编者按:国家管网公司管道行业资深专家竹西君,对2020年9月30日国家管网整合后亟待解决的技术问题进行了梳理。他认为安全问题尤为重要,其中“油气管网(含城市燃气管网)自动化控制系统”的网络安全最为棘手,如何依法合规采取科学应对和技术防范?
作者:国家管网公司管道行业资深专家 竹西君
正文:
问:2020年9月30日国家油气管网集团公司完成管网整合,整合之后从技术上来看,那个领域的问题亟待解决?什么问题最为棘手?对油气管网资产整合、统一管理、集中调控后,遇到的网络安全技术问题如何看待?
竹西君认为:需要看到的是,我国油气管道行业(含城市天然气管网——城市燃气)不仅在数字孪生技术、预测评价技术、逻辑控制技术等核心领域国产化程度低,而且在管道安全领域更有问题亟待解决。
国家根据全天然气产业发展形势,经过长期酝酿择机成立国家管网公司,进行科学的资源整合,同时赋予了这个行业更重要的社会责任和政治责任。这是行业重大变革,给油气管道产业、我们这些“管道人”提供了千载难逢、大显身手的好机会。然而,机遇通常与挑战并存,这同时确实也让我们面临着前所未有的巨大挑战。
之前我梳理了与提高油气管网资源配置效率紧密相关的九项技术。它们包括:数字孪生体、预测、效能后评价、逻辑控制、执行机构、变频、燃气轮机控制、数据采集、工控网安全。
其实,面对这个挑战,在技术层面上的确还有一些问题亟待解决。例如,如何利用技术手段科学有效地组织即将开展的“有史以来最大规模管道建设”?如何利用技术手段实现管网的安全、平稳、高效?这就涉及到上次九项技术之外的另一些技术。比如说,与设计相关的工业级“虚拟现实辅助设计技术”,它可以帮助设计师在三维地理信息“虚拟沙盘”上更合理地规划管道路由,更科学地进行油气战略储备布局。
另如“管道自动焊接技术”,这些都有利于提高管道设计施工速度和质量。另外还有管道内检测器“惯性导航”技术、高压管道带压“补强”技术、腐蚀速率监测技术、阴极保护监测技术、多目标值最优化求解方法、动态规划算法等,这些都可用来支持管网的安全、平稳、高效。以上这些技术尚存在较大发展空间,亟待解决
我觉得在现阶段比较迫切的还是安全领域的技术应用。这个领域的技术可能不如我之前提到的那些高大上,但却的的确确很重要!因为我国的油气管道系统一旦受到类似美国管道遭受“系统性”破坏,很可能会对国家能源安全造成特别严重的危害。
问:为什么说在现阶段,管道安全领域的技术尤为重要?
竹西君:广义的管道安全涉及两大类:一类是生产安全,一类是安全防范。我国油气管网超过16.5万公里(比全国的铁路线还长),承担了90%以上的油气运输任务。无论出现了哪一类安全事件,都有可能引发事故,造成油气运输瘫痪。如果油气管网受到“系统性”破坏,很可能会对国家安全造成特别严重的危害。
如果出现全国性油气管网和城市燃气瘫痪,大部分城市的成品油供应将在几天内中断。也许有人认为我国的石油储备量已相当于40天的消耗量,成品油几天内中断危言耸听,其实不然。首先,40天储备指的是原油,且集中储备在舟山、大连、兰州、天津等9地的国家储备基地,不是每个省、每个城市都有。其次,原油需要管道输送至炼厂炼制为成品油,成品油需要管道输送至各大城市。
管网瘫痪将大大缩短这个“容灾时间”,40天就很有可能被缩短为几天,因为“远水解不了近渴”。部队的油料供应很大程度上依托民用炼油厂和相连的储运系统。因此更为严重的是,如果油气管网瘫痪,部队的柴油、航空煤油、船用燃料油也将在很短时间内耗尽,这将严重影响我军战力,甚至危及国防安全。
生产安全事故造成全国性油气管网瘫痪的可能性较小,而安全防范方面出现严重问题就极有可能引起全国性管网瘫痪。当前国际能源安全形势不明朗,我国石油天然气对外依存度逐年升高,油气管网安全关系国家安全,而生产安全技术、安防技术是保障管网安全的利器尤为重要。
问:管道安全领域涉及哪些技术?目前的应用情况怎样?
