前沿 | 网络安全在油气储运行业的发展与思考

admin
admin
admin
101411
文章
87
评论
2022年10月18日23:20:18评论47 views字数 3528阅读11分45秒阅读模式
前沿 | 网络安全在油气储运行业的发展与思考
前沿 | 网络安全在油气储运行业的发展与思考

扫码订阅《中国信息安全》杂志

邮发代号 2-786

征订热线:010-82341063


文│国家管网集团北方管道有限责任公司 陈熙 李平阳 袁启 钱风 张悦健
网络安全是一项系统工程,正如木桶效应一样,要想保障整体安全,必须在各个环节保障安全受控,因此就要求从管理上不断提升,从技术上不断优化,形成完善的网络安全运行管理体系。油气储运企业作为国家能源的大动脉,更应该努力实现网络安全的常态化运行、体系化建设和实战化演练,同时瞄准目标逐步把动态防御、主动防御、纵深防御、精准防护、整体防控和联防联控的安全机制部署在网络安全管理实践基础上,不断优化完善“三化六防”的网络安全运行体系,保障油气储运工控以及办公网络安全、平稳运行。


一、典型网络安全事件及思考

(一)科洛尼尔输油管道网络安全事件简述
科洛尼尔输油管道公司是美国最大的成品油管道公司,2021 年黑客组织针对科洛尼尔管道公司的定向勒索软件攻击,导致管道运行受到影响,不得不关闭管道控制系统,致使科洛尼尔干线管道停输 6 天,造成美国燃油供应持续紧张。
(二)事件思考
近年来,勒索病毒逐渐从“广撒网”转向定点攻击,表现出更强的针对性,攻击目标主要是大型高价值机构。同时,网络攻击的技术手段也在不断升级,利用漏洞入侵过程以及内网横向移动过程呈现出的自动化、集成化、模块化、组织化等特点愈发明显。
随着我国《网络安全法》《数据安全法》《关键信息基础设施安全保护条例》等法规条例的颁布和施行,网络安全顶层设计逐渐成型。作为国家重要的关键基础设施和公用设施,我国油气储运管道行业承载着石油、成品油、天然气的运输任务,具有易燃易爆炸的特点,其一旦遭受网络攻击,将直接影响社会正常运转及国家安全。


二、油气储运行业网络安全方面普遍存在的问题

(一)信息资产梳理困难

《2018 国家暴露指数报告》显示,全球端口暴露最严重的十个国家中,美国暴露的情况最严重,其次为中国。油气储运行业信息资产一般十分庞大,目前信息资产收集主要依赖于人工手动统计,误差较大,无法做到实时更新资产信息。并且部分信息系统负责人对系统不熟悉,填报时也有错填、漏填等情况,这将导致不能对账外资产进行专项防护,可能会造成被黑客恶意攻击利用的情况。
(二)老旧资产防护困难
在油气储运行业中,老旧信息资产仍然占据着一大部分。老旧资产防护较为困难,部分信息系统运行年限较长,仅适配低版本操作系统,无法为操作系统升级或打补丁予以加固。此外,老旧信息资产代码框架也使用的是旧版本,防护较难,是网络安全防护的一个薄弱点。
(三)数字转型新型风险
随着信息化技术的飞速发展,油气管道建设与储运的关键技术及管理模式正在由自动化向数字化、智能化发展新阶段加速挺进。数字化转型将会给企业带来新型网络安全风险,随着油气储运行业数字化转型战略的实施,越来越多的物联网设备出现在油气储运企业的网络内,带来认证与访问控制和数据安全方面的安全风险。
(四)安全意识有待提升
在油气储运行业中,部分单位网络安全意识宣贯不到位,存在部分企业员工在处理问题时网络安全能力略有欠缺的情况,如不会下载系统补丁等情况;同时部分员工存在对网络安全不重视的情况,不能意识到网络安全工作对于安全生产的重要性,网络安全培训与安全意识的提高,任重道远。


