★青島液化天然氣有限責任公司吳斌，楊春慧，劉培峰，孫大巍，喬其永

★施耐德電氣（中國）有限公司裴淵斗

1　項目背景

隨著(zhù)中國綠色低碳能源戰略的持續推進(jìn)，發(fā)展清潔低碳能源將成為優(yōu)化能源結構的重要途徑，未來(lái)較長(cháng)一段時(shí)間天然氣將在中國能源發(fā)展中扮演重要角色。通過(guò)加大政策支持力度，力爭到2030年天然氣在一次能源消費結構中的占比達到15%左右。未來(lái)天然氣需求增量主要來(lái)自城鎮燃氣、天然氣發(fā)電、工業(yè)燃料和交通運輸四大領(lǐng)域。

青島LNG接收站為中石化首個(gè)LNG工程，包括碼頭、儲罐、工藝處理、氣化外輸、槽車(chē)裝車(chē)、輕烴回收以及輔助設施。該項目一期工程2014年11月投入運行，每年可向山東半島乃至華北地區輸送清潔能源500萬(wàn)噸/年，二期擴建至700萬(wàn)噸/年，三期工程預計新建一座靠泊26.6萬(wàn)立方米LNG船舶的專(zhuān)用泊位，一座27萬(wàn)立方米的LNG儲罐及配套附屬設施，新增LNG年接卸能力400萬(wàn)噸，投運后每年可向山東半島乃至華北地區輸送清潔能源1100萬(wàn)噸。

該項目控制系統選用施耐德電氣Foxboro DCS分布式控制系統、Triconex安全儀表系統以及SimSci操作員仿真培訓系統。青島LNG接收站控制系統自2014年10月一期投運后，一直穩定運行，從未停機大修，保障了國家能源穩定供應。

一期項目建設時(shí)，青島LNG接收站控制系統已經(jīng)配置了思科防火墻和殺毒軟件用于信息安全防護。但隨著(zhù)信息化建設以及外部信息安全威脅的加劇，這些簡(jiǎn)單基礎的防護手段已經(jīng)不能夠滿(mǎn)足現階段工業(yè)信息安全防護的需求，也無(wú)法滿(mǎn)足國家和相關(guān)主管部門(mén)的要求，尤其是在2019年定級為等保三級系統后，發(fā)現距等保2.0三級的要求差距很大。

2　信息安全建設

2.1　定期開(kāi)展工業(yè)信息安全風(fēng)險評估

自《網(wǎng)絡(luò )安全法》頒布并實(shí)施以來(lái)，各部委及主管部門(mén)陸續發(fā)布了諸多工業(yè)信息安全相關(guān)的法律法規，極大地提高了企業(yè)對工業(yè)信息安全的重視程度和安全意識。

青島LNG接收站通過(guò)對工業(yè)控制系統定期開(kāi)展工業(yè)信息安全風(fēng)險評估，對系統的關(guān)鍵業(yè)務(wù)、關(guān)鍵資產(chǎn)進(jìn)行梳理，及時(shí)發(fā)現工業(yè)控制系統的關(guān)鍵風(fēng)險點(diǎn)，以及與合規要求的差距，并以信息安全風(fēng)險評估的結果，作為信息安全建設的思路并設定改進(jìn)目標。如2018年經(jīng)過(guò)風(fēng)險評估，發(fā)現當時(shí)主要的安全風(fēng)險在于工業(yè)控制系統的網(wǎng)絡(luò )邊界、內部IT信息系統，尤其是海關(guān)計量、環(huán)保監管以及天然氣管網(wǎng)的外部通訊均有可能引入信息安全威脅，同時(shí)工業(yè)控制系統的工業(yè)主機也易受病毒感染和惡意代碼攻擊，因此立項一期安全整改，在2019年開(kāi)展技改工作加強網(wǎng)絡(luò )邊界和工業(yè)主機安全防護能力的工作，實(shí)現工業(yè)控制系統的基礎安全；2019年末等保2.0系列國家標準正式生效后，按照等保2.0基本要求的國家標準進(jìn)行評估，通過(guò)差距分析發(fā)現在安全檢測和業(yè)務(wù)連續性方面存在比較大的差距，因此立項在2021年進(jìn)行二期技改，提升信息安全檢測能力和業(yè)務(wù)連續性以實(shí)現擴展安全。

