网络勒索,扼住了谁的脖子



美国成品油管线遭勒索事件,敲响了油气管道网络安全的警钟。


截至 2020年底,中国油气管道总里程达到 16.5万公里,其中长输天然气管道里程全球排名第四,城市天然气管网总里程 76.79万公里,管道运输承担了 80%以上的油气运输任务。国家管网公司成立后,“十四五”期间我国将进入油气管网设施第三次快速发展阶段,预计到 2025年达到 24万公里。


在网络勒索成为全球不可避免的问题后,这 24万公里的管网是安全的吗?


“不好回答。”这是多个专家的一致答案。在他们眼中,管道网络安全“没有最安全,只有更安全”。


没有绝对的安全


美国是全球网络安全的领跑者,在网络各个方面拥有着绝对的优势以及丰富的经验。但是,此次攻击事件也凸显了美国关键基础设施的脆弱性,暴露出其疏于防范的惰性心理。“网络安全管理是一个长期的动态的过程。工业控制系统及工业互联网安全建设是一个需要足够耐心和仔细的长期工作,不得松懈。”邹佳信说,“没有发生网络勒索事件,并不代表着我们的管网就是完全安全的。”只要网络存在,与黑客的斗争就没有止境。


IT与 OT的融合发展,在给管输运营带来方便的同时带来了危险。不同于上游勘探开发或者下游销售的智能化发展,在北京安帝科技有限公司董事长周磊看来,“管道行业具有其固有的特殊性”,比如地理跨度大、采集数据点数众多、监控油气工艺复杂、操作人员杂多、上位机操作系统老旧、与众多 ICS信息化系统融合、使用多种通信协议和多个厂家的 PLC/RTU和仪器设备等软硬件,加之近年来以“云大物移智”为代表的新兴信息技术运用,行业存量的网络风险与增量风险交织,“这使得管道的网络安全形势空前复杂严峻”。


“管道安全”不再是传统意义上的物理性安全,不泄漏、没有腐蚀等。它有了更广泛的含义。“但是,目前仍有很多企业在管道安全方面存在知易行难的情况,虽然有一定的认识,但并没有把认识提高到一个非常重要的层面。”业内一位专家说,“很多企业对管道安全的认识还停留在我配备了信息技术安全员,每天对系统定期杀毒就可以了。”


其实,并不然。黑客在不断利用漏洞时,手法越来越新奇。所以,我们的任务就是随时关注最新工具和技巧,采取相应的措施自我保护。“但这方面我们做的还不够。”这位专家说。


“对于工业网络风险的认知,人们还停留在传统以信息为中心的网络风险层面。这一点应当得到重视和改变。美国油气管道公司 Colonial遭遇勒索攻击事件很好的说明了这一点。”周磊说。工业组织和关键基础设施运营商,必须管理具有重大潜在影响的风险。在讨论如何管理网络风险之前,明确工业网络风险至关重要。“这个定义需要从运营、业务影响、法律、财务和安全的角度来理解网络风险——


没有任何利益相关方能够单独定义和管理网络风险。” 周磊说。


从应用情况看,邹佳信表示 :“我们的治安风险防控技术已经成熟,但在管道领域的应用存在不少问题。”


“上下对不上”


据管道行业资深专家刘冰介绍,广义的管道安全涉及两大类 :一类是生产安全,一类是安全防范。


在生产安全技术方面,管道安全主要涉及管道完整性技术、抢维修技术、油气储运系统消防技术、无人巡线技术等,以及很多和石油天然气工业其他领域通用的安全技术。


安全防范技术又可以分为两大类,一类是与治安风险相关的安全防护,一类是与工控系统相关的安全等级保护。与治安风险相关的安全防护,包括人防、物防、技防三方面。技防方面有 :X射线检测、入侵报警,以及指静脉识别、瞳孔识别、人脸识别等生物识别技术。与工控系统相关的安全等级保护技术,包括防火墙技术、服务器终端侦测技术、加密通信技术,以及与普通安防通用的防护设备和管理体系。


