編者按:國家管網公司管道行業資深專家竹西君,對2020年9月30日國家管網整合后亟待解決的技術問題進行了梳理。他認為安全問題尤為重要,其中“油氣管網(含城市燃氣管網)自動化控制系統”的網絡安全最為棘手,如何依法合規采取科學應對和技術防范?
作者:國家管網公司管道行業資深專家 竹西君
正文:
問:2020年9月30日國家油氣管網集團公司完成管網整合,整合之后從技術上來看,那個領域的問題亟待解決?什么問題最為棘手?對油氣管網資產整合、統一管理、集中調控后,遇到的網絡安全技術問題如何看待?
竹西君認為:需要看到的是,我國油氣管道行業(含城市天然氣管網——城市燃氣)不僅在數字孿生技術、預測評價技術、邏輯控制技術等核心領域國產化程度低,而且在管道安全領域更有問題亟待解決。
國家根據全天然氣產業發展形勢,經過長期醞釀擇機成立國家管網公司,進行科學的資源整合,同時賦予了這個行業更重要的社會責任和政治責任。這是行業重大變革,給油氣管道產業、我們這些“管道人”提供了千載難逢、大顯身手的好機會。然而,機遇通常與挑戰并存,這同時確實也讓我們面臨著前所未有的巨大挑戰。
之前我梳理了與提高油氣管網資源配置效率緊密相關的九項技術。它們包括:數字孿生體、預測、效能后評價、邏輯控制、執行機構、變頻、燃氣輪機控制、數據采集、工控網安全。
其實,面對這個挑戰,在技術層面上的確還有一些問題亟待解決。例如,如何利用技術手段科學有效地組織即將開展的“有史以來最大規模管道建設”?如何利用技術手段實現管網的安全、平穩、高效?這就涉及到上次九項技術之外的另一些技術。比如說,與設計相關的工業級“虛擬現實輔助設計技術”,它可以幫助設計師在三維地理信息“虛擬沙盤”上更合理地規劃管道路由,更科學地進行油氣戰略儲備布局。
另如“管道自動焊接技術”,這些都有利于提高管道設計施工速度和質量。另外還有管道內檢測器“慣性導航”技術、高壓管道帶壓“補強”技術、腐蝕速率監測技術、陰極保護監測技術、多目標值最優化求解方法、動態規劃算法等,這些都可用來支持管網的安全、平穩、高效。以上這些技術尚存在較大發展空間,亟待解決
我覺得在現階段比較迫切的還是安全領域的技術應用。這個領域的技術可能不如我之前提到的那些高大上,但卻的的確確很重要!因為我國的油氣管道系統一旦受到類似美國管道遭受“系統性”破壞,很可能會對國家能源安全造成特別嚴重的危害。
問:為什么說在現階段,管道安全領域的技術尤為重要?
竹西君:廣義的管道安全涉及兩大類:一類是生產安全,一類是安全防范。我國油氣管網超過16.5萬公里(比全國的鐵路線還長),承擔了90%以上的油氣運輸任務。無論出現了哪一類安全事件,都有可能引發事故,造成油氣運輸癱瘓。如果油氣管網受到“系統性”破壞,很可能會對國家安全造成特別嚴重的危害。
如果出現全國性油氣管網和城市燃氣癱瘓,大部分城市的成品油供應將在幾天內中斷。也許有人認為我國的石油儲備量已相當于40天的消耗量,成品油幾天內中斷危言聳聽,其實不然。首先,40天儲備指的是原油,且集中儲備在舟山、大連、蘭州、天津等9地的國家儲備基地,不是每個省、每個城市都有。其次,原油需要管道輸送至煉廠煉制為成品油,成品油需要管道輸送至各大城市。
管網癱瘓將大大縮短這個“容災時間”,40天就很有可能被縮短為幾天,因為“遠水解不了近渴”。部隊的油料供應很大程度上依托民用煉油廠和相連的儲運系統。因此更為嚴重的是,如果油氣管網癱瘓,部隊的柴油、航空煤油、船用燃料油也將在很短時間內耗盡,這將嚴重影響我軍戰力,甚至危及國防安全。
生產安全事故造成全國性油氣管網癱瘓的可能性較小,而安全防范方面出現嚴重問題就極有可能引起全國性管網癱瘓。當前國際能源安全形勢不明朗,我國石油天然氣對外依存度逐年升高,油氣管網安全關系國家安全,而生產安全技術、安防技術是保障管網安全的利器尤為重要。
問:管道安全領域涉及哪些技術?目前的應用情況怎樣?
