油气管网作为国家能源战略的生命通道,为国家和人民输送各种类型的油气燃料。截至目前我国油气国内、国外长输管线总里程达到16.5万公里,其中原油管线为3.1万公里,成品油管线3.2万公里,天然气管道10.2万公里,已基本形成网。国内原油和成品油运输管网已实现西油东送、北油南下、海油上岸;天然气则实现了西气东输、川气出川、北气南下。但是近年来,针对油气管道的网络攻击行为时有发生。2016 年,某国有大型油田管道公司下属某站的控制网络遭到DOS攻击,导致其控制器以太网通讯故障,造成压缩机停机;2021年5月,美国最大成品油管道运营商 ColonialPipeline受到勒索软件攻击,被迫关闭其美国东部沿海各州供油的关键燃油网络。针对上述工控安全事件,以及工控网络安全的发展态势,国务院及国家各部委颁布了关于网络安全的法律、法规、标准,包括《工业控制系统信息安全防护指南》、《中华人民共和国网络安全法》、《网络安全等级保护2.0》、《关键信息基础设施安全保护条例》等以应对不断恶化的网络安全环境。
根据生产系统的业务功能划分不同安全域;同时,调度中心出口路由器以及各站场出口路由器外部部署具备VPN功能的工业防火墙,以实现各安全域的边界防护。
在调度中心中设置安全管理中心,并部署威胁感知平台,对采集的海量安全数据进行关联分析,对安全趋势进行预警,并通过大数据融合可视化技术对整体安全态势进行实时展示。
在调度中心核心交换机处,以及各站场汇聚交换机处采用旁路方式,部署工控网络安全审计系统,实现人员异常操作行为挂空、安全事件实时审计、入侵行为实时告警,提供安全追溯。
在调度中心系统网络中,建立安全管理中心,并部署工控集中安全管理平台,对各站场的安全设备进行集中化的设备管理、策略管理、配置下发、安全数据采集存储、处理分析等。
在调度中心和各站场的主机和服务器内部,部署主机安全防护系统,通过身份认证、应用防护、外设防护、文件防护以及安全策略加固等技术措施,实现终端设备的安全运行。
在各站场部署运维安全审计系统,通过账号集中管理、细粒度访问权限、操作审计,使运维人员的操作处于可管、可控、可见、可审的状态,规范系统升级运维操作。