【識港網訊】
在深圳经济特区迎来40岁生日之际,深圳市燃气集团(以下简称“深圳燃气”)再次迎来好消息!7月17日,深圳燃气牵头工信部网安中心等5家单位联合申报的工业企业网络安全综合防护平台项目,成功入围2020年工业互联网创新发展工程项目!作为国内燃气行业唯一一家此类项目成功入围单位,标志着深圳燃气自主研发的工控安全方案获得国家认可和支持。
工业互联网创新发展战略是以习近平同志为核心的党中央做出的重要部署,创新发展工程是深入实施工业互联网创新发展战略的关键举措之一。深圳燃气紧抓“双区驱动”的机遇,锐意创新、先行示范,成为国内第一家完整实施工业企业工控安全防护方案的燃气行业企业,将为国内燃气行业企业提供可复制可推广的工控安全防护经验。其自主研发的工控安全方案重点围绕工业设备安全、主机安全、数据安全等,通过建设工业企业综合防护平台,将构建多层级纵深防御体系,大幅提升国内整个燃气行业工业互联网安全水平。
工业互联网安全形势 普遍不容乐观
习近平总书记指出,要深入实施工业互联网创新发展战略,系统推进工业互联网基础设施和数据资源管理体系建设,发挥数据的基础资源作用和创新引擎作用,加快形成以创新为主要引领和支撑的数字经济。
根据《国务院关于深化“互联网+先进制造业”发展工业互联网的指导意见》,国家工信部2018年发布了《工业互联网发展行动计划(2018-2020 年)》,以全面支撑制造强国和网络强国建设为目标,着力建设先进网络基础设施,打造标识解析体系,发展工业互联网平台体系,同步提升安全保障能力;突破核心技术,促进行业应用,初步形成有力支撑先进制造业发展的工业互联网体系。
然而,随着“互联网+”、“智能制造”与工业生产进一步深度融合,工业控制系统作为工业领域“神经中枢”,呈现互联互通趋势,也成为黑客攻击和网络战的重要目标。
工业互联网广泛涉及到电力、水务、燃气、石油、智能制造、交通、电子与通信等众多重要行业或领域,其安全关乎国计民生、公共利益和国家安全。然而,据国家工业信息安全产业发展联盟统计数据显示,近年来全球工业信息安全漏洞呈现连年高发态势,广泛分布在能源、制造、商业设施、水务、市政等关键领域,工控系统安全事件时有发生,引起全球高度关注。比如2010年伊朗购买的几十台离心机的工控系统多次被震网病毒攻击而瘫痪,对其国家安全造成严重影响。乌克兰、委内瑞拉等国家电力系统遭到黑客攻击,造成境内大面积断电,全国性交通瘫痪,居民日常生活面临困难。2017年暴发并影响至今的“WannaCry”勒索病毒,感染了全球150个国家的30万台主机,雷诺、日产等汽车制造厂商被迫停产,多国能源、通信等重要行业遭受损失,我国众多工业企业也纷纷中招……
“工业互联网大多牵涉到国家安全等核心利益,攻击者发起网络攻击可以直接影响工业控制系统的正常运行,例如可以直接对某些联网工控设备发送指令导致设备关机或参数修改,造成生产事故,甚至影响生命财产安全和国家安全。”深圳燃气信息中心总经理张静认为,依照工业互联网的现有安全形势,工控安全防护亟为重要。
然而,很多工业领域的安全建设几乎为零,联网后的绝大部分工控系统是“零防护”裸露在互联网中,极易成为病毒的主要攻击目标。尤其是国内燃气行业大部分工控设备需要依赖国外发达国家,可能存在系统漏洞或者被植入后门的风险。
未雨绸缪搭建网络安全综合防护平台
数据显示,深圳燃气在全市拥有近7000公里管线及30多座天然气场站,形成了“多气源、一张网、互联互通、功能补充”的天然气输配系统,为深圳市230多万户用户供应天然气。为了确保该输配系统的安全供气和稳定供气,深圳燃气自1998年开始,着手建立调度指挥系统,积极推进智慧管网的建设工作,历时近22年,开发了包括GIS系统、SCADA系统、智能手机巡查系统、气量管理系统、管道完整性管理系统。
