1 项目概况
1.1 项目背景
2020年9月30日国家石油天然气管网集团全面接管原分属于三大石油公司的相关油气管道基础设施资产(业务)及人员,正式并网运营。2021年4月1日起,中国石油旗下的大连液化天然气有限公司及所属大连LNG接收站正式划转至国家管网集团。
此次划转交接的达成,不单单是组织上的迁移,更是业务上的全面迁移,现网的改造、数据的流向、与国家管网总部的网络对接、与其他有关部门的数据互通以及国家管网的安全要求都是相当重要的任务与挑战,做好划转交接的网络安全、工业控制系统安全防护工作也是此次划转的重点工作。此次成功划转交接后,国家管网集团可以更好地调配全国的天然气资源,增强北方供暖用气供给能力,保障国家能源安全。
1.2 项目简介
本项目中针对大连LNG接收站工业控制系统的特性,绿盟科技提供了从安全评估和咨询,到设计与建设,再到安全运维及培训的覆盖系统全生命周期的工控系统安全防护方案。该方案通过对多种产品、服务的整合,提供集中、高效、实际的风险缓解,帮助大连LNG接收站提高工业控制系统的可用性、降低安全风险、满足合规要求,保障工业控制系统的安全性。
1.3 项目目标
(1)行业面临的挑战
石油天然气行业规模庞大,网络安全成熟度却相对较低,企业针对安全问题的战略投资也很有限。随着网络攻击的演进,攻击方式愈发高级,攻击愈发高频,攻击者的目标从原来的个人过渡到企业,攻击的目的也由原来单纯的炫技变为如今的盈利。再加上物联网的飞速发展,摆在石油天然气等能源企业面前的网络风险更是与日俱增。2021年5月9日,美国最大燃油管道被黑客“掐断”,美国宣布进入国家紧急状态。美国联邦政府交通部联邦汽车运输安全管理局宣布美国17个州和华盛顿特区进入紧急状态,以应对勒索软件的攻击,该攻击迫使美国最大的成品油管道系统ColonialPipeline关闭了一条关键的运输管道,此管道承担美国东岸45%的燃料供给。越来越多的网络攻击瞄准石油与天然气行业中的工业控制系统,对员工安全、企业名誉、运营维护以及环境等造成了严重的威胁。攻击手段层出不穷,包括且不限于:用间谍软件窃取投标数据,用恶意软件扰乱生产控制系统,或者用拒绝服务(DoS)阻断控制系统中的信息流动,甚至还有攻击者发动联合攻击。例如2014年欧洲,网络攻击者就利用钓鱼战术和先进的特洛伊木马程序发动了针对50个石油和天然气企业的联合攻击。石油与天然气行业拥有着由众多向量共同构成的庞大网络攻击面。单一企业所存储的敏感数据量即可达到PB级别,其需要利用数十万块处理器对石油与天然气开采环境进行模拟,同时将分析结果与世界各地成千上万家负责生产及维护钻井控制系统的供应商及合作伙伴进行共享。在这样的背景之下,一次攻击活动即可能造成数百万美元损失,并导致环境甚至人类生命面临严重风险。
(2)主要目标
本次大连LNG接收站工业控制系统网络安全防护建设项目,最终达到为大连LNG接收站工业控制网络提供综合安全保障,并符合国家管网及等级保护相关要求,保障生产业务健康运营的目标。
(3)总体概述
绿盟科技针对大连LNG接收站的安全需求与特点,参考PDCA的防护思路,同时结合《工业控制系统安全指南》(SP800-82)和等保2.0中从技术、管理和运行三个方面对工控系统安全建设要求的内容,形成从技术防护到快速响应的安全防护模型,实现安全技术能力、安全管理能力的全面提升,实现管、控、防一体化。安全能力逐步覆盖各个环节,实现工控系统安全的闭环管控。
2 项目实施
2.1 系统架构(如图1所示)
图1 项目系统架构图
本项目主要建设内容包括工业控制网络边界防护、入侵检测、安全审计、主机安全,详细技术方案如下:
(1)边界防护
在生产网与管理网之间部署工业网络安全隔离装置,彻底阻断不同安全区域之间的直接通讯。同时通过内嵌的高性能工业通信软件,对OPC、Modbus、DNP3等主流工业通讯协议和规约进行数据的过滤和摆渡,为工业控制系统网络间的实时数据交换提供“安全通道”。在同DCS系统之间部署防火墙,将它们分割成不同的安全区域,控制不同安全区域之间的访问,并对区域间数据交换进行深度过滤,减少区域之间安全问题的扩散和影响。
(2)入侵检测
在生产网旁路部署工控入侵检测系统,通过流量镜像检测发现网络或系统中违反安全策略的行为和遭到入侵的迹象,提高了信息安全基础结构的完整性。
(3)安全审计
