婷婷91_天天艹日日艹_涩aa亚久免费精品一二三区_中文字幕亚洲欧美_亚洲永久免费精品mv_天天久久不卡日韩一区_亚洲手机TV在线 亚洲欧美日韩…_天天狠狠干_色爱综合网_伊人影院 永久入口

習(xí)總書記說過：“要樹立正確的網(wǎng)絡(luò)安全觀”，因為工業(yè)控制系統(tǒng)已成為當(dāng)今天然氣管道行業(yè)的關(guān)鍵基礎(chǔ)，隨著近年來管道建設(shè)大發(fā)展, 截至2020年底，中國長輸油氣管道總里程達到16.5萬公里，城市天然氣管網(wǎng)總里程76.79萬公里,天然氣管道已經(jīng)承擔(dān)起國計民生的主要能源保供任務(wù),天然氣管道調(diào)度生產(chǎn)運行管理業(yè)務(wù)也在升級，隨著智慧管道、智慧燃氣、智慧無人值守站的普及，依托工業(yè)控制系統(tǒng)（SCADA等）等高科技應(yīng)用手段，調(diào)控中心監(jiān)控系統(tǒng)和集控中心內(nèi)眾多子系統(tǒng)相連，網(wǎng)絡(luò)覆蓋面廣，工控網(wǎng)絡(luò)安全問題越來越突出。其安全性也變得日益重要，所產(chǎn)生的網(wǎng)絡(luò)安全風(fēng)險及網(wǎng)絡(luò)安全管理問題也日益突出。特別是一些需要集中控制的關(guān)鍵區(qū)域，工控網(wǎng)絡(luò)安全問題關(guān)乎人身安全、生產(chǎn)安全、財產(chǎn)安全等多方面，需要引起足夠的重視并在正確的網(wǎng)絡(luò)安全觀指導(dǎo)下開展工作。
 
2021年5月7日，美國最大的油氣管道系統(tǒng)科洛尼爾管道公司（Colonial Pipeline）遭到了網(wǎng)絡(luò)攻擊，隨即美國17個州以及哥倫比亞特區(qū)都進入了“緊急狀態(tài)”。部分美國城市的油價更是大漲10%。能源價格承壓，網(wǎng)絡(luò)安全監(jiān)管等級提升等潛在因素，也讓各大科技巨頭股價受挫。當(dāng)天，美國科技五巨頭組成的“FAAMG”概念股紛紛下跌超2%，累計蒸發(fā)市值2633億美元，約合1.7萬億人民幣。由此可見能源行業(yè)的工控網(wǎng)絡(luò)安全牽一發(fā)而動全身。
 
現(xiàn)存常見的安全問題
 
當(dāng)前，調(diào)控中心一般都基于 SCADA 系統(tǒng)完成對天然氣管網(wǎng)的統(tǒng)一監(jiān)視、控制和調(diào)度管理。SCADA系統(tǒng)是由調(diào)度控制中心主計算機與多套分布在各站場的遠程終端相連構(gòu)成的系統(tǒng)。由于工業(yè)控制系統(tǒng)資源有限，與物理世界存在交互關(guān)系，對穩(wěn)定性、可用性和實時性要求極高，生命周期長等問題，都有可能導(dǎo)致企業(yè)無法將成熟的IT信息安全技術(shù)直接應(yīng)用于工業(yè)控制系統(tǒng)的信息安全保護中去，故產(chǎn)生了以下幾處安全風(fēng)險。

天然氣管道（含城市燃氣管道——目前全國城市燃氣管網(wǎng)97%都使用管道天然氣了，很少使用煤制氣的）智能集中調(diào)控帶來的安全風(fēng)險問題。開展集中調(diào)控的工作過程中，通常需要進行生產(chǎn)過程的實時數(shù)據(jù)采集和系統(tǒng)控制，天然氣公司會通過邏輯隔離的方式實現(xiàn)工業(yè)控制系統(tǒng)與企業(yè)管理系統(tǒng)之間的連接和數(shù)據(jù)交換，有時系統(tǒng)間還需要集成。企業(yè)管理網(wǎng)和工業(yè)控制網(wǎng)之間、工業(yè)控制網(wǎng)絡(luò)區(qū)域間如果沒有進行有效的分區(qū)、隔離、異常監(jiān)測、訪問控制等防護措施，很容易造成一點發(fā)生病毒或攻擊，影響全部工控系統(tǒng)甚至整個企業(yè)網(wǎng)絡(luò)。

 天然氣生產(chǎn)設(shè)備（設(shè)施）維修時筆記本電腦接入問題。工業(yè)控制系統(tǒng)進行運行維護時經(jīng)常會接入筆記本電腦，沒有達到一定安全基線的筆記本接入工業(yè)控制系統(tǒng)（SCADA）后會有很大的安全隱患。第三方外來工作人員在運維生產(chǎn)系統(tǒng)控制設(shè)備時可能會造成重要數(shù)據(jù)信息的泄露，可能對能源公司甚至是國家能源安全造成巨大損失。并且，相關(guān)人員的操作沒有進行網(wǎng)絡(luò)安全審計記錄，一旦發(fā)生安全事件后很難取證。

