■ 河南 劉國華

編者按：長輸天然氣管道調控中心作為整體管線的神經中樞，對管線、輸氣場站、閥室進行集中控制。隨著兩化融合的不斷深入，各種信息化系統(tǒng)陸續(xù)上線，亟待進行信息安全的提升，確保長輸天然氣管道調控中心的信息安全。

隨著長輸天然氣管道的快速發(fā)展，近年來信息化建設不斷深入，各類自動化、信息化系統(tǒng)陸續(xù)上線運行，主要包括生產管理系統(tǒng)、辦公網絡系統(tǒng)、視頻監(jiān)控系統(tǒng)、數(shù)字化管道系統(tǒng)、視頻會議系統(tǒng)等。公司的生產、溝通、應用、財務、決策、會議等都依賴于網絡與信息化平臺，構建一個“安全可靠、性能卓越、管理全面”的網絡信息化體系已經成為天然氣管道信息化發(fā)展的基石。

通信網絡系統(tǒng)現(xiàn)狀

天然氣管道調控中心至各個站場通信網絡系統(tǒng)根據(jù)實現(xiàn)方式可分為管道光纜光通信、運營商MSTP專線及VPN三部分構成，而天然氣管道通信網絡系統(tǒng)主要承載著天然氣管道自控業(yè)務、辦公網業(yè)務、工業(yè)電視監(jiān)控系統(tǒng)、視頻會議系統(tǒng)、軟交換調度電話和應急廣播等業(yè)務。

存在的問題

1.網絡問題

（1）天然氣管道當前運行多種業(yè)務均混合傳輸，全部接入到一臺核心交換機內，現(xiàn)行的業(yè)務容易造成網絡環(huán)路數(shù)據(jù)傳輸不穩(wěn)定，且沒有在調控中心和場站進行業(yè)務隔離區(qū)分。

（2）全線場站辦公網絡沒有納入至濟南調控中心統(tǒng)一管理，沒有防火墻對場站網絡進行安全防護，無法對各個場站進行帶寬、應用行為管理控制。

（3）目前天然氣管道防火墻多為傳統(tǒng)防火墻，只是簡單實現(xiàn)了將內部地址轉換公網地址及內部用戶互聯(lián)網訪問的功能，缺乏合理的保護策略，易遭受來自互聯(lián)網的攻擊?，F(xiàn)有的防火墻只能在三層數(shù)據(jù)流進行識別，無法進行七層業(yè)務管控。

2.終端安全防護問題

（1）公司沒有對自控系統(tǒng)工控主機統(tǒng)一部署防病毒軟件系統(tǒng)，桌面計算機的病毒防護能力相對較低，無法全局掌握所有設備的網絡完全狀態(tài)，無法控制自控系統(tǒng)終端第三方介質的管理。

（2）不具備安全策略控制能力，為了保證防毒系統(tǒng)平穩(wěn)、順利地運行，就必須對網絡節(jié)點補丁的部署、防毒系統(tǒng)的安裝、防毒系統(tǒng)的更新、是否加入域等節(jié)點狀態(tài)進行必要的監(jiān)控和控制，在網關層次上拒絕掉不符合安全策略要求的節(jié)點的對外訪問。

3.日志審計存在問題

天然氣管道缺少對內部網絡、外接網絡和各種應用系統(tǒng)的日志審計管控的技術措施。操作系統(tǒng)、硬件、應用程序等故障或配置錯誤導致系統(tǒng)異常運行，服務中斷。這些異常行為只會在系統(tǒng)及各類日志中有所反映，沒有統(tǒng)一的日志審計手段，無法及時查詢相關信息。

4.數(shù)據(jù)保護及備份存在問題

現(xiàn)有的應用及數(shù)據(jù)都存在本地機房，如果機房出現(xiàn)長時間斷電或遇自然災害時將無法進行生產管理或提供應用服務，因此需要對整個機房的信息系統(tǒng)實施基于持續(xù)數(shù)據(jù)保護和備份的多維度數(shù)據(jù)保護。

圖1 安全部署節(jié)點示意圖

主要技術關鍵點

“天然氣管道調控中心信息安全技術與應用”總體分為四個方面：

一是在不影響現(xiàn)有現(xiàn)場數(shù)據(jù)實時傳輸至調控中心的前提下，對全線網絡設備進行數(shù)據(jù)配置，實現(xiàn)設備可控、性能可視化管理、業(yè)務隔離、網絡冗余的功能。

二是工控防火墻、下一代防火墻在生產網和信息網、生產網絡內部的應用，配合工業(yè)級防病毒系統(tǒng)，提高工控網絡安全性能。

三是利用日志審計系統(tǒng)、上網行為管理、無線控制器對終端設備實現(xiàn)全方位不間斷的監(jiān)控，構建完備的智能化信息運維模式。

四是利用災備數(shù)據(jù)備份技術，為調控中心在異地建立關鍵數(shù)據(jù)備份中心。

1.建立自控系統(tǒng)專用內部網絡，實現(xiàn)設備網管，業(yè)務隔離、服務保障

基于管道公司SCADA自控數(shù)據(jù)作為生產運行的生命線，其業(yè)務等級最高，為了保障其獨立，在調控中心和場站之間建立基于SDH以太網LAN業(yè)務的專用網絡，每個場站至中心獨享1個VC-12時隙。調控中心SCADA系統(tǒng)的路由器、交換機、服務器、工程師工作站與站控系統(tǒng)統(tǒng)一在內部局域網中。對于其他綜合業(yè)務，按照業(yè)務類型，標準化配置各個站場交換機，同時對核心交換機和各場站上聯(lián)口設備ACL訪問控制列表，防范非法地址的進入。