竹西君:生產安全技術方面,涉及油氣管道完整性技術、搶維修技術、油氣儲運系統消防技術、無人巡線技術等,以及很多和石油天然氣工業其它領域通用的安全技術。安全防范技術又可以分為兩大類,一類是與治安風險相關的安全防護,一類是與工控系統相關的安全等級保護。
與治安風險相關的安全防護包括,人防、物防、技防,三方面,技防方面有:X射線檢測、入侵報警,以及指靜脈識別、瞳孔識別、人臉識別等生物識別技術。與工控系統相關的安全等級保護技術包括:防火墻技術、服務器終端偵測技術、加密通信技術,以及與普通安防通用的防護設備和管理體系。
客觀地講,治安風險防控方面相關技術已經十分成熟,但是管道領域的應用還存在不少問題,甚至還存在死角。比如說,在管道的“油氣調控中心”安全防范這一塊兒,全國現有的大大小小十幾個調控中心,半數安全防范達不到公安部《GA1166-2014石油天然氣管道系統風險等級和安全防范要求》這個標準的要求,甚至部分“國家級油氣調控中心”都不達標。
不是國家標準定高了,而是標準出臺較晚 “木已成舟”,而且只是部頒標準,不是國家標準相關法規支持也不到位,推行力度就不大。之前三大石油公司也沒有動力在“管網”這個非主營業務上下這么大的功夫整改。再之,整合前也沒有真正全國成網,“油氣調控中心”的重要性和現在也是不一樣的。
與工控系統相關的安全等級保護技術方面,就更不樂觀。大部分管道工控系統達不到國標《GB/T22239-2019信息安全技術網絡安全等級保護基本要求》。部分工控系統等級保護建設甚至出現空白。據我了解全國有三百多家等級保護評測機構,國家電網集團公司內部有三家,而三大石油集團公司內部連一家等級保護評測機構都沒有。
由于外部評測機構對管道工控系統不了解,很多系統被漏評、錯評。例如,國家電網公司管理全國70%以上的電網,有數萬個換流站、變電站、開閉所,其總部調度控制中心直接調控其中的幾十個站場,工控系統是5萬I/O點級別,屬“一旦受到破壞會對社會秩序和公共利益造成特別嚴重危害,或者對國家安全造成嚴重危害的特別重要網絡”。
國電總調中心因此等保評級為四級(次高級),但要求按照五級(最高級)建設,實時數據庫進行了三層防火墻分區隔離。管網整合前,由中石油管理的全國最大油氣調控中心直接控制全國60%左右的管道,直接遠程控制的壓氣站、泵站、加熱站、閥室數以千計,其工控系統是20萬I/O點級別,其部分已參與等保評測的系統目前僅被評定為三級。
等保被漏評、錯評,直接導致等保建設力度不夠,技術研發和應用都不到位,這是管道工控系統信息安全技術領域的現狀。管道安全防范技術存在短板,這其中管網控制系統網絡安全問題可能最為棘手。
問:為什么說控制系統網絡安全最為棘手?
