長輸天然氣管道調控中心信息安全技術與應用

■ 河南 劉國華

編者按：長輸天然氣管道調控中心作為整體管線的神經中樞，對管線、輸氣場站、閥室進行集中控制。隨著兩化融合的不斷深入，各種信息化系統陸續上線，亟待進行信息安全的提升，確保長輸天然氣管道調控中心的信息安全。

隨著長輸天然氣管道的快速發展，近年來信息化建設不斷深入，各類自動化、信息化系統陸續上線運行，主要包括生產管理系統、辦公網絡系統、視頻監控系統、數字化管道系統、視頻會議系統等。公司的生產、溝通、應用、財務、決策、會議等都依賴于網絡與信息化平臺，構建一個“安全可靠、性能卓越、管理全面”的網絡信息化體系已經成為天然氣管道信息化發展的基石。

通信網絡系統現狀

天然氣管道調控中心至各個站場通信網絡系統根據實現方式可分為管道光纜光通信、運營商MSTP專線及VPN三部分構成，而天然氣管道通信網絡系統主要承載著天然氣管道自控業務、辦公網業務、工業電視監控系統、視頻會議系統、軟交換調度電話和應急廣播等業務。

存在的問題

1.網絡問題

（1）天然氣管道當前運行多種業務均混合傳輸，全部接入到一臺核心交換機內，現行的業務容易造成網絡環路數據傳輸不穩定，且沒有在調控中心和場站進行業務隔離區分。

（2）全線場站辦公網絡沒有納入至濟南調控中心統一管理，沒有防火墻對場站網絡進行安全防護，無法對各個場站進行帶寬、應用行為管理控制。

（3）目前天然氣管道防火墻多為傳統防火墻，只是簡單實現了將內部地址轉換公網地址及內部用戶互聯網訪問的功能，缺乏合理的保護策略，易遭受來自互聯網的攻擊。現有的防火墻只能在三層數據流進行識別，無法進行七層業務管控。

2.終端安全防護問題

（1）公司沒有對自控系統工控主機統一部署防病毒軟件系統，桌面計算機的病毒防護能力相對較低，無法全局掌握所有設備的網絡完全狀態，無法控制自控系統終端第三方介質的管理。

（2）不具備安全策略控制能力，為了保證防毒系統平穩、順利地運行，就必須對網絡節點補丁的部署、防毒系統的安裝、防毒系統的更新、是否加入域等節點狀態進行必要的監控和控制，在網關層次上拒絕掉不符合安全策略要求的節點的對外訪問。

3.日志審計存在問題

天然氣管道缺少對內部網絡、外接網絡和各種應用系統的日志審計管控的技術措施。操作系統、硬件、應用程序等故障或配置錯誤導致系統異常運行，服務中斷。這些異常行為只會在系統及各類日志中有所反映，沒有統一的日志審計手段，無法及時查詢相關信息。

4.數據保護及備份存在問題

現有的應用及數據都存在本地機房，如果機房出現長時間斷電或遇自然災害時將無法進行生產管理或提供應用服務，因此需要對整個機房的信息系統實施基于持續數據保護和備份的多維度數據保護。

圖1 安全部署節點示意圖

主要技術關鍵點

“天然氣管道調控中心信息安全技術與應用”總體分為四個方面：

一是在不影響現有現場數據實時傳輸至調控中心的前提下，對全線網絡設備進行數據配置，實現設備可控、性能可視化管理、業務隔離、網絡冗余的功能。

二是工控防火墻、下一代防火墻在生產網和信息網、生產網絡內部的應用，配合工業級防病毒系統，提高工控網絡安全性能。

三是利用日志審計系統、上網行為管理、無線控制器對終端設備實現全方位不間斷的監控，構建完備的智能化信息運維模式。

四是利用災備數據備份技術，為調控中心在異地建立關鍵數據備份中心。

1.建立自控系統專用內部網絡，實現設備網管，業務隔離、服務保障

基于管道公司SCADA自控數據作為生產運行的生命線，其業務等級最高，為了保障其獨立，在調控中心和場站之間建立基于SDH以太網LAN業務的專用網絡，每個場站至中心獨享1個VC-12時隙。調控中心SCADA系統的路由器、交換機、服務器、工程師工作站與站控系統統一在內部局域網中。對于其他綜合業務，按照業務類型，標準化配置各個站場交換機，同時對核心交換機和各場站上聯口設備ACL訪問控制列表，防范非法地址的進入。