竹西君:生产安全技术方面,涉及油气管道完整性技术、抢维修技术、油气储运系统消防技术、无人巡线技术等,以及很多和石油天然气工业其它领域通用的安全技术。安全防范技术又可以分为两大类,一类是与治安风险相关的安全防护,一类是与工控系统相关的安全等级保护。
与治安风险相关的安全防护包括,人防、物防、技防,三方面,技防方面有:X射线检测、入侵报警,以及指静脉识别、瞳孔识别、人脸识别等生物识别技术。与工控系统相关的安全等级保护技术包括:防火墙技术、服务器终端侦测技术、加密通信技术,以及与普通安防通用的防护设备和管理体系。
客观地讲,治安风险防控方面相关技术已经十分成熟,但是管道领域的应用还存在不少问题,甚至还存在死角。比如说,在管道的“油气调控中心”安全防范这一块儿,全国现有的大大小小十几个调控中心,半数安全防范达不到公安部《GA1166-2014石油天然气管道系统风险等级和安全防范要求》这个标准的要求,甚至部分“国家级油气调控中心”都不达标。
不是国家标准定高了,而是标准出台较晚 “木已成舟”,而且只是部颁标准,不是国家标准相关法规支持也不到位,推行力度就不大。之前三大石油公司也没有动力在“管网”这个非主营业务上下这么大的功夫整改。再之,整合前也没有真正全国成网,“油气调控中心”的重要性和现在也是不一样的。
与工控系统相关的安全等级保护技术方面,就更不乐观。大部分管道工控系统达不到国标《GB/T22239-2019信息安全技术网络安全等级保护基本要求》。部分工控系统等级保护建设甚至出现空白。据我了解全国有三百多家等级保护评测机构,国家电网集团公司内部有三家,而三大石油集团公司内部连一家等级保护评测机构都没有。
由于外部评测机构对管道工控系统不了解,很多系统被漏评、错评。例如,国家电网公司管理全国70%以上的电网,有数万个换流站、变电站、开闭所,其总部调度控制中心直接调控其中的几十个站场,工控系统是5万I/O点级别,属“一旦受到破坏会对社会秩序和公共利益造成特别严重危害,或者对国家安全造成严重危害的特别重要网络”。
国电总调中心因此等保评级为四级(次高级),但要求按照五级(最高级)建设,实时数据库进行了三层防火墙分区隔离。管网整合前,由中石油管理的全国最大油气调控中心直接控制全国60%左右的管道,直接远程控制的压气站、泵站、加热站、阀室数以千计,其工控系统是20万I/O点级别,其部分已参与等保评测的系统目前仅被评定为三级。
等保被漏评、错评,直接导致等保建设力度不够,技术研发和应用都不到位,这是管道工控系统信息安全技术领域的现状。管道安全防范技术存在短板,这其中管网控制系统网络安全问题可能最为棘手。
问:为什么说控制系统网络安全最为棘手?
