2021年5月7日，美國石油管道遭遇網(wǎng)絡攻擊。此次事件引發(fā)全球廣泛關(guān)注，本次事件是典型的基礎(chǔ)設(shè)施攻擊。近一年來，數(shù)據(jù)勒索的攻擊方式也越來越流行。安盟信息安全研究人員一直對重大攻擊事件進行密切的關(guān)注和跟蹤，通過美國石油管道遭遇勒索攻擊事件，分析我國油化行業(yè)所面臨的安全形勢及如何防護。

一、事件回顧

1.1基本信息

攻擊時間：2021年5月7日（美國時間）

攻擊對象：Colonial Pipeline（這是美國大型基礎(chǔ)設(shè)施有史以來遭遇的最嚴重網(wǎng)絡攻擊）

所屬行業(yè)：關(guān)鍵基礎(chǔ)設(shè)施、能源、石油化工、管道物流運輸

事件類型：勒索軟件攻擊、關(guān)鍵基礎(chǔ)設(shè)施攻擊

1.2影響分析

產(chǎn)業(yè)影響

該地區(qū)每天通過5500英里（8850公里）的管道將墨西哥灣沿岸的煉油廠連接到美國東部和南部，輸送250萬桶汽油和其他燃料。還服務于該國一些大的機場，包括亞特蘭大的哈茨菲爾德·杰克遜機場，這是全球客流量最高的機場。

原油和成品油市場影響

在此次事件發(fā)生之后，直接導致美國東岸多州汽油短缺及5月交割的汽油期貨價格出現(xiàn)明顯上漲。紐約商品交易所的汽油期貨上漲了0.6％，柴油期貨上漲了1.1％，，美國汽油期貨一度上漲4.2%為2018年5月以來最高。此外，美國取暖油期貨也跳升至2020年1月以來的高點。國際油價方面，美國WTI原油期貨價格上漲1.08%，布倫特原油期貨上漲1.1%。

二、我國油化行業(yè)安全分析

近年來，針對全球能源體系的網(wǎng)絡攻擊頻繁發(fā)生，暴露出大型基建設(shè)施在網(wǎng)絡安全層面的脆弱性，無論是對企業(yè)還是對國家而言，都是“令人不安的信號”。

網(wǎng)絡攻擊是全球多國都面臨的一大難題。尤其是能源、化工、電力、通信等關(guān)鍵基礎(chǔ)設(shè)施，遭遇大規(guī)模網(wǎng)絡攻擊事件屢見不鮮。從安全事件的角度看，2021年勒索病毒攻擊呈現(xiàn)手段復雜化、工具專業(yè)化、分工精細化等特征，據(jù)國家工信安全中心統(tǒng)計數(shù)據(jù)，勒索病毒攻擊仍為工業(yè)領(lǐng)域頭號威脅，其中能源化工行業(yè)在遭勒索病毒攻擊方面排第二位。

總體來看，我國工控安全風險威脅持續(xù)加劇，境外的攻擊有增無減，形勢如此嚴峻，我國油化行業(yè)存在哪些安全問題？

首先， 我國油化產(chǎn)業(yè)鏈涵蓋油氣開采、煉油、化工、LNG、管網(wǎng)、海上平臺、油庫等鏈條，油化基礎(chǔ)設(shè)施覆蓋全國各地，甚至很多偏遠地區(qū)，網(wǎng)絡安全防護一直存在“漏洞”，但是行業(yè)網(wǎng)絡安全人員數(shù)量少、專業(yè)水平不高，安全漏洞長期得不到解決且網(wǎng)絡運維和管理難度大，因此更容易被黑客組織攻擊勒索。

其次，工業(yè)自動化的發(fā)展和生產(chǎn)技術(shù)設(shè)備的進步，使得眾多技術(shù)參數(shù)控制、優(yōu)化都需要連接到中央系統(tǒng)，高度信息化的運營卻沒有匹配足夠安全的運營體系，攻擊者抓住軟件漏洞入侵中央系統(tǒng)，擾亂并竊取數(shù)據(jù)進而達到“劫持”系統(tǒng)的目的。

最后，油化產(chǎn)業(yè)鏈關(guān)系到國計民生，遭遇網(wǎng)絡攻擊和勒索后導致的企業(yè)停產(chǎn)、數(shù)據(jù)丟失等損失無法用金錢估計，因此被勒索者更愿意支付贖金。

國家工信安全中心報告指出，境外對我國的攻擊威脅持續(xù)加劇。2021年國家工信安全中心完成全國工業(yè)控制系統(tǒng)威脅誘捕網(wǎng)絡部署工程，全年共捕獲來自境外105個國家和地區(qū)對我國實施的掃描探測、信息讀取等惡意行為超過600萬次。