2.實現生產與辦公、自控與數據中心、中心與站場的安全可控

在生產網絡與辦公網絡之間部署了防火墻，安全防護策略依照源地址、目的地址、應用協議、端口號等，并且開啟七層防護功能。

在自控系統與上一級調控中心網絡部署了工控防火墻，在自控系統中心服務器集群與站場互聯端口部署一臺防火墻，在自控系統與數據中心OPC服務器部署一臺防火墻。通過以上部署，在各個關鍵節點均增設了安全管理設備，實時監控傳輸數據的安全性。如圖1所示。

在自控系統內部，中心和場站之間利用七層防火墻的多維度應用識別，只針對自控系統內部的IP地址開放ICMP、MODBUS等協議，將經過防火墻的數據限制在特別范圍內，實行白名單制度。

與此同時在整個系統網絡中，增加終端管理防病毒系統，在調控中心部署集中管理平臺，由平臺統一進行病毒庫的更新，下發統一殺毒、修復漏洞等策略，確保終端安全。系統還具有遠程用戶的準入，終端設備介質管理功能，避免非法用戶和不安全的移動介質對站控系統設備帶來木馬病毒等。

終端設備客戶端集成了惡意行為監控、實時掃描、可疑連接服務、Web信譽丟失等功能。

3.關鍵業務數據的異地保護

基于數據保護系統配置了兩臺數據保護設備。在調控中心網絡環境中，服務器及數據保護設備均接入LAN網絡中。數據保護系統保護生產系統的服務器，保護數據通過網絡方式存儲于數據保護設備自身的磁盤中，同時通過專線，將本地設備中的數據遠程復制到異地災備中心中，構建完整的災備保護系統。從圖2可以看出數據安全保障體系架構。

圖2 異地災備系統部署結構圖

圖3 日志審計系統總體部署架構圖

（1）在不改變原有系統結構的前提下，將分別接入調控中心和異地災備中心的LAN網絡中，激活持續數據保護功能主模塊、備份功能主模塊，遠程災備模塊。

（2）在需要數據保護的服務器中，安裝數據保護模塊，通過數據保護模塊實現數據保護功能。

（3）在內部創建與被保護服務器相同環境的虛擬主機，實現應用接管。

（4）保護的數據存儲于磁盤陣列中。

4.優化辦公網絡，部署上網行為管理、日志審計系統

將現有的傳統防火墻更換為NGFW下一代七層防火墻，加固內網安全防護等級。在防火墻與接入交換機加裝一臺三層匯聚交換機，將三層網關設置在該交換機上，三層交換機與防火墻通過靜態路由互通，從而減輕防火墻的壓力，在出口防火墻串接上網行為管理設備，實時管控辦公期間的人員的上網行為。日志審計系統收集網絡內部關鍵信息系統、網絡設備的日志信息，實現全生命周期日志管理，為網絡與系統提供安全的運維工具，同時遵照等級保護和內控審計要求。總體安全部署示意圖如圖3所示。

結語

通過以上信息安全技術的實施與應用，將改變天然氣管道自建設以來，網絡無法管理，所有業務數據未進行隔離，在一個廣播域進行數據交互，相互之間的網絡中斷、地址沖突、病毒蔓延的現狀，同時在基礎數據平臺規范化的基礎上，探索研究了工控防火墻在生產網絡中的應用，探索了策略安全防護等級、標準和配置模式，在保障生產自控網絡內部指令正常傳達的前提下，為生產辦公信息網絡之間傳遞安全的數據，為長輸天然氣管道調控中心網絡安全建設與防護提供了參考技術措施。