經濟觀察網 記者 高歌 美國燃油管道公司遭受網絡攻擊一事再度觸發有關油氣管網安全性問題的討論。

5月7日，美國燃油管道公司Colonial Pipeline管網遭受攻擊，攻擊者竊取這家公司重要的數據文件，燃油管道運輸管理系統也遭遇“劫持”，一度致使美國東部沿海各州的關鍵供油管道被迫關閉。隨后在5月10日，Colonial Pipeline宣布在當周周末之前大部分服務能夠恢復正常。

盡管系統在3-5天內重新投入使用，對油價影響有限，但這起美國燃油管道遭遇的意外網絡攻擊仍被部分海外機構描述為“史無前例”：一旦管網長期關閉，則汽油斷供進而導致庫存驟降，會加劇供應趨緊的風險，將繼續推動汽油及原油價格上漲。

5月19日，一位油氣行業從業人士對經濟觀察網表示，油氣管道系統一旦受到“系統性”破壞，或將觸發嚴重危害，油氣管網安全性問題應被予以更多的重視。

廣義的管道安全涉及兩大類：一類是生產安全，一類是安全防范。中國油氣管網超過13萬公里，比全國的鐵路線還長，承擔了90%以上的油氣運輸任務。“生產安全事故造成全國性油氣管網癱瘓的可能性較小，而安全防范方面出現嚴重問題就極有可能引起全國性管網癱瘓。”

目前涉及此類問題的標準主要有以下幾項：《GB/T22239信息安全技術網絡安全等級保護基本要求》、《GB/T28448信息安全技術網絡安全等級保護測評要求》均為2019年5月修訂，要求2019年12月實施。《GB/T22240信息安全技術網絡安全等級保護定級指南》2020年4月修訂，要求2020年11月實施。以上三標準修訂重要變化是增加“工業控制系統安全擴展要求”。

公安部組織起草的《網絡安全等級保護條例仍在征求意見中，其中明確要求“重點保護涉及國家安全、國計民生、社會公共利益的網絡的基礎設施安全、運行安全和數據安全”并明確要求“主動防御”。

企業層面，據經濟觀察網記者了解，國家石油天然氣管網集團有限公司目前在集團層面尚未形成有關網絡安全等保的企業標準，其下屬處級單位中有兩家在今年分別制定出了《油氣管道SCADA系統網絡安全等級保護定級指南》的待審閱版以及《工控系統網絡安全設備測試方案》，但距離最終的出臺與執行仍需不少時間。國家標準以及相關部委出臺標準需要在企業層面逐級宣貫、執行、完善。在企業層面也需要形成自上而下的統一的標準，但目前狀態是“上下對不上”。

經濟觀察此前采訪時了解到，管網資產整合、統一調控后的安全問題最為重要，其中以“管網自動化控制系統”的網絡安全最為棘手。

一位管道安全專家此前接受經濟觀察網采訪時介紹道，在生產安全技術方面，管道安全主要涉及管道完整性技術、搶維修技術、油氣儲運系統消防技術、無人巡線技術等，以及很多和石油天然氣工業其它領域通用的安全技術。安全防范技術又可以分為兩大類，一類是與治安風險相關的安全防護，一類是與工控系統相關的安全等級保護。與治安風險相關的安全防護包括，人防、物防、技防，三方面，技防方面有：Ｘ射線檢測、入侵報警，以及指靜脈識別、瞳孔識別、人臉識別等生物識別技術。與工控系統相關的安全等級保護技術包括：防火墻技術、服務器終端偵測技術、加密通信技術，以及與普通安防通用的防護設備和管理體系。

從應用情況看，上述專家曾表示，治安風險防控技術已經成熟，但在管道領域的應用還存在不少問題，如在管道的“油氣調控中心”安全防范，國內現有的大大小小十幾個調控中心，半數安全防范達不到公安部《GA1166-2014石油天然氣管道系統風險等級和安全防范要求》的標準，甚至部分“國家級油氣調控中心”都不達標。之前三大石油公司也沒有動力在“管網”這一非主營業務上大力度整改。整合前也沒有真正全國成網，“油氣調控中心”的重要性也今非昔比。

與工控系統相關的安全等級保護技術方面就更不樂觀。上述人士指出，大部分管道工控系統達不到國標《GB/T22239-2019信息安全技術網絡安全等級保護基本要求》。部分工控系統等級保護建設甚至出現空白。在管道領域等保測評服務力量方面較弱。

據了解全國有三百多家等級保護評測機構，國家電網集團公司內部有三家，而三大石油集團公司內部連一家都沒有。由于外部評測機構對管道工控系統不了解，很多系統被漏評、錯評。

國家電網公司管理全國70%上的電網，有數萬個換流站、變電站、開閉所，其總部調度控制中心直接調控其中的幾十個站場，工控系統是５萬Ｉ／Ｏ點級別，屬“一旦受到破壞會對社會秩序和公共利益造成特別嚴重危害，或者對國家安全造成嚴重危害的特別重要網絡”。國電總調中心因此等保評級為四級（次高級），但要求按照五級（最高級）建設，實時數據庫進行了三層防火墻分區隔離。管網整合前一個國家級油氣調控中心就可直接控制全國半數左右的管道，直接遠程控制的壓氣站、泵站、加熱站、閥室成百上千，其工控系統是２０萬Ｉ／Ｏ點級別。據了解，國內各油氣調控中心已參與等保評測的系統目前最高僅被評定為三級，這直接導致等保建設力度不夠，技術研發和應用都不到位。

基于前述狀況，上述人士提出的建議是：安防和等保一體化，即安防和等保設施設備整體規劃、同步建設、同步使用。對比公安部《GA1166-2014石油天然氣管道系統風險等級和安全防范要求》和《GB/T22239-2019信息安全技術網絡安全等級保護基本要求》這兩個標準，可以發現有重疊、有互補，需要統籌。在管道工控系統領域，因涉及大量上位機、下位機、執行機構和通訊設施，系統的實體已不局限于機房，而這些信息設備大多隨機、泵、爐等設備部署在野外站場，這就對站場安防和信息系統等保的同步性、兼容性提出了新的要求；“軟”“硬”兼施，即采取“防滲透設備”加“防滲透人員”的復合模式，將安防中的“人防”進行拓展，結合《GB/T22239-2019信息安全技術網絡安全等級保護基本要求》“6. 1.6 安全管理機構”和“6.1.7 安全管理人員”相關要求，在硬件防護基礎上，持續進行“人力防護”。國際上稱之為“攻擊響應分析師”的常態部署，這也符合國家提出的“主動防御”的要求。