一、背景說明

油氣長(zhǎng)輸管道是我國(guó)國(guó)民經(jīng)濟(jì)的基礎(chǔ)，在促進(jìn)國(guó)民經(jīng)濟(jì)和社會(huì)發(fā)展中具有重要地位和作用。在油氣、化工、儲(chǔ)運(yùn)的數(shù)字化、智慧化發(fā)展趨勢(shì)下，工控系統(tǒng)逐漸從彼此孤立向數(shù)據(jù)互通、系統(tǒng)互聯(lián)的數(shù)字運(yùn)營(yíng)方向發(fā)展，網(wǎng)絡(luò)安全風(fēng)險(xiǎn)和隱患陡然加劇，給油化行業(yè)數(shù)字化、智慧化轉(zhuǎn)型帶來新的安全挑戰(zhàn)與風(fēng)險(xiǎn)。

二、需求分析

2.1標(biāo)準(zhǔn)合規(guī)性需求

長(zhǎng)輸管道是主要運(yùn)用站場(chǎng)自控系統(tǒng)、調(diào)度 SCADA 系統(tǒng)相結(jié)合，實(shí)現(xiàn)長(zhǎng)輸管道的油氣輸送調(diào)度，在長(zhǎng)輸管道智能化、智慧化的過程中要加快完成安全技術(shù)體系與管理體系的建設(shè)工作，使之符合《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》（GB/T 22239-2019）、《信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求》（GB/T 39786-2021）、《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》及油化行業(yè)網(wǎng)絡(luò)安全相關(guān)要求。

2.2業(yè)務(wù)安全性需求

從工控網(wǎng)絡(luò)與架構(gòu)、分控、站場(chǎng)自身安全性需求進(jìn)行如下分析：

長(zhǎng)輸管道工控網(wǎng)絡(luò)與架構(gòu)安全分析

長(zhǎng)輸管道業(yè)務(wù)主要是站場(chǎng)自控系統(tǒng)、分控中心、主調(diào)控中心、備調(diào)控中心相互之間組成的工業(yè)控制網(wǎng)絡(luò)，涉及生產(chǎn)控制網(wǎng)、視頻監(jiān)控網(wǎng)、安全監(jiān)控網(wǎng)、無線網(wǎng)絡(luò)等。增壓站、輸配站、首站、末站等分別承載著不同的業(yè)務(wù)功能，由于系統(tǒng)繁多，大多長(zhǎng)輸管道企業(yè)存在數(shù)據(jù)流向不清晰、隔離措施不完善、隔離強(qiáng)度不達(dá)標(biāo)等問題，造成各網(wǎng)絡(luò)子域間及跨網(wǎng)交換非授權(quán)訪問風(fēng)險(xiǎn)以及病毒橫向傳播風(fēng)險(xiǎn)。

分控中心需求分析

由于長(zhǎng)輸管道距離長(zhǎng)，整體網(wǎng)絡(luò)規(guī)模相對(duì)龐雜，地域分布較廣，分控中心缺少對(duì)站控網(wǎng)絡(luò)統(tǒng)一的安全管理、監(jiān)控；缺少來自終端、網(wǎng)絡(luò)、存儲(chǔ)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備各種報(bào)警事件的采集與分析。長(zhǎng)輸管道場(chǎng)站中的工控系統(tǒng)上位機(jī)、服務(wù)器漏洞無處不在，長(zhǎng)輸管道企業(yè)迫切需要對(duì)工控主機(jī)采取加固及病毒免疫等措施。

站場(chǎng)自控需求分析

站場(chǎng)的分控中心、主調(diào)控中心、備調(diào)控中心與站控形成了“全國(guó)一張網(wǎng)”，即“中心－站控－閥室－中心”通信關(guān)系，各類安全威脅不斷涌入控制系統(tǒng)，而內(nèi)部缺少對(duì)工業(yè)流量監(jiān)測(cè)審計(jì)的手段，無法針對(duì)工控系統(tǒng)協(xié)議層面存在的惡意攻擊、異常流量進(jìn)行審計(jì)，更無法對(duì)工控指令攻擊和控制參數(shù)篡改行為進(jìn)行實(shí)時(shí)監(jiān)測(cè)和告警，大大增大了網(wǎng)絡(luò)入侵的風(fēng)險(xiǎn)，最終導(dǎo)致安全生產(chǎn)事故的發(fā)生。

