引言

油气管网是我国实施“一带一路”、能源革命等国家战略的重要基础设施，是油气上下游衔接协调发展的关键环节，是我国现代能源体系和现代综合交通运输体系的重要组成部分。油气管道对整个能源供应链至关重要，从将原油和其他产品输送到炼油厂和工厂，到向最终用户和客户提供最终产品，油气管网在能源供给中占据着重要的战略地位。因此，油气管网的网络安全是能源安全战略的重要内容，也是国家安全的重要组成部分。近日，美国最大的天然气和柴油运输管道公司Colonial因遭受勒索软件攻击而暂时停止运营，造成东南部油价小幅波动，国内舆论哗然，十几个州宣布紧急状态，执法机构和关键基础设施网络安全主管部门甚至总统密切关注并紧急表态。这一网络安全重大事件对关键基础设施的安全保障再次敲响了警钟——勒索之患、网安之危、关基告急！

一、管道系统主要特点

近年来，我国油气消费迅速增长，管网建设蓬勃发展。陆续建成了西气东输、陕京管道系统、川气东送、甬沪宁、兰郑长等一批长距离、大输量主干管道，2016年油气主干管道总里程达到11万公里。西二线、西三线建成投产标志着我国管道总体技术水平达到了国际先进水平。管道系统包括泵站、存储设施、供应和交付站、保管、传输计量和大量的互连管道。这些系统跨越了位置分散的广大地域，包括泵站和阀门站的局部控制和部分自主控制，并配有监控和数据采集(SCADA)系统，提供整个管道网络的远程监控和控制。除了内部操作外，管道还与产品供应商的控制系统相连，以实施初始和最终的产品转移活动。工厂分布式控制系统(DCS)与管道泵站和阀门站交互，以启用或禁用产品流量，并共享有关产品流量、温度、压力和产品质量测量的过程变量信息。主要表现出如下特点：

- 上位机操作系统老旧- 运营资产使用寿命长- 采集数据点数量众多- 监控油气工艺复杂- 地理位置区域跨度大- 操作人员成分复杂- 与众多信息化系统快速融合- 通信协议复杂- 网络结构复杂异构- PLC/RTU、仪器设备等软硬件设备型号多样- 24/7/365连续运行时间（禁止关机）- 云计算、大数据、IIOT、AI等新兴技术创新应用快

比如通信协议有IEC-104、DNP3、MODBUS、CIP、ControlNet、DeviceNet等多种。网络结构方面，国内的油气管网实行三级控制，控制中心（中控）、站场控制（站控）和就地控制，油气管网调控系统也由中控系统、站控系统和通信系统三部分组成。如中控系统是监控各油气管道输送、调度、生产运行和管理的中枢，主要由SCADA服务器、客户端工作站组成。中控系统SCADA 服务器通过MODBUS-TCP、CIP 等通信协议采集站控SCADA 系统所提供的油气管道数据。

二、管道系统的网络安全风险

数字化推动了可用于监视或控制的大量新设备的互相连接，这导致网络威胁的攻击面正在急剧增加。此外，与专门设计的控制系统硬件相比，许多这种新设备都是COTS，例如手机和平板电脑、服务器、摄像机和可穿戴技术。这些设备对于启用新用例是必不可少的，但必须仔细考虑并采取适当的架构实施--除了需要传统的操作技术（例如远程终端单元（RTU）和可编程逻辑控制器（PLC））外，还必须它们部署的安全级别与操作系统的安全级保持一致。例如，具有IoT功能的摄像机似乎可以轻松、经济高效地满足物理安全需求，但实际上可通过网络对其进行攻击或将其用作僵尸网络中的恶意设备。

非运营业务部门、远程工作人员以及外部服务或供应商支持公司要求对运营数据和系统进行安全的远程访问，以提供支持和优化服务。同样，这些需求增加了潜在的入口点，增加了可能危害操作安全性的攻击表面。

威胁可能来自内部或外部，并且可能是偶然的或恶意的。现实情况是，对网络信息、资源和工具的便捷访问有所增加，使得攻击者更容易了解旧协议和传统协议，而其目的是获取ICS的访问权。

简单梳理，主要的风险有：

- 协议开放性的风险

- 软件硬件、设备脆弱性的风险

- 数据明文传输的风险

- 网络结构脆弱性的风险

- 非法接入（含移动设备、物联网设备）的风险

- 人员管控的风险

- 新兴技术应用带来的风险

威胁可以是由恶意软件、网络钓鱼攻击、人为错误或其他工业网络威胁引起的内部或外部攻击，它还可能与诸如地震、火灾、水或违反建筑物安全之类的环境威胁有关。这些脆弱性可以在控制系统本身、网络基础结构、通信和现场设备系统以及协调系统交互和管理的过程、流程中存在。

这些安全风险背后的根源，除了一些共性的比如安全意识、基础安全能力、经费投入、安全文化等问题之外，突出的问题表现为3个方面：

<1>网络安全专业人才缺乏的困境

在内部或外部拥有适当的人力才能有效地支撑网络安全实践，但在数字化转型，特别是引入虚拟现实、大数据与分析、雾和边缘计算、先进的诚信管理、企业资产绩效管理（EAPM）、云计算、工业物联网（IIoT）等新技术应用时，对安全人才的缺口或缺位更加明显。有专门对国外油气行业的调查显示，对具备ICS网络安全技能人才的聘用是第一位需求。