竹西君:說控制系統網絡安全最為棘手,是因為它既重要又緊急。
先談重要性。2017年有媒體報道:俄羅斯黑客滲透核電站、染指美國能源設施控制系統、采用新型自動化惡意軟件引發烏克蘭斷電……同年,朝鮮黑客入侵了美國能源設施。今年5月3日委內瑞拉當局宣布,他們成功打擊了一個入侵的雇傭軍團伙。有意思的是,雇傭兵入侵委內瑞拉數小時后委內瑞拉國家電網干線遭到黑客攻擊,造成全國大面積停電。而這對委內瑞拉也不是第一次。2019年3月7日委內瑞拉電網遭受電磁攻擊,波及了委內瑞拉全國23個州中的18個州。
美國關鍵基礎設施安全公司Dragos追蹤了全球數百個黑客組織,他們發現其中約有50個黑客組織具備對有ICS(工控系統的英文簡稱)的企業下手的能力。其中,有6到7個黑客組織已經觸及了對工控系統物理基礎設施的實際控制。而其中至少有兩個,是已知實際觸發過真實物理破壞的:方程式黑客小組,據稱是用震網惡意軟件摧毀了伊朗核濃縮離心機的NSA黑客團隊;還有沙蟲黑客組織,烏克蘭兩次大停電的背后黑手。
油氣管道暨城市燃氣管網和其它能源基礎設施一樣,其國家層面的工控系統,國際上一般認為屬“一旦受到破壞后會對國家安全造成特別嚴重危害的極其重要網絡”其重要性可見一斑。按照我國相關標準,國家管網公司整合后如果集中調控,即便按照等保四級來要求,恐怕都是不夠的,應當按照最高級五級進行等保定級。
再說有多“緊急”。《GB/T22239信息安全技術網絡安全等級保護基本要求》、《GB/T28448信息安全技術網絡安全等級保護測評要求》均為2019年5月修訂,要求2019年12月實施。《GB/T22240信息安全技術網絡安全等級保護定級指南》2020年4月修訂,要求2020年11月實施。以上三標準修訂,重要變化是增加了“工業控制系統安全擴展要求”。另外,公安部組織起草了《網絡安全等級保護條例》目前正在征求意見,預計今年頒布實施。其中明確要求“重點保護涉及國家安全、國計民生、社會公共利益的網絡的基礎設施安全、運行安全和數據安全”,明確要求“主動防御”。標準和條例密集出臺,無疑是我國針對國際網絡安全斗爭形式做出的快速反應。
而在管道領域落實國家相關要求確實有難度,顯得非常棘手。可以說在這方面我們面臨著前所未有的巨大挑戰。
一是,基礎薄弱。
二是,恰逢整合。
三是,學無師承。
油氣管道和城市燃氣工控系統網絡安全領域不方便照搬國際經驗,國內在工控網絡安全技術應用方面,國家電網在走在了最前面。不過之前提到國家電網總調控中心調控幾十個站場,而國家管網調控中心則要調控數以千計的站場,兩者體量上相差兩個數量級。另外在技術結構上也有很大區別。管道是以弱電信號控制機械設備,再由設備推動油氣流動,技術環節多且涉及大量易燃易爆的油氣。電網則是以弱電載波控制強電開閉和換流,技術環節相對要少,不涉及易燃易爆物質。兩者“體量”和“性質”上差異都很大。完全照搬電網的經驗恐怕也不夠用,國家油氣管網集團公司只能自己摸索一條因地制宜的路。
問:國際上黑客一般是怎么攻擊管網工控系統的?
答:這個話題比較敏感,不宜公開細節。我只能大體介紹一下,黑客針對工控系統通常的三個攻擊步驟。
第一步:網絡入侵
首先他們侵入的是企業電子郵件賬戶、瀏覽器和Web服務器。這些滲透通常始于魚叉式網絡釣魚郵件,或“水坑”攻擊——通過劫持用戶經常訪問的網站來感染目標用戶。暫時不會產生可導致物理破壞的途徑。該階段黑客通常為未來攻擊做“偵察”。
第二步:運行訪問
不斷刺探能源公司IT系統的黑客,應加以關注。刺探運行技術(OT)系統的黑客,則是嚴重得多的問題。當黑客滲透了OT,或者獲取了所謂的運營訪問權限,他們就從辦公系統摸到了更為專業和定制的工控系統——邁向操縱物理基礎設施的重要一步。
比如說,賽門鐵克揭示,被其命名為DragonFly 2.0的黑客小組,就獲取到了“一小撮”美國能源公司的運行訪問權限(DragonFly 2.0很可能是2017年侵入美國核設施的那組俄羅斯黑客)。這伙入侵者甚至走到了截屏控制系統人機交互界面(HMI)的地步,這樣他們就能控制工控系統,從而發起全面攻擊。
