应对油气网络的安全威胁

数字技术在油气行业的普及为提高业绩、盈利能力和可持续性带来了新的机遇，但也为包括天然气网络在内的运营带来了新的安全和保障挑战。

例如，气体传输系统运营商正在研究人工智能、工业物联网(IIoT)、机器学习和增强现实技术，以了解如何提高运营效率和安全性。一些公司已经将数字技术集成到更复杂的数据收集、分析和可视化中，以维护、修复和运营天然气网络。

与此同时，DNV GL的2018年行业展望调查发现，全球800多名高级油气专业人士中，43%的人预计他们的组织今年将增加网络安全方面的支出。数字化(75%)和网络安全(68%)是未来五年明确的投资意向。

攻击面增加

运营技术(OT)和信息技术(IT)之间的更强连接，以及工业物联网的兴起，可能会增加甚至改变油气资产在网络攻击方面的脆弱性。

网络安全漏洞可能导致生产损失;增加健康、安全和环境风险;昂贵的损害赔偿要求;违反保险条件的;负面声誉影响;并吊销营业执照。

DNV GL数字解决方案信息风险经理Petter Myrvang表示:“行业对此类泄露的频率和影响持谨慎态度，但我们确实看到管道所有者、运营商、行业协会、政府及其机构将网络安全提上了议程。”“从更详细的角度来看，随着曾经被隔离的关键OT网络段现在连接到IT网络，风险就会出现。”

这些细分领域包括监控和数据采集(SCADA)系统、安全和自动化系统(SAS)以及带有可编程逻辑控制器(plc)的控制系统:这是黑客的一个有吸引力的目标。

管理OT面临的网络威胁，除了一般的IT安全之外，还需要详细的领域知识。这包括传统的油气业务领域能力，以及在线可访问的自动化、无人、集成和远程操作。

标准的观点

面对OT/IT网络安全的挑战，负责油气资产安全和可持续运营的各方需要采取全面的方法。国际电工委员会的IEC 62443标准涵盖了工业自动化和控制系统的安全，是网络安全信息的第一站。DNVGL推荐规范(RP) DNVGL-RP-G108“基于IEC 62443的油气行业网络安全”提供了如何将IEC 62443标准应用于油气行业(包括管道)的最佳实践。

这项全球适用的、量身定制的指南出自一个为期两年的联合行业项目(JIP)，旨在应对运营商如何与系统集成商和供应商合作，管理新出现的网络威胁的需求。挪威石油安全局观察了这项工作，并从监管角度与JIP小组交流了经验。

推荐的做法适用于整个油气行业，包括中游和下游部门。它采纳了国际惯例和经验，并考虑了健康、安全和环境要求，以及IEC 61511标准的安全仪器系统的规范、设计、安装、操作和维护。DNVGL-RP-G108不仅适用于新安装;现有和更成熟的资产可能需要更新，以防止和保护免受网络威胁。

建议的实践旨在包括所有元素——人、流程和技术——以确保工业自动化和控制系统中的网络安全得到解决。

这包括资产所有者/运营商、系统集成商、产品供应商、服务提供商和合规当局。实践解释了共同的责任，并描述了谁执行活动，谁应该参与，以及预期的投入和产出。

网络仿真

模拟对管道系统的网络攻击可以展示组织内部的优势和弱点，是开始建立防御的实际练习。一些公司招募和培养“道德黑客”，对OT、IT以及它们之间的联系进行测试和验证。这些有道德的黑客将黑客专业知识与深厚的OT领域知识相结合。

道德黑客过程始于对资产或系统网络安全的被动和主动侦察。例如，基础设施的远程计量扫描潜在的漏洞。如果发现任何漏洞，下一步是尝试通过渗透测试获得访问权限，以揭示实际漏洞并帮助客户降低风险。

从使用默认系统密码和缺少补丁到不安全的Wi-Fi提供进入控制系统的路由，漏洞可以很简单。有道德的黑客还会扫描客户OT和IT系统中的弱点，这些弱点可能被用来进入和利用系统，以影响操作或访问机密信息。其中一些扫描和测试可以远程进行。

进一步的验证

道德黑客还有助于设备和系统的验证和技术鉴定。渗透测试是任何关键的网络基础设施(如天然气网络)的相关第三方验证步骤。

Myrvang说:“在概念阶段应用，然后可以用来验证最初设计到集成系统中的屏障的有效性。”

网络安全是一个不断变化的挑战，需要不断更新标准。例如，IEC 62443委员会可能会在未来发布新的保护级别标准。保护水平是一种评估运行中的工厂保护的方法。它包括技术能力和相关过程的综合评价，以及技术和组织措施的综合评价。

工业自动化控制系统中的技术实现和配置，以及该系统如何运行、维护和部署，都将体现在防护级别中。

格雷戈里·黑尔是《工业安全与保安来源》(ISSSource.com)，这是一个新闻资讯网站，内容涵盖制造业自动化领域的安全及保安事宜。本内容最初出现在ISSSource.com．ISSSource是CFE Media的内容合作伙伴。由CFE媒体制作编辑克里斯·瓦夫拉编辑，cvavra@cfemedia.com．

原始内容可以在www.isssource.com．

您是否具有本内容中提到的主题的经验和专业知识?你应该考虑为我们的CFE媒体编辑团队做出贡献，并获得你和你的公司应得的认可。点击在这里开始这个过程。