進行評估,以確定其可有效應對風險,這是一個反復持續的改善過程,通過這一過程可使工業控制系統獲得最大程度的保護。
2.4 實際應用效果
(1)滿足國家法律法規相關要求本項目落實了國家網絡安全戰略層面及國家管網網絡安全工作要求,做到安全漏洞早知道、防護有體系、工作有抓手,滿足工業控制系統建設“安全三同步”合規要求。
(2)有效降低安全風險項目大幅提高工業控制系統的整體安全防護能力,有效減少工控安全事件的發生,保障業務安全生產。
(3)提高企業運營效率
通過工業控制網絡和管理網絡的安全隔離,杜絕惡意病毒、木馬、攻擊影響工業控制網絡的正常運行,提高企業運營效率。
3 案例亮點
基于綠盟科技多年來的項目經驗及技術積累,打通傳統網絡環境、工控網絡環境、物聯網環境、云計算環境,結合檢測防御類、安全評估類產品實現異構數據融合,通過多種防護手段融合協助大連LNG接收站建立多層次、縱深防御、實時響應的安全體系。通過遠程與本地相呼應的方式協助用戶完成安全運營支撐工作,在原有運營體系基礎上加強安全監控與保障能力,控制安全風險,實現完整的工業企業、工業互聯網企業的全方位的安全解決方案。面向風險和監管要求,涵蓋整個工控系統的全生命周期的安全管控,確保工控安全保障的投入能夠發揮最大的效果。