“生产安全事故造成全国性的油气管网瘫痪的可能性较小,而安全防范方面出现严重问题就极有可能引起全国性的管网瘫痪。”工控网络安全专家姜勇说,“如果出现全国性油气管网瘫痪,大部分城市的成品油供应将在几天内中断。”


虽然我国的石油储备量已相当于 40天的消耗量,有人认为成品油几天内中断是危言耸听,其实不然。40天储备指的是原油,且集中储备在舟山、大连、兰州、天津等 9地的国家储备基地,不是每个城市都有。另外,原油需要管道输送至炼厂炼制为成品油,成品油需要管道输送至各大城市。管网瘫痪将大大缩短这个“容灾时间”,40天就很有可能被缩短为几天。因为“远水解不了近渴”。


管道网络安全问题带来的影响,绝不是危言耸听。“目前,我国对于信息技术安全标准的制定已经比较完善,但在贯彻执行方面还有点欠缺。”刘冰介绍说。目前涉及网络安全技术问题的标准主要有以下几项 :《GB/T22239信息安全技术网络安全等级保护基本要求》、《GB/T28448信息安全技术网络安全等级保护测评要求》均为 2019年 5月修订,要求 2019年 12月实施。《GB/T22240信息安全技术网络安全等级保护定级指南》于 2020年 4月修订,要求 2020年 11月实施。以上三标准修订的重要变化,是增加了“工业控制系统安全扩展要求”。


公安部组织起草的《网络安全等级保护条例》仍在征求意见中。《条件》要求,“重点保护涉及国家安全、国计民生、社会公共利益的网络的基础设施安全、运行安全和数据安全”,并明确“主动防御”。


但在企业层面,国家石油天然气管网集团有限公司目前在集团层面尚未形成有关网络安全等企业标准。其下属处级单位中有两家在今年分别制定出了《油气管道 SCADA系统网络安全等级保护定级指南》的待审阅版以及《工控系统网络安全设备测试方案》,但距离最终的出台与执行仍需要不短的时间。国家标准以及相关部委出台标准,需要在企业层面逐级宣贯、执行、完善。在企业层面也需要形成自上而下的统一的标准,但目前状态是“上下对不上”。


工控安防系统待加固


除了标准贯彻的“上下对不上”外,在刘冰看来,国家管网成立后,应予控制系统网络安全更多重视。因为“这是首要和紧迫的任务”。


随着信息化、自动化、数字化在油气管道和城市燃气行业中的加速发展应用,我国油气管道和城市燃气行业普遍采用了高度自动化的生产技术装备和高度信息化的运营管理手段,极大提升了调度生产的运行效率。在此过程中,涉及很多新技术、新业务、新模式,生产数据、技术参数、传输信号等,数据资源共享越来越深入,工控系统越来越开放。


现阶段工业控制系统已广泛应用于国内重大基础设施中,在我国油气管道行业中,主要工业控制系统包括集散控制系统(DCS)、数据采集与监视控制系统(SCADA)和可编程控制器(PLC)等,在油气管道行业中发挥着巨大作用。


作为主要的控制系统,油气管道工控网络安全已被纳入《中华人民共和国网络安全法》的管制内容,是否存在网络安全风险及网络安全是否需要整改有完整评定流程,即网络安全等保等级评定。根据网络安全等保等级评定的系统服务对象如发生网络安全事故,按有可能对公民、法人、其他组织、社会及公共利益、国家安全造成的损害程度划分为五个等级。


“大多数工控系统在开发时,由于传统工控系统技术的计算资源有限,在设计时只考虑到效率和实时等特性,并未将安全作为一个主要的指标考虑。”


邹佳信说,“针对国家网络安全等级评定要求,现阶段油气管道工控网络安全风险存在较多的风险漏洞,主要包括安全管理制度、网络安全技术及网络安全环境三个方面。”