“燃气行业作为城市基础设施行业,网络安全形势严峻,我们应该防范于未然,提前做好准备。”张静表示,网络安全的核心是技术安全,应该将自主可控作为技术安全和网络安全的必要条件。在集团领导班子的高度重视下,深圳燃气专门成立了40多人的研发团队,经过两年的时间自主研发出自有知识产权的工控安全防护方案。
工信部从2018年起连续三年发布工业互联网创新发展工程项目,面向工业互联网行业建设、网络安全等方向提供财政资金支持。深圳燃气此次作为能源领域龙头企业牵头,联合工信部网络安全产业发展中心等组成联合体,成功申报2020年工业互联网创新发展工程项目,在燃气行业先行先试,率先搭建工业企业网络安全综合防护平台,汇聚工业企业流量、主机、设备等数据并进行综合分析,实现对工业信息资产、安全防护设备的统一管理;形成主机安全、设备安全、网络安全、数据安全的工业企业安全纵深防御解决方案,具备防恶意软件传播、防恶意控制指令、防边界渗透等安全防护能力。
研发自有知识产权的工控安全防护方案
在深圳燃气调度中心的智慧管网大屏上点开任意一根管线,其运行、供气等现状一目了然,该管线建设用材、焊接等信息也记录在案,整个管网和场站的运行工况都在调度中心实时监控之下。
然而,深圳市区就有两百多个燃气门站、调压站、计量站、阀室和中压压力测点,如果不法分子攻击了其中一个站点,该如何是好?
张静介绍,深圳燃气在实践过程中提出了“分区分域、边界防护、监测预警、终端管控”的十六字防护方针,从而建立工控安全纵深防御体系。
首先,深圳燃气将SCADA工控网络架构进行了优化调整,从物理层面划分了不同的“安全区域”,比如每个场站都是一个小的安全域,每个安全域门口都有一个安全网关“把守”,这样就可以有效减少在攻击发生时的“蔓延”。
与此同时,企业一方面在主备调度中心边界部署了工业安全网关,也就是“防火墙”,负责防护来自所有场站的安全攻击,它能够对工控协议进行DPI和访问控制,对网络攻击和病毒进行有效检测和阻断。另一方面,事先就在网络的必经之路等关键节点部署工控网络安全监测审计系统,通过对工控网络流量进行实时分析,能及时发现工控安全事件,并实现事前预测、事中告警、事后溯源的功能,及时将入侵者秒杀在初始阶段。而对于闯关的入侵者,事先部署在主机、服务器上的工控主机安全卫士将进行终端管控。
据介绍,成功研发及试点应用自有知识产权的SCADA系统安全防护方案,大幅提升了深圳燃气工控安全防护水平,同时申请5项专利及3项软件著作权,形成行业典型的工控系统防护方案和安全体系,为后续整体工控安全推广和产业化奠定了坚实的基础。研发成果获得权威第三方现场测试,相关安全产品功能完备、性能强劲、无安全漏洞,完全达到工控、等保等相关验收标准及认证。
目前深圳燃气自主研发的工控安全防护方案,主要由工控安全监测平台、工控网络审计系统、安全管理平台和态势三大部分组成,具备良好的可视化界面,能够实时监视各种网络攻击、病毒木马入侵等异常行为和挖掘系统存在潜在漏洞、威胁,实现工控系统的安全态势深度感知和主动安全防御。比如,主机安全卫士,只有可信的设备、可信的软件才能在主机上使用。“没有经过认可的U盘,是不可能在我们的机子上读取任何信息或者传播任何病毒的。”张静表示。
初步建成国内首家燃气行业工控安全实验室