2.實現(xiàn)生產與辦公、自控與數(shù)據(jù)中心、中心與站場的安全可控

在生產網絡與辦公網絡之間部署了防火墻，安全防護策略依照源地址、目的地址、應用協(xié)議、端口號等，并且開啟七層防護功能。

在自控系統(tǒng)與上一級調控中心網絡部署了工控防火墻，在自控系統(tǒng)中心服務器集群與站場互聯(lián)端口部署一臺防火墻，在自控系統(tǒng)與數(shù)據(jù)中心OPC服務器部署一臺防火墻。通過以上部署，在各個關鍵節(jié)點均增設了安全管理設備，實時監(jiān)控傳輸數(shù)據(jù)的安全性。如圖1所示。

在自控系統(tǒng)內部，中心和場站之間利用七層防火墻的多維度應用識別，只針對自控系統(tǒng)內部的IP地址開放ICMP、MODBUS等協(xié)議，將經過防火墻的數(shù)據(jù)限制在特別范圍內，實行白名單制度。

與此同時在整個系統(tǒng)網絡中，增加終端管理防病毒系統(tǒng)，在調控中心部署集中管理平臺，由平臺統(tǒng)一進行病毒庫的更新，下發(fā)統(tǒng)一殺毒、修復漏洞等策略，確保終端安全。系統(tǒng)還具有遠程用戶的準入，終端設備介質管理功能，避免非法用戶和不安全的移動介質對站控系統(tǒng)設備帶來木馬病毒等。

終端設備客戶端集成了惡意行為監(jiān)控、實時掃描、可疑連接服務、Web信譽丟失等功能。

3.關鍵業(yè)務數(shù)據(jù)的異地保護

基于數(shù)據(jù)保護系統(tǒng)配置了兩臺數(shù)據(jù)保護設備。在調控中心網絡環(huán)境中，服務器及數(shù)據(jù)保護設備均接入LAN網絡中。數(shù)據(jù)保護系統(tǒng)保護生產系統(tǒng)的服務器，保護數(shù)據(jù)通過網絡方式存儲于數(shù)據(jù)保護設備自身的磁盤中，同時通過專線，將本地設備中的數(shù)據(jù)遠程復制到異地災備中心中，構建完整的災備保護系統(tǒng)。從圖2可以看出數(shù)據(jù)安全保障體系架構。

圖2 異地災備系統(tǒng)部署結構圖

圖3 日志審計系統(tǒng)總體部署架構圖

（1）在不改變原有系統(tǒng)結構的前提下，將分別接入調控中心和異地災備中心的LAN網絡中，激活持續(xù)數(shù)據(jù)保護功能主模塊、備份功能主模塊，遠程災備模塊。

（2）在需要數(shù)據(jù)保護的服務器中，安裝數(shù)據(jù)保護模塊，通過數(shù)據(jù)保護模塊實現(xiàn)數(shù)據(jù)保護功能。

（3）在內部創(chuàng)建與被保護服務器相同環(huán)境的虛擬主機，實現(xiàn)應用接管。

（4）保護的數(shù)據(jù)存儲于磁盤陣列中。

4.優(yōu)化辦公網絡，部署上網行為管理、日志審計系統(tǒng)

將現(xiàn)有的傳統(tǒng)防火墻更換為NGFW下一代七層防火墻，加固內網安全防護等級。在防火墻與接入交換機加裝一臺三層匯聚交換機，將三層網關設置在該交換機上，三層交換機與防火墻通過靜態(tài)路由互通，從而減輕防火墻的壓力，在出口防火墻串接上網行為管理設備，實時管控辦公期間的人員的上網行為。日志審計系統(tǒng)收集網絡內部關鍵信息系統(tǒng)、網絡設備的日志信息，實現(xiàn)全生命周期日志管理，為網絡與系統(tǒng)提供安全的運維工具，同時遵照等級保護和內控審計要求?？傮w安全部署示意圖如圖3所示。

結語

通過以上信息安全技術的實施與應用，將改變天然氣管道自建設以來，網絡無法管理，所有業(yè)務數(shù)據(jù)未進行隔離，在一個廣播域進行數(shù)據(jù)交互，相互之間的網絡中斷、地址沖突、病毒蔓延的現(xiàn)狀，同時在基礎數(shù)據(jù)平臺規(guī)范化的基礎上，探索研究了工控防火墻在生產網絡中的應用，探索了策略安全防護等級、標準和配置模式，在保障生產自控網絡內部指令正常傳達的前提下，為生產辦公信息網絡之間傳遞安全的數(shù)據(jù)，為長輸天然氣管道調控中心網絡安全建設與防護提供了參考技術措施。