“在网络安全技术方面,与工控系统相关的安全等级保护技术方面更不乐观。”刘冰说。大部分管道工控系统达不到国标《GB/T22239-2019信息安全技术网络安全等级保护基本要求》,部分工控系统等级保护建设甚至出现空白。“在管道领域等保测评服务力量方面就很弱。据我了解,全国有三百多家等级保护评测机构,国家电网集团公司内部有三家,而三大石油集团公司内部连一家都没有。”刘冰说。


由于外部评测机构对管道工控系统不了解,很多系统被漏评、错评。以国家电网公司为例。国家管网管理着全国 70%以上的电网,有数万个换流站、变电站、开闭所,其总部调度控制中心直接调控其中的几十个站场,工控系统是5万I/O点级别,属“一旦受到破坏会对社会秩序和公共利益造成特别严重危害,或者对国家安全造成严重危害的特别重要网络”。国电总调中心因此等保评级为四级(次高级),但要求按照五级(最高级)建设,实时数据库进行了三层防火墙分区隔离。管网整合前,一个国家级油气调控中心就可直接控制全国半数左右的管道,直接远程控制的压气站、泵站、加热站、阀室成百上千,其工控系统是 20万I/O点级别。据了解,我国各油气调控中心已参与等保评测的系统目前最高仅被评定为三级。


“除了工控系统等级保护不乐观外,工控系统还存在着国产化程度不高、国内许多企业未部署相关网络安全防护设备的现象。比如安全审计系统、入侵防范系统、工业防火墙等。同时,存在部分企业对部署的网络安全防护设备未正常使用或未定期维护管理,或部分企业搭建的非专业的工控网络安全管理平台,导致网络安全设备配置不合理,无法起到正常的防护作用等信息安全的风险和漏洞。”邹佳信说,“这些都需要引起我们的高度重视。”


专业网络安全人才缺乏


工业控制系统存在的网络安全风险和问题,从侧面反映了我国企业里专业网络安全人才的缺乏。“只有拥有适当的人力,才能有效地支撑网络安全实践。”周磊说。2020年 9月份的网络安全周公布的数字显示,我国网络安全人才需求预计 140万人,但每年网络安全学历人才培养的数量不足 1.5万人。网络安全产业的人才缺口十分巨大。具体到某些行业,这种缺口更加明显。在石油石化这种关键信息基础设施行业,既懂得 IT安全又懂得 OT安全的人才则更少。


长庆油田采气四厂信息中心副主任高杰,对此深有体会。高杰说 :“技术欠缺现在成为我们网络安全建设的难点之一,由于企业内部专业技术人员较少,自主维护解决部分网络安全风险难度较大,效率低并且风险高。”针对“人才欠缺”,高杰他们加强了信息安全人员的各项培训技术防范,确保信息系统安全平稳运行。


在数字化转型特别是引入虚拟现实、大数据与分析、雾和边缘计算、先进的诚信管理、企业资产绩效管理(EAPM)、云计算、工业物联网(IIoT)等新技术应用时,对安全人才的缺口或缺位更加明显。有专门对国外油气行业的调查显示,对具备ICS网络安全技能人才的聘用是第一位的需求。


“在某些企业内部,存在着网络安全员由其他部门兼任的情况。从业人员无相关的基础知识储备,不能及时发现网络安全风险,且未建立完善的网络安全管理制度。近两年,国内由于网络安全引起的生产事故几乎和管理有着密不可分的关系。”姜勇说。


在他看来,这种被动源于企业对安全的“投入”不够。“对网络安全从业人员的安全培养和引进不足,没有形成专业化的团队。”姜勇说。对此,为多个关键信息基础设施行业提供网络安全解决方案和服务的北京安帝科技有限公司董事长周磊深有体会:“在接触到的一些企业中,因为网络安全投入不能直接立竿见影地出效益,甚至有些企业投入了一定资金后发现还会出现问题,就会有这样一种想法 :我这个投入是不是划算,投入了还不是一样会遭到攻击吗。”在这种想法驱使下,就不用提如何从管理、培训等方面进行投入网络安全人才的培养了。