2.2　基礎安全，強化基于邊界和主機的信息安全防護能力

邊界和主機是工業(yè)控制系統信息安全的兩個(gè)關(guān)鍵防護點(diǎn)，也是等保1.0時(shí)代防護的重點(diǎn)，因此2019年的安全整改項目以邊界防護升級到DMZ和工業(yè)主機加固來(lái)實(shí)現工業(yè)控制系統的基礎安全。系統架構圖如圖1所示。

圖1 一期基礎安全防護架構圖

· 基于DMZ邊界防護

DMZ（Demilitarized Zone），即非軍事區，其目的是把網(wǎng)絡(luò )劃分為內部網(wǎng)絡(luò )、外部網(wǎng)絡(luò )和中間的緩沖網(wǎng)絡(luò )DMZ，通過(guò)DMZ將可信任的內部工控網(wǎng)絡(luò )和不可信任的外部IT網(wǎng)絡(luò )緩沖，阻止內網(wǎng)和外網(wǎng)直接通信，在保證內部網(wǎng)絡(luò )安全的同時(shí)，保持內部外部網(wǎng)絡(luò )正常的業(yè)務(wù)通訊。

DMZ的構建選擇工業(yè)隔離網(wǎng)閘以及工業(yè)防火墻分別作為DMZ的北端和南端，分別由IT部門(mén)和儀表部門(mén)進(jìn)行管理和維護。DMZ中部署OPC服務(wù)器，用于工業(yè)控制系統和外部IT系統的數據交換，IT系統不與工業(yè)控制系統直接通訊，僅通過(guò)工業(yè)網(wǎng)閘同OPC服務(wù)器進(jìn)行通信；同樣工業(yè)控制系統也不與IT系統進(jìn)行通信，僅通過(guò)工業(yè)防火墻為OPC服務(wù)器提供實(shí)時(shí)數據（OPC DA）和歷史數據（OPC A&E和OPC HAD）。通過(guò)這種方式，即便外部攻擊攻破了北端的網(wǎng)閘，受影響的也只是OPC服務(wù)器，而真正的關(guān)鍵業(yè)務(wù)和關(guān)鍵資產(chǎn)仍處于工業(yè)防火墻的保護下。通過(guò)DMZ的部署，可以在保持現有業(yè)務(wù)雙向通信的基礎上，進(jìn)行有效的信息安全防護。

· 主機安全加固

由于液化天然氣接收站工業(yè)控制系統的高可靠性、高可用性以及安全連續運營(yíng)的要求，考慮到白名單技術(shù)與現有工控軟件的兼容性風(fēng)險，工控主機的安全加固沒(méi)有選擇應用程序白名單的技術(shù)路線(xiàn)，而是選用傳統的方式進(jìn)行：

（1）部署冗余的域控服務(wù)器，使用域控服務(wù)器對所有工控主機進(jìn)行身份鑒別、訪(fǎng)問(wèn)控制和行為審計，部署統一的安全策略；

（2）重新安裝所有的工控主機的操作系統，確保系統純凈，并加入到域控的安全管理中；不安裝不必要的組件和軟件，關(guān)閉不必要的服務(wù)，減少攻擊面；

（3）每臺工業(yè)主機安裝工業(yè)防病毒套件，其中包括殺毒軟件、基于主機的入侵防護軟件，外設（USB/光驅?zhuān)┕芾碥浖?，對主機進(jìn)行加強防護；

