長輸天然氣管道調(diào)控中心信息安全技術(shù)與應(yīng)用

■ 河南 劉國華

編者按：長輸天然氣管道調(diào)控中心作為整體管線的神經(jīng)中樞，對管線、輸氣場站、閥室進行集中控制。隨著兩化融合的不斷深入，各種信息化系統(tǒng)陸續(xù)上線，亟待進行信息安全的提升，確保長輸天然氣管道調(diào)控中心的信息安全。

隨著長輸天然氣管道的快速發(fā)展，近年來信息化建設(shè)不斷深入，各類自動化、信息化系統(tǒng)陸續(xù)上線運行，主要包括生產(chǎn)管理系統(tǒng)、辦公網(wǎng)絡(luò)系統(tǒng)、視頻監(jiān)控系統(tǒng)、數(shù)字化管道系統(tǒng)、視頻會議系統(tǒng)等。公司的生產(chǎn)、溝通、應(yīng)用、財務(wù)、決策、會議等都依賴于網(wǎng)絡(luò)與信息化平臺，構(gòu)建一個“安全可靠、性能卓越、管理全面”的網(wǎng)絡(luò)信息化體系已經(jīng)成為天然氣管道信息化發(fā)展的基石。

通信網(wǎng)絡(luò)系統(tǒng)現(xiàn)狀

天然氣管道調(diào)控中心至各個站場通信網(wǎng)絡(luò)系統(tǒng)根據(jù)實現(xiàn)方式可分為管道光纜光通信、運營商MSTP專線及VPN三部分構(gòu)成，而天然氣管道通信網(wǎng)絡(luò)系統(tǒng)主要承載著天然氣管道自控業(yè)務(wù)、辦公網(wǎng)業(yè)務(wù)、工業(yè)電視監(jiān)控系統(tǒng)、視頻會議系統(tǒng)、軟交換調(diào)度電話和應(yīng)急廣播等業(yè)務(wù)。

存在的問題

1.網(wǎng)絡(luò)問題

（1）天然氣管道當前運行多種業(yè)務(wù)均混合傳輸，全部接入到一臺核心交換機內(nèi)，現(xiàn)行的業(yè)務(wù)容易造成網(wǎng)絡(luò)環(huán)路數(shù)據(jù)傳輸不穩(wěn)定，且沒有在調(diào)控中心和場站進行業(yè)務(wù)隔離區(qū)分。

（2）全線場站辦公網(wǎng)絡(luò)沒有納入至濟南調(diào)控中心統(tǒng)一管理，沒有防火墻對場站網(wǎng)絡(luò)進行安全防護，無法對各個場站進行帶寬、應(yīng)用行為管理控制。

（3）目前天然氣管道防火墻多為傳統(tǒng)防火墻，只是簡單實現(xiàn)了將內(nèi)部地址轉(zhuǎn)換公網(wǎng)地址及內(nèi)部用戶互聯(lián)網(wǎng)訪問的功能，缺乏合理的保護策略，易遭受來自互聯(lián)網(wǎng)的攻擊。現(xiàn)有的防火墻只能在三層數(shù)據(jù)流進行識別，無法進行七層業(yè)務(wù)管控。

2.終端安全防護問題

（1）公司沒有對自控系統(tǒng)工控主機統(tǒng)一部署防病毒軟件系統(tǒng)，桌面計算機的病毒防護能力相對較低，無法全局掌握所有設(shè)備的網(wǎng)絡(luò)完全狀態(tài)，無法控制自控系統(tǒng)終端第三方介質(zhì)的管理。

（2）不具備安全策略控制能力，為了保證防毒系統(tǒng)平穩(wěn)、順利地運行，就必須對網(wǎng)絡(luò)節(jié)點補丁的部署、防毒系統(tǒng)的安裝、防毒系統(tǒng)的更新、是否加入域等節(jié)點狀態(tài)進行必要的監(jiān)控和控制，在網(wǎng)關(guān)層次上拒絕掉不符合安全策略要求的節(jié)點的對外訪問。

3.日志審計存在問題

天然氣管道缺少對內(nèi)部網(wǎng)絡(luò)、外接網(wǎng)絡(luò)和各種應(yīng)用系統(tǒng)的日志審計管控的技術(shù)措施。操作系統(tǒng)、硬件、應(yīng)用程序等故障或配置錯誤導(dǎo)致系統(tǒng)異常運行，服務(wù)中斷。這些異常行為只會在系統(tǒng)及各類日志中有所反映，沒有統(tǒng)一的日志審計手段，無法及時查詢相關(guān)信息。