三、网络安全提升举措与建议

(一)加快建立国家级网络安全工作推进与协调机制

未来,国家级的关键基础设施的网络攻防对抗将更加激烈,网络环境将更加复杂,建议将油气管网网络安全纳入国家战略部署,整体推进。油气储运企业应建立常态化运行机制,分析研判安全形势,制定政策法规,安排部署重大任务。面向油气管网建立国家级安全防护力量,制定标准规范,开展科研攻关,推动国产化应用。
(二)尽快完成网络安全顶层设计
油气储运企业普遍存在顶层设计不完善的情况,应总结现有网络体系架构的优势和不足,结合未来发展趋势,构建新一代自主可控的安全架构,集中力量解决突出矛盾,全方位、系统化推进网络安全建设工作。建立多行业、多机构、多部门间的联防联控工作机制,确保油气管道工控系统和信息系统在遭受网络攻击时能够多措并举,协同联动,最大限度保障能源供应,保障能源动脉的安全运行。
(三)科学构建网络安全管理体系
油气储运企业应带头贯彻落实国家网络安全工作部署,不折不扣落实“三化六防四新”要求,强化网络安全意识,加快推进常态化网络安全在保障油气储运行业运营能力方面的建设。油气储运企业应落实合规管理,进一步明确管理职责与界面,强化风险控制,构建常态化的网络安全运营机制,形成动态的、系统的、全员参与的、制度化的、以主动防御为主的网络安全管理方式。
(四)不断完善网络边界安全防护
网络边界尤其重要,要想网络平稳运行,首先要做好网络出口边界安全防护、工控网与办公网边界安全防护。对网络出口实施集中统一管理,实现关键节点网络全流量采集和行为分析,结合信息资产画像搭建网络安全威胁模型。应用极早期可疑流量分析、结构化特征匹配、全局化资产可视等技术手段,以全局视角对整网安全态势进行整体评价,感知网络资产脆弱性和外部威胁。
(五)加快推进国产化研发和替代工作
油气储运行业应加快开展管道工控系统软件研发工作,积极推进在役油气管道工控系统国产化替代,进一步强化国产化可编程逻辑控制器、远程终端单元、控制软件在新建工程项目的应用力度。依托科研及工程项目,推动国内相关厂商技术水平和安全防护能力稳步提升,努力实现工控系统全面自主可控。
(六)全力提升运行维护自主可控及综合保障能力
油气储运行业应研究组建内部运行维护队伍,实现关键核心业务自主受控。尽快组建或者依托实力雄厚的网络安全厂商组建一支技术过硬的蓝军队伍,集中开展网络安全技术技能培训,以点带面渗透宣贯,确保全员覆盖。在网络安全工作中实施主动防御,不断提升溯源反制和应急处置能力,建设与业务规模相适应,与数字油气管网、智慧油气管网相匹配的网络空间防护力量,锐意进取、勇于担当,全面助力油气储运行业成为世界一流能源基础设施运营商。
(七)积极建设灾备系统
对于油气储运行业,数据采集与监视控制系统、关键设备一键启停系统、智能视频监控等关键系统至关重要,任何一处发生中断都有可能发生安全生产事故,产生严重社会影响。因此,必须采取措施对重要的工控系统和信息系统实施远程异地备份,积极探索异地双活的系统架构,定期组织备份恢复演练工作,提高应对突发事件能力,保障工控系统与信息系统在极端条件下的及时高效恢复。
(八)切实抓好源头治理
梳理可编程逻辑控制器、远程终端单元等设备及配套软件安全防控技术要求,进一步修订完善自控及通信相关设计与技术标准,严格控制接入工控系统的设备联网功能,持续强化工控网络安全设计与技术要求。采取各种手段进行整网漏洞扫描与脆弱性分析,全面、及时审视网络安全问题,准确、客观评估安全风险等级,精确、有效处理网络安全隐患,尽可能将网络风险遏制在萌芽中,避免安全生产事故的发生。


四、网络安全技术展望

(一)构建特色情报中心

目前网络空间威胁正在向泛化和复杂化发展,各类网络攻击也更加具有持续性和隐蔽性。威胁情报这一技术可以大大加强网络安全主动防御能力,完善纵深防御体系。在将来,可以考虑致力于打造具有油气储运行业特色的威胁情报中心,结合油气储运行业的企业网络安全体系,收集日常业务运行数据,集成到大数据平台,形成威胁情报全生命周期闭环,有效应对攻击各种环节,为企业网络安全运维提供数据支撑,用数据赋能业务。
(二)打造智能态势感知
人工智能在网络防护、信息审查、智能安防以及舆情监测等方面拥有广阔的应用前景。人工智能算法可以发现超出正常模式的不正常网络行为,并以此识别可疑用户和个人,这将为油气储运行业网络安全赋能,为远程办公、协同办公等应用提供有效防护。在此过程中,人工智能技术需要结合威胁情报数据,综合安全日志对攻击事件信息进行大数据挖掘分析,洞悉网络安全态势,应对新型复杂的威胁及未知多变的风险。
(三)搭建安全攻防平台
仅仅依靠安全软件和硬件并不足以抵御目前最先进的攻击,网络安全人才队伍的培养才是真正保证企业网络安全的根本途径。攻防训练平台将整合油气储运行业各企业、各机构员工对网络安全的需求,推出集学、练、赛为一体的攻防实训平台,提供完备的网络安全知识技能培养体系,定制实战场景,贴合油气储运行业现状,有针对性地对油气储运行业安全人员进行培训,满足油气储运行业安全人员仿真演练的需要在实战中提升网络安全人才素质和技术能力。
(本文刊登于《中国信息安全》杂志2022年第7期)





《中国信息安全》杂志 倾情推出

“企业成长计划”

点击下图 了解详情

前沿 | 网络安全在油气储运行业的发展与思考

原文始发于微信公众号(中国信息安全):前沿 | 网络安全在油气储运行业的发展与思考

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年10月18日23:20:18
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   前沿 | 网络安全在油气储运行业的发展与思考https://cn-sec.com/archives/1355617.html

发表评论

匿名网友 填写信息