基于國內(nèi)油化現(xiàn)狀及國內(nèi)外信息安全形勢，可以看出我國工控安全形勢依舊嚴峻。

三、我國油化行業(yè)該如何做？

通過美國石油管道遭遇網(wǎng)絡攻擊事件，我們可以從中得出，安全工作重在預防。按照勒索病毒等攻擊特點，從“事前、事中、事后”三個階段及從管理、技術(shù)兩個方面防范化解攻擊風險。

當然，工控安全工作重點還是以事前預防為主，下面介紹一下如何預防：

油化工控安全工作應事前夯實防范基礎(chǔ)，加強邊界流向區(qū)分、提高預警能力及增強內(nèi)網(wǎng)安全防護能力，在網(wǎng)絡隔離、資產(chǎn)管理、態(tài)勢感知方面等方面采取措施。

（一）強化邊界安全：

邊界隔離應堅持“能單向不雙向”、“能雙單向不雙向”的原則：

?即根據(jù)實際業(yè)務流向需求，即能通過單向光閘、單向數(shù)采光閘或單向交換平臺（單導平臺）完成業(yè)務數(shù)據(jù)交換需求的，應優(yōu)先選擇此方案；

?單向無法滿足業(yè)務需求的，可以利用兩套單導平臺完成正反向數(shù)據(jù)交換，兩條獨立通路，互不干涉；

?最后是選擇普通雙向交換（此方案建議域內(nèi)交換使用）。

（二）提高網(wǎng)絡出口預警能力：

應在網(wǎng)絡出口邊界部署蜜罐系統(tǒng)，利用虛假資源誘騙入侵者，從采集入侵者攻擊數(shù)據(jù)和攻擊為以達到保護真實主機，誘騙攻擊者掃描、攻擊蜜罐可以有效拖延入侵者對真實標的攻擊進程，與態(tài)勢感知進行聯(lián)動，為防御者分析和反制爭取寶貴時間。

（三）加強網(wǎng)絡流量監(jiān)測：

在工控網(wǎng)絡中，應部署流量監(jiān)測產(chǎn)品（入侵檢測、工業(yè)審計、態(tài)感各種探針等），加強針對入侵的監(jiān)測、溯源等。

（四）增強主機安全能力

在主機上可部署工控主機防護產(chǎn)品（如軟件版工控主機衛(wèi)士或硬件版機甲衛(wèi)士），開啟主機進程白名單功能 ，加固主機系統(tǒng)，以提高主機自身的防護能力。

（五）增加沙箱驗證技術(shù)

在工控內(nèi)部交換主機上，建議部署具有沙箱功能的軟件，通過安全隔離措施的虛擬執(zhí)行環(huán)境，檢測可疑文件在該環(huán)境中執(zhí)行，并監(jiān)測其文件、網(wǎng)絡、系統(tǒng)操作行為，判斷其危害性，同時與態(tài)感聯(lián)動，及時告警。

（六）加強用戶網(wǎng)絡安全意識

據(jù)數(shù)據(jù)顯示，80%入侵通過郵件進行傳輸，可以通過培訓、演練等提高用戶網(wǎng)絡安全意識，在用戶層面切斷勒索等病毒傳播的途徑。

（七）做好數(shù)據(jù)備份工作

應做好重要數(shù)據(jù)備份工作，根據(jù)文件和數(shù)據(jù)的重要程度分類分級進行存儲和備份。

（八）制定網(wǎng)絡安全應急預案

應建立內(nèi)部涵蓋勒索病毒等攻擊網(wǎng)絡安全突發(fā)事件的應急組織體系和管理機制，加強攻擊應對統(tǒng)籌管理，明確工作原則、職責分工、應急流程、關(guān)鍵措施等。

四、寫在結(jié)尾

油化工業(yè)互聯(lián)網(wǎng)的發(fā)展，將加速數(shù)字中國、智慧社會建設(shè)，加速中國新型工業(yè)化進程，為中國經(jīng)濟發(fā)展注入新動能，工控安全防護工作顯得十分重要。安盟信息結(jié)合網(wǎng)聯(lián)、數(shù)聯(lián)、智聯(lián)的數(shù)字化轉(zhuǎn)型大趨勢，研發(fā)與應用新一代邊界安全產(chǎn)品，以安全、可信、合規(guī)為目標，以保護數(shù)據(jù)安全為核心，多維度提升邊界安全能力。推動我國油化數(shù)字經(jīng)濟進入全面發(fā)展的新時代，并成為高質(zhì)量發(fā)展的重要引擎。