德克萨斯州天然气爆炸事件,为油气管道能源企业安全防护敲响“警钟”!

2022-07-01 13:55:14来源:深圳融安网络科技有限公司

据媒体报道,德克萨斯州金塔纳岛的自由港液化天然气 (Freeport LNG) 液化厂和出口终端发生爆炸,此次造成的损失,预计要到2022年底才能完成所有必要的维修并恢复运营,给社会经济造成巨大影响。同时,美国军事新闻网站报道认为此次德克萨斯液化天然气爆炸事件为黑客有组织的网络攻击行为,导致其于6月8日发生爆炸,并认为黑客组织可能来自俄罗斯。

图源来自:网络

Freeport LNG公司于6月14日声明,此次事件是由“液化天然气输送管线的一段超压和破裂,导致液化天然气快速闪蒸以及天然气蒸汽云的释放和点燃”引起的,并否认了黑客理论。然而,华盛顿时报国家安全作家Rogan和国际级控制系统网络安全专家Weiss均对该公司声明否认黑客攻击说法提出质疑,认为“它们并没有什么进一步的消息或证据”,Weiss还从技术层面阐述了遭受网络攻击的理由。


尽管,此次事件是否是因网络攻击造成的事故发生仍难以下结论,但据相关媒体的报道以及专家的分析,德克萨斯液化厂和出口终端确实存在着一些威胁安全的“致命”因素。比如,该天然气公司没有完善的工业控制网络监测系统,无严格的安全日志记录,一旦发生安全问题很难定位问题的根源,以及油气管道系统中仍存在诸多可能会被黑客攻击的环节等。事件的发生值得我们深思,也敲醒了我国油气管道等能源企业的安全“警钟”。


近年来,针对能源行业的网络攻击事件频发,网络安全威胁日益向工业领域蔓延。如2010年,伊朗核设施遭遇“震网”病毒攻击,2021年5月,Colonial Pipeline勒索软件攻击事件等,种种事件表明,网络安全威胁日益向工业领域蔓延,工控系统网络安全形势依旧严峻。


油气管道等能源行业的工业控制系统作为国家关键基础设施的重要组成部分。其安全性已经成为涉及国家安全稳定的重要战略问题,一旦遭受网络攻击极有可能引发全国性油气管网和城市燃气管网大瘫痪,严重威胁国家、社会和经济的稳定发展。因此,构建油气管道完整的工控系统网络安全体系迫在眉睫。


针对油气管道能源企业的安全防护建议


1、总体依据


为了加强燃气管网生产控制系统信息安全管理,防范黑客及恶意代码等对燃气管网生产控制系统的攻击及侵害,保障燃气管网安全稳定运行,根据《网络安全等级保护基本要求》、《工业控制系统信息安全防护指南》、《燃气系统运行安全评价标准》和国家有关规定,结合燃气管网生产控制系统的实际情况,需从外到内构成“纵深防御、分区防护”体系


2、总体规划


天然气管道SCADA工业控制安全防护系统主要由调控中心、输气站场、线路阀室等几部分组成。每一个功能区域之间通过工业防火墙进行边界隔离防护。生产网与外部网络(办公网&互联网&第三方网络)之间需要通过工业网闸进行单向或者双向物理隔离。区域汇聚交换机侧旁路部署入侵检测设备,用以检测威胁攻击事件;管理中心部署工业监测审计、日志审计、态势感知平台、运维审计和统一安全管理平台,对生产网安全环境进行整体安全监测和管理控制;在各场站部署防火墙和用以收集安全威胁情报的探针,对工业网络整网设备资产、安全产品、安全事件进行信息采集和安全监测管理。

部署示意图

3、调控中心


根据GB22239-2019 等级保护要求,调控中心通常按照等级保护三级要求进行设计。

调控中心与下级场站及线路阀室,应划分不同的安全分区。安全子分区之间应设置工业防火墙进行逻辑隔离。

生产网与外部网络(如办公网、互联网或第三方网络)之间,应设置单向或双向的工业隔离网闸,进行物理隔离,以防止外部的攻击事件,及内部数据泄露。

调控中心操作员站/工程师站应部署安全卫士和USB防御系统,通过“白名单”机制,对主机进行安全防护。

通常在调控中心设置安全管理中心,用于对全网进行安全监测、威胁情报态势感知和安全管理。安全管理中心部署工业监测审计系统,日志审计系统,入侵检测系统、态势感知系统、安全运维系统(堡垒机)以及统一安全管理平台等监测管理系统和设备。


4、场站安全规划


根据GB22239-2019 等级保护要求,重点场站按照等级保护二级或三级要求进行设计。

场站作为单独的安全分区,应设置工业防火墙进行逻辑隔离;如果场站与外部网络有通信需求,需要设置工业隔离网闸,进行物理隔离。

场站端通常设置站控SCADA系统和操作员站/工程师站,按照等级保护要求,应设置主机安全卫士和USB防御系统,对工控主机进行终端防护;在场站设置设置入侵检测系统和工业监测审计系统,实现将场站内采集的系统日志、安全日志、流量分析和监测审计数据上传到调控中心的态势感知平台以及工业审计系统,实现统一安全管理平台对场站威胁情报的监测和安全设备管理。


5、阀室安全规划


通常线路阀室处于线路中间,无人值守区域,在线路阀室部署有远端传输单元RTU。

根据GB22239-2019 等级保护要求,无人值守阀室,通常可按照等级保护二级要求进行设计。

线路阀室作为单独的安全子分区,应设置工业防火墙,进行安全逻辑隔离。线路阀室通常可采用有线和无线两种通信链路。对于无线阀室,一般通过运营商无线3G/4G/5G公用网络,通过安全VPN链路,实现与调控中心或者上级场站进行通信。

分享:

微博
微信公众号