今日頭條
官方微信
官方抖音
資訊頻道★青島液化天然氣有限責(zé)任公司吳斌,楊春慧,劉培峰,孫大巍,喬其永
★施耐德電氣(中國(guó))有限公司裴淵斗
1 項(xiàng)目背景
隨著中國(guó)綠色低碳能源戰(zhàn)略的持續(xù)推進(jìn),發(fā)展清潔低碳能源將成為優(yōu)化能源結(jié)構(gòu)的重要途徑,未來(lái)較長(zhǎng)一段時(shí)間天然氣將在中國(guó)能源發(fā)展中扮演重要角色。通過(guò)加大政策支持力度,力爭(zhēng)到2030年天然氣在一次能源消費(fèi)結(jié)構(gòu)中的占比達(dá)到15%左右。未來(lái)天然氣需求增量主要來(lái)自城鎮(zhèn)燃?xì)狻⑻烊粴獍l(fā)電、工業(yè)燃料和交通運(yùn)輸四大領(lǐng)域。
青島LNG接收站為中石化首個(gè)LNG工程,包括碼頭、儲(chǔ)罐、工藝處理、氣化外輸、槽車裝車、輕烴回收以及輔助設(shè)施。該項(xiàng)目一期工程2014年11月投入運(yùn)行,每年可向山東半島乃至華北地區(qū)輸送清潔能源500萬(wàn)噸/年,二期擴(kuò)建至700萬(wàn)噸/年,三期工程預(yù)計(jì)新建一座靠泊26.6萬(wàn)立方米LNG船舶的專用泊位,一座27萬(wàn)立方米的LNG儲(chǔ)罐及配套附屬設(shè)施,新增LNG年接卸能力400萬(wàn)噸,投運(yùn)后每年可向山東半島乃至華北地區(qū)輸送清潔能源1100萬(wàn)噸。
該項(xiàng)目控制系統(tǒng)選用施耐德電氣Foxboro DCS分布式控制系統(tǒng)、Triconex安全儀表系統(tǒng)以及SimSci操作員仿真培訓(xùn)系統(tǒng)。青島LNG接收站控制系統(tǒng)自2014年10月一期投運(yùn)后,一直穩(wěn)定運(yùn)行,從未停機(jī)大修,保障了國(guó)家能源穩(wěn)定供應(yīng)。
一期項(xiàng)目建設(shè)時(shí),青島LNG接收站控制系統(tǒng)已經(jīng)配置了思科防火墻和殺毒軟件用于信息安全防護(hù)。但隨著信息化建設(shè)以及外部信息安全威脅的加劇,這些簡(jiǎn)單基礎(chǔ)的防護(hù)手段已經(jīng)不能夠滿足現(xiàn)階段工業(yè)信息安全防護(hù)的需求,也無(wú)法滿足國(guó)家和相關(guān)主管部門的要求,尤其是在2019年定級(jí)為等保三級(jí)系統(tǒng)后,發(fā)現(xiàn)距等保2.0三級(jí)的要求差距很大。
2 信息安全建設(shè)
2.1 定期開展工業(yè)信息安全風(fēng)險(xiǎn)評(píng)估
自《網(wǎng)絡(luò)安全法》頒布并實(shí)施以來(lái),各部委及主管部門陸續(xù)發(fā)布了諸多工業(yè)信息安全相關(guān)的法律法規(guī),極大地提高了企業(yè)對(duì)工業(yè)信息安全的重視程度和安全意識(shí)。
青島LNG接收站通過(guò)對(duì)工業(yè)控制系統(tǒng)定期開展工業(yè)信息安全風(fēng)險(xiǎn)評(píng)估,對(duì)系統(tǒng)的關(guān)鍵業(yè)務(wù)、關(guān)鍵資產(chǎn)進(jìn)行梳理,及時(shí)發(fā)現(xiàn)工業(yè)控制系統(tǒng)的關(guān)鍵風(fēng)險(xiǎn)點(diǎn),以及與合規(guī)要求的差距,并以信息安全風(fēng)險(xiǎn)評(píng)估的結(jié)果,作為信息安全建設(shè)的思路并設(shè)定改進(jìn)目標(biāo)。