概述:为了加强燃气管网生产控制系统信息安全管理,防范黑客及恶意代码等对燃气管网生产控制系统的攻击及侵害,保障燃气管网安全稳定运行,根据《网络安全等级保护基本要求》、《工业控制系统信息安全防护指南》和国家有关规定,结合燃气管网生产控制系统的实际情况,从外到内构成“纵深防御、分区防护”体系。
工业自动化和信息化系统是工业设备的核心组成部分,是支撑国民经济的重要设施,是工业各行业、各企业的神经中枢。目前工控系统己广泛应用于电力、轨道交通、石油化工、高新电子、航空航天、核工业、医药、食品制造等工业领域,其中超过80%的涉及国计民生的关键基础设施依靠工控系统来实现自动化作业。工控系统已经成为国家关键基础设施的重要组成部分,工控系统的安全关系到国家的战略安全。
工业信息安全越来越受到世界各国的高度重视,成为网络空间安全的重要组成部分。当前,国际上工业信息安全形势十分严峻。作为网络攻击的高价值战略目标,暴露在互联网上的工控系统及设备数量不断增加,对其实施攻击的技术门槛不断降低,工控系统相关高危漏洞不断出现,重大工业信息安全事件不断发生,全球工业信息安全总体风险处于持续攀升的高危状态。
《网络安全法》明确了“国家实行网络安全等级保护制度”、“关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护”等内容。为配合《网络安全法》的实施和落地,指导网络运营者按照网络安全等级保护制度的要求,履行网络安全保护义务,重新调整和修订了等级保护系列标准,等级保护对象已经从狭义的信息系统,拓展到网络基础设施、云计算平台、大数据平台、物联网、工业控制系统、采用移动互联网技术的系统等,可有效指导网络运行者、网络安全企业、网络安全服务机构,开展基于网络安全等级保护的安全技术方案的设计和实施。
为配合《网络安全法》的实施和落地,落实国家网络安全等级保护制度,依据2019年由中石油管道有限责任公司制定的SCADA系统网络安全等级保护等级指南,各管道公司展开了对所管辖的调控中心和站场进行网络安全系统建设。
为了加强燃气管网生产控制系统信息安全管理,防范黑客及恶意代码等对燃气管网生产控制系统的攻击及侵害,保障燃气管网安全稳定运行,根据《网络安全等级保护基本要求》、《工业控制系统信息安全防护指南》和国家有关规定,结合燃气管网生产控制系统的实际情况,从外到内构成“纵深防御、分区防护”体系。按照“一个中心,三重防护”的原则,从安全通信网络、安全区域边界、安全计算环境、安全管理中心等层面加以实现:
1. 在安全通信网络方面:工控网络采用独立组网,并根据业务特点划分不通网络安全区域,并在不同网络安全区域之间进行网络隔离;对关键网络设备和线路实现冗余备份,对广域网传输的数据采用加密技术确保传输信息的保密性等。
2. 在安全区域边界方面:对工控网络内部各安全域之间以及工控网络与非工控网络的数据访问进行控制,只允许授权访问通过边界保护设备;对工控网络协议进行分析监测,对网络攻击、病毒等安全事件进行检测,及时发现网络中的威胁事件。
3. 在安全计算环境安全方面:加强服务器、工程师站等工业主机的身份鉴别和访问控制措施,严格限制用户访问权限;保证工控应用系统身份认证数据和业务数据完整性和保密性,防止非授权操作、误操作或信息泄露;并根据需要实现数据定时备份或实时备份功能,保证数据可用性。
4. 在安全管理中心方面:加强网络设备和安全设备集中认证和审计日志的集中统一管理;加强对网络运行状况的集中监控;实现系统管理员、安全管理员、审计管理员的权限分离、身份鉴别以及操作过程的监控审计等功能。
天然气管道SCADA工业控制安全防护系统主要由调控中心、输气站场、线路阀室等几部分组成。每一个功能区域之间通过工业防火墙进行边界隔离防护。生产网与外部网络(办公网&互联网&第三方网络)之间需要通过工业网闸进行单向或者双向物理隔离。区域汇聚交换机侧旁路部署入侵检测设备,用以检测威胁攻击事件;管理中心部署工业监测审计、日志审计、态势感知平台、运维审计和统一安全管理平台,对生产网安全环境进行整体安全监测和管理控制;在各场站部署防火墙和用以收集安全威胁情报的探针,对工业网络整网设备资产、安全产品、安全事件进行信息采集和安全监测管理。
根据GB22239-2019 等级保护要求,调控中心通常按照等级保护三级要求进行设计。
调控中心与下级场站及线路阀室,同处于生成网络中不同的安全子分区。安全子分区之间应设置工业防火墙进行逻辑隔离。
生产网与外部网络(如办公网、互联网或第三方网络)之间,应设置单向或双向的工业隔离网闸,进行物理隔离,以防止外部的攻击事件,及内部数据泄露。
调控中心操作员站/工程师站应部署安全卫士和USB防御系统,通过“白名单”机制,对主机进行安全防护。
通常在调控中心设置安全管理中心,用于对全网进行安全监测、威胁情报态势感知和安全管理。安全管理中心部署工业监测审计系统,日志审计系统,入侵检测系统、态势感知系统、安全运维系统(堡垒机)以及统一安全管理平台等监测管理系统和设备。工控漏扫系统可不单独设置,可以委托第三方网络服务机构定期开展漏洞扫描服务。
根据GB22239-2019 等级保护要求,重点场站按照等级保护三级要求进行设计。
场站作为单独的安全子分区,应设置工业防火墙进行逻辑隔离;如果场站与外部网络有通信需求,需要设置工业隔离网闸,进行物理隔离。
场站端通常设置站控SCADA系统和操作员站/工程师站,按照等级保护要求,应设置安全卫士和USB防御系统,对工控主机进行终端防护;在场站设置工业监测审计系统(含日志与流量采集功能),实现将场站内采集的系统日志、安全日志、流量分析和监测审计数据上传到调控中心的态势感知平台以及工业审计系统,实现统一安全管理平台对场站威胁情报的监测和安全设备管理。
通常线路阀室处于线路中间,无人值守区域,在线路阀室部署有远端传输单元RTU。
根据GB22239-2019 等级保护要求,无人值守阀室,通常可按照等级保护二级要求进行设计。
线路阀室作为单独的安全子分区,应设置工业防火墙,进行安全逻辑隔离。线路阀室通常可采用有线和无线两种通信链路。对于无线阀室,一般通过运营商无线3G/4G/5G公用网络,通过安全VPN链路,实现与调控中心或者上级场站进行通信。