2.3新技術(shù)安全需求

在智能化、智慧管網(wǎng)的建設(shè)中，運(yùn)用大數(shù)據(jù)、云計(jì)算、物聯(lián)網(wǎng)、5G 等現(xiàn)代信息技術(shù)手段，打造網(wǎng)格化管理信息中樞系統(tǒng) , 使得一些非法攻擊與入侵更容易進(jìn)入長(zhǎng)輸管道調(diào)度網(wǎng)絡(luò)，存在非法訪問、實(shí)時(shí)攻擊、APT 威脅的安全隱患。

三、方案實(shí)施

3.1方案體系架構(gòu)

長(zhǎng)輸管道運(yùn)營(yíng)企業(yè)工控安全體系依據(jù)國(guó)家法律法規(guī)、政策標(biāo)準(zhǔn)等打造可靠的安全技術(shù)體系、安全管理體系、仿真驗(yàn)證體系、安全運(yùn)營(yíng)體系四大信息安全體系。

長(zhǎng)輸管道工控安全體系架構(gòu)圖

3.2產(chǎn)品部署說明

按照長(zhǎng)輸管道生產(chǎn)系統(tǒng)的特點(diǎn)，遵循分層、分區(qū)、劃域的原則，按照“站場(chǎng)、增壓站、分控中心”劃分安全域，從“邊界、通信、計(jì)算環(huán)境”安全的角度對(duì)長(zhǎng)輸管道運(yùn)營(yíng)業(yè)務(wù)場(chǎng)景工控安全建設(shè)進(jìn)行整體規(guī)劃設(shè)計(jì)。

長(zhǎng)輸管道工控安全方案拓?fù)浣Y(jié)構(gòu)示意圖

3.2.1分控中心/場(chǎng)站/增壓站安全區(qū)域邊界

分別部署了安盟華御工業(yè)防火墻進(jìn)行邏輯隔離，在數(shù)據(jù)轉(zhuǎn)換服務(wù)器邊界部署工業(yè)安全隔離裝置，安全管理中心邊界部署下一代防火墻，同時(shí)采用工業(yè)應(yīng)用審計(jì)系統(tǒng)對(duì)分控中心、站場(chǎng)、首末站、增壓站等工控網(wǎng)絡(luò)中的全流量通信、操作行為、異常行為等進(jìn)行審計(jì)及預(yù)警；通過部署入侵檢測(cè)系統(tǒng)實(shí)時(shí)監(jiān)測(cè)工控網(wǎng)絡(luò)異常流量，對(duì)異常的、入侵行為的數(shù)據(jù)進(jìn)行監(jiān)測(cè)和報(bào)警。

3.2.2分控中心/場(chǎng)站/增壓站安全通訊網(wǎng)絡(luò)

針對(duì)長(zhǎng)輸管道企業(yè)的實(shí)際安全需求，終端安全接入模塊與攝像頭、無線設(shè)備等物聯(lián)網(wǎng)設(shè)備進(jìn)行融合安全設(shè)計(jì)。

3.2.3分控中心/場(chǎng)站/增壓站安全計(jì)算環(huán)境

在操作員站、工程師站、服務(wù)器等部署工控主機(jī)衛(wèi)士軟件或機(jī)甲衛(wèi)士系統(tǒng)，對(duì)操作系統(tǒng)本身的安全加固，打造服務(wù)器本身的免疫系統(tǒng)。

在分控中心部署數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)，對(duì)數(shù)據(jù)庫(kù)訪問行為、數(shù)據(jù)庫(kù)風(fēng)險(xiǎn)操作、數(shù)據(jù)泄漏等進(jìn)行精準(zhǔn)識(shí)別與預(yù)警。

