我們的管網安全嗎？

文／本刊記者 于 洋

管網越來越智能，但人們在享受便利的同時危險也悄悄靠近。

美國成品油管線遭勒索事件，敲響了油氣管道網絡安全的警鐘。

截至2020年底，中國油氣管道總里程達到16.5萬公里，其中長輸天然氣管道里程全球排名第四，城市天然氣管網總里程76.79萬公里，管道運輸承擔了80%以上的油氣運輸任務。國家管網公司成立后，“十四五”期間我國將進入油氣管網設施第三次快速發展階段，預計到2025年達到24萬公里。

在網絡勒索成為全球不可避免的問題后，這24萬公里的管網是安全的嗎？

“不好回答?！边@是多個專家的一致答案。在他們眼中，管道網絡安全“沒有最安全，只有更安全”。

沒有絕對的安全

美國是全球網絡安全的領跑者，在網絡各個方面擁有著絕對的優勢以及豐富的經驗。但是，此次攻擊事件也凸顯了美國關鍵基礎設施的脆弱性，暴露出其疏于防范的惰性心理。“網絡安全管理是一個長期的動態的過程。工業控制系統及工業互聯網安全建設是一個需要足夠耐心和仔細的長期工作，不得松懈?！编u佳信說，“沒有發生網絡勒索事件，并不代表著我們的管網就是完全安全的。”只要網絡存在，與黑客的斗爭就沒有止境。

IT與OT的融合發展，在給管輸運營帶來方便的同時帶來了危險。不同于上游勘探開發或者下游銷售的智能化發展，在北京安帝科技有限公司董事長周磊看來，“管道行業具有其固有的特殊性”，比如地理跨度大、采集數據點數眾多、監控油氣工藝復雜、操作人員雜多、上位機操作系統老舊、與眾多ICS信息化系統融合、使用多種通信協議和多個廠家的 PLC/RTU和儀器設備等軟硬件，加之近年來以“云大物移智”為代表的新興信息技術運用，行業存量的網絡風險與增量風險交織，“這使得管道的網絡安全形勢空前復雜嚴峻”。

“管道安全”不再是傳統意義上的物理性安全，不泄漏、沒有腐蝕等。它有了更廣泛的含義。“但是，目前仍有很多企業在管道安全方面存在知易行難的情況，雖然有一定的認識，但并沒有把認識提高到一個非常重要的層面。”業內一位專家說，“很多企業對管道安全的認識還停留在我配備了信息技術安全員，每天對系統定期殺毒就可以了?！?/p>

其實，并不然。黑客在不斷利用漏洞時，手法越來越新奇。所以，我們的任務就是隨時關注最新工具和技巧，采取相應的措施自我保護?！暗@方面我們做的還不夠。”這位專家說。

“對于工業網絡風險的認知，人們還停留在傳統以信息為中心的網絡風險層面。這一點應當得到重視和改變。美國油氣管道公司Colonial遭遇勒索攻擊事件很好的說明了這一點?！敝芾谡f。工業組織和關鍵基礎設施運營商，必須管理具有重大潛在影響的風險。在討論如何管理網絡風險之前，明確工業網絡風險至關重要。“這個定義需要從運營、業務影響、法律、財務和安全的角度來理解網絡風險——沒有任何利益相關方能夠單獨定義和管理網絡風險?！?周磊說。

從應用情況看，鄒佳信表示：“我們的治安風險防控技術已經成熟，但在管道領域的應用存在不少問題。”

“上下對不上”

據管道行業資深專家劉冰介紹，廣義的管道安全涉及兩大類：一類是生產安全，一類是安全防范。

在生產安全技術方面，管道安全主要涉及管道完整性技術、搶維修技術、油氣儲運系統消防技術、無人巡線技術等，以及很多和石油天然氣工業其他領域通用的安全技術。

安全防范技術又可以分為兩大類，一類是與治安風險相關的安全防護，一類是與工控系統相關的安全等級保護。與治安風險相關的安全防護，包括人防、物防、技防三方面。技防方面有：X射線檢測、入侵報警，以及指靜脈識別、瞳孔識別、人臉識別等生物識別技術。與工控系統相關的安全等級保護技術，包括防火墻技術、服務器終端偵測技術、加密通信技術，以及與普通安防通用的防護設備和管理體系。

