CAIAC 2023：油气长输管道工控安全解决方案

国家日益重视网络与信息安全的法制建设和政策力量布局，网络安全与信息化建设的法律、法规、政策文件相继出台发布，如网络安全法、数据安全法、等级保护、关键信息基础设施安全保护条例等。

（1）标准合规性需求

长输管道是主要运用站场自控系统、调度 SCADA 系统相结合，实现长输管道的油气输送调度，在长输管道智能化、智慧化的过程中要加快完成安全技术体系与管理体系的建设工作，使之符合《信息安全技术 网络安全等级保护基本要求》（GB/T 22239-2019）、《信息安全技术信息系统密码应用基本要求》（GB/T 39786-2021）、《工业控制系统信息安全防护指南》及油化行业网络安全相关要求。

（2）业务安全性需求

从工控网络与架构、分控、站场自身安全性需求进行如下分析：

长输管道业务主要是站场自控系统、分控中心、主调控中心、备调控中心相互之间组成的工业控制网络，涉及生产控制网、视频监控网、安全监控网、无线网络等。增压站、输配站、首站、末站等分别承载着不同的业务功能，由于系统繁多，大多长输管道企业存在数据流向不清晰、隔离措施不完善、隔离强度不达标等问题，造成各网络子域间及跨网交换非授权访问风险以及病毒横向传播风险。

由于长输管道距离长，整体网络规模相对庞杂，地域分布较广，分控中心缺少对站控网络统一的安全管理、监控；缺少来自终端、网络、存储、网络设备、安全设备各种报警事件的采集与分析。长输管道场站中的工控系统上位机、服务器漏洞无处不在，例如：对打补丁比较排斥，身份鉴别过于单一，各主机也未部署对已知与未知病毒的防护措施，且存在误操作、非法攻击、勒索病毒感染等风险，长输管道企业迫切需要对工控主机采取加固及病毒免疫等措施。

站场的分控中心、主调控中心、备调控中心与站控形成了“全国一张网”，即“中心－站控－阀室－中心”通信关系，在站场工控网络中，各类安全威胁不断涌入控制系统，而内部缺少对工业流量监测审计的手段，无法针对工控系统协议层面存在的恶意攻击、异常流量进行审计，更无法对工控指令攻击和控制参数篡改行为进行实时监测和告警，大大增大了网络入侵的风险，最终导致安全生产事故的发生。

（3）新技术安全需求

在智能化、智慧管网的建设中，运用大数据、云计算、物联网、5G 等现代信息技术手段，打造网格化管理信息中枢系统 , 使得一些非法攻击与入侵更容易进入长输管道调度网络，存在非法访问、实时攻击、APT 威胁的安全隐患。

长输管道运营企业工控安全体系依据国家法律法规、政策标准等打造可靠的四大信息安全体系，安盟信息长输管道工控安全体系详情如下：

长输管道工控安全体系架构图

安全技术体系是长输管道运营企业工控安全纵深防御的具体体现，通过安全设备与技术实现工控系统各层安全交互，并加大站场、分控中心的工控网络、主机及生产数据的安全技术应用，增强工控系统整体安全防护能力。

同时对工控系统与企业生产管理层、信息化层及第三方监管机构等边界进行高安全隔离。

安全管理体系是长输管道运营企业工控安全顶层策略方针和指导思想，指导企业建立完善的工控安全管理制度，规范日常操作及安全运维等。

仿真验证体系是长输管道运营业务融合工控安全的关键，对新加入系统、设备，建设方案通过仿真生产环境严格验证，提早规避 风险，并协助长输管道运营企业进行应急演练、安全攻防、技术培训等工作开展。

安全运营体系是长输管道运营企业生产系统稳定运行的支撑和保障，全面提升生产控制网安全感知、风险实时预测、精准管控、 协同处理的能力。

按照长输管道生产系统的特点，遵循分层、分区、划域的原则，按照“站场、增压站、分控中心”划分安全域，从“边界、通信、计算环境”安全的角度对长输管道运营业务场景工控安全建设进行整体规划设计。

长输管道工控安全方案拓扑结构示意图

2.2.1 分控中心/场站/增压站安全区域边界

（1）在分控中心到站场边界部署安盟华御工业防火墙进行逻辑隔离，并进行细粒度控制。

安盟华御工业防火墙支持BYPASS模块，系统发生故障，IAF会在1秒内启动BYPASS模式，保障业务运行的连续性。具备Dos攻击防护功能，可以抵御多种Dos拒绝服务攻击，如SYN Flood、TearDrop、Land攻击、超大ICMP数据攻击、ICMP Flood攻击、网络风暴限制等网络攻击，进而保障业务系统免受外部攻击。