<2>工业网络风险的认知偏差

传统以信息为中心的网络风险概念，在当前IT-OT融合形势下已不再适用。这一点应当得到重视和改变。工业组织和关键基础设施运营商必须管理具有重大潜在影响的风险。在讨论如何管理网络风险前，定义什么是网络风险至关重要。这个定义需要从运营、业务影响、法律、财务和安全的角度来理解网络风险——没有任何利益相关方能够单独定义和管理网络风险。

认识到工业组织的复杂性，需要将IT和OT网络风险与灾难恢复的具体概念结合起来。网络风险的定义必须与工业组织内的其他形式业务风险相一致，例如法律、财务和可靠性风险。因此，用于运营能力的数字技术和通信网络的故障或错误操作可能造成的生命损失、人身伤害、资产损坏、经济损失和其他损害，这才是工业网络风险应有之义。

<3>新技术新概念的片面追捧

尽管新技术带来了新的好处，但挑战在于它们还带来了潜在的新安全攻击面，并使管道运营面临新的风险。对此必须要有清醒的认识。这意味着新技术带来的新风险、新威胁要与技术应用一并规划一并应对。存量风险与新增风险叠加，对此一定要有清醒的认识。比如OT与IT融合发展，网络安全也在OT和IT侧形成融合之势，两侧的风险各不相同，这不仅需要技术上的融合，更需要流程、文化、人员上的融合。

三、管道系统网络安全最佳实践

随着OT数字化转型，对于大多数ICS资产所有者和运营商来说，从IT到OT的互联互通更为普遍。而传统的预防控制在连通性的作用下逐渐退化，再加整体上对资产缺乏可见性和监控，使得管道系统的网络安全态势从识别、保护、监测、响应、恢复各个流程都出现了不同程度的降级或弱化，导致无法发现早期基于IT的入侵迹象，ICS资产所有者和运营商也不能有效应对安全事件。

安帝科技基于多年工业网络安全的实践和探索，结合本次美国油气管道公司的勒索攻击事件，给油气管网相关方提出如下网络安全实践建议。

<1>检视并强化现有隔离、控制、监测措施

审视现有的可能随着时间推移而萎缩的隔离和预防控制;实现ICS网络监测和可见性将允许对预防控制进行一致验证，并使其更加可靠。整合内部OT网络的网络监控，为这些交叉IT/OT连接提供持续的可见性。入口/出口监控很重要，但由于ICS的本质，实现“东西向”流量分析至关重要。

<2>详细梳理可能被利用的共享、协议等设施

明确标识出那些可能让攻击组织将勒索软件部署到OT端和IT端共享系统或基础设施。这包括IT/OT之间共享的活动目录或可能不安全的协议，如SMB、FTP、RDP、VNC，可以直接访问IT/OT。

<3>强化落实管道系统的远程访问安全

对于SCADA系统，远程操作非常普遍。然而，从企业系统或互联网远程访问SCADA工作站和服务器是一个明显不同的问题。简单地用防火墙隔离SCADA并不是正确的做法。从不受信任的网络到关键OT网络的远程访问需要强制访问控制，以确保可用性需求和远程人员需求不会为攻击对手提供一个完全开放的路径。ICS远程访问的信任问题非常重要，建议实施以下最佳实践：

• u 工程和OT团队应仔细审核可通过远程访问的系统清单；

• u 确定有远程访问需求的人员、设备，包括可监视的IP地址、通信类型和进程。默认情况下，所有其他选项都应禁用。使用Shodan等工具检查验证IT和OT系统的外部暴露情况；

• u 用户发起的访问应需要从Internet到DMZ的多因素身份验证，DMZ区部署有特定于ICS通信的专用跳转主机（堡垒机）。这个系统应利用它自己的身份和访问管理系统；

• u 在经过身份验证之后，用户发起的远程访问应从DMZ遵循到OT系统的可信路径，在那里用户将再次进行身份验证，这一次使用本地身份和访问管理解决方案；

• u 所有远程访问通信应集中记录和监控。远程访问系统上部署各种监测检测技术，例如寻找暴力尝试或已知漏洞的特定利用。

<4>强化OT关键业务系统数据的审计

审核依赖于OT通信的关键业务系统应用程序数据流并记录它们。这可能包括历史数据库、SAP或其他企业资源计划(ERP)系统。确保它们被充分理解、实施风险评估，并包含在业务连续性和灾难恢复计划中。

<5>备份关键数据并定期检测其可用性

确保跨关键OT系统执行备份，如数据历史数据库、SCADA服务器及其数据库。这还包括PLC/RTU项目文件，或可能没有传统的备份系统。定期测试备份，并确保在线系统被勒索软件加密的情况下存在离线副本。

<6>加强演习演练确保应急计划确实可行

如果内部资源没有经过培训或随时可用，聘用具有OT/ICS事件响应经验的公司。确保事件响应(IR)计划当前可行，并进行桌面演练(TTX)，演练包括IT和OT人员在内的这些计划。