（4）在備用域控中安裝病毒服務(wù)器，對所有工業(yè)主機中的防病毒套件進(jìn)行統一的防護策略管理，并提供統一的病毒庫升級；

（5）在備用域控中安裝補丁服務(wù)器，對所有工業(yè)主機提供統一的補丁升級。

2.3　擴展安全，提升安全檢測和應對能力

在實(shí)現基礎安全防護的情況下，在二期安全整改工作中，通過(guò)網(wǎng)絡(luò )監控和安全日志審計提升安全檢測能力，通過(guò)在線(xiàn)災備系統，提高系統的業(yè)務(wù)連續性。同時(shí)，構建工業(yè)控制系統安全專(zhuān)網(wǎng)，分離業(yè)務(wù)數據和安全管理數據，并為搭建安全管理中心提供基礎。系統架構圖如圖2所示。

圖2 二期擴展安全防護架構

· 安全日志審計

在工業(yè)控制系統中部署安全日志審計系統，可以采集工控系統中所有工控主機、網(wǎng)絡(luò )設備、網(wǎng)絡(luò )安全設備以及工控軟件的安全相關(guān)的日志，并統一歸檔在安全日志審計服務(wù)器中保存一年以上，并能提供關(guān)聯(lián)查詢(xún)分析等功能，以供日常查詢(xún)發(fā)現異常狀況進(jìn)行安全預警，或安全事件發(fā)生后進(jìn)行安全事件的追溯和調查取證。

· 災難備份和恢復系統

由于保障能源穩定可靠供應的要求，液化天然氣接收站必須保障高可用性、高業(yè)務(wù)連續性，一旦遭到工業(yè)信息安全攻擊或工業(yè)勒索導致停機，需盡一切可能盡快恢復正常生產(chǎn)運營(yíng)。

在所有工控主機中部署在線(xiàn)備份軟件，可以在工控系統正常運營(yíng)的同時(shí)，在后臺進(jìn)行實(shí)時(shí)的在線(xiàn)備份，備份文件通過(guò)安全專(zhuān)網(wǎng)統一歸檔到中央歸檔服務(wù)器中。一旦遭受攻擊或勒索，可以通過(guò)安全專(zhuān)網(wǎng)進(jìn)行系統與數據恢復，盡快回滾到之前的安全狀態(tài)，并恢復正常生產(chǎn)運營(yíng)。

· 安全專(zhuān)網(wǎng)

通過(guò)在工業(yè)控制系統中搭建第二網(wǎng)絡(luò )安全專(zhuān)網(wǎng)，來(lái)實(shí)現業(yè)務(wù)數據和安全管理相關(guān)數據的分離，從而避免安全相關(guān)的軟硬件部署和安全管理工作帶來(lái)對工控系統網(wǎng)絡(luò )實(shí)時(shí)性和確定性的影響，同時(shí)為安全管理中心的構建提供先決條件。

· 網(wǎng)絡(luò )監控

部署網(wǎng)絡(luò )監控軟件，對工業(yè)控制系統中的網(wǎng)絡(luò )設備、網(wǎng)絡(luò )流量、網(wǎng)絡(luò )性能和負荷進(jìn)行實(shí)時(shí)監控，可以及時(shí)發(fā)現網(wǎng)絡(luò )異常狀況，并將相關(guān)日志發(fā)送到安全日志審計服務(wù)器中。

2.4　信息安全防護能力的進(jìn)一步提升空間

通過(guò)兩期的安全整改，極大地增強了青島液化天然氣接收站的信息安全防護能力，同時(shí)也高分通過(guò)了等保2.0測評。但通過(guò)進(jìn)一步安全評估，發(fā)現仍有很大的提升空間，下一步計劃通過(guò)部署入侵檢測以及流量審計進(jìn)一步提升安全檢測能力；通過(guò)引入多因素認證，進(jìn)一步加強工控系統關(guān)鍵操作過(guò)程的身份鑒別和訪(fǎng)問(wèn)控制；通過(guò)部署異地災備，對工控系統的系統和重要數據提供進(jìn)一步的防護；部署安全管理中心，對工控系統的信息安全進(jìn)行統一的管理、運維和審計。

