1 項目概況

1.1 項目背景

隨著物聯網、移動互聯網、大數據技術的發展，目前某省級天然氣管道公司（以下簡稱：管網）正積極推動數字管道和智慧管道建設。將信息融合技術滲透到生產、安全與經營各個層面，工業控制系統逐步由信息孤島向萬物互聯發展，工業控制系統網絡信息互通帶來的網絡安全風險，已經對管網工控網絡穩定運行和安全生產造成隱患。

與此同時，國際形勢也逐漸復雜化，惡意軟件被用于接管并控制關鍵能源基礎設施的現象正變得越來越普遍。2017年針對沙特某石油天然氣裝置功能安全儀表系統（SIS）的攻擊，2021年美國成品油管道運營商遭勒索軟件攻擊停運等事件為各國網絡安全主管機構和基礎設施運營企業敲響了警鐘。

1.2 項目簡介

本項目針對管網調控中心及場站工控系統側重傳統信息安全防護，缺乏工控安全防護設計的問題，研究工控安全防護的關鍵技術；解決現有工控系統的單一防護產品、側重邊界防護的縱深防御體系不能抵御的跨越信息物理空間的未知威脅，研究如何由被動防御向深度主動防御轉換；從對抗性防護角度出發，研究如何由相對獨立的安全防護技術及產品向體系化聯動防御方向轉換；研發場站站控安全防護盾、SCADA全網態勢感知監測、預警平臺等主動防御工控安全產品，選取調控中心和下轄場站進行應用驗證，形成針對油氣管道的工控安全解決方案，并進行行業推廣。

1.3 項目目標

本次項目中，為完成管網工控系統網絡安全的建設目標和防護體系的研究，根據其工控系統特點，從設備安全、控制安全、網絡安全、應用安全及數據安全等角度出發，全方位保障管網工控系統的網絡安全。

在管網工控網絡的重點防護區域將專注于對工業控制器的安全防護研究，通過主動監控管網工控系統內的重點PLC控制器內的運行狀態、數據狀態、組態工程，精確識別篡改、插入、刪除等破壞行為，并對異常情況進行及時告警。

其次，本次工控系統網絡安全防護體系將對調控中心的安全態勢感知系統進行定制化研究與開發，全方位立體化預測和展示管網整個工控系統的安全態勢，通過整合每一個場站中工控安全數據探針的數據信息，包含安全產品采集的信息，主動掃描獲取的信息，以及跟隨知識庫實時更新的最新威脅情報信息，對數據進行深入解剖，從全局視角提升對安全威脅的發現識別、理解分析、響應處置和態勢評級；同時，對資產進行資產畫像的研究與分析，綜合分析資產的詳細信息、網絡事件、風險暴露點和潛在的漏洞風險等，全面評估資產的風險。對于已經失陷的資產精確定位，并提供該資產的失陷原因，為現場工業控制環境分析提供強有力的數據指導與支持，方便運維人員作出決策，實現山東天然氣管道有限公司安全態勢可視、可知、可管、可控。

2 項目實施

2.1 應用案例介紹

本方案根據前期實地考察，了解管網調控中心及各個場站工控系統的基本情況，包括整體網絡架構、場站網絡架構、各個站點內的工控設備信息、工控主機信息及當前安全防護狀況。根據油氣行業業務特點，形成調控中心、場站和閥室三層立體式網絡安全方案。網絡拓撲圖如圖1所示。

圖1 工控網絡安全解決方案網絡拓撲示意圖

在調控中心建設工業安全綜合管理平臺和網絡安全態勢感知系統，從全局視角提升整個管網系統對安全威脅的發現識別、理解分析、響應處置能力。在核心交換機旁路部署監測審計類安全產品，實現對調控中心工控系統網絡內的工控行為，尤其是關鍵OT操作進行全息審計記錄。注重調控中心與場站、調控中心與信息網之間的邊界隔離，根據實際應用場景安全需求實現物理隔離或邏輯隔離，保障內網安全。注重調控中心工作站與服務器的運行安全，部署相應操作系統的主機防護類軟件進行主機防護，實現惡意代碼防范以及傳輸介質控制。

部署針對場站的站控工控系統安全盾，重點對場站的PLC控制器進行防護，全方位監測與防護場站或閥室內PLC控制器及工控主機的組態安全、數據安全、行為安全等。在場站及閥室中心交換機旁路部署監測審計類安全產品，實現對調控中心工控系統網絡內的工控行為，尤其是關鍵OT操作進行全息審計記錄。

