編者按:國(guó)家管網(wǎng)公司管道行業(yè)資深專家竹西君,,對(duì)2020年9月30日國(guó)家管網(wǎng)整合后亟待解決的技術(shù)問題進(jìn)行了梳理,。他認(rèn)為安全問題尤為重要,,其中“油氣管網(wǎng)(含城市燃?xì)夤芫W(wǎng))自動(dòng)化控制系統(tǒng)”的網(wǎng)絡(luò)安全最為棘手,如何依法合規(guī)采取科學(xué)應(yīng)對(duì)和技術(shù)防范,?
作者:國(guó)家管網(wǎng)公司管道行業(yè)資深專家 竹西君
正文:
問:2020年9月30日國(guó)家油氣管網(wǎng)集團(tuán)公司完成管網(wǎng)整合,,整合之后從技術(shù)上來看,,那個(gè)領(lǐng)域的問題亟待解決?什么問題最為棘手,?對(duì)油氣管網(wǎng)資產(chǎn)整合,、統(tǒng)一管理、集中調(diào)控后,,遇到的網(wǎng)絡(luò)安全技術(shù)問題如何看待?
竹西君認(rèn)為:需要看到的是,,我國(guó)油氣管道行業(yè)(含城市天然氣管網(wǎng)——城市燃?xì)猓┎粌H在數(shù)字孿生技術(shù),、預(yù)測(cè)評(píng)價(jià)技術(shù)、邏輯控制技術(shù)等核心領(lǐng)域國(guó)產(chǎn)化程度低,,而且在管道安全領(lǐng)域更有問題亟待解決,。
國(guó)家根據(jù)全天然氣產(chǎn)業(yè)發(fā)展形勢(shì),經(jīng)過長(zhǎng)期醞釀?chuàng)駲C(jī)成立國(guó)家管網(wǎng)公司,,進(jìn)行科學(xué)的資源整合,,同時(shí)賦予了這個(gè)行業(yè)更重要的社會(huì)責(zé)任和政治責(zé)任。這是行業(yè)重大變革,,給油氣管道產(chǎn)業(yè),、我們這些“管道人”提供了千載難逢、大顯身手的好機(jī)會(huì),。然而,,機(jī)遇通常與挑戰(zhàn)并存,這同時(shí)確實(shí)也讓我們面臨著前所未有的巨大挑戰(zhàn),。
之前我梳理了與提高油氣管網(wǎng)資源配置效率緊密相關(guān)的九項(xiàng)技術(shù),。它們包括:數(shù)字孿生體、預(yù)測(cè),、效能后評(píng)價(jià),、邏輯控制、執(zhí)行機(jī)構(gòu),、變頻,、燃?xì)廨啓C(jī)控制、數(shù)據(jù)采集,、工控網(wǎng)安全,。
其實(shí),面對(duì)這個(gè)挑戰(zhàn),,在技術(shù)層面上的確還有一些問題亟待解決,。例如,如何利用技術(shù)手段科學(xué)有效地組織即將開展的“有史以來最大規(guī)模管道建設(shè)”,?如何利用技術(shù)手段實(shí)現(xiàn)管網(wǎng)的安全,、平穩(wěn),、高效?這就涉及到上次九項(xiàng)技術(shù)之外的另一些技術(shù),。比如說,,與設(shè)計(jì)相關(guān)的工業(yè)級(jí)“虛擬現(xiàn)實(shí)輔助設(shè)計(jì)技術(shù)”,它可以幫助設(shè)計(jì)師在三維地理信息“虛擬沙盤”上更合理地規(guī)劃管道路由,,更科學(xué)地進(jìn)行油氣戰(zhàn)略儲(chǔ)備布局,。
另如“管道自動(dòng)焊接技術(shù)”,這些都有利于提高管道設(shè)計(jì)施工速度和質(zhì)量,。另外還有管道內(nèi)檢測(cè)器“慣性導(dǎo)航”技術(shù),、高壓管道帶壓“補(bǔ)強(qiáng)”技術(shù)、腐蝕速率監(jiān)測(cè)技術(shù),、陰極保護(hù)監(jiān)測(cè)技術(shù),、多目標(biāo)值最優(yōu)化求解方法、動(dòng)態(tài)規(guī)劃算法等,,這些都可用來支持管網(wǎng)的安全,、平穩(wěn)、高效,。以上這些技術(shù)尚存在較大發(fā)展空間,,亟待解決
我覺得在現(xiàn)階段比較迫切的還是安全領(lǐng)域的技術(shù)應(yīng)用。這個(gè)領(lǐng)域的技術(shù)可能不如我之前提到的那些高大上,,但卻的的確確很重要,!因?yàn)槲覈?guó)的油氣管道系統(tǒng)一旦受到類似美國(guó)管道遭受“系統(tǒng)性”破壞,很可能會(huì)對(duì)國(guó)家能源安全造成特別嚴(yán)重的危害,。
問:為什么說在現(xiàn)階段,,管道安全領(lǐng)域的技術(shù)尤為重要,?
