企业动态

    在国家能源战略布局中，油气管道作为保障经济社会运转的“能源大动脉”，其安全稳定运行直接关系国计民生与国家能源安全。国家管网集团作为这一战略的核心践行者，正以“全国一张网”的运营模式深化改革，推动能源输送行业的数字化、智能化转型。

    然而，随着工控系统从封闭孤立走向互联互通，网络安全风险也随之加剧，构建体系化、实战化的安全防护体系成为保障能源生命线的迫切需求。国家管网集团下属某分公司（以下简称“该分公司”）作为集团核心二级单位，通过与奇安信深度合作，历时三年打造覆盖“端、边、管、云”的工控安全纵深防御体系，为关键信息基础设施安全防护树立了行业典范。

    能源安全关乎国家战略，工控安全面临三重挑战

    国家管网集团下属某省分公司是管网集团核心二级单位之一，承担了国家北部某区域的天然气和油品的输送任务，在业务进行数字化、智能化发展的过程中，原有的安全防护分散、薄弱，难以应对有组织、有预谋的APT型攻击，因此，亟需构建一套覆盖省公司监视中心及下属数以百计的场站的体系化、实战化的工控安全纵深防御体系，以保障油气管道这一能源生命线的连续、稳定、安全运行，同时满足国家安全合规要求。

    作为覆盖范围广、涉及系统复杂、时间跨度长的重大工控安全项目，该分公司在实施过程中面临多重挑战，需兼顾生产安全、技术落地与合规实战双重目标，实施难度远超常规安全项目。具体表现在以下几个方面：

    首先是生产业务连续性与网络安全改造的平衡挑战

    油气管道输送关乎国计民生，7×24小时不间断运行是基本要求，任何非计划停机都可能引发巨大经济损失和严重社会影响。据行业数据，油气管道每中断一小时，可能造成数百万元直接经济损失，还会影响下游工业生产、居民用气等领域。因此，项目首要前提是保障生产业务“零中断”或“微中断”，所有安全改造工作不得影响正常输油输气作业。

    这意味着所有安全设备的接入、策略调试、系统测试都需在极其有限的运维窗口内完成，如同给“高速行驶的汽车更换轮胎”，对方案的精准性、实施的熟练度均有极高要求，同时必须有完备的应急预案。

    其次是复杂异构工控环境的兼容与适配挑战

    该分公司下辖上百个核心场站，建设年代跨度大，最早场站已有数十年历史，最新场站采用先进数字化技术，导致各场站工控系统呈现显著异构性特征。从系统品牌看，涵盖国内外多个知名厂商产品；从协议类型看，包含OPC、Modbus、S7、DNP3等多种工业控制协议，部分老旧设备还采用自定义协议；从系统状态看，既有老旧系统，也有国产化升级替换的过渡性系统和全新部署的智能化系统，形成新旧并存、多技术体系交织的复杂局面。

    因此，项目实施需在不影响原有工控系统功能性能的前提下，实现安全产品与现有系统无缝兼容和深度适配，技术难度极高。

    第三是严格合规与实战效果的双重达标挑战

    项目不仅需满足国家网络安全等级保护2.0、关键信息基础设施安全保护等法律法规要求，通过行业监管部门合规性检查，更要追求能抵御实际网络威胁的实战化防护效果，实现“合规与实战并重”。如何在满足合规要求的基础上，进一步满足贴合生产网络实际的有效安全策略，如何确保安全防护体系能有效的抵御勒索软件、APT攻击等高级威胁，这需要深度理解油气管道工控安全业务流程，实现安全与业务的深度融合。

    三年四级跳 · 构筑防御体系

    面对复杂挑战，该分公司与奇安信组建联合项目组，经深入调研和反复论证，制定“顶层设计、分布实施、平滑推进”总体策略，历时三年多成功完成工控安全纵深防御体系建设与交付。项目实施分四大阶段，通过层层递进、稳步推进，确保项目质量和实施效果。

    第一阶段：顶层设计与方案深度定制

    项目启动之初，联合项目组投入大量资源开展前期调研。同时双方快速组建集团架构师、工控安全专家、巽丰实验室研究员、油气行业顾问等构成的联合项目组，深入现场，对监视中心及各场站进行全面的资产普查、网络拓扑梳理、业务流量分析与风险评估。量身定制《油气管道工控安全体系建设总体规划与详细设计方案》，获得了客户专家组的高度认可。

    第二阶段：场站侧安全能力渐进式部署

    该项目采用“先试点，后推广”的模式，在各区域边界部署工控防火墙ISG；在关键工程师站、操作员站安装轻量化的工控主机卫士IEP；在核心交换机旁路部署工控安全监测审计系统ISD。分批次奔赴其余场站，利用计划性检修窗口，高效、平稳的完成全部场站的设备部署与策略调试，全程实现生产“零事故”。

    第三阶段：监视中心安全运营平台的建设与联动

    在监视中心部署工控安全态势感知系统IMAS，作为“工控安全大脑”，实现资产统一管理、设备集中监视、策略集中下发、告警归一聚合，同时联动威胁情报系统，实现“态势预警”。IMAS平台将所有场站在大屏上进行了全面展示（GIS地图等），协助客户进行日常运维及告警精准定位。

    第四阶段：体系化验证与持续优化

    协助客户建立《安全运营规章制度》、《安全事件应急响应流程》等规程，组织多轮实操培训。对照等保2.0要求进行符合性评估，对策略进行精细化调优，各项指标达到或超过预期，正式移交客户进入持续常态化安全运营阶段。

    创造多重价值，为关基工业安全打造可复制示范

    该工控安全项目的成功实施，为该分公司带来安全、管理、运营、合规等多维度显著价值，不仅筑牢了油气管道数字安全防线，也为行业内关键信息基础设施安全防护提供了可复制、可推广的实践经验。

    ● 安全效益：构建了国家级防护标杆

    首次构建了覆盖“中心-场站”两级的、主动防御与被动检测相结合的工控安全实战化体系。实现了对东西向流量的精准管控，具有重大的国家安全意义。

    ● 管理效益：实现了“可视、可管、可控”

    改变了以往分散局面，应急响应效率提升80%以上。建立的标准化流程与制度，提升了整体治理水平。

    总体来看，该工控安全项目的成功交付，是该分公司与奇安信深度合作的成果。展望未来，双方将继续秉持合作共赢理念，不断提升工控安全防护能力，为保障国家能源安全筑牢数字安全屏障。