美石油管道遭勒索攻击一周年——如何看待我国油化行业安全

• 关键词：勒索攻击,数据安全,石化
• 摘要：2021年5月7日，美国石油管道遭遇网络攻击。此次事件引发全球广泛关注，本次事件是典型的基础设施攻击。近一年来，数据勒索的攻击方式也越来越流行。安盟信息安全研究人员一直对重大攻击事件进行密切的关注和跟踪，通过美国石油管道遭遇勒索攻击事件，分析我国油化行业所面临的安全形势及如何防护。

2021年5月7日，美国石油管道遭遇网络攻击。此次事件引发全球广泛关注，本次事件是典型的基础设施攻击。近一年来，数据勒索的攻击方式也越来越流行。安盟信息安全研究人员一直对重大攻击事件进行密切的关注和跟踪，通过美国石油管道遭遇勒索攻击事件，分析我国油化行业所面临的安全形势及如何防护。

一、事件回顾

1.1基本信息

攻击时间：2021年5月7日（美国时间）

攻击对象：Colonial Pipeline（这是美国大型基础设施有史以来遭遇的最严重网络攻击）

所属行业：关键基础设施、能源、石油化工、管道物流运输

事件类型：勒索软件攻击、关键基础设施攻击

1.2影响分析

产业影响

该地区每天通过5500英里（8850公里）的管道将墨西哥湾沿岸的炼油厂连接到美国东部和南部，输送250万桶汽油和其他燃料。还服务于该国一些大的机场，包括亚特兰大的哈茨菲尔德·杰克逊机场，这是全球客流量最高的机场。

原油和成品油市场影响

在此次事件发生之后，直接导致美国东岸多州汽油短缺及5月交割的汽油期货价格出现明显上涨。纽约商品交易所的汽油期货上涨了0.6％，柴油期货上涨了1.1％，，美国汽油期货一度上涨4.2%为2018年5月以来最高。此外，美国取暖油期货也跳升至2020年1月以来的高点。国际油价方面，美国WTI原油期货价格上涨1.08%，布伦特原油期货上涨1.1%。

二、我国油化行业安全分析

近年来，针对全球能源体系的网络攻击频繁发生，暴露出大型基建设施在网络安全层面的脆弱性，无论是对企业还是对国家而言，都是“令人不安的信号”。

网络攻击是全球多国都面临的一大难题。尤其是能源、化工、电力、通信等关键基础设施，遭遇大规模网络攻击事件屡见不鲜。从安全事件的角度看，2021年勒索病毒攻击呈现手段复杂化、工具专业化、分工精细化等特征，据国家工信安全中心统计数据，勒索病毒攻击仍为工业领域头号威胁，其中能源化工行业在遭勒索病毒攻击方面排第二位。

总体来看，我国工控安全风险威胁持续加剧，境外的攻击有增无减，形势如此严峻，我国油化行业存在哪些安全问题？

首先， 我国油化产业链涵盖油气开采、炼油、化工、LNG、管网、海上平台、油库等链条，油化基础设施覆盖全国各地，甚至很多偏远地区，网络安全防护一直存在“漏洞”，但是行业网络安全人员数量少、专业水平不高，安全漏洞长期得不到解决且网络运维和管理难度大，因此更容易被黑客组织攻击勒索。

其次，工业自动化的发展和生产技术设备的进步，使得众多技术参数控制、优化都需要连接到中央系统，高度信息化的运营却没有匹配足够安全的运营体系，攻击者抓住软件漏洞入侵中央系统，扰乱并窃取数据进而达到“劫持”系统的目的。

最后，油化产业链关系到国计民生，遭遇网络攻击和勒索后导致的企业停产、数据丢失等损失无法用金钱估计，因此被勒索者更愿意支付赎金。

国家工信安全中心报告指出，境外对我国的攻击威胁持续加剧。2021年国家工信安全中心完成全国工业控制系统威胁诱捕网络部署工程，全年共捕获来自境外105个国家和地区对我国实施的扫描探测、信息读取等恶意行为超过600万次。

基于国内油化现状及国内外信息安全形势，可以看出我国工控安全形势依旧严峻。

三、我国油化行业该如何做？

通过美国石油管道遭遇网络攻击事件，我们可以从中得出，安全工作重在预防。按照勒索病毒等攻击特点，从“事前、事中、事后”三个阶段及从管理、技术两个方面防范化解攻击风险。

当然，工控安全工作重点还是以事前预防为主，下面介绍一下如何预防：

油化工控安全工作应事前夯实防范基础，加强边界流向区分、提高预警能力及增强内网安全防护能力，在网络隔离、资产管理、态势感知方面等方面采取措施。

（一）强化边界安全：

边界隔离应坚持“能单向不双向”、“能双单向不双向”的原则：

即根据实际业务流向需求，即能通过单向光闸、单向数采光闸或单向交换平台（单导平台）完成业务数据交换需求的，应优先选择此方案；

单向无法满足业务需求的，可以利用两套单导平台完成正反向数据交换，两条独立通路，互不干涉；

最后是选择普通双向交换（此方案建议域内交换使用）。

（二）提高网络出口预警能力：

应在网络出口边界部署蜜罐系统，利用虚假资源诱骗入侵者，从采集入侵者攻击数据和攻击为以达到保护真实主机，诱骗攻击者扫描、攻击蜜罐可以有效拖延入侵者对真实标的攻击进程，与态势感知进行联动，为防御者分析和反制争取宝贵时间。

（三）加强网络流量监测：

在工控网络中，应部署流量监测产品（入侵检测、工业审计、态感各种探针等），加强针对入侵的监测、溯源等。

（四）增强主机安全能力

在主机上可部署工控主机防护产品（如软件版工控主机卫士或硬件版机甲卫士），开启主机进程白名单功能 ，加固主机系统，以提高主机自身的防护能力。

（五）增加沙箱验证技术

在工控内部交换主机上，建议部署具有沙箱功能的软件，通过安全隔离措施的虚拟执行环境，检测可疑文件在该环境中执行，并监测其文件、网络、系统操作行为，判断其危害性，同时与态感联动，及时告警。

（六）加强用户网络安全意识

据数据显示，80%入侵通过邮件进行传输，可以通过培训、演练等提高用户网络安全意识，在用户层面切断勒索等病毒传播的途径。

（七）做好数据备份工作

应做好重要数据备份工作，根据文件和数据的重要程度分类分级进行存储和备份。

（八）制定网络安全应急预案

应建立内部涵盖勒索病毒等攻击网络安全突发事件的应急组织体系和管理机制，加强攻击应对统筹管理，明确工作原则、职责分工、应急流程、关键措施等。

四、写在结尾

油化工业互联网的发展，将加速数字中国、智慧社会建设，加速中国新型工业化进程，为中国经济发展注入新动能，工控安全防护工作显得十分重要。安盟信息结合网联、数联、智联的数字化转型大趋势，研发与应用新一代边界安全产品，以安全、可信、合规为目标，以保护数据安全为核心，多维度提升边界安全能力。推动我国油化数字经济进入全面发展的新时代，并成为高质量发展的重要引擎。