如2018年經(jīng)過(guò)風(fēng)險(xiǎn)評(píng)估,發(fā)現(xiàn)當(dāng)時(shí)主要的安全風(fēng)險(xiǎn)在于工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)邊界、內(nèi)部IT信息系統(tǒng),尤其是海關(guān)計(jì)量、環(huán)保監(jiān)管以及天然氣管網(wǎng)的外部通訊均有可能引入信息安全威脅,同時(shí)工業(yè)控制系統(tǒng)的工業(yè)主機(jī)也易受病毒感染和惡意代碼攻擊,因此立項(xiàng)一期安全整改,在2019年開展技改工作加強(qiáng)網(wǎng)絡(luò)邊界和工業(yè)主機(jī)安全防護(hù)能力的工作,實(shí)現(xiàn)工業(yè)控制系統(tǒng)的基礎(chǔ)安全;2019年末等保2.0系列國(guó)家標(biāo)準(zhǔn)正式生效后,按照等保2.0基本要求的國(guó)家標(biāo)準(zhǔn)進(jìn)行評(píng)估,通過(guò)差距分析發(fā)現(xiàn)在安全檢測(cè)和業(yè)務(wù)連續(xù)性方面存在比較大的差距,因此立項(xiàng)在2021年進(jìn)行二期技改,提升信息安全檢測(cè)能力和業(yè)務(wù)連續(xù)性以實(shí)現(xiàn)擴(kuò)展安全。
2.2 基礎(chǔ)安全,強(qiáng)化基于邊界和主機(jī)的信息安全防護(hù)能力
邊界和主機(jī)是工業(yè)控制系統(tǒng)信息安全的兩個(gè)關(guān)鍵防護(hù)點(diǎn),也是等保1.0時(shí)代防護(hù)的重點(diǎn),因此2019年的安全整改項(xiàng)目以邊界防護(hù)升級(jí)到DMZ和工業(yè)主機(jī)加固來(lái)實(shí)現(xiàn)工業(yè)控制系統(tǒng)的基礎(chǔ)安全。系統(tǒng)架構(gòu)圖如圖1所示。
圖1 一期基礎(chǔ)安全防護(hù)架構(gòu)圖
· 基于DMZ邊界防護(hù)
DMZ(Demilitarized Zone),即非軍事區(qū),其目的是把網(wǎng)絡(luò)劃分為內(nèi)部網(wǎng)絡(luò)、外部網(wǎng)絡(luò)和中間的緩沖網(wǎng)絡(luò)DMZ,通過(guò)DMZ將可信任的內(nèi)部工控網(wǎng)絡(luò)和不可信任的外部IT網(wǎng)絡(luò)緩沖,阻止內(nèi)網(wǎng)和外網(wǎng)直接通信,在保證內(nèi)部網(wǎng)絡(luò)安全的同時(shí),保持內(nèi)部外部網(wǎng)絡(luò)正常的業(yè)務(wù)通訊。
DMZ的構(gòu)建選擇工業(yè)隔離網(wǎng)閘以及工業(yè)防火墻分別作為DMZ的北端和南端,分別由IT部門和儀表部門進(jìn)行管理和維護(hù)。DMZ中部署OPC服務(wù)器,用于工業(yè)控制系統(tǒng)和外部IT系統(tǒng)的數(shù)據(jù)交換,IT系統(tǒng)不與工業(yè)控制系統(tǒng)直接通訊,僅通過(guò)工業(yè)網(wǎng)閘同OPC服務(wù)器進(jìn)行通信;同樣工業(yè)控制系統(tǒng)也不與IT系統(tǒng)進(jìn)行通信,僅通過(guò)工業(yè)防火墻為OPC服務(wù)器提供實(shí)時(shí)數(shù)據(jù)(OPC DA)和歷史數(shù)據(jù)(OPC A&E和OPC HAD)。通過(guò)這種方式,即便外部攻擊攻破了北端的網(wǎng)閘,受影響的也只是OPC服務(wù)器,而真正的關(guān)鍵業(yè)務(wù)和關(guān)鍵資產(chǎn)仍處于工業(yè)防火墻的保護(hù)下。通過(guò)DMZ的部署,可以在保持現(xiàn)有業(yè)務(wù)雙向通信的基礎(chǔ)上,進(jìn)行有效的信息安全防護(hù)。
