一、案例概述

油气管道的SCADA系统网络安全关系到国家的战略安全，网络安全建设的相关法律政策相继发布实施，2017年，国家发布了《网络安全法》并提出网络安全建设按照等级保护制度进行。2019年，网络安全等级保护2.0制度由公安部正式实施并强制执行。

某省天然气管网二期工程属于国家天然气互联互通重点工程，是省网划入国家管网集团后的首个开工项目，其目的是为城市工业、商业和城市居民提供洁净燃料。融安网络针对石油石化行业内的安全需求，在工控网络架构、工控主机、服务器、操作系统、自控系统等安全薄弱环节提供安全服务，提供设备安全、网络安全、控制安全、平台安全和数据安全等产品设备和服务，全面实现安全咨询规划、安全体系建设、安全运维服务，打造一站式、全生命周期解决方案。

二、安全风险与现状分析

数字化变革和新技术发展，加大了基础设施控制与监测的复杂性。随着两化融合的深入发展，现有的监控与数据采集系统（SCADA）与数字技术相结合，增加了油气行业的网络安全风险。来自信息技术（IT）与操作技术（OT）相结合的环境，通过开放IT协议，工业控制SCADA系统和企业信息系统相融合，企业OT网络与外部网络实现互联互通，使得原有在封闭环境中，缺少安全防护设计的自控系统，成为外部攻击的薄弱点。

油气行业作为关系国计民生的重要基础设施，遭受网络攻击会造成严重的经济损失和社会影响。而且，工业控制系统要比计算机系统更脆弱，缺乏合理有效的安全防护措施，以及定期安全补丁升级，甚至大多工业控制系统还是依赖“安全打包”实施保护。

随着网络攻击手段升级，油气行业普遍面临以下问题：

1、信息资产梳理困难；

2、老旧资产防护困难；

3、数字转型新型风险；

4、安全意识有待提升。

三、解决方案

根据系统存在的脆弱性，以及面临的安全威胁，结合风险处理原则方法，主要通过采取安全加固、防护提升和管理优化三个方面进行网络安全建设工作，从边界安全防护、安全计算环境、安全通信网络、安全运维管理和安全管理中心层面加以实现，构建工业互联网安全的一体化防护体系。

（1）边界安全防护

根据规范要求，将具有相似功能、安全、实时性要求的控制设备划分到同一安全区，在同一安全区内，根据不同的作业属性，划分为不同的安全分区；安全分区之间采取严格的通信隔离、过滤等措施，实现SCADA 系统安全防护的区域隔离、通信控制和实时报警。将安全问题控制在原始发生区域，防止风险扩散，并迅速解决，确保油气管道工业控制系统的安全、稳定运行。

通过在分输站、阀室的网络边界处部署工业防火墙，采用适用于工控网络的“黑白名单”机制，深度解析工控系统网络协议，细化访问控制粒度，对非法及异常访问行为进行拦截阻断，保障网络边界的安全。

此外，调控中心通过工业防火墙分别与分输站以及阀室网络进行安全隔离。

（2）安全计算环境

在控制系统的中心以及站场工作站和终端上安装工业主机防护系统是主机安全防护的有效手段。主机防护软件基于轻量级设计和“白名单”策略机制，对主机进行安全保护，即只有白名单内的软件才可以运行，其它进程都被阻止，以此防止病毒、木马、恶意软件的攻击。同时，轻量化设计，占用工业主机CPU、内存资源较少，减轻系统运行负担，提高主机运行效率，实现工业主机高可用性。

另外，结合主动免疫可信验证机制，可实现上位机（服务器、工程师站、操作员站）的病毒主动免疫，保障上位机系统安全。部署主机防护软件后，定期进行病毒查杀，病毒库采取离线更新，保障服务器和工作站的系统安全。

（3）安全通信网络

安全审计

在工业控制现场汇聚交换机旁路部署工业监测审计系统，实现对控制系统的网络审计功能。通过特定的安全策略，对网络流量、异常事件、操作行为和数据内容等进行安全审计，对异常行为进行实时警报，并提供追踪溯源。设备可记录系统的相关安全事件，同时将安全事件、审计记录、分析结果等上传安全管理中心进行统一管理。

入侵检测功能

在工业控制网络边界处，应进行安全事件入侵检测；通过设置合理的入侵检测规则，对工业协议流量进行深入分析，检测发现隐藏于流经网络边界正常信息流中的入侵行为，基于威胁情报、工控漏洞库等安全知识库信息，进行综合智能分析，识别潜在的威胁并进行安全审计，对蠕虫、病毒、间谍软件、DDoS 等混合威胁以及黑客攻击，能精确检测到各种类型的攻击，形成安全事件和告警。

（4）安全运维管理

通过在管理中心部署一套运维审计系统（堡垒机），实现对调控中心、各站场、阀室设备的集中管控，限制设备的远程登录，对用户的操作权限以及操作行为进行审计记录，并提供会话审计和回放功能，同时能够确保审计记录不被破坏或非授权访问。

将每个站场/阀室作为一个组节点，部署运维审计系统管理终端，通过将站场/阀室设备资源加入相应的组织架构中，为站场/阀室运维人员配置相关权限，根据配置管理员预先设置好的访问控制规则，使站场/阀室运维人员登录运维审计系统管理终端只维护本站场/阀室的设备。

（5）安全管理中心

集中管控

安全管理中心部署统一安全管理平台对系统内的防护设备统一进行安全管理，即可以安全设备的状态监控、审计管理、统一控制配置、统一部署安全策略、统一监控通信流量与安全事件，对工控网络内的安全威胁进行分析，消除安全孤岛，从整体视角进行安全事件分析、安全攻击溯源、安全事件根因挖掘等构筑安全管理中心平台，提升整体网络安全防护和运维管控水平。

系统管理

系统管理员进行身份鉴别，只允许其通过特定的命令或操作界面进行系统管理操作，并对这些操作进行审计，开启服务器、数据库自身的审计功能，进行全面配置审计。

日志审计

通过日志审计功能对分布在系统各个组成部分的安全审计机制进行集中管理，统一收集设备日志，审计记录设置留存时间设置至少为180天，根据安全审计策略对审计记录进行分类；提供按时间段开启和关闭相应类型的安全审计机制；对各类审计记录进行存储、管理和查询等；对安全审计员进行严格的身份鉴别，并只允许其通过特定的命令或界面进行安全审计操作。

部署示意图

四、应用效果

（1）构建“预测+防御+检测+响应”的安全闭环

帮助用户完成从“被动防御”+“应急响应”到“主动防御”+“持续响应”的转变，构建“预测+防御+检测+响应”的自适应安全能力。

（2）提升客户管网安全生产监管能力

制定“工业互联网＋安全生产”行业实施指南，全面提升企业安全生产监管能力，推动安全生产关口前移，从根本上消网络安全事故隐患。

（3）提升应急响应能力，简化安全运维

不但实现了全网安全威胁的可视，还能够与融安网络防火墙、入侵检测、审计等设备进行联动，实现安全策略一键下发，通过融安应急指挥决策的数据分析模型及时有效地分析安全态势，大大提升应急指挥和处置能力，减轻了运维工作量。