竹西君:廣義的管道安全涉及兩大類:一類是生產(chǎn)安全,,一類是安全防范,。我國(guó)油氣管網(wǎng)超過16.5萬(wàn)公里(比全國(guó)的鐵路線還長(zhǎng)),承擔(dān)了90%以上的油氣運(yùn)輸任務(wù),。無論出現(xiàn)了哪一類安全事件,,都有可能引發(fā)事故,造成油氣運(yùn)輸癱瘓,。如果油氣管網(wǎng)受到“系統(tǒng)性”破壞,,很可能會(huì)對(duì)國(guó)家安全造成特別嚴(yán)重的危害。
如果出現(xiàn)全國(guó)性油氣管網(wǎng)和城市燃?xì)獍c瘓,,大部分城市的成品油供應(yīng)將在幾天內(nèi)中斷,。也許有人認(rèn)為我國(guó)的石油儲(chǔ)備量已相當(dāng)于40天的消耗量,成品油幾天內(nèi)中斷危言聳聽,,其實(shí)不然,。首先,,40天儲(chǔ)備指的是原油,且集中儲(chǔ)備在舟山,、大連,、蘭州、天津等9地的國(guó)家儲(chǔ)備基地,,不是每個(gè)省,、每個(gè)城市都有。其次,,原油需要管道輸送至煉廠煉制為成品油,,成品油需要管道輸送至各大城市。
管網(wǎng)癱瘓將大大縮短這個(gè)“容災(zāi)時(shí)間”,,40天就很有可能被縮短為幾天,,因?yàn)椤斑h(yuǎn)水解不了近渴”,。部隊(duì)的油料供應(yīng)很大程度上依托民用煉油廠和相連的儲(chǔ)運(yùn)系統(tǒng),。因此更為嚴(yán)重的是,如果油氣管網(wǎng)癱瘓,,部隊(duì)的柴油,、航空煤油、船用燃料油也將在很短時(shí)間內(nèi)耗盡,,這將嚴(yán)重影響我軍戰(zhàn)力,,甚至危及國(guó)防安全。
生產(chǎn)安全事故造成全國(guó)性油氣管網(wǎng)癱瘓的可能性較小,,而安全防范方面出現(xiàn)嚴(yán)重問題就極有可能引起全國(guó)性管網(wǎng)癱瘓,。當(dāng)前國(guó)際能源安全形勢(shì)不明朗,我國(guó)石油天然氣對(duì)外依存度逐年升高,,油氣管網(wǎng)安全關(guān)系國(guó)家安全,,而生產(chǎn)安全技術(shù)、安防技術(shù)是保障管網(wǎng)安全的利器尤為重要,。
問:管道安全領(lǐng)域涉及哪些技術(shù),?目前的應(yīng)用情況怎樣?