3　思考和總結

在新基建和工業(yè)互聯(lián)網(wǎng)的大背景下，信息安全已經(jīng)不再是可選項，而是重要的基礎支撐技術(shù)之一。工業(yè)信息安全不僅可以保障OT系統安全、高效的生產(chǎn)運營(yíng)，也可以保障工業(yè)企業(yè)人員、資產(chǎn)和環(huán)境的安全，保障企業(yè)的工業(yè)互聯(lián)網(wǎng)建設并支持企業(yè)可持續發(fā)展。

通過(guò)幾年來(lái)對控制系統信息安全建設和防護的實(shí)踐，我們有以下思考：

（1）為了保障能源穩定可靠供應，液化天然氣接收站控制系統需要常年不停機連續運行，應在保障系統可靠性、可用性、連續性、耐久性和魯棒性的基礎和前提下考慮信息安全的建設；

（2）工控系統信息安全的建設應有針對性，應優(yōu)先針對關(guān)鍵的運營(yíng)過(guò)程、關(guān)鍵的資產(chǎn)和需要應對的最大的風(fēng)險點(diǎn)，因此前期的評估就非常重要，通過(guò)評估可以找出建設重點(diǎn)并做合理規劃。同時(shí)，由于信息安全威脅變化很快，因此需要定期的信息安全風(fēng)險評估；

（3）工業(yè)控制系統信息安全防護的運營(yíng)與建設同樣重要，補丁和病毒庫的更新、安全軟硬件的適當配置以及運維和安全日志、態(tài)勢的監控是控制系統能夠在全生命周期內保持一定的安全水平和成熟的關(guān)鍵，而控制系統的運維人員在這方面還有知識和經(jīng)驗上的欠缺，需要盡快加強；

（4）工業(yè)控制系統信息安全不僅僅需要技術(shù)方面的工作，還需要在管理流程上制定相應的政策和流程，需要“兩手抓，兩手都要硬”，需要在國家和國際標準的指導下，在企業(yè)的政策、流程和技術(shù)上進(jìn)行投入，需要建設縱深防御的信息安全的防護體系，在全生命周期范圍內對資產(chǎn)和生產(chǎn)運營(yíng)進(jìn)行信息安全防護。

作者簡(jiǎn)介：

吳　斌（1979-），男，河南濮陽(yáng)人，高級工程師，碩士，現就職于青島液化天然氣有限責任公司，研究方向為計算機。

楊春慧（1972-），女，山東淄博人，高級工程師，學(xué)士，現就職于青島液化天然氣有限責任公司，研究方向為自控儀表。

劉培峰（1990-），男，山東濟南人，高級工程師，碩士，現就職于青島液化天然氣有限責任公司，研究方向為油氣儲運。

孫大?。?982-），女，遼寧沈陽(yáng)人，高級工程師，學(xué)士，現就職于青島液化天然氣有限責任公司，研究方向為自控儀表。

喬其永（1970-），男，山東淄博人，技師，學(xué)士，現就職于青島液化天然氣有限責任公司，研究方向為自控儀表。

裴淵斗（1979-），男，山西太原人，碩士，現就職于施耐德電氣（中國）有限公司，研究方向為工業(yè)信息安全、工業(yè)自動(dòng)化。

參考文獻：

[1] GB/T 22239-2019. 信息安全技術(shù) 網(wǎng)絡(luò )安全等級保護基本要求[S].

[2] GB/T 40218-2021. 工業(yè)通信網(wǎng)絡(luò ) 網(wǎng)絡(luò )和系統安全工業(yè)自動(dòng)化和控制系統信息安全技術(shù)[S].

[3] GB/T 35673-2017. 工業(yè)通信網(wǎng)絡(luò ) 網(wǎng)絡(luò )和系統安全 系統安全要求和安全等級[S].

[4] IEC/TR 62443-2-3. Security for Industry Automation and Control System – Patch Management for IACS environment[S].

摘自《自動(dòng)化博覽》2023年6月刊