4.數(shù)據(jù)保護及備份存在問題

現(xiàn)有的應(yīng)用及數(shù)據(jù)都存在本地機房，如果機房出現(xiàn)長時間斷電或遇自然災(zāi)害時將無法進行生產(chǎn)管理或提供應(yīng)用服務(wù)，因此需要對整個機房的信息系統(tǒng)實施基于持續(xù)數(shù)據(jù)保護和備份的多維度數(shù)據(jù)保護。

圖1 安全部署節(jié)點示意圖

主要技術(shù)關(guān)鍵點

“天然氣管道調(diào)控中心信息安全技術(shù)與應(yīng)用”總體分為四個方面：

一是在不影響現(xiàn)有現(xiàn)場數(shù)據(jù)實時傳輸至調(diào)控中心的前提下，對全線網(wǎng)絡(luò)設(shè)備進行數(shù)據(jù)配置，實現(xiàn)設(shè)備可控、性能可視化管理、業(yè)務(wù)隔離、網(wǎng)絡(luò)冗余的功能。

二是工控防火墻、下一代防火墻在生產(chǎn)網(wǎng)和信息網(wǎng)、生產(chǎn)網(wǎng)絡(luò)內(nèi)部的應(yīng)用，配合工業(yè)級防病毒系統(tǒng)，提高工控網(wǎng)絡(luò)安全性能。

三是利用日志審計系統(tǒng)、上網(wǎng)行為管理、無線控制器對終端設(shè)備實現(xiàn)全方位不間斷的監(jiān)控，構(gòu)建完備的智能化信息運維模式。

四是利用災(zāi)備數(shù)據(jù)備份技術(shù)，為調(diào)控中心在異地建立關(guān)鍵數(shù)據(jù)備份中心。

1.建立自控系統(tǒng)專用內(nèi)部網(wǎng)絡(luò)，實現(xiàn)設(shè)備網(wǎng)管，業(yè)務(wù)隔離、服務(wù)保障

基于管道公司SCADA自控數(shù)據(jù)作為生產(chǎn)運行的生命線，其業(yè)務(wù)等級最高，為了保障其獨立，在調(diào)控中心和場站之間建立基于SDH以太網(wǎng)LAN業(yè)務(wù)的專用網(wǎng)絡(luò)，每個場站至中心獨享1個VC-12時隙。調(diào)控中心SCADA系統(tǒng)的路由器、交換機、服務(wù)器、工程師工作站與站控系統(tǒng)統(tǒng)一在內(nèi)部局域網(wǎng)中。對于其他綜合業(yè)務(wù)，按照業(yè)務(wù)類型，標準化配置各個站場交換機，同時對核心交換機和各場站上聯(lián)口設(shè)備ACL訪問控制列表，防范非法地址的進入。

2.實現(xiàn)生產(chǎn)與辦公、自控與數(shù)據(jù)中心、中心與站場的安全可控

在生產(chǎn)網(wǎng)絡(luò)與辦公網(wǎng)絡(luò)之間部署了防火墻，安全防護策略依照源地址、目的地址、應(yīng)用協(xié)議、端口號等，并且開啟七層防護功能。

在自控系統(tǒng)與上一級調(diào)控中心網(wǎng)絡(luò)部署了工控防火墻，在自控系統(tǒng)中心服務(wù)器集群與站場互聯(lián)端口部署一臺防火墻，在自控系統(tǒng)與數(shù)據(jù)中心OPC服務(wù)器部署一臺防火墻。通過以上部署，在各個關(guān)鍵節(jié)點均增設(shè)了安全管理設(shè)備，實時監(jiān)控傳輸數(shù)據(jù)的安全性。如圖1所示。

在自控系統(tǒng)內(nèi)部，中心和場站之間利用七層防火墻的多維度應(yīng)用識別，只針對自控系統(tǒng)內(nèi)部的IP地址開放ICMP、MODBUS等協(xié)議，將經(jīng)過防火墻的數(shù)據(jù)限制在特別范圍內(nèi)，實行白名單制度。

與此同時在整個系統(tǒng)網(wǎng)絡(luò)中，增加終端管理防病毒系統(tǒng)，在調(diào)控中心部署集中管理平臺，由平臺統(tǒng)一進行病毒庫的更新，下發(fā)統(tǒng)一殺毒、修復(fù)漏洞等策略，確保終端安全。系統(tǒng)還具有遠程用戶的準入，終端設(shè)備介質(zhì)管理功能，避免非法用戶和不安全的移動介質(zhì)對站控系統(tǒng)設(shè)備帶來木馬病毒等。