竹西君:生產(chǎn)安全技術(shù)方面,,涉及油氣管道完整性技術(shù),、搶維修技術(shù)、油氣儲(chǔ)運(yùn)系統(tǒng)消防技術(shù),、無人巡線技術(shù)等,,以及很多和石油天然氣工業(yè)其它領(lǐng)域通用的安全技術(shù)。安全防范技術(shù)又可以分為兩大類,,一類是與治安風(fēng)險(xiǎn)相關(guān)的安全防護(hù),,一類是與工控系統(tǒng)相關(guān)的安全等級(jí)保護(hù),。
與治安風(fēng)險(xiǎn)相關(guān)的安全防護(hù)包括,人防,、物防,、技防,三方面,,技防方面有:X射線檢測(cè),、入侵報(bào)警,以及指靜脈識(shí)別,、瞳孔識(shí)別,、人臉識(shí)別等生物識(shí)別技術(shù)。與工控系統(tǒng)相關(guān)的安全等級(jí)保護(hù)技術(shù)包括:防火墻技術(shù),、服務(wù)器終端偵測(cè)技術(shù),、加密通信技術(shù),以及與普通安防通用的防護(hù)設(shè)備和管理體系,。
客觀地講,,治安風(fēng)險(xiǎn)防控方面相關(guān)技術(shù)已經(jīng)十分成熟,但是管道領(lǐng)域的應(yīng)用還存在不少問題,,甚至還存在死角,。比如說,在管道的“油氣調(diào)控中心”安全防范這一塊兒,,全國(guó)現(xiàn)有的大大小小十幾個(gè)調(diào)控中心,,半數(shù)安全防范達(dá)不到公安部《GA1166-2014石油天然氣管道系統(tǒng)風(fēng)險(xiǎn)等級(jí)和安全防范要求》這個(gè)標(biāo)準(zhǔn)的要求,甚至部分“國(guó)家級(jí)油氣調(diào)控中心”都不達(dá)標(biāo),。
不是國(guó)家標(biāo)準(zhǔn)定高了,,而是標(biāo)準(zhǔn)出臺(tái)較晚 “木已成舟”,而且只是部頒標(biāo)準(zhǔn),,不是國(guó)家標(biāo)準(zhǔn)相關(guān)法規(guī)支持也不到位,,推行力度就不大。之前三大石油公司也沒有動(dòng)力在“管網(wǎng)”這個(gè)非主營(yíng)業(yè)務(wù)上下這么大的功夫整改,。再之,,整合前也沒有真正全國(guó)成網(wǎng),“油氣調(diào)控中心”的重要性和現(xiàn)在也是不一樣的,。
與工控系統(tǒng)相關(guān)的安全等級(jí)保護(hù)技術(shù)方面,,就更不樂觀。大部分管道工控系統(tǒng)達(dá)不到國(guó)標(biāo)《GB/T22239-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》,。部分工控系統(tǒng)等級(jí)保護(hù)建設(shè)甚至出現(xiàn)空白,。據(jù)我了解全國(guó)有三百多家等級(jí)保護(hù)評(píng)測(cè)機(jī)構(gòu),國(guó)家電網(wǎng)集團(tuán)公司內(nèi)部有三家,而三大石油集團(tuán)公司內(nèi)部連一家等級(jí)保護(hù)評(píng)測(cè)機(jī)構(gòu)都沒有,。
由于外部評(píng)測(cè)機(jī)構(gòu)對(duì)管道工控系統(tǒng)不了解,,很多系統(tǒng)被漏評(píng)、錯(cuò)評(píng),。例如,,國(guó)家電網(wǎng)公司管理全國(guó)70%以上的電網(wǎng),有數(shù)萬(wàn)個(gè)換流站,、變電站,、開閉所,其總部調(diào)度控制中心直接調(diào)控其中的幾十個(gè)站場(chǎng),,工控系統(tǒng)是5萬(wàn)I/O點(diǎn)級(jí)別,,屬“一旦受到破壞會(huì)對(duì)社會(huì)秩序和公共利益造成特別嚴(yán)重危害,或者對(duì)國(guó)家安全造成嚴(yán)重危害的特別重要網(wǎng)絡(luò)”,。
國(guó)電總調(diào)中心因此等保評(píng)級(jí)為四級(jí)(次高級(jí)),,但要求按照五級(jí)(最高級(jí))建設(shè),實(shí)時(shí)數(shù)據(jù)庫(kù)進(jìn)行了三層防火墻分區(qū)隔離,。管網(wǎng)整合前,,由中石油管理的全國(guó)最大油氣調(diào)控中心直接控制全國(guó)60%左右的管道,直接遠(yuǎn)程控制的壓氣站,、泵站,、加熱站,、閥室數(shù)以千計(jì),,其工控系統(tǒng)是20萬(wàn)I/O點(diǎn)級(jí)別,其部分已參與等保評(píng)測(cè)的系統(tǒng)目前僅被評(píng)定為三級(jí),。
等保被漏評(píng),、錯(cuò)評(píng),直接導(dǎo)致等保建設(shè)力度不夠,,技術(shù)研發(fā)和應(yīng)用都不到位,,這是管道工控系統(tǒng)信息安全技術(shù)領(lǐng)域的現(xiàn)狀。管道安全防范技術(shù)存在短板,,這其中管網(wǎng)控制系統(tǒng)網(wǎng)絡(luò)安全問題可能最為棘手,。
問:為什么說控制系統(tǒng)網(wǎng)絡(luò)安全最為棘手?