使用U盤、光盤導(dǎo)致病毒傳播問題。SCADA等工控系統(tǒng)中的管理終端一般都沒有技術(shù)措施進行外設(shè)的有效管理，U盤和光盤的無序使用會引發(fā)開發(fā)工作站、監(jiān)控工作站等設(shè)備被感染病毒或惡意代碼，進而嚴(yán)重影響生產(chǎn)的產(chǎn)量、質(zhì)量及效率。

操作系統(tǒng)的安全漏洞問題。目前大多數(shù)工業(yè)控制系統(tǒng)的工程師站、操作站、HMI都是Windows操作系統(tǒng)，考慮到工控軟件與操作系統(tǒng)補丁的兼容性問題，工控系統(tǒng)開車后基本上不會對操作系統(tǒng)安裝任何補丁，操作系統(tǒng)存在的漏洞不能及時彌補，容易被攻擊。

殺毒軟件安裝及升級更新問題。為了保證工控軟件的可用性，許多工控系統(tǒng)操作站通常不會安裝殺毒軟件。即使安裝了殺毒軟件，在使用過程中也基本不會進行更新，因為有些更新可能會違反控制系統(tǒng)的設(shè)定規(guī)則，造成控制系統(tǒng)無法正常運行。所以，工業(yè)控制系統(tǒng)抵御外界攻擊的能力較弱。

缺少完備的工業(yè)控制系統(tǒng)的安全管理制度和流程，使得部分操作人員不按規(guī)范執(zhí)行導(dǎo)致相關(guān)安全問題發(fā)生及影響生產(chǎn)質(zhì)量；對于第三方外來人員未設(shè)置嚴(yán)格的管理規(guī)范，可能會被第三方人員盜取公司設(shè)備和產(chǎn)品的機密信息，或是第三方人員誤操作導(dǎo)致?lián)p失；未針對工業(yè)控制系統(tǒng)建立統(tǒng)一的應(yīng)急響應(yīng)機制，使得發(fā)生問題后不能在最短時間內(nèi)響應(yīng)處理。
 
安全防范體系等級不足
 
除了上述安全風(fēng)險，在目前的安全防范體系方面，工控系統(tǒng)集控中心往往還存在如下的系統(tǒng)性安全隱患。

調(diào)控中心網(wǎng)各局域網(wǎng)之間的隔離不明晰，網(wǎng)絡(luò)的互聯(lián)和相對開放使各局域網(wǎng)承受著來自外界所有可能存在的安全威脅，如地址欺騙、連接盜用、服務(wù)拒絕或惡意掃描等，很可能影響到安全生產(chǎn)的進行。

調(diào)控中心網(wǎng)中沒有數(shù)據(jù)傳輸安全的考慮，各級網(wǎng)絡(luò)之間每天都有頻繁的控制和業(yè)務(wù)數(shù)據(jù)傳輸，以明文形式傳播，沒有經(jīng)過任何的保護措施，外部入侵者在線路中很容易竊取和篡改，可能造成控制錯誤和企業(yè)無形資產(chǎn)的嚴(yán)重流失。

生產(chǎn)網(wǎng)絡(luò)內(nèi)部訪問控制力度不夠，對于訪問局域網(wǎng)的內(nèi)部成員用戶進行訪問控制不夠，構(gòu)成企業(yè)內(nèi)部的安全風(fēng)險。對網(wǎng)絡(luò)內(nèi)部各專業(yè)系統(tǒng)之間必要的信息交換與共享沒有統(tǒng)一的用戶身份和訪問權(quán)限管理機制。

缺少安全監(jiān)控手段，生產(chǎn)網(wǎng)絡(luò)不僅要采取被動防御策略，更要主動偵查網(wǎng)絡(luò)中的可疑操作，防患于未然也是必須的。即在不影響系統(tǒng)正常運行、不改變系統(tǒng)連接拓撲的情況下，通過相應(yīng)的監(jiān)控系統(tǒng)，完成系統(tǒng)運行中相關(guān)的安全數(shù)據(jù)采集、故障預(yù)警和報警以及數(shù)據(jù)分析等等保定級級別太低，公安部發(fā)布有《GA1166-2014石油天然氣管道系統(tǒng)風(fēng)險等級和安全防范要求》的標(biāo)準(zhǔn)，但因為是從國家管網(wǎng)主干線油氣管道角度設(shè)計的，眾多民營城市燃氣公司就認(rèn)為自己不屬于“石油天然氣管道系統(tǒng)”，人為自我降低防范要求。
 