“生產安全事故造成全國性的油氣管網癱瘓的可能性較小，而安全防范方面出現嚴重問題就極有可能引起全國性的管網癱瘓?！惫た鼐W絡安全專家姜勇說，“如果出現全國性油氣管網癱瘓，大部分城市的成品油供應將在幾天內中斷?！?/p>

雖然我國的石油儲備量已相當于40天的消耗量，有人認為成品油幾天內中斷是危言聳聽，其實不然。40天儲備指的是原油，且集中儲備在舟山、大連、蘭州、天津等9地的國家儲備基地，不是每個城市都有。另外，原油需要管道輸送至煉廠煉制為成品油，成品油需要管道輸送至各大城市。管網癱瘓將大大縮短這個“容災時間”，40天就很有可能被縮短為幾天。因為“遠水解不了近渴”。

管道網絡安全問題帶來的影響，絕不是危言聳聽。“目前，我國對于信息技術安全標準的制定已經比較完善，但在貫徹執行方面還有點欠缺?！眲⒈榻B說。目前涉及網絡安全技術問題的標準主要有以下幾項：《GB/T22239信息安全技術網絡安全等級保護基本要求》、《GB/T28448信息安全技術網絡安全等級保護測評要求》均為2019年5月修訂，要求2019年12月實施?！禛B/T22240信息安全技術網絡安全等級保護定級指南》于2020年4月修訂，要求2020年11月實施。以上三標準修訂的重要變化，是增加了“工業控制系統安全擴展要求”。

公安部組織起草的《網絡安全等級保護條例》仍在征求意見中。《條件》要求，“重點保護涉及國家安全、國計民生、社會公共利益的網絡的基礎設施安全、運行安全和數據安全”，并明確“主動防御”。

但在企業層面，國家石油天然氣管網集團有限公司目前在集團層面尚未形成有關網絡安全等企業標準。其下屬處級單位中有兩家在今年分別制定出了《油氣管道SCADA系統網絡安全等級保護定級指南》的待審閱版以及《工控系統網絡安全設備測試方案》，但距離最終的出臺與執行仍需要不短的時間。國家標準以及相關部委出臺標準，需要在企業層面逐級宣貫、執行、完善。在企業層面也需要形成自上而下的統一的標準，但目前狀態是“上下對不上”。

工控安防系統待加固

除了標準貫徹的“上下對不上”外，在劉冰看來，國家管網成立后，應予控制系統網絡安全更多重視。因為“這是首要和緊迫的任務”。

隨著信息化、自動化、數字化在油氣管道和城市燃氣行業中的加速發展應用，我國油氣管道和城市燃氣行業普遍采用了高度自動化的生產技術裝備和高度信息化的運營管理手段，極大提升了調度生產的運行效率。在此過程中，涉及很多新技術、新業務、新模式，生產數據、技術參數、傳輸信號等，數據資源共享越來越深入，工控系統越來越開放。

現階段工業控制系統已廣泛應用于國內重大基礎設施中，在我國油氣管道行業中，主要工業控制系統包括集散控制系統（DCS）、數據采集與監視控制系統（SCADA）和可編程控制器（PLC）等，在油氣管道行業中發揮著巨大作用。

作為主要的控制系統，油氣管道工控網絡安全已被納入《中華人民共和國網絡安全法》的管制內容，是否存在網絡安全風險及網絡安全是否需要整改有完整評定流程，即網絡安全等保等級評定。根據網絡安全等保等級評定的系統服務對象如發生網絡安全事故，按有可能對公民、法人、其他組織、社會及公共利益、國家安全造成的損害程度劃分為五個等級。

“大多數工控系統在開發時，由于傳統工控系統技術的計算資源有限，在設計時只考慮到效率和實時等特性，并未將安全作為一個主要的指標考慮?！编u佳信說，“針對國家網絡安全等級評定要求，現階段油氣管道工控網絡安全風險存在較多的風險漏洞，主要包括安全管理制度、網絡安全技術及網絡安全環境三個方面。”