竹西君:說控制系統(tǒng)網(wǎng)絡(luò)安全最為棘手,,是因?yàn)樗戎匾志o急,。
先談重要性。2017年有媒體報(bào)道:俄羅斯黑客滲透核電站,、染指美國(guó)能源設(shè)施控制系統(tǒng),、采用新型自動(dòng)化惡意軟件引發(fā)烏克蘭斷電……同年,朝鮮黑客入侵了美國(guó)能源設(shè)施。今年5月3日委內(nèi)瑞拉當(dāng)局宣布,,他們成功打擊了一個(gè)入侵的雇傭軍團(tuán)伙,。有意思的是,雇傭兵入侵委內(nèi)瑞拉數(shù)小時(shí)后委內(nèi)瑞拉國(guó)家電網(wǎng)干線遭到黑客攻擊,,造成全國(guó)大面積停電,。而這對(duì)委內(nèi)瑞拉也不是第一次。2019年3月7日委內(nèi)瑞拉電網(wǎng)遭受電磁攻擊,,波及了委內(nèi)瑞拉全國(guó)23個(gè)州中的18個(gè)州,。
美國(guó)關(guān)鍵基礎(chǔ)設(shè)施安全公司Dragos追蹤了全球數(shù)百個(gè)黑客組織,他們發(fā)現(xiàn)其中約有50個(gè)黑客組織具備對(duì)有ICS(工控系統(tǒng)的英文簡(jiǎn)稱)的企業(yè)下手的能力,。其中,,有6到7個(gè)黑客組織已經(jīng)觸及了對(duì)工控系統(tǒng)物理基礎(chǔ)設(shè)施的實(shí)際控制。而其中至少有兩個(gè),,是已知實(shí)際觸發(fā)過真實(shí)物理破壞的:方程式黑客小組,,據(jù)稱是用震網(wǎng)惡意軟件摧毀了伊朗核濃縮離心機(jī)的NSA黑客團(tuán)隊(duì);還有沙蟲黑客組織,,烏克蘭兩次大停電的背后黑手,。
油氣管道暨城市燃?xì)夤芫W(wǎng)和其它能源基礎(chǔ)設(shè)施一樣,其國(guó)家層面的工控系統(tǒng),,國(guó)際上一般認(rèn)為屬“一旦受到破壞后會(huì)對(duì)國(guó)家安全造成特別嚴(yán)重危害的極其重要網(wǎng)絡(luò)”其重要性可見一斑,。按照我國(guó)相關(guān)標(biāo)準(zhǔn),國(guó)家管網(wǎng)公司整合后如果集中調(diào)控,,即便按照等保四級(jí)來要求,,恐怕都是不夠的,應(yīng)當(dāng)按照最高級(jí)五級(jí)進(jìn)行等保定級(jí),。
再說有多“緊急”,。《GB/T22239信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》,、《GB/T28448信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求》均為2019年5月修訂,,要求2019年12月實(shí)施?!禛B/T22240信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南》2020年4月修訂,,要求2020年11月實(shí)施。以上三標(biāo)準(zhǔn)修訂,,重要變化是增加了“工業(yè)控制系統(tǒng)安全擴(kuò)展要求”,。另外,公安部組織起草了《網(wǎng)絡(luò)安全等級(jí)保護(hù)條例》目前正在征求意見,,預(yù)計(jì)今年頒布實(shí)施,。其中明確要求“重點(diǎn)保護(hù)涉及國(guó)家安全、國(guó)計(jì)民生、社會(huì)公共利益的網(wǎng)絡(luò)的基礎(chǔ)設(shè)施安全,、運(yùn)行安全和數(shù)據(jù)安全”,,明確要求“主動(dòng)防御”。標(biāo)準(zhǔn)和條例密集出臺(tái),,無疑是我國(guó)針對(duì)國(guó)際網(wǎng)絡(luò)安全斗爭(zhēng)形式做出的快速反應(yīng),。
