石油石化行业数字化转型背景下工业网络安全探讨

随着工业4.0、数字化浪潮到来，智能化建设正成为石油石化行业数字化转型、高质量发展的必然选择，使得原来封闭的工业控制系统网络越来越“开放”，在工业互联网技术发展助力下，石油石化行业信息化建设的不断完善，管网生产控制网络不可避免会遭遇更多的网络威胁。

工业网络的数字化转型使得石油石化行业面临着前所未有的网络安全威胁和风险。网络攻击、数据泄露、系统故障等安全事件频频发生，给企业的生产运营和经济利益带来了严重的损失和影响。因此，如何有效保护工业网络安全，成为了石油石化企业亟需解决的重要问题。

为了有效的保障石油石化企业的生产运营安全稳定，我们必须了解存在的安全风险，并将安全风险置之门外。本文将围绕工业网络安全展开深入探讨，为石油石化行业的安全建设提供可靠思路。

工业网络安全现状

从威胁角度看：

石油天然气管网在数字化转型过程中，信息化建设采用5G、云计算、大数据等新技术，使之暴露攻击面放大，生产管理网络与办公网络互通。其次，通过震网病毒与变种病毒分析可知，部分病毒是专业人员编写，针对性足，几乎无法通过单个安全产品解决。

从防护手段看

石油天然气管网行业工业控制系统在基于业务生产控制、数据采集等多维度看，当前工业控制系统在防护、监测、运维审计等方面的防护措施存在不足（主机、服务器无防护，边界无防护等），使得整体安全防护能力下降。

从支持软件看

石油天然气管网所应用SCADA数据采集与监视控制系统，WinCC、PL7、RSLogix OPC等编程和组态软件，自身安全机制较少，上位机更是采用通用Windows操作系统，其自身存在很多安全漏洞，及其容易被攻击者利用，造成安全事故。

从运维角度看

石油天然气管网行业工业控制系统安全运维会涉及本地或远程故障处理，但对于第三方技术支持缺乏有效监控手段。其次，技术人员在日常维护过程中，移动介质管控十分重要，尤其是在运维的过程中移动存储介质滥用导致潜在安全风险。

从底层协议看

石油天然气管网行业站场、阀室与PLC等控制设备数据通讯采用Modbus TCP、OPC等标准通讯协议。此类协议是公开协议，数据格式开放且未加密容易被窃听、篡改以及伪造，攻击人员可利用伪造的数据命令发起攻击，从而引发安全事故。

从预警角度看

缺乏对工业控制系统资产安全状态全面监控能力，对安全威胁无法及时预警，导致出现安全问题，也无法快速响应。

典型网络攻击手段

钓鱼攻击

钓鱼攻击往往通过伪装成可信任的实体来欺骗用户，比如伪装成银行或知名机构的欺诈邮件，大量诱导用户泄露敏感信息。又或者假冒受信任的品牌，如网络银行、在线零售商及信用卡公司，发送带有恶意链接的邮件，引诱用户下载病毒或泄露私人信息。

DoS和DDoS

DoS是Denial of Service的缩写，意为拒绝服务。这种攻击通常是一对一的，它通过生成和发送大量无效数据，引起目标主机网络的拥堵，耗尽其服务资源，使得目标主机无法正常与外界通信。

相比之下，DDoS，全称Distributed Denial of Service，也就是分布式拒绝服务攻击，是一种更复杂的攻击形式。在这种攻击中，攻击者可以伪造IP地址，间接地增加攻击流量。通过伪造源IP地址，受害者会误认为有大量主机正在与其通信。此外，黑客会利用IP协议的漏洞，对一个或多个目标进行攻击，消耗网络带宽和系统资源，从而使合法用户无法获得正常服务。

SQL注入

SQL注入攻击是一种典型的数据库安全威胁，涉及将外部参数嵌入SQL语句中，可能导致服务器执行恶意SQL指令，引发数据泄露、数据库删除、网页篡改等严重问题。这种攻击可根据变量类型划分为数字型和字符型，根据HTTP提交方式划分为GET注入、POST注入和Cookie注入，以及根据注入手段划分为报错注入、盲注（包括布尔盲注和时间盲注）和堆叠注入等。这些攻击手段的复杂性和多样性，使得数据库安全防护面临巨大挑战，亟需采取有效的预防和应对措施。

零日攻击

零日攻击是针对软件中未公开的漏洞进行的。因为这些漏洞在攻击发生之前未被发现，所以很难防御。例如，2017年，WannaCry勒索软件就利用了Windows系统中的一个零日漏洞，导致全球范围内的大规模破坏。

跨站脚本攻击（XSS）

跨站脚本攻击，也被称为XSS攻击，是一种常见的Web安全威胁。这种攻击方式的主要策略是在Web页面中植入恶意的JavaScript脚本。当其他用户访问这个被篡改的页面时，这些脚本会在他们的浏览器中执行，可能会窃取他们的敏感信息，例如密码、信用卡信息等，或进行其他恶意操作，例如篡改用户界面，引导用户进行不安全的行为。

社会工程

社会工程并非技术性的攻击，而是利用人的心理和信任来获取敏感信息。例如，通过假装是IT支持人员来骗取用户的密码。例如，攻击者可能会通过电话或电子邮件联系目标，假装是技术支持人员或同事，然后试图说服目标提供他们的登录凭证或其他敏感信息。