（2）分别在站场、首末站、增压站到主、备调控中心边界部署工业防火墙进行逻辑隔离，确保主备调控中心下发的调度指令安全。

（3）在数据转换服务器边界部署工业安全隔离装置。

（4）分别在分控中心、站场、首末站、增压站等安全管理中心边界部署下一代防火墙。

会话监控、会话控制功能是专业化管理内网必不可少的功能。安盟华御防火墙可对当前设备的会话进行监控，管理员可查看会话的发起用户、源目地址、端口、协议、策略、存在时间和超时时间等，具有完备的状态检测表追踪连接会话状态；安盟华御防火墙支持对当前所有会话进行峰值统计，方便管理员快速筛选内网异常用户和IP，可帮助管理快速定位网络故障；管理员支持针对全局基于IP进行并发会话和新建会话的限制，保障内网所有访问行为均在正常数值范围内，确保内网安全。

（5）采用工业应用审计系统对分控中心、站场、首末站、增压站等工控网络中的全流量通信、操作行为、异常行为等进行审计及预警；通过部署入侵检测系统实时监测工控网络异常流量，对异常的、入侵行为的数据进行监测和报警。

2.2.2 分控中心/场站/增压站安全通讯网络

针对长输管道企业的实际安全需求，终端安全接入模块与摄像头、无线设备等物联网设备进行融合安全设计。

通过部署防火墙，实现对边界进行细颗粒度（基于源、目的IP、源、目的端口、应用、服务等）的访问控制，同时开启入侵防御功能，基于模式匹配、异常检测、统计分析等入侵检测和协议分析技术，阻挡各种入侵攻击。

2.2.3 分控中心/场站/增压站安全计算环境

（1）在操作员站、工程师站、服务器等部署工控主机卫士软件或机甲卫士系统。

通过安盟华御主机卫士对操作系统本身的安全加固，打造服务器本身的免疫系统。可以有效地规避因打补丁给服务器带来的风险，切断黑客的攻击途径。同时，本方案通过主动防御和防网络攻击等功能弥补了传统安全产品的不足，避免出现信息安全的短板效应，提高了系统的整体防御能力。

（2）在分控中心部署数据库审计系统，对数据库访问行为、数据库风险操作、数据泄漏等进行精准识别与预警。

2.2.4 分控中心/场站/增压站安全管理中心

建设分控中心、站场、首末站、增压站等安全管理中心，实现网络准入控制、漏洞弱点发现、运维安全管控、日志审计、安全管理、态势感知等系统功能。

建设分控中心部署堡垒机，监控和记录第三方运维人员对工控网络内的服务器、网络设备、安全设备、数据库等设备的操作行为，以便发现异常及时报警、及时处理及审计定责。

部署日志审计对各类设备、服务器、终端主机等的日志进行统一收集与存储，满足网络安全法相关要求。

生产网核心交换机旁路部署工业应用审计系统对工控网络中的流量通信、操作行为等进行审计及预警。

建设分控中心安全态势感知平台，对网络态势进行分析、预警及准入控制，并对异常报警行为形成工单分配给人工进行干预处理，同时与相应防护设备进行协同防御。

生产网核心交换机旁路部署入侵检测系统实时监测工控网络异常流量，对异常的、入侵行为的数据进行检测和告警。

2.2.5 生产管理层

在分控中心到站场边界部署工业防火墙进行逻辑隔离，并进行细粒度控制。

安盟信息工程服务团队通过众多长输管道实践案例，具备丰富的同类项目实施经验。在项目交付阶段，安盟信息迅速成立工程项目组制定项目章程，克服极寒型复杂环境的现场，以工程项目组为核心服务机构，依托安盟信息的安全服务体系，保证高质量、短工期完成本项目的交付实施。满足客户对于项目快速交付的强烈需求。

后续安盟信息将持续为客户提供高质高效的售后服务，确保系统稳定运行，协助客户构建长输管道工控安全运营体系。 

（1）促进长输管道智慧化发展

通过建设长输管道运营业务工控安全保障体系，可解决长输管道运营企业智慧化建设过程中带来的信息安全风险，保障长输管道运营业务系统安全、可靠运转，加速向“网格化运营、智能管道、智慧管网”迈进。

（2）构建长输管道体系化安全

通过强化长输管道调度网络安全区域内网络、主机及数据的安全防护，大大增强了运营工业网络的整体安全防护能力，确保长输管道运营业务安全生产、可持续运营，构建网络边界安全、工控系统安全的纵深防护体系。

（3）提升长输管道生产安全性

深度融合长输管道运营企业生产环境中系统应用，降低长输管道运营企业的安全运营风险，提高安全运维效率。为企业稳定连续作业，构建智能感知、智慧运营、智慧决策的运营体系提供可靠的安全保障。

（4）满足标准合规性要求

符 合《信 息 安 全 技 术 网 络 安 全 等 级 保 护 基 本 要 求》(GBT22239-2019)、《信息安全技术信息系统密码应用基本要求》（GB/T 39786-2021）、《工业控制系统信息安全防护指南》等相关政策、标准及监管要求。

安盟信息将凭借在工业互联网安全、商用密码应用与数据安全方面积累的经验，继续深耕网络安全技术防护措施、持续落实网络安全制度，为油化企业数字化、智慧化转型发展保驾护航！