美石油管道遭勒索攻擊一周年——如何看待我國油化行業安全

2021年5月7日，美國石油管道遭遇網絡攻擊。此次事件引發全球廣泛關注，本次事件是典型的基礎設施攻擊。近一年來，數據勒索的攻擊方式也越來越流行。安盟信息安全研究人員一直對重大攻擊事件進行密切的關注和跟蹤，通過美國石油管道遭遇勒索攻擊事件，分析我國油化行業所面臨的安全形勢及如何防護。

一、事件回顧

1.1基本信息

攻擊時間：2021年5月7日（美國時間）

攻擊對象：Colonial Pipeline（這是美國大型基礎設施有史以來遭遇的最嚴重網絡攻擊）

所屬行業：關鍵基礎設施、能源、石油化工、管道物流運輸

事件類型：勒索軟件攻擊、關鍵基礎設施攻擊

1.2影響分析

產業影響

該地區每天通過5500英里（8850公里）的管道將墨西哥灣沿岸的煉油廠連接到美國東部和南部，輸送250萬桶汽油和其他燃料。還服務于該國一些大的機場，包括亞特蘭大的哈茨菲爾德·杰克遜機場，這是全球客流量最高的機場。

原油和成品油市場影響

在此次事件發生之后，直接導致美國東岸多州汽油短缺及5月交割的汽油期貨價格出現明顯上漲。紐約商品交易所的汽油期貨上漲了0.6％，柴油期貨上漲了1.1％，，美國汽油期貨一度上漲4.2%為2018年5月以來最高。此外，美國取暖油期貨也跳升至2020年1月以來的高點。國際油價方面，美國WTI原油期貨價格上漲1.08%，布倫特原油期貨上漲1.1%。

二、我國油化行業安全分析

近年來，針對全球能源體系的網絡攻擊頻繁發生，暴露出大型基建設施在網絡安全層面的脆弱性，無論是對企業還是對國家而言，都是“令人不安的信號”。

網絡攻擊是全球多國都面臨的一大難題。尤其是能源、化工、電力、通信等關鍵基礎設施，遭遇大規模網絡攻擊事件屢見不鮮。從安全事件的角度看，2021年勒索病毒攻擊呈現手段復雜化、工具專業化、分工精細化等特征，據國家工信安全中心統計數據，勒索病毒攻擊仍為工業領域頭號威脅，其中能源化工行業在遭勒索病毒攻擊方面排第二位。

總體來看，我國工控安全風險威脅持續加劇，境外的攻擊有增無減，形勢如此嚴峻，我國油化行業存在哪些安全問題？

首先， 我國油化產業鏈涵蓋油氣開采、煉油、化工、LNG、管網、海上平臺、油庫等鏈條，油化基礎設施覆蓋全國各地，甚至很多偏遠地區，網絡安全防護一直存在“漏洞”，但是行業網絡安全人員數量少、專業水平不高，安全漏洞長期得不到解決且網絡運維和管理難度大，因此更容易被黑客組織攻擊勒索。

其次，工業自動化的發展和生產技術設備的進步，使得眾多技術參數控制、優化都需要連接到中央系統，高度信息化的運營卻沒有匹配足夠安全的運營體系，攻擊者抓住軟件漏洞入侵中央系統，擾亂并竊取數據進而達到“劫持”系統的目的。

最后，油化產業鏈關系到國計民生，遭遇網絡攻擊和勒索后導致的企業停產、數據丟失等損失無法用金錢估計，因此被勒索者更愿意支付贖金。

國家工信安全中心報告指出，境外對我國的攻擊威脅持續加劇。2021年國家工信安全中心完成全國工業控制系統威脅誘捕網絡部署工程，全年共捕獲來自境外105個國家和地區對我國實施的掃描探測、信息讀取等惡意行為超過600萬次。

基于國內油化現狀及國內外信息安全形勢，可以看出我國工控安全形勢依舊嚴峻。

三、我國油化行業該如何做？

通過美國石油管道遭遇網絡攻擊事件，我們可以從中得出，安全工作重在預防。按照勒索病毒等攻擊特點，從“事前、事中、事后”三個階段及從管理、技術兩個方面防范化解攻擊風險。

當然，工控安全工作重點還是以事前預防為主，下面介紹一下如何預防：

油化工控安全工作應事前夯實防范基礎，加強邊界流向區分、提高預警能力及增強內網安全防護能力，在網絡隔離、資產管理、態勢感知方面等方面采取措施。

（一）強化邊界安全：

邊界隔離應堅持“能單向不雙向”、“能雙單向不雙向”的原則：

?即根據實際業務流向需求，即能通過單向光閘、單向數采光閘或單向交換平臺（單導平臺）完成業務數據交換需求的，應優先選擇此方案；

?單向無法滿足業務需求的，可以利用兩套單導平臺完成正反向數據交換，兩條獨立通路，互不干涉；

?最后是選擇普通雙向交換（此方案建議域內交換使用）。

（二）提高網絡出口預警能力：

應在網絡出口邊界部署蜜罐系統，利用虛假資源誘騙入侵者，從采集入侵者攻擊數據和攻擊為以達到保護真實主機，誘騙攻擊者掃描、攻擊蜜罐可以有效拖延入侵者對真實標的攻擊進程，與態勢感知進行聯動，為防御者分析和反制爭取寶貴時間。

（三）加強網絡流量監測：

在工控網絡中，應部署流量監測產品（入侵檢測、工業審計、態感各種探針等），加強針對入侵的監測、溯源等。

（四）增強主機安全能力

在主機上可部署工控主機防護產品（如軟件版工控主機衛士或硬件版機甲衛士），開啟主機進程白名單功能 ，加固主機系統，以提高主機自身的防護能力。

（五）增加沙箱驗證技術

在工控內部交換主機上，建議部署具有沙箱功能的軟件，通過安全隔離措施的虛擬執行環境，檢測可疑文件在該環境中執行，并監測其文件、網絡、系統操作行為，判斷其危害性，同時與態感聯動，及時告警。

（六）加強用戶網絡安全意識

據數據顯示，80%入侵通過郵件進行傳輸，可以通過培訓、演練等提高用戶網絡安全意識，在用戶層面切斷勒索等病毒傳播的途徑。

（七）做好數據備份工作

應做好重要數據備份工作，根據文件和數據的重要程度分類分級進行存儲和備份。

（八）制定網絡安全應急預案

應建立內部涵蓋勒索病毒等攻擊網絡安全突發事件的應急組織體系和管理機制，加強攻擊應對統籌管理，明確工作原則、職責分工、應急流程、關鍵措施等。

四、寫在結尾

油化工業互聯網的發展，將加速數字中國、智慧社會建設，加速中國新型工業化進程，為中國經濟發展注入新動能，工控安全防護工作顯得十分重要。安盟信息結合網聯、數聯、智聯的數字化轉型大趨勢，研發與應用新一代邊界安全產品，以安全、可信、合規為目標，以保護數據安全為核心，多維度提升邊界安全能力。推動我國油化數字經濟進入全面發展的新時代，并成為高質量發展的重要引擎。