2.2 實施成效

通過本方案實施，從設備安全、控制安全、網絡安全、應用安全及數據安全等角度出發，構建管網工控系統的網絡安全縱深防御體系。主要實施成效如下：

（1）實現工控系統的空間測繪與資產畫像

采用主、被動掃描的方式對接入工控系統內的資產進行測繪，有效測繪硬件資產及軟件資產，形成資產信息庫。實時捕獲網內通信關系，并結合高效的資產管理，實現工控系統的空間測繪。同時，基于自有知識庫進行比對，聯系上下文進行分析，展示資產全貌，并對整個工控系統進行風險評估，實現了將碎片化的資產信息綜合加工形成對相應工控系統網絡安全系統、全面、直觀的認識。

（2）實現對場站中工業控制器的訪問控制和狀態監測

通過采取設備身份鑒別與白名單訪問控制實現對工業控制器的保護，使得所有對工業控制器的訪問均為已授權的訪問，確保工業控制器執行的控制命令均來自合法用戶。同時，實現對工業控制器的運行狀態、數據狀態等的實時、深度監測，根據異常情況進行告警與防護。

（3）實現對調控中心及各個場站工業主機的安全防護

對調控中心及各個場站工控主機、服務器等設備安裝工業主機安全防護系統進行安全加固，能夠對工控主機的運行資源、數據資源和物理存儲資源進行管控，防范未知病毒的運行及其對主機資源的利用，并對已知病毒進行查殺。

（4）加強對控制系統的保護

采用工控安全審計系統、工業防火墻等安全設備能對管網工控系統中通信協議進行深度解析，實現對系統中工控行為及網絡行為的監測和防護，以及對工控系統參數變更的閾值和變更頻率的監測，及時發出預警并根據用戶的授權情況進行阻斷，避免發生安全事故，并提供詳實的數據支持。同時，可實現攻擊異常檢測、無流量異常檢測、重要操作行為審計、告警日志審計等功能。

（5）實現區域網絡隔離

在場站與監控中心、場站與場站之間部署工業防火墻進行實現安全區域隔離，對網絡邊界進行監視，識別邊界上的入侵行為并進行有效阻斷，保障生產控制區和生產管理區之間的安全。

（6）加強對數據的保護

注重對工控系統內數據的備份，如各個場站內控制器的組態工程、重點工藝參數，定期對數據進行備份。當發生組態工程被篡改、刪除、修改等事故時能及時恢復，從而降低用戶的損失。

（7）構建系統管理中心

在調控中心部署安全管理中心，對網內部署的工控安全產品及網絡設備實現集中管理與統一配置，能獲取各個安全產品的日志信息及各個網絡設備的接口使用情況，基于安全事件特征進行聚類分析，發現并確認安全事件，及時報警響應處理，提高管理效率，實現產品功能協同，降低運行維護成本。同時，在調控中心部署網絡安全態勢感知系統，主要對管網工控系統整體安全態勢、資產情況、流量數據等信息進行集中展示，方便運維人員及時了解各個場站的安全狀態。

3 案例亮點

3.1 技術先進性

（1）超強的自身安全性和設備可用性設備具有低時延、高可靠以及超強的自身安全性。直接部署在工控系統控制器前對控制器進行安全防護，其微秒級處理時延少于30μs。采用硬件回路替代邏輯算法實現超低時延，使用雙處理器架構，兩個處理器之間相互獨立，通過有限通信，當某一個處理器遭受網絡攻擊或處理器不能正常工作時，另一個處理器的業務處理單元仍能夠正常處理業務流程。

（2）工控OT操作深度審計

采用基于工藝指令組合智能識別的規則推理引擎技術，根據工藝要求和控制流程，結合I/O點表信息，實現工控OT操作深度審計，支持多指標的工控行為檢測及工控數據變更檢測，支持深度解析油氣常用協議Modbus、S7Comm、ENIP/CIP、OPC、IEC 104等，清晰還原油氣工藝行為。

3.2 可推廣性

某省級天然氣管道工控系統地域跨度大，工控系統品牌及型號眾多，工控主機的操作系統類型繁多，通信協議涉及OPC DA、Modbus TCP、IEC 104等工控協議。因此，本項目構建的長輸管道安全解決方案具有廣泛代表性和示范性，可以推廣至其他城市油氣管網系統，保障其工業環境的網絡安全。另外，國內油氣管道正向互聯互通、智能化運營管理方向發展，針對油氣管道的網絡安全解決方案具有較高的推廣價值。