采用旁路部署,对交换机镜像流量进行深度解析,被动式识别网络中的资产,结合强大的漏洞库资源,构造高细粒度的网络资产画像。对工业网络通信关系进行识别,形成工业网络通信基线,及时发现跨区域连接、非法外联;并可对攻击进行深度溯源。
(4)主机安全
在工控上位机和服务器上部署保护工控主机环境的安全软件产品,防范各类已知和未知恶意程序的运行、控制USB移动存储介质的滥用、对主机系统进行安全加固等,实现对工控主机全面的安全防护。
2.2 应用场景分析
天然气基础设施主要包括管道、LNG接收站、储气库、LNG工厂、LNG船、LNG槽车等,其中LNG接收站的数据采集与自动化控制系统包括LNG卸船、LNG存储、LNG气化、LNG外输、槽车充装、泄漏检测等系统,智能生产管理系统包括设备管理系统、三维可视化系统、智能巡检系统、智能Web装车系统、双重预防机制系统等。设备管理系统:以设备台账为基础,建立以预防性维修和预测性维修为主的设备完整性管理体制。三维可视化系统,展示设备温度、压力及管道流量等信息,界面中心展现天然气站的主体、管线、设备等整体仿真三维景观。智能巡检系统:在无人园区中,巡检智能机器人根据指定线路,对点位设备进行逐个巡检排查,采集实时可视化运作数据并进行分析,将异常数据第一时间反馈给控制中心,为管理人员提供应对依据。智能Web装车系统:该系统通过视觉传感器完成物流车辆的尺寸确定、类型识别及定位等任务,通“智能化”系统实施,优化业务流程,明晰工作界面,全面提升装车运营综合管理水平,促使装车管理向数字化、信息化、智能化转变。双重预防机制系统,安全双重预防是指“安全生产风险分级管控和隐患排查治理双重预防体系建设”,通过精准、有效管控风险,切断隐患产生和转化成事故的源头,从根本上防范事故,实现关口前移、预防为主,落实政府、部门、企业、岗位全链条安全生产责任制。通过对大连LNG业务场景的洞察,规划如下安全场景:
(1)基于攻击/异常行为的识别场景
具备对典型攻击过程如扫描、远程溢出的识别能力,能够对入站流量进行深度检测,防止非法/异常的通讯数据结构破坏自动化系统运行;同时建立内部访问会话特征描述,制定运行环境模板,从而降低APT以及其他未知威胁的潜伏可能。
(2)访问控制场景
工业控制系统应当定义清晰的访问控制策略,访问控制策略在满足实时性的基础之上对HMI/SCADA服务器、控制器等资产实现防护,避免未授权访问造成安全风险;并考虑采用VPN技术实现在自动化网络内授权设备之间实时的授权通信。
(3)符合工业过程特点的安全维护作业场景
充分考虑安全维护作业机制如评估与加固对工时,采用风险可控的替代手段,将安全维护对工业控制系统的干扰和未知影响降到最低。
(4)安全审计场景
充分利用系统(包括操作系统、数据库系统、应用系统、网络系统等)的审计机制,并根据业务特点和威胁环境建立独立于系统的外部审计机制,提供独立的审核记录功能。工业控制系统安全防护并非一次性过程,上述安全防护手段从多维度对工业控制系统可能面对的风险进行识别和消除,可有效降低相关系统的安全风险级别,但需要意识到由于外部威胁环境和系统技术演变将可能引入新的风险点,系统、人员、商业目标以及内外部威胁任何对象发生改变时,应对上述防护体系正确性和有效性进行评估,以确定其可有效应对风险,这是一个反复持续的改善过程,通过这一过程可使工业控制系统获得最大程度的保护。
2.4 实际应用效果
(1)满足国家法律法规相关要求本项目落实了国家网络安全战略层面及国家管网网络安全工作要求,做到安全漏洞早知道、防护有体系、工作有抓手,满足工业控制系统建设“安全三同步”合规要求。
(2)有效降低安全风险项目大幅提高工业控制系统的整体安全防护能力,有效减少工控安全事件的发生,保障业务安全生产。
(3)提高企业运营效率
通过工业控制网络和管理网络的安全隔离,杜绝恶意病毒、木马、攻击影响工业控制网络的正常运行,提高企业运营效率。
3 案例亮点
基于绿盟科技多年来的项目经验及技术积累,打通传统网络环境、工控网络环境、物联网环境、云计算环境,结合检测防御类、安全评估类产品实现异构数据融合,通过多种防护手段融合协助大连LNG接收站建立多层次、纵深防御、实时响应的安全体系。通过远程与本地相呼应的方式协助用户完成安全运营支撑工作,在原有运营体系基础上加强安全监控与保障能力,控制安全风险,实现完整的工业企业、工业互联网企业的全方位的安全解决方案。面向风险和监管要求,涵盖整个工控系统的全生命周期的安全管控,确保工控安全保障的投入能够发挥最大的效果。