令人欣喜的是,深圳燃气对标省市级重点实验室,高规格、高标准初步建成国内首家燃气行业工控安全实验室,目前已搭建工控安全应用技术研究的基础测试环境和研发支撑平台,完成了物理环境设计及虚拟仿真管理系统、典型城市门站、调压站、阀室、LNG储配站数字仿真和工艺,及其安全场景建设等。
“实验室建成后将成为国内第一家燃气行业工业互联网安全实验室和全数字化仿真安全实验室。我们利用配套建设的靶场系统和仿真系统,完成了罗芳调压站、盐田LNG气化站和求雨岭门站共三个典型燃气场站的3D虚拟仿真模型搭建,并以此构建了一套燃气行业最小化的工业控制仿真网络,实验室可以利用该虚拟网络模拟攻击场景,开展工控安全攻防演练的相关研究工作。”深圳燃气输配分公司系统管理部副经理杨昊介绍。
据介绍,靶场系统是通过靶机任务管理快速构建符合用户需求的靶场环境,为攻防演练提供基础靶场任务环境。仿真系统是基于3D建模技术,构建场站实体模型。通过实物设备搭建虚实结合的燃气业务场景,可进行现实生产环境下无法进行的网络攻防演练和仿真实验。当外部攻击时,两者相互配合,可实现靶场攻击,仿真场站设备联动效果。靶场内能够展示平台数据、流量、主机、攻击告警、日志浏览,而仿真系统则展示生产数据、阀门状态及仪器仪表信息等。
成功研发自有知识产权的安全控制设备
深圳燃气与工信部网安中心共同研发共有知识产权的,基于国产CPU和国密算法的新一代控制设备RTU(远程终端控制系统)和PLC(可编程逻辑控制器),从根本上提升燃气行业控制设备能力的自主性和安全性。其中,可编程逻辑控制器主要应用在天然气门站、电厂及LNG调峰站等大型站点,用于实现天然气数据采集、调流调压和阀门控制等功能。远程终端传输单元主要用于调压站、阀室以及中压测点等中小型站点,主要实现数据的转换和远端传输。
正是基于RTU和PLC,SCADA系统才能实现对燃气管线和场站的远程数据采集和控制,在整个输配系统上,任何一点出现紧急事件,通过SCADA系统可以在几秒钟内关闭气源阀门进行紧急控制。通过安装在输配系统管网及场站各设备设施上的近16373个数据监控点,SCADA系统实现了对输配系统管网压力、温度、流量等重要运行参数的24小时实时监控和对城市燃气输配系统的遥测、遥控和遥调。
研发基于国密算法的NB-IoT智能燃气表加密技术解决方案
加载有深燃国密技术解决方案的NB-IoT智能燃气表凝结着深圳燃气研发人员的智慧,NB-IoT(5G)技术具有低功耗、强连接、深覆盖、低成本等优点,非常适合应用在无线智能抄表领域,但是NB-IoT无线通信会带来一定的安全风险。
“这种具有加密功能的智能燃气表的特点在于,一是整体架构设计基于国密算法,二是采用自主可控安全接入网关,三是结合使用了加密芯片。综合起来能够有效防止黑客入侵系统,防止窃取或者篡改数据、任意关闭燃气阀门进行非法操控或者盗取老百姓个人信息等非法操作。应用了深燃国密技术解决方案的NB-IoT智能燃气表,相当于设置了加密防火墙,能够保障整个燃气供应系统安全。”深燃研究院科技成果部经理安成名介绍。
据他介绍,深圳燃气研发的燃气行业NB-IoT 智能表加密技术采用主流的PKI公钥体系,引入高效的端到端身份认证机制、密钥协商机制,为NB-IoT的数据传输提供了机密性、完整性、真实性的技术保障,实现“一次一密”,并覆盖终端、网络、主站等各层面的安全需求,全面解决NB-IoT智能燃气表通信中的安全问题。
据介绍,燃气物联网信息安全关键技术包括:网络通信安全、数据加密技术、身份鉴别技术、数字签名技术、态势感知技术。深圳燃气在行业内率先开展燃气物联网信息安全技术研究,在保障用户隐私数据和企业计量业务安全,实现企业技术创新发展的同时,加快燃气行业物联网技术深化应用的进程。