· 主機(jī)安全加固
由于液化天然氣接收站工業(yè)控制系統(tǒng)的高可靠性、高可用性以及安全連續(xù)運(yùn)營(yíng)的要求,考慮到白名單技術(shù)與現(xiàn)有工控軟件的兼容性風(fēng)險(xiǎn),工控主機(jī)的安全加固沒(méi)有選擇應(yīng)用程序白名單的技術(shù)路線,而是選用傳統(tǒng)的方式進(jìn)行:
(1)部署冗余的域控服務(wù)器,使用域控服務(wù)器對(duì)所有工控主機(jī)進(jìn)行身份鑒別、訪問(wèn)控制和行為審計(jì),部署統(tǒng)一的安全策略;
(2)重新安裝所有的工控主機(jī)的操作系統(tǒng),確保系統(tǒng)純凈,并加入到域控的安全管理中;不安裝不必要的組件和軟件,關(guān)閉不必要的服務(wù),減少攻擊面;
(3)每臺(tái)工業(yè)主機(jī)安裝工業(yè)防病毒套件,其中包括殺毒軟件、基于主機(jī)的入侵防護(hù)軟件,外設(shè)(USB/光驅(qū))管理軟件等,對(duì)主機(jī)進(jìn)行加強(qiáng)防護(hù);
(4)在備用域控中安裝病毒服務(wù)器,對(duì)所有工業(yè)主機(jī)中的防病毒套件進(jìn)行統(tǒng)一的防護(hù)策略管理,并提供統(tǒng)一的病毒庫(kù)升級(jí);
(5)在備用域控中安裝補(bǔ)丁服務(wù)器,對(duì)所有工業(yè)主機(jī)提供統(tǒng)一的補(bǔ)丁升級(jí)。
2.3 擴(kuò)展安全,提升安全檢測(cè)和應(yīng)對(duì)能力
在實(shí)現(xiàn)基礎(chǔ)安全防護(hù)的情況下,在二期安全整改工作中,通過(guò)網(wǎng)絡(luò)監(jiān)控和安全日志審計(jì)提升安全檢測(cè)能力,通過(guò)在線災(zāi)備系統(tǒng),提高系統(tǒng)的業(yè)務(wù)連續(xù)性。同時(shí),構(gòu)建工業(yè)控制系統(tǒng)安全專網(wǎng),分離業(yè)務(wù)數(shù)據(jù)和安全管理數(shù)據(jù),并為搭建安全管理中心提供基礎(chǔ)。系統(tǒng)架構(gòu)圖如圖2所示。
圖2 二期擴(kuò)展安全防護(hù)架構(gòu)
· 安全日志審計(jì)
在工業(yè)控制系統(tǒng)中部署安全日志審計(jì)系統(tǒng),可以采集工控系統(tǒng)中所有工控主機(jī)、網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)安全設(shè)備以及工控軟件的安全相關(guān)的日志,并統(tǒng)一歸檔在安全日志審計(jì)服務(wù)器中保存一年以上,并能提供關(guān)聯(lián)查詢分析等功能,以供日常查詢發(fā)現(xiàn)異常狀況進(jìn)行安全預(yù)警,或安全事件發(fā)生后進(jìn)行安全事件的追溯和調(diào)查取證。
· 災(zāi)難備份和恢復(fù)系統(tǒng)
由于保障能源穩(wěn)定可靠供應(yīng)的要求,液化天然氣接收站必須保障高可用性、高業(yè)務(wù)連續(xù)性,一旦遭到工業(yè)信息安全攻擊或工業(yè)勒索導(dǎo)致停機(jī),需盡一切可能盡快恢復(fù)正常生產(chǎn)運(yùn)營(yíng)。