“在網絡安全技術方面，與工控系統相關的安全等級保護技術方面更不樂觀?！眲⒈f。大部分管道工控系統達不到國標《GB/T22239-2019信息安全技術網絡安全等級保護基本要求》，部分工控系統等級保護建設甚至出現空白?！霸诠艿李I域等保測評服務力量方面就很弱。據我了解，全國有三百多家等級保護評測機構，國家電網集團公司內部有三家，而三大石油集團公司內部連一家都沒有。”劉冰說。

由于外部評測機構對管道工控系統不了解，很多系統被漏評、錯評。以國家電網公司為例。國家管網管理著全國70%以上的電網，有數萬個換流站、變電站、開閉所，其總部調度控制中心直接調控其中的幾十個站場，工控系統是5萬I／O點級別，屬“一旦受到破壞會對社會秩序和公共利益造成特別嚴重危害，或者對國家安全造成嚴重危害的特別重要網絡”。國電總調中心因此等保評級為四級（次高級），但要求按照五級（最高級）建設，實時數據庫進行了三層防火墻分區隔離。管網整合前，一個國家級油氣調控中心就可直接控制全國半數左右的管道，直接遠程控制的壓氣站、泵站、加熱站、閥室成百上千，其工控系統是20萬I／O點級別。據了解，我國各油氣調控中心已參與等保評測的系統目前最高僅被評定為三級。

▲嚴謹完成維護管道安全的每一項工作。 供圖/視覺中國

“除了工控系統等級保護不樂觀外，工控系統還存在著國產化程度不高、國內許多企業未部署相關網絡安全防護設備的現象。比如安全審計系統、入侵防范系統、工業防火墻等。同時，存在部分企業對部署的網絡安全防護設備未正常使用或未定期維護管理，或部分企業搭建的非專業的工控網絡安全管理平臺，導致網絡安全設備配置不合理，無法起到正常的防護作用等信息安全的風險和漏洞。”鄒佳信說，“這些都需要引起我們的高度重視。”

▲國家進駐部分企業開展全面網絡安全審查。 供圖/視覺中國

專業網絡安全人才缺乏

工業控制系統存在的網絡安全風險和問題，從側面反映了我國企業里專業網絡安全人才的缺乏?！爸挥袚碛羞m當的人力，才能有效地支撐網絡安全實踐。”周磊說。2020年9月份的網絡安全周公布的數字顯示，我國網絡安全人才需求預計140萬人，但每年網絡安全學歷人才培養的數量不足1.5萬人。網絡安全產業的人才缺口十分巨大。具體到某些行業，這種缺口更加明顯。在石油石化這種關鍵信息基礎設施行業，既懂得IT安全又懂得OT安全的人才則更少。

長慶油田采氣四廠信息中心副主任高杰，對此深有體會。高杰說：“技術欠缺現在成為我們網絡安全建設的難點之一，由于企業內部專業技術人員較少，自主維護解決部分網絡安全風險難度較大，效率低并且風險高?！贬槍Α叭瞬徘啡薄?，高杰他們加強了信息安全人員的各項培訓技術防范，確保信息系統安全平穩運行。

在數字化轉型特別是引入虛擬現實、大數據與分析、霧和邊緣計算、先進的誠信管理、企業資產績效管理（EAPM）、云計算、工業物聯網（IIoT）等新技術應用時，對安全人才的缺口或缺位更加明顯。有專門對國外油氣行業的調查顯示，對具備ICS網絡安全技能人才的聘用是第一位的需求。

“在某些企業內部，存在著網絡安全員由其他部門兼任的情況。從業人員無相關的基礎知識儲備，不能及時發現網絡安全風險，且未建立完善的網絡安全管理制度。近兩年，國內由于網絡安全引起的生產事故幾乎和管理有著密不可分的關系?！苯抡f。

在他看來，這種被動源于企業對安全的“投入”不夠?！皩W絡安全從業人員的安全培養和引進不足，沒有形成專業化的團隊?！苯抡f。對此，為多個關鍵信息基礎設施行業提供網絡安全解決方案和服務的北京安帝科技有限公司董事長周磊深有體會：“在接觸到的一些企業中，因為網絡安全投入不能直接立竿見影地出效益，甚至有些企業投入了一定資金后發現還會出現問題，就會有這樣一種想法：我這個投入是不是劃算，投入了還不是一樣會遭到攻擊嗎?！痹谶@種想法驅使下，就不用提如何從管理、培訓等方面進行投入網絡安全人才的培養了。