竹西君:说控制系统网络安全最为棘手,是因为它既重要又紧急。
先谈重要性。2017年有媒体报道:俄罗斯黑客渗透核电站、染指美国能源设施控制系统、采用新型自动化恶意软件引发乌克兰断电……同年,朝鲜黑客入侵了美国能源设施。今年5月3日委内瑞拉当局宣布,他们成功打击了一个入侵的雇佣军团伙。有意思的是,雇佣兵入侵委内瑞拉数小时后委内瑞拉国家电网干线遭到黑客攻击,造成全国大面积停电。而这对委内瑞拉也不是第一次。2019年3月7日委内瑞拉电网遭受电磁攻击,波及了委内瑞拉全国23个州中的18个州。
美国关键基础设施安全公司Dragos追踪了全球数百个黑客组织,他们发现其中约有50个黑客组织具备对有ICS(工控系统的英文简称)的企业下手的能力。其中,有6到7个黑客组织已经触及了对工控系统物理基础设施的实际控制。而其中至少有两个,是已知实际触发过真实物理破坏的:方程式黑客小组,据称是用震网恶意软件摧毁了伊朗核浓缩离心机的NSA黑客团队;还有沙虫黑客组织,乌克兰两次大停电的背后黑手。
油气管道暨城市燃气管网和其它能源基础设施一样,其国家层面的工控系统,国际上一般认为属“一旦受到破坏后会对国家安全造成特别严重危害的极其重要网络”其重要性可见一斑。按照我国相关标准,国家管网公司整合后如果集中调控,即便按照等保四级来要求,恐怕都是不够的,应当按照最高级五级进行等保定级。
再说有多“紧急”。《GB/T22239信息安全技术网络安全等级保护基本要求》、《GB/T28448信息安全技术网络安全等级保护测评要求》均为2019年5月修订,要求2019年12月实施。《GB/T22240信息安全技术网络安全等级保护定级指南》2020年4月修订,要求2020年11月实施。以上三标准修订,重要变化是增加了“工业控制系统安全扩展要求”。另外,公安部组织起草了《网络安全等级保护条例》目前正在征求意见,预计今年颁布实施。其中明确要求“重点保护涉及国家安全、国计民生、社会公共利益的网络的基础设施安全、运行安全和数据安全”,明确要求“主动防御”。标准和条例密集出台,无疑是我国针对国际网络安全斗争形式做出的快速反应。
而在管道领域落实国家相关要求确实有难度,显得非常棘手。可以说在这方面我们面临着前所未有的巨大挑战。
一是,基础薄弱。
二是,恰逢整合。
三是,学无师承。
油气管道和城市燃气工控系统网络安全领域不方便照搬国际经验,国内在工控网络安全技术应用方面,国家电网在走在了最前面。不过之前提到国家电网总调控中心调控几十个站场,而国家管网调控中心则要调控数以千计的站场,两者体量上相差两个数量级。另外在技术结构上也有很大区别。管道是以弱电信号控制机械设备,再由设备推动油气流动,技术环节多且涉及大量易燃易爆的油气。电网则是以弱电载波控制强电开闭和换流,技术环节相对要少,不涉及易燃易爆物质。两者“体量”和“性质”上差异都很大。完全照搬电网的经验恐怕也不够用,国家油气管网集团公司只能自己摸索一条因地制宜的路。
问:国际上黑客一般是怎么攻击管网工控系统的?
答:这个话题比较敏感,不宜公开细节。我只能大体介绍一下,黑客针对工控系统通常的三个攻击步骤。
第一步:网络入侵
首先他们侵入的是企业电子邮件账户、浏览器和Web服务器。这些渗透通常始于鱼叉式网络钓鱼邮件,或“水坑”攻击——通过劫持用户经常访问的网站来感染目标用户。暂时不会产生可导致物理破坏的途径。该阶段黑客通常为未来攻击做“侦察”。
第二步:运行访问
不断刺探能源公司IT系统的黑客,应加以关注。刺探运行技术(OT)系统的黑客,则是严重得多的问题。当黑客渗透了OT,或者获取了所谓的运营访问权限,他们就从办公系统摸到了更为专业和定制的工控系统——迈向操纵物理基础设施的重要一步。
比如说,赛门铁克揭示,被其命名为DragonFly 2.0的黑客小组,就获取到了“一小撮”美国能源公司的运行访问权限(DragonFly 2.0很可能是2017年侵入美国核设施的那组俄罗斯黑客)。这伙入侵者甚至走到了截屏控制系统人机交互界面(HMI)的地步,这样他们就能控制工控系统,从而发起全面攻击。