許多民營燃氣公司調(diào)控中心（調(diào)度值班室）壓根不做等保定級（有的民營燃氣公司很小，就是個縣區(qū)的燃氣公司，認(rèn)為自己不重要所以不愿意花錢做），即使做也為了省事（等保三級一年復(fù)評一次、等保二級兩年復(fù)評一次），絕大部分民營燃氣公司調(diào)控中心調(diào)度系統(tǒng)（SCADA系統(tǒng)）都人為故意定底到等保二級，國內(nèi)各油氣調(diào)控中心已參與等保評測的目前最高僅被評定為三級，反觀國家電網(wǎng)調(diào)控中心等保評級為四級，但按照最高級五級標(biāo)準(zhǔn)投資防護建設(shè)，這直接導(dǎo)致城市燃氣調(diào)控中心工控網(wǎng)絡(luò)安全防護建設(shè)力度不夠、投資不夠、重視不夠，因為定級底起點低，工控網(wǎng)絡(luò)安全防護技術(shù)研發(fā)和實踐應(yīng)用都不到位。
 
解決方案的構(gòu)想
 
建立工控信息安全管理平臺，對95%以上的信息安全防護設(shè)備以及網(wǎng)絡(luò)交換機、操作員工作站、開發(fā)工作站等設(shè)備，并實時收集工控網(wǎng)絡(luò)信息安全相關(guān)信息，單體可擴展管理20000個網(wǎng)絡(luò)設(shè)備。建立用戶終端的基于網(wǎng)絡(luò)的業(yè)務(wù)訪問關(guān)系，形成業(yè)務(wù)訪問規(guī)則，包括：網(wǎng)絡(luò)訪問路徑、業(yè)務(wù)流量基線、業(yè)務(wù)安全指令集、漏洞庫、資產(chǎn)庫等元素。并且系統(tǒng)支持規(guī)則自學(xué)習(xí)功能，可擴展支持40000條規(guī)則的定義和管理。

 

工業(yè)控制系統(tǒng)服務(wù)器集群的安全防護，主要針對工業(yè)控制系統(tǒng)服務(wù)器進行安全防護，抵御來自工控網(wǎng)與現(xiàn)場場站及運維管理區(qū)域連接的一切風(fēng)險，隔離對不合法的一切連接，阻止非法入侵與攻擊。對服務(wù)器訪問進行控制，明確訪問的目的地址與源地址，防止非法訪問，在連接生產(chǎn)網(wǎng)的每一套工業(yè)控制系統(tǒng)服務(wù)器集群前面，部署工業(yè)防火墻。

網(wǎng)絡(luò)安全檢測，部署工控異常檢測設(shè)備，對網(wǎng)絡(luò)內(nèi)部進行異常監(jiān)測。防止網(wǎng)絡(luò)邊界不清晰使病毒進入工業(yè)控制系統(tǒng)網(wǎng)絡(luò)中,并且及時發(fā)現(xiàn)網(wǎng)絡(luò)異常行為。

系統(tǒng)主機安全防護，對工業(yè)控制系統(tǒng)系統(tǒng)的開發(fā)主機、運維主機、監(jiān)控主機進行安全防護，主要是對工作站主機進行保護，部署終端防護設(shè)備，針對一些孤立的或者在很小范圍內(nèi)實現(xiàn)網(wǎng)絡(luò)互聯(lián)的一些工控系統(tǒng)主機進行保護。對工控系統(tǒng)的所有網(wǎng)絡(luò)設(shè)備、主機設(shè)備、中間件等進行基準(zhǔn)的安全要求核查。

系統(tǒng)運維過程審計，通過在現(xiàn)有賬號密碼增加動態(tài)密碼防護，保護賬號安全；部署運維審計網(wǎng)關(guān)（堡壘機），實現(xiàn)對運維操作進行控制和審計。實現(xiàn)自然人對資源的統(tǒng)一授權(quán)，同時，對授權(quán)人員的運維操作進行記錄、分析、展現(xiàn)。

按照等級保護安全技術(shù)設(shè)計要求，建立工業(yè)控制信息安全管理平臺。

建立工控安全管理制度規(guī)范，按照國際SP800-82標(biāo)準(zhǔn)和國家等級保護標(biāo)準(zhǔn)，本次項目在完成技術(shù)防護措施基礎(chǔ)上，建立安全管理制度，制度從組織人員、物理及環(huán)境、應(yīng)急預(yù)案、運維管理幾個方面保障在制度層面對工控系統(tǒng)有完整的保護措施。
 
殷鑒不遠，在夏之后世，通過這次美國油氣管道控制系統(tǒng)遭受網(wǎng)絡(luò)攻擊的教訓(xùn)，我們必須提高重視程度，通過各種安全解決方案的實施和升級管理，有助于各類調(diào)控中心（調(diào)度室）工控系統(tǒng)安全防護能力提升，有效抵御網(wǎng)絡(luò)威脅對重要油氣基礎(chǔ)設(shè)施的破壞，也是為了國家能源安全和民生保供。這也正是習(xí)總書記所說的：“網(wǎng)絡(luò)安全要依靠人民，維護網(wǎng)絡(luò)安全是全社會共同責(zé)任，需要政府、企業(yè)、社會組織、廣大網(wǎng)民共同參與，共筑網(wǎng)絡(luò)安全防線”。