勒索软件

勒索软件是一种恶意软件，其主要操作方式是通过限制用户访问其数据资产或计算资源，然后以此为威胁索取赎金。这些数据资产可以是文档、邮件、数据库、源代码、图片或压缩文件等。赎金的支付方式通常包括实物货币、比特币或其他虚拟货币。

勒索软件的传播方式与常见的木马类似，主要有以下几种：

1、通过网页木马传播，用户在无意中访问恶意网站时，勒索软件会被浏览器自动下载并在后台悄然运行；

2、与其他恶意软件捆绑发布；

3、通过电子邮件附件传播；

4、利用可移动存储设备进行传播。

最佳实践与建议

基于区域防护的安全分区原则

分区分域是信息安全保护的有效措施。根据业务功能、访问行为、重要性程度以及安全需求等因素，将信息划分为不同的安全域，通过技术手段将不同的安全域进行安全隔离，对安全域之间的访问行为进行隔离控制，能够有效的提高重要信息资产的安全性。通过安全域的划分，也可以防止一些非法访问行为在整网蔓延。

构建以纵深防御为核心的防护体系

纵深防护体系不是安全设备或系统的简单堆积，而是在各个层面有针对性且合理地部署安全防护或检测系统，形成系统间的优势互补，从而实现对安全态势的全面感知能力。通常纵深防护体系包含物理、网络、主机、终端、应用、数据几个层面。

构建满足等级保护2.0的安全管理体系

等级保护制度在已法律层面确立了其在网络安全领域的基础、核心地位，随着新的《信息安全技术信息系统安全等级保护基本要求》在2018年进行报批，企业应以等级保护监管为手段，将企业重要信息系统纳入监管保护范围，以企业基础数据为基础、以安全管理中心为措施、以管理运营为抓手，监测企业重要信息系统及关键基础设施建设落实情况，构建企业整体的安全基础防御体系。

构建以数据安全为核心的纵深防御体系

数据安全隐患存在于数据生命周期的每个环节，要实现数据的安全就必须在数据全生命周期进行安全防护建设。数据的全生命周期包括数据的采集、数据存储、数据销毁、数据使用、数据销毁等环节，这其中任何环节的规划措施不到位，都可能导致数据的丢失。因此数据的安全防护措施应该能覆盖到每一个环节确保。将数据作为安全保护的核心，构建贯穿数据全生命周期的纵深防御体系。以数据安全为核心的纵深防御体系，将会在基础设施的各个层面进行安全防护控制，形成一张立体防护网络，确保数据的安全。

构建基于协同联动机制的安全管理体系

网络安全协同联动机制是指通过有效的组织架构和协同工作，将网络安全相关的各个领域、部门、角色与关键环节紧密协同，实现网络安全的全方位保障。通过协同联动机制的建立，网络安全工作可以实现信息共享、资源共享、共同应对网络威胁等目标，管理各方力量，大力推动网络安全可持续发展。

网络安全协同联动机制有三个基本要素，包括组织管理、技术支持和政策监管。组织管理是指建立明确的责任和权利，监督网络安全工作的效果。技术支持是指提供安全技术和方法的支持，保证网络安全的稳定性和可靠性。政策监管是指制定良好的网络安全政策的同时还要对其实施和执行监督。这三个要素相互协作，共同构建网络安全协同联动机制。

构建以数据驱动的安全运营体系

在燃气行业的规划设计中，借鉴国内外成熟安全架构为模型，贯彻“安全运营闭环管理并基于数据分析为核心”的安全运营理念，结合燃气信息系统具体情况和现实需求进行设计，最终形成整合人、工具、数据与运营的一体化安全运营体系。

未来发展趋势

1、工业物联网安全

石油石化物联网是利用各种在线的、实时测量的感知设备，诸如安装在油气水井、管道、油气处理、加工、储运设备上的各种仪表、射频识别标签（RFID）和油气田勘探开发生产现场的视频摄像机、红外感应器、全球定位系统、激光扫描器等信息传感设备，按约定的协议连接到企业网或/和互联网相，进行信息交换和通信，以实现智能化识别、定位、跟踪、监控和管理的一种网络。

随着工业物联网的广泛应用，不仅给企业带来了巨大的便利，同时大规模部署物联网设备也就造成了安全风险点的增加，企业将面临更多的攻击面和安全威胁。未来工业物联网安全可能会向以下方向进行发展：

1.1边缘设备接入认证

对采集设备的入网注册机制，实现对入网设备的身份校验，未经过身份认证的设备拒绝其与工业控制系统的通信连接。

1.2边缘计算

为减轻云端处理压力，应在边缘进行初步处理，基于边缘计算框架对物联网设备数据进行初步处理，同时结合业务场景对数据进行告警与分析。

2、工业数据安全

数据安全法的颁布，标志着我国对数据安全领域越来越重视。随着工业数据的规模越来越大，工业数据的治理与工业数据的安全将成为重中之重。

2.1建立工业领域数据安全保障体系

数据安全保护意识普遍提高，重点企业数据安全主体责任落实到位，重点场景数据保护水平大幅提升，重大风险得到有效防控；

数据安全政策标准、工作机制、监督队伍和技术手段更加健全；

数据安全技术、产品、服务和人才等产业支撑能力稳步提升。

2.2增强数据安全保护意识