在所有工控主機(jī)中部署在線備份軟件,可以在工控系統(tǒng)正常運(yùn)營(yíng)的同時(shí),在后臺(tái)進(jìn)行實(shí)時(shí)的在線備份,備份文件通過(guò)安全專網(wǎng)統(tǒng)一歸檔到中央歸檔服務(wù)器中。一旦遭受攻擊或勒索,可以通過(guò)安全專網(wǎng)進(jìn)行系統(tǒng)與數(shù)據(jù)恢復(fù),盡快回滾到之前的安全狀態(tài),并恢復(fù)正常生產(chǎn)運(yùn)營(yíng)。
· 安全專網(wǎng)
通過(guò)在工業(yè)控制系統(tǒng)中搭建第二網(wǎng)絡(luò)安全專網(wǎng),來(lái)實(shí)現(xiàn)業(yè)務(wù)數(shù)據(jù)和安全管理相關(guān)數(shù)據(jù)的分離,從而避免安全相關(guān)的軟硬件部署和安全管理工作帶來(lái)對(duì)工控系統(tǒng)網(wǎng)絡(luò)實(shí)時(shí)性和確定性的影響,同時(shí)為安全管理中心的構(gòu)建提供先決條件。
· 網(wǎng)絡(luò)監(jiān)控
部署網(wǎng)絡(luò)監(jiān)控軟件,對(duì)工業(yè)控制系統(tǒng)中的網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)流量、網(wǎng)絡(luò)性能和負(fù)荷進(jìn)行實(shí)時(shí)監(jiān)控,可以及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)異常狀況,并將相關(guān)日志發(fā)送到安全日志審計(jì)服務(wù)器中。
2.4 信息安全防護(hù)能力的進(jìn)一步提升空間
通過(guò)兩期的安全整改,極大地增強(qiáng)了青島液化天然氣接收站的信息安全防護(hù)能力,同時(shí)也高分通過(guò)了等保2.0測(cè)評(píng)。但通過(guò)進(jìn)一步安全評(píng)估,發(fā)現(xiàn)仍有很大的提升空間,下一步計(jì)劃通過(guò)部署入侵檢測(cè)以及流量審計(jì)進(jìn)一步提升安全檢測(cè)能力;通過(guò)引入多因素認(rèn)證,進(jìn)一步加強(qiáng)工控系統(tǒng)關(guān)鍵操作過(guò)程的身份鑒別和訪問(wèn)控制;通過(guò)部署異地災(zāi)備,對(duì)工控系統(tǒng)的系統(tǒng)和重要數(shù)據(jù)提供進(jìn)一步的防護(hù);部署安全管理中心,對(duì)工控系統(tǒng)的信息安全進(jìn)行統(tǒng)一的管理、運(yùn)維和審計(jì)。
3 思考和總結(jié)
在新基建和工業(yè)互聯(lián)網(wǎng)的大背景下,信息安全已經(jīng)不再是可選項(xiàng),而是重要的基礎(chǔ)支撐技術(shù)之一。工業(yè)信息安全不僅可以保障OT系統(tǒng)安全、高效的生產(chǎn)運(yùn)營(yíng),也可以保障工業(yè)企業(yè)人員、資產(chǎn)和環(huán)境的安全,保障企業(yè)的工業(yè)互聯(lián)網(wǎng)建設(shè)并支持企業(yè)可持續(xù)發(fā)展。
通過(guò)幾年來(lái)對(duì)控制系統(tǒng)信息安全建設(shè)和防護(hù)的實(shí)踐,我們有以下思考:
(1)為了保障能源穩(wěn)定可靠供應(yīng),液化天然氣接收站控制系統(tǒng)需要常年不停機(jī)連續(xù)運(yùn)行,應(yīng)在保障系統(tǒng)可靠性、可用性、連續(xù)性、耐久性和魯棒性的基礎(chǔ)和前提下考慮信息安全的建設(shè);