而在管道領(lǐng)域落實(shí)國(guó)家相關(guān)要求確實(shí)有難度,顯得非常棘手,??梢哉f在這方面我們面臨著前所未有的巨大挑戰(zhàn)。
一是,,基礎(chǔ)薄弱,。
二是,恰逢整合,。
三是,,學(xué)無師承。
油氣管道和城市燃?xì)夤た叵到y(tǒng)網(wǎng)絡(luò)安全領(lǐng)域不方便照搬國(guó)際經(jīng)驗(yàn),,國(guó)內(nèi)在工控網(wǎng)絡(luò)安全技術(shù)應(yīng)用方面,,國(guó)家電網(wǎng)在走在了最前面。不過之前提到國(guó)家電網(wǎng)總調(diào)控中心調(diào)控幾十個(gè)站場(chǎng),,而國(guó)家管網(wǎng)調(diào)控中心則要調(diào)控?cái)?shù)以千計(jì)的站場(chǎng),,兩者體量上相差兩個(gè)數(shù)量級(jí)。另外在技術(shù)結(jié)構(gòu)上也有很大區(qū)別,。管道是以弱電信號(hào)控制機(jī)械設(shè)備,,再由設(shè)備推動(dòng)油氣流動(dòng),技術(shù)環(huán)節(jié)多且涉及大量易燃易爆的油氣,。電網(wǎng)則是以弱電載波控制強(qiáng)電開閉和換流,,技術(shù)環(huán)節(jié)相對(duì)要少,,不涉及易燃易爆物質(zhì),。兩者“體量”和“性質(zhì)”上差異都很大。完全照搬電網(wǎng)的經(jīng)驗(yàn)恐怕也不夠用,,國(guó)家油氣管網(wǎng)集團(tuán)公司只能自己摸索一條因地制宜的路,。
問:國(guó)際上黑客一般是怎么攻擊管網(wǎng)工控系統(tǒng)的?
答:這個(gè)話題比較敏感,,不宜公開細(xì)節(jié),。我只能大體介紹一下,黑客針對(duì)工控系統(tǒng)通常的三個(gè)攻擊步驟,。
第一步:網(wǎng)絡(luò)入侵
首先他們侵入的是企業(yè)電子郵件賬戶,、瀏覽器和Web服務(wù)器。這些滲透通常始于魚叉式網(wǎng)絡(luò)釣魚郵件,或“水坑”攻擊——通過劫持用戶經(jīng)常訪問的網(wǎng)站來感染目標(biāo)用戶,。暫時(shí)不會(huì)產(chǎn)生可導(dǎo)致物理破壞的途徑,。該階段黑客通常為未來攻擊做“偵察”。
第二步:運(yùn)行訪問
不斷刺探能源公司IT系統(tǒng)的黑客,,應(yīng)加以關(guān)注,。刺探運(yùn)行技術(shù)(OT)系統(tǒng)的黑客,則是嚴(yán)重得多的問題,。當(dāng)黑客滲透了OT,,或者獲取了所謂的運(yùn)營(yíng)訪問權(quán)限,他們就從辦公系統(tǒng)摸到了更為專業(yè)和定制的工控系統(tǒng)——邁向操縱物理基礎(chǔ)設(shè)施的重要一步,。
比如說,,賽門鐵克揭示,被其命名為DragonFly 2.0的黑客小組,,就獲取到了“一小撮”美國(guó)能源公司的運(yùn)行訪問權(quán)限(DragonFly 2.0很可能是2017年侵入美國(guó)核設(shè)施的那組俄羅斯黑客),。這伙入侵者甚至走到了截屏控制系統(tǒng)人機(jī)交互界面(HMI)的地步,這樣他們就能控制工控系統(tǒng),,從而發(fā)起全面攻擊,。