网络钓鱼尝试是权限阶梯中的一步,而研究HMI,就是在梯子上爬了好几阶了。理论上,OT系统与IT系统是物理隔离的,二者之间没有网络连接。但ICS安全公司Claroty共同创始人嘉里娜·安托娃称,除运营系统与外部网络严格断开的核电厂外,该物理隔离往往不是那么牢不可破。她说,Claroty分析过的所有ICS设置,都能找到“明显”的途径进入其OT系统。“对网络做个拓扑图示,从IT到OT的路线清晰可见。进入方法总有那么几个备选。”而且由于电磁渗透的存在,即使OT系统与IT系统是物理隔离的,也不能排除OT系统被直接渗透的风险。
第三步:协同攻击
即便入侵者对电网控制系统有了“手握开关”的权限,对该权限的有效利用,也比看起来难得多。事实上,翻转该开关前的所有动作,都仅仅是预备阶段,只代表了电网黑客工作的20%。其实际过程也可能需要真正的专业技术才能操纵,还要加上几个月的更多努力和资源——不仅仅是断开几个断路器造成停电。李说,即便黑客掌握了这些控制系统,“我也能很确信地说,他们仍未到达切断电源的那一步。他们可以断开一些断路器,但他们对此动作的效果一无所知。他们不知道自己可能会被安全系统阻止。”
比如说,全球首起黑客所致大断电的2015年末乌克兰停电事件中,入侵者远程访问配电站控制系统,手动断开了该国3个不同设施中的数十个断路器——大多数情况中是真的劫持了配电站操作员的鼠标控制。响应该起攻击的分析师认为,这应该需要几个月的策划,还须有数十人的团队协同作战。即便如此,其导致的断电也就持续了6个小时,影响到约25万乌克兰人。
黑客基本上不得不在断电的规模和持续时间上做出选择。如果想要对整个美国东部电网下手,需要的资源会指数级倍增。如果还想让这么大规模的电网断电一星期,那就是指数级的指数级了,实话说较难实现。
某电网黑客似乎在策划更大规模更具破坏力的行动。第二次乌克兰停电攻击使用了一款名为Crash Override/Industroyer的恶意软件,能够自动化电网设备扰乱指令发送过程,且能自适应不同国家的设置,可跨多个目标广泛部署。
该超级先进的电网黑客恶意软件令人十分不安。但这种软件也相当罕见。一款这种黑天鹅式的恶意软件,与几十起比鱼叉式网络钓鱼也高明不到哪儿去的电网渗透事件之间,还是存在巨大的差距的。无论大小深浅,电网入侵当然不是件好事。但最好认识到带妆彩排和真正大事件之间的差别——尤其是在将来会有更多此类事件出现的情况下。
问:对解决控制系统网络安全问题您有什么建议?
答:针对如何更好地解决油气管网暨城市燃气管网的软件控制系统的网络安全问题,我有两个建议。
第一个,建议安防和等保一体化。即,安防和等保设施设备整体规划、同步建设、同步使用。对比公安部《GA1166-2014石油天然气管道系统风险等级和安全防范要求》和《GB/T22239-2019信息安全技术网络安全等级保护基本要求》这两个标准,我们可以发现有重叠、有互补。在管道工控系统领域,因涉及大量上位机、下位机、执行机构和通讯设施,系统的实体已不局限于机房,而这些信息设备大多随机、泵、炉等设备部署在野外站场,这就对站场安防和信息系统等保的同步性、兼容性提出了新的要求。只有统筹考虑才能避免重复浪费,保证好钢用在刀刃上,才能事半功倍达到最佳的保护效果。其实一些安全服务机构已经开始了安防和等保一体化的尝试。例如,公安部第一研究所旗下的中盾公司就初步具备了这样的能力。这也将是工控系统安全防护的一个发展趋势。
第二个,建议“软”“硬”兼施。即,采取“防渗透”人员加“防渗透”设备的复合模式。也就是将安防中的“人防”进行拓展,结合《GB/T22239-2019信息安全技术网络安全等级保护基本要求》“6. 1.6 安全管理机构”和“6.1.7 安全管理人员”相关要求,在硬件防护基础上,持续进行“人力防护”,使“红客”常态化。所谓渗透与反渗透、黑客与反黑客的斗争,就是一场“魔高一尺、道高一丈”的动态较量。硬件是死的、人是活的,如果没有常备的“红客”队伍“黑客”就容易占上风。
一般情况下,当媒体公开报道称黑客入侵了某个工业企业的系统时,绝大多数情况下这些入侵者并未渗透至核心系统的上位机、下位机和实时数据库,也不能实际控制工控系统。不能操作或干扰比如执行机构、继电器等设备。
下一篇:安装地暖需要注意哪些问题