網絡釣魚嘗試是權限階梯中的一步,而研究HMI,就是在梯子上爬了好幾階了。理論上,OT系統與IT系統是物理隔離的,二者之間沒有網絡連接。但ICS安全公司Claroty共同創始人嘉里娜·安托娃稱,除運營系統與外部網絡嚴格斷開的核電廠外,該物理隔離往往不是那么牢不可破。她說,Claroty分析過的所有ICS設置,都能找到“明顯”的途徑進入其OT系統。“對網絡做個拓撲圖示,從IT到OT的路線清晰可見。進入方法總有那么幾個備選。”而且由于電磁滲透的存在,即使OT系統與IT系統是物理隔離的,也不能排除OT系統被直接滲透的風險。
第三步:協同攻擊
即便入侵者對電網控制系統有了“手握開關”的權限,對該權限的有效利用,也比看起來難得多。事實上,翻轉該開關前的所有動作,都僅僅是預備階段,只代表了電網黑客工作的20%。其實際過程也可能需要真正的專業技術才能操縱,還要加上幾個月的更多努力和資源——不僅僅是斷開幾個斷路器造成停電。李說,即便黑客掌握了這些控制系統,“我也能很確信地說,他們仍未到達切斷電源的那一步。他們可以斷開一些斷路器,但他們對此動作的效果一無所知。他們不知道自己可能會被安全系統阻止。”
比如說,全球首起黑客所致大斷電的2015年末烏克蘭停電事件中,入侵者遠程訪問配電站控制系統,手動斷開了該國3個不同設施中的數十個斷路器——大多數情況中是真的劫持了配電站操作員的鼠標控制。響應該起攻擊的分析師認為,這應該需要幾個月的策劃,還須有數十人的團隊協同作戰。即便如此,其導致的斷電也就持續了6個小時,影響到約25萬烏克蘭人。
黑客基本上不得不在斷電的規模和持續時間上做出選擇。如果想要對整個美國東部電網下手,需要的資源會指數級倍增。如果還想讓這么大規模的電網斷電一星期,那就是指數級的指數級了,實話說較難實現。
某電網黑客似乎在策劃更大規模更具破壞力的行動。第二次烏克蘭停電攻擊使用了一款名為Crash Override/Industroyer的惡意軟件,能夠自動化電網設備擾亂指令發送過程,且能自適應不同國家的設置,可跨多個目標廣泛部署。
該超級先進的電網黑客惡意軟件令人十分不安。但這種軟件也相當罕見。一款這種黑天鵝式的惡意軟件,與幾十起比魚叉式網絡釣魚也高明不到哪兒去的電網滲透事件之間,還是存在巨大的差距的。無論大小深淺,電網入侵當然不是件好事。但最好認識到帶妝彩排和真正大事件之間的差別——尤其是在將來會有更多此類事件出現的情況下。
問:對解決控制系統網絡安全問題您有什么建議?
答:針對如何更好地解決油氣管網暨城市燃氣管網的軟件控制系統的網絡安全問題,我有兩個建議。
第一個,建議安防和等保一體化。即,安防和等保設施設備整體規劃、同步建設、同步使用。對比公安部《GA1166-2014石油天然氣管道系統風險等級和安全防范要求》和《GB/T22239-2019信息安全技術網絡安全等級保護基本要求》這兩個標準,我們可以發現有重疊、有互補。在管道工控系統領域,因涉及大量上位機、下位機、執行機構和通訊設施,系統的實體已不局限于機房,而這些信息設備大多隨機、泵、爐等設備部署在野外站場,這就對站場安防和信息系統等保的同步性、兼容性提出了新的要求。只有統籌考慮才能避免重復浪費,保證好鋼用在刀刃上,才能事半功倍達到最佳的保護效果。其實一些安全服務機構已經開始了安防和等保一體化的嘗試。例如,公安部第一研究所旗下的中盾公司就初步具備了這樣的能力。這也將是工控系統安全防護的一個發展趨勢。
第二個,建議“軟”“硬”兼施。即,采取“防滲透”人員加“防滲透”設備的復合模式。也就是將安防中的“人防”進行拓展,結合《GB/T22239-2019信息安全技術網絡安全等級保護基本要求》“6. 1.6 安全管理機構”和“6.1.7 安全管理人員”相關要求,在硬件防護基礎上,持續進行“人力防護”,使“紅客”常態化。所謂滲透與反滲透、黑客與反黑客的斗爭,就是一場“魔高一尺、道高一丈”的動態較量。硬件是死的、人是活的,如果沒有常備的“紅客”隊伍“黑客”就容易占上風。
一般情況下,當媒體公開報道稱黑客入侵了某個工業企業的系統時,絕大多數情況下這些入侵者并未滲透至核心系統的上位機、下位機和實時數據庫,也不能實際控制工控系統。不能操作或干擾比如執行機構、繼電器等設備。
下一篇:安裝地暖需要注意哪些問題