網(wǎng)絡(luò)釣魚嘗試是權(quán)限階梯中的一步,而研究HMI,,就是在梯子上爬了好幾階了,。理論上,OT系統(tǒng)與IT系統(tǒng)是物理隔離的,,二者之間沒有網(wǎng)絡(luò)連接,。但I(xiàn)CS安全公司Claroty共同創(chuàng)始人嘉里娜·安托娃稱,除運(yùn)營(yíng)系統(tǒng)與外部網(wǎng)絡(luò)嚴(yán)格斷開的核電廠外,,該物理隔離往往不是那么牢不可破,。她說,Claroty分析過的所有ICS設(shè)置,,都能找到“明顯”的途徑進(jìn)入其OT系統(tǒng),。“對(duì)網(wǎng)絡(luò)做個(gè)拓?fù)鋱D示,,從IT到OT的路線清晰可見,。進(jìn)入方法總有那么幾個(gè)備選?!倍矣捎陔姶艥B透的存在,,即使OT系統(tǒng)與IT系統(tǒng)是物理隔離的,也不能排除OT系統(tǒng)被直接滲透的風(fēng)險(xiǎn),。
第三步:協(xié)同攻擊
即便入侵者對(duì)電網(wǎng)控制系統(tǒng)有了“手握開關(guān)”的權(quán)限,,對(duì)該權(quán)限的有效利用,,也比看起來難得多。事實(shí)上,,翻轉(zhuǎn)該開關(guān)前的所有動(dòng)作,,都僅僅是預(yù)備階段,只代表了電網(wǎng)黑客工作的20%,。其實(shí)際過程也可能需要真正的專業(yè)技術(shù)才能操縱,,還要加上幾個(gè)月的更多努力和資源——不僅僅是斷開幾個(gè)斷路器造成停電。李說,,即便黑客掌握了這些控制系統(tǒng),,“我也能很確信地說,他們?nèi)晕吹竭_(dá)切斷電源的那一步,。他們可以斷開一些斷路器,,但他們對(duì)此動(dòng)作的效果一無所知。他們不知道自己可能會(huì)被安全系統(tǒng)阻止,?!?/span>
比如說,全球首起黑客所致大斷電的2015年末烏克蘭停電事件中,,入侵者遠(yuǎn)程訪問配電站控制系統(tǒng),,手動(dòng)斷開了該國(guó)3個(gè)不同設(shè)施中的數(shù)十個(gè)斷路器——大多數(shù)情況中是真的劫持了配電站操作員的鼠標(biāo)控制。響應(yīng)該起攻擊的分析師認(rèn)為,,這應(yīng)該需要幾個(gè)月的策劃,,還須有數(shù)十人的團(tuán)隊(duì)協(xié)同作戰(zhàn)。即便如此,,其導(dǎo)致的斷電也就持續(xù)了6個(gè)小時(shí),,影響到約25萬(wàn)烏克蘭人。
黑客基本上不得不在斷電的規(guī)模和持續(xù)時(shí)間上做出選擇,。如果想要對(duì)整個(gè)美國(guó)東部電網(wǎng)下手,,需要的資源會(huì)指數(shù)級(jí)倍增。如果還想讓這么大規(guī)模的電網(wǎng)斷電一星期,,那就是指數(shù)級(jí)的指數(shù)級(jí)了,,實(shí)話說較難實(shí)現(xiàn)。
某電網(wǎng)黑客似乎在策劃更大規(guī)模更具破壞力的行動(dòng),。第二次烏克蘭停電攻擊使用了一款名為Crash Override/Industroyer的惡意軟件,,能夠自動(dòng)化電網(wǎng)設(shè)備擾亂指令發(fā)送過程,且能自適應(yīng)不同國(guó)家的設(shè)置,,可跨多個(gè)目標(biāo)廣泛部署。
該超級(jí)先進(jìn)的電網(wǎng)黑客惡意軟件令人十分不安,。但這種軟件也相當(dāng)罕見,。一款這種黑天鵝式的惡意軟件,,與幾十起比魚叉式網(wǎng)絡(luò)釣魚也高明不到哪兒去的電網(wǎng)滲透事件之間,還是存在巨大的差距的,。無論大小深淺,,電網(wǎng)入侵當(dāng)然不是件好事。但最好認(rèn)識(shí)到帶妝彩排和真正大事件之間的差別——尤其是在將來會(huì)有更多此類事件出現(xiàn)的情況下,。
問:對(duì)解決控制系統(tǒng)網(wǎng)絡(luò)安全問題您有什么建議,?