終端設(shè)備客戶端集成了惡意行為監(jiān)控、實時掃描、可疑連接服務(wù)、Web信譽丟失等功能。

3.關(guān)鍵業(yè)務(wù)數(shù)據(jù)的異地保護

基于數(shù)據(jù)保護系統(tǒng)配置了兩臺數(shù)據(jù)保護設(shè)備。在調(diào)控中心網(wǎng)絡(luò)環(huán)境中，服務(wù)器及數(shù)據(jù)保護設(shè)備均接入LAN網(wǎng)絡(luò)中。數(shù)據(jù)保護系統(tǒng)保護生產(chǎn)系統(tǒng)的服務(wù)器，保護數(shù)據(jù)通過網(wǎng)絡(luò)方式存儲于數(shù)據(jù)保護設(shè)備自身的磁盤中，同時通過專線，將本地設(shè)備中的數(shù)據(jù)遠程復(fù)制到異地災(zāi)備中心中，構(gòu)建完整的災(zāi)備保護系統(tǒng)。從圖2可以看出數(shù)據(jù)安全保障體系架構(gòu)。

圖2 異地災(zāi)備系統(tǒng)部署結(jié)構(gòu)圖

圖3 日志審計系統(tǒng)總體部署架構(gòu)圖

（1）在不改變原有系統(tǒng)結(jié)構(gòu)的前提下，將分別接入調(diào)控中心和異地災(zāi)備中心的LAN網(wǎng)絡(luò)中，激活持續(xù)數(shù)據(jù)保護功能主模塊、備份功能主模塊，遠程災(zāi)備模塊。

（2）在需要數(shù)據(jù)保護的服務(wù)器中，安裝數(shù)據(jù)保護模塊，通過數(shù)據(jù)保護模塊實現(xiàn)數(shù)據(jù)保護功能。

（3）在內(nèi)部創(chuàng)建與被保護服務(wù)器相同環(huán)境的虛擬主機，實現(xiàn)應(yīng)用接管。

（4）保護的數(shù)據(jù)存儲于磁盤陣列中。

4.優(yōu)化辦公網(wǎng)絡(luò)，部署上網(wǎng)行為管理、日志審計系統(tǒng)

將現(xiàn)有的傳統(tǒng)防火墻更換為NGFW下一代七層防火墻，加固內(nèi)網(wǎng)安全防護等級。在防火墻與接入交換機加裝一臺三層匯聚交換機，將三層網(wǎng)關(guān)設(shè)置在該交換機上，三層交換機與防火墻通過靜態(tài)路由互通，從而減輕防火墻的壓力，在出口防火墻串接上網(wǎng)行為管理設(shè)備，實時管控辦公期間的人員的上網(wǎng)行為。日志審計系統(tǒng)收集網(wǎng)絡(luò)內(nèi)部關(guān)鍵信息系統(tǒng)、網(wǎng)絡(luò)設(shè)備的日志信息，實現(xiàn)全生命周期日志管理，為網(wǎng)絡(luò)與系統(tǒng)提供安全的運維工具，同時遵照等級保護和內(nèi)控審計要求。總體安全部署示意圖如圖3所示。

結(jié)語

通過以上信息安全技術(shù)的實施與應(yīng)用，將改變天然氣管道自建設(shè)以來，網(wǎng)絡(luò)無法管理，所有業(yè)務(wù)數(shù)據(jù)未進行隔離，在一個廣播域進行數(shù)據(jù)交互，相互之間的網(wǎng)絡(luò)中斷、地址沖突、病毒蔓延的現(xiàn)狀，同時在基礎(chǔ)數(shù)據(jù)平臺規(guī)范化的基礎(chǔ)上，探索研究了工控防火墻在生產(chǎn)網(wǎng)絡(luò)中的應(yīng)用，探索了策略安全防護等級、標準和配置模式，在保障生產(chǎn)自控網(wǎng)絡(luò)內(nèi)部指令正常傳達的前提下，為生產(chǎn)辦公信息網(wǎng)絡(luò)之間傳遞安全的數(shù)據(jù)，為長輸天然氣管道調(diào)控中心網(wǎng)絡(luò)安全建設(shè)與防護提供了參考技術(shù)措施。