液化天然气接收站工控网络安全现状及防护策略研究

液化天然气接收站工控网络安全现状及防护策略研究

唐永娜

中石油京唐液化天然气有限公司河北唐山063000

摘要：分布式控制系统（DCS）、可编程逻辑控制器（PLC）、视频监控系统（CCTV）等工业控制系统广泛运用于液化天然气接收站，用于控制接收站生产设备的运行。随着网络技术的发展，各种通用协议、硬件和通用软件，与接收站公共网络连接。在提高接收站信息化的同时也减弱了控制系统与外界的隔离。病毒、木马也威胁着工业控制系统，一旦控制系统信息安全出现漏洞，将对接收站生产运行造成重大隐患。

关键词：液化天然气；接收站；网络安全；防护策略

一、行业现状与分析

许多接收站的系统网络结构与上图类似，由管理层、信息层和控制器层三大部分组成。目前的现状是工业控制网络中的操作电脑，几乎没有安装全天候病毒防护或更新版本。控制系统的网络安全设计都以优化实时的I/O功用为主，而不以加强网络连接安全防护功能设计。整个控制网络中多个端口切入点需要防护，并且许多控制网络系统之间都没有有效的隔离，尤其是基于OPC、MODBUS等通讯的控制网络，其中某一部分出现问题被攻击后，病毒就通过网络迅速蔓延。

目前大部分接收站现状表现为以下几个方面：

1、接收站的工控网络与其他网有连接，目前有使用防火墙和网闸等防护设备进行边界防护。然而工控网络内部却未进行区域的功能划分及防护。

2、工程师站和操作员站都使用专用软件，由于软件程序的专业性，无较为匹配、兼容性好的杀毒软件，缺少必要的防护手段。

3、计算机的U口目前只是采用行政手段进行管理，存在一定的风险。

4、网络缺少必要的监测与审计手段，不能及时发现网络威胁，不能查出威胁源头。

5、基于OPC、MODBUS等通讯的控制网络，其中某一部分出现问题被攻击后，病毒就通过网络迅速蔓延。

二、目标与防护策略

为了保护工控系统免受恶意病毒攻击、违规操作、内外攻击等，需研究工控网络的安全策略。现有以下建议：

1、网络分层分区，边界访问加以控制。避免无授权设备的访问。

2、工控网络内部进行区域划分，控制系统复杂多样，需依据生产区间或装置进行分区。对工业的专有协议进行深度解析建立“白名单”，阻止区域间的越权访问和病毒攻击。

3、建立工控网络的白名单，即：只有可信任的设备才容许接入网络；只有可信任的命令才能在网络上传输；只有可信任的软件，才能在主机上运行；例如使用指定授权的笔记本、U盘才能访问计算机，未经授权的访问将被拒绝。

4、配备安全检测和审计系统，对全网的异常攻击进行检测和审计，开发工作站终端异常实时报警、设备安全状态监测、警告日志等。

结束语：

综上所述，目前工业控制系统的信息安全问题日益突出，严重制约着企业的高效发展。笔者结合自身工作经验，对目前工控系统的现状进行了分析，提出了加强工控网络的安全策略，以期为工控系统的良好发展提供理论参考,保证工业控制系统安全稳定运行。

参考文献：

[1]顾蕾.浅析析油田企业的工业控制系统与网络安全[J].改革与开放,2019(09)

[2]俞华军.工业控制系统信息安全浅谈[J].石化技术,2019(01)

[3]陈清明,朱少辉.关于工业控制系统网络安全审查工作的思考[J].信息安全与通信保密,2018(06)

[4]杨伟,周权.工业控制系统安全及对策[J].网络空间安全,2018(07)