答:針對(duì)如何更好地解決油氣管網(wǎng)暨城市燃?xì)夤芫W(wǎng)的軟件控制系統(tǒng)的網(wǎng)絡(luò)安全問題,我有兩個(gè)建議,。
第一個(gè),,建議安防和等保一體化。即,,安防和等保設(shè)施設(shè)備整體規(guī)劃,、同步建設(shè)、同步使用,。對(duì)比公安部《GA1166-2014石油天然氣管道系統(tǒng)風(fēng)險(xiǎn)等級(jí)和安全防范要求》和《GB/T22239-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》這兩個(gè)標(biāo)準(zhǔn),,我們可以發(fā)現(xiàn)有重疊、有互補(bǔ),。在管道工控系統(tǒng)領(lǐng)域,,因涉及大量上位機(jī)、下位機(jī),、執(zhí)行機(jī)構(gòu)和通訊設(shè)施,,系統(tǒng)的實(shí)體已不局限于機(jī)房,而這些信息設(shè)備大多隨機(jī),、泵,、爐等設(shè)備部署在野外站場(chǎng),這就對(duì)站場(chǎng)安防和信息系統(tǒng)等保的同步性,、兼容性提出了新的要求,。只有統(tǒng)籌考慮才能避免重復(fù)浪費(fèi),保證好鋼用在刀刃上,,才能事半功倍達(dá)到最佳的保護(hù)效果,。其實(shí)一些安全服務(wù)機(jī)構(gòu)已經(jīng)開始了安防和等保一體化的嘗試。例如,,公安部第一研究所旗下的中盾公司就初步具備了這樣的能力,。這也將是工控系統(tǒng)安全防護(hù)的一個(gè)發(fā)展趨勢(shì)。
第二個(gè),,建議“軟”“硬”兼施,。即,采取“防滲透”人員加“防滲透”設(shè)備的復(fù)合模式,。也就是將安防中的“人防”進(jìn)行拓展,,結(jié)合《GB/T22239-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》“6. 1.6 安全管理機(jī)構(gòu)”和“6.1.7 安全管理人員”相關(guān)要求,,在硬件防護(hù)基礎(chǔ)上,持續(xù)進(jìn)行“人力防護(hù)”,,使“紅客”常態(tài)化,。所謂滲透與反滲透、黑客與反黑客的斗爭(zhēng),,就是一場(chǎng)“魔高一尺,、道高一丈”的動(dòng)態(tài)較量。硬件是死的,、人是活的,,如果沒有常備的“紅客”隊(duì)伍“黑客”就容易占上風(fēng)。
一般情況下,,當(dāng)媒體公開報(bào)道稱黑客入侵了某個(gè)工業(yè)企業(yè)的系統(tǒng)時(shí),,絕大多數(shù)情況下這些入侵者并未滲透至核心系統(tǒng)的上位機(jī)、下位機(jī)和實(shí)時(shí)數(shù)據(jù)庫(kù),,也不能實(shí)際控制工控系統(tǒng),。不能操作或干擾比如執(zhí)行機(jī)構(gòu)、繼電器等設(shè)備,。
下一篇:安裝地暖需要注意哪些問題