LNG接收站工控系統信息安全分析和防護措施

吳凡

工業控制系統是工業生產中最核心的一大環節，它集成了數據監控、數據采集、分布控制等多個控制系統與一體，在電力、石油、天然氣等領域被廣泛使用。天然氣作為國內新興行業，LNG接收站的發展速度也是突飛猛進，自動化程度高，國產化率低，核心控制系統嚴重依賴國外廠商，伴隨著信息化技術的發展，LNG接收站也從傳統意義上的接收站不斷向著智能化接收站演進，隨之而來的就是來自互聯網中的病毒、國內外網絡黑客的威脅等，將工業網絡不斷暴露在開放的互聯網上。為此，密切關注國內外工控系統信息安全發展態勢，結合天然氣行業工控系統安全防護及等級保護要求，充分了解天然氣行業工控系統信息安全現狀，深刻分析安全風險產生的原因及帶來的影響，建立有針對性的安全防護措施，為天然氣行業工控系統安全穩定運行保駕護航。

一、天然氣行業工控系統安全現狀

（一）工控系統的基本概念

工業控制系統（ICS）是指由各種自動化控制組件以及對實時數據進行采集、監控、分析的過程控制組件，共同構成的確保工業基礎設施自動化運行、過程控制與監控的業務流程管控系統，其核心組件包括數據采集與監控系統（SCADA）、分布式控制系統（DCS），可編程邏輯控制器（PLC）、遠程終端（RTU）、智能電子設備（IED），以及確保各組件通信的接口技術等。

（二）天然氣行業工控系統的安全現狀

據國家工業和信息安全中心監測發現，全球暴露在互聯網上的工控系統及設備數量持續上升，覆蓋多個種類的系統，涉及西門子、霍尼韋爾、施耐德、ABB等工控系統廠商，這些設備廣泛應用于制造業、能源、水利、通信等工業領域，尤其隨著近年來LNG行業的高速發展，在該領域大量采用IT通用軟硬件，如計算機、以太網、TCP/IP協議、數據庫系統等，導致了工業信息安全風險的不斷增加。

二、天然氣行業工控系統安全風險產生的原因分析

（一）天然氣企業信息安全意識相對淡薄

行業發展不夠成熟，信息安全管理制度不夠完善，已有的信息安全制度未得到有效的執行。

天然氣企業信息安全資金和人力資源投入不足，投入意愿也不高，擁有信息安全專業背景和技術能力的復合型人才嚴重不足。

工業信息安全制度宣貫不到位，員工安全意識淡薄。

（二）部分企業安全策略和管理流程缺失

在工業信息安全領域，追求可用性而犧牲安全性是工業控制系統安全存在的普遍性問題。為此，科學有效的安全策略和管理流程至關重要，可以最大限度避免人為操作錯誤等原因造成的安全隱患。如工業控制系統中移動存儲介質的使用和嚴格的訪問控制策略、日常監視日志的建立等。做好這些，對于加強工業信息安全具有重要意義。

（三）天然氣企業信息產業能力和安全需求還不適應我國工業信息安全領域的廠商規模還普遍較小，進入工業信息安全市場的時間還較短，多數從傳統IT安全行業轉型到IOT領域，這導致安全企業的技術積累不夠，產品競爭力也不夠強，還無法與賽門鐵克、邁克菲、思科以及羅克韋爾、通用電氣等相競爭。

三、工控系統安全防護策略

（一）橫向隔離，縱向認證，專網專用，分區分域

在工控網內部劃分邏輯層次，如圖1所示，每一層次進一步劃分安全區域，不同層次，不同區域之間嚴格控制數據流的訪問，將病毒限制在一個區域范圍內，避免全網感染。建立“零信任”安全架構，以身份為中心而非以網絡為中心構建訪問控制體系，需要為網絡中的人和設備賦予數字身份，將身份化的人和設備進行組合構建訪問體系，并為訪問主體設定其所需的最小權限；根據授權結果進行最小限度的開放，所有的業務訪問請求都應該進行全流量加密和強制授權；對于安全策略，遵循“默認拒絕，明細允許”的設計原則，局域網內各設備有獨立的安全策略；對異常行為的識別應持續監測，依據評估結果調整訪問控制授權，對出現安全問題的系統應開展應急處置工作。

（二）制定適用于本單位的工控系統安全基線準則

由于網絡復雜程度、業務復雜程度、歷史累計情況等原因，絕大多數單位較難完成資產梳理，無法澄清資產的硬件情況、軟件情況、網絡邊界，無法全部驗證安全策略的合理性。企業應結合自己單位工控系統實際情況，制定工控系統安全基線準則，從賬戶管理、密碼管理、證書管理、日志管理、防火墻管理、補丁管理、共享管理、遠程管理等方面制定具體規則，對維護人員進行系統培訓，并制定相關管理制度。健全、完善的管理制度是保障工控系統平穩運行的前提條件，嚴格執行各項管理制度才能確保工控系統處于安全的工作狀態。需要結合企業自身特點摸索出行之有效的管理辦法并且狠抓落實，才能有效降低工控系統安全風險、減少故障發生概率、提升日常維護質量。

（三）對網絡安全進行評估、檢測

對網絡安全的系統評估不僅可以預測企業生產所面臨的風險和可承受的風險，更能使企業提前采取相應的網絡安全措施，使網絡風險降低到可承受風險以下。因為工控系統的通訊相對固定，流量規律性強，設備變化小，所以在工業控制網絡中安裝部署安全監測設備，建立正常的工控網絡安全白名單，可以幫助維護人員及時發現、報告和處理來自網絡的攻擊或其他異常行為。

四、結語

工控系統信息安全不是一個單純的技術問題，而是涉及到技術、管理、流程、人員意識等各方面的系統工程，需要組建包括控制工程師、工控設備供應商、系統集成商、信息安全專家等成員的工控系統信息安全隊伍。結合工控系統自身的體系結構和功能特點，在監控級和網絡層面可采取現有等級保護的相關標準和規范開展等級測評，工控系統信息安全是一個動態過程，需要在整個工業基礎設施生命周期的各個階段中持續實施，不斷完善改進。

作者單位：中石油大連液化天然氣有限公司