3.2.4分控中心/場(chǎng)站/增壓站安全管理中心

建設(shè)分控中心、站場(chǎng)、首末站、增壓站等安全管理中心，實(shí)現(xiàn)網(wǎng)絡(luò)準(zhǔn)入控制、漏洞弱點(diǎn)發(fā)現(xiàn)、運(yùn)維安全管控、日志審計(jì)、安全管理、態(tài)勢(shì)感知等系統(tǒng)功能。

3.2.5生產(chǎn)管理層

在分控中心到站場(chǎng)邊界部署工業(yè)防火墻進(jìn)行邏輯隔離，并進(jìn)行細(xì)粒度控制。

3.4工程交付

安盟信息工程服務(wù)團(tuán)隊(duì)通過眾多長(zhǎng)輸管道實(shí)踐案例，具備豐富的同類項(xiàng)目實(shí)施經(jīng)驗(yàn)。在項(xiàng)目交付階段，安盟信息迅速成立工程項(xiàng)目組并制定項(xiàng)目章程，克服極寒型復(fù)雜環(huán)境的現(xiàn)場(chǎng)，以工程項(xiàng)目組為核心服務(wù)機(jī)構(gòu)，依托安盟信息的安全服務(wù)體系，保證高質(zhì)量、短工期完成本項(xiàng)目的交付實(shí)施。滿足客戶對(duì)于項(xiàng)目快速交付的強(qiáng)烈需求。

四、用戶價(jià)值

4.1促進(jìn)長(zhǎng)輸管道智慧化發(fā)展

通過建設(shè)長(zhǎng)輸管道運(yùn)營(yíng)業(yè)務(wù)工控安全保障體系，保障長(zhǎng)輸管道運(yùn)營(yíng)業(yè)務(wù)系統(tǒng)安全、可靠運(yùn)轉(zhuǎn)，加速向“網(wǎng)格化運(yùn)營(yíng)、智能管道、智慧管網(wǎng)”邁進(jìn)。

4.2構(gòu)建長(zhǎng)輸管道體系化安全

通過強(qiáng)化長(zhǎng)輸管道調(diào)度網(wǎng)絡(luò)安全區(qū)域內(nèi)網(wǎng)絡(luò)、主機(jī)及數(shù)據(jù)的安全防護(hù)，確保長(zhǎng)輸管道運(yùn)營(yíng)業(yè)務(wù)安全生產(chǎn)、可持續(xù)運(yùn)營(yíng)，構(gòu)建網(wǎng)絡(luò)邊界安全、工控系統(tǒng)安全的縱深防護(hù)體系。

4.3提升長(zhǎng)輸管道生產(chǎn)安全性

深度融合長(zhǎng)輸管道運(yùn)營(yíng)企業(yè)生產(chǎn)環(huán)境中系統(tǒng)應(yīng)用，為企業(yè)穩(wěn)定連續(xù)作業(yè)，構(gòu)建智能感知、智慧運(yùn)營(yíng)、智慧決策的運(yùn)營(yíng)體系提供可靠的安全保障。

4.4滿足標(biāo)準(zhǔn)合規(guī)性要求

符 合《信 息 安 全 技 術(shù) 網(wǎng) 絡(luò) 安 全 等 級(jí) 保 護(hù) 基 本 要 求》(GBT22239-2019)、《信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求》（GB/T 39786-2021）、《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》等相關(guān)政策、標(biāo)準(zhǔn)及監(jiān)管要求。

安盟信息將憑借在工業(yè)互聯(lián)網(wǎng)安全、商用密碼應(yīng)用與數(shù)據(jù)安全方面積累的經(jīng)驗(yàn)，繼續(xù)深耕網(wǎng)絡(luò)安全技術(shù)防護(hù)措施、持續(xù)落實(shí)網(wǎng)絡(luò)安全制度，為油化企業(yè)數(shù)字化、智慧化轉(zhuǎn)型發(fā)展保駕護(hù)航！