(2)工控系統(tǒng)信息安全的建設(shè)應(yīng)有針對(duì)性,應(yīng)優(yōu)先針對(duì)關(guān)鍵的運(yùn)營(yíng)過(guò)程、關(guān)鍵的資產(chǎn)和需要應(yīng)對(duì)的最大的風(fēng)險(xiǎn)點(diǎn),因此前期的評(píng)估就非常重要,通過(guò)評(píng)估可以找出建設(shè)重點(diǎn)并做合理規(guī)劃。同時(shí),由于信息安全威脅變化很快,因此需要定期的信息安全風(fēng)險(xiǎn)評(píng)估;
(3)工業(yè)控制系統(tǒng)信息安全防護(hù)的運(yùn)營(yíng)與建設(shè)同樣重要,補(bǔ)丁和病毒庫(kù)的更新、安全軟硬件的適當(dāng)配置以及運(yùn)維和安全日志、態(tài)勢(shì)的監(jiān)控是控制系統(tǒng)能夠在全生命周期內(nèi)保持一定的安全水平和成熟的關(guān)鍵,而控制系統(tǒng)的運(yùn)維人員在這方面還有知識(shí)和經(jīng)驗(yàn)上的欠缺,需要盡快加強(qiáng);
(4)工業(yè)控制系統(tǒng)信息安全不僅僅需要技術(shù)方面的工作,還需要在管理流程上制定相應(yīng)的政策和流程,需要“兩手抓,兩手都要硬”,需要在國(guó)家和國(guó)際標(biāo)準(zhǔn)的指導(dǎo)下,在企業(yè)的政策、流程和技術(shù)上進(jìn)行投入,需要建設(shè)縱深防御的信息安全的防護(hù)體系,在全生命周期范圍內(nèi)對(duì)資產(chǎn)和生產(chǎn)運(yùn)營(yíng)進(jìn)行信息安全防護(hù)。
作者簡(jiǎn)介:
吳 斌(1979-),男,河南濮陽(yáng)人,高級(jí)工程師,碩士,現(xiàn)就職于青島液化天然氣有限責(zé)任公司,研究方向?yàn)橛?jì)算機(jī)。
楊春慧(1972-),女,山東淄博人,高級(jí)工程師,學(xué)士,現(xiàn)就職于青島液化天然氣有限責(zé)任公司,研究方向?yàn)樽钥貎x表。
劉培峰(1990-),男,山東濟(jì)南人,高級(jí)工程師,碩士,現(xiàn)就職于青島液化天然氣有限責(zé)任公司,研究方向?yàn)橛蜌鈨?chǔ)運(yùn)。
孫大巍(1982-),女,遼寧沈陽(yáng)人,高級(jí)工程師,學(xué)士,現(xiàn)就職于青島液化天然氣有限責(zé)任公司,研究方向?yàn)樽钥貎x表。
喬其永(1970-),男,山東淄博人,技師,學(xué)士,現(xiàn)就職于青島液化天然氣有限責(zé)任公司,研究方向?yàn)樽钥貎x表。
裴淵斗(1979-),男,山西太原人,碩士,現(xiàn)就職于施耐德電氣(中國(guó))有限公司,研究方向?yàn)楣I(yè)信息安全、工業(yè)自動(dòng)化。
參考文獻(xiàn):
[1] GB/T 22239-2019. 信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求[S].
[2] GB/T 40218-2021. 工業(yè)通信網(wǎng)絡(luò) 網(wǎng)絡(luò)和系統(tǒng)安全工業(yè)自動(dòng)化和控制系統(tǒng)信息安全技術(shù)[S].
[3] GB/T 35673-2017. 工業(yè)通信網(wǎng)絡(luò) 網(wǎng)絡(luò)和系統(tǒng)安全 系統(tǒng)安全要求和安全等級(jí)[S].
[4] IEC/TR 62443-2-3. Security for Industry Automation and Control System – Patch Management for IACS environment[S].
摘自《自動(dòng)化博覽》2023年6月刊
北京市公安局海淀分局備案號(hào):11010802023656號(hào)