最佳实践|长扬科技助力城市油库安全防线建设，彰显工匠精神

2017年5月12日，一个只有3.3M大小的勒索软件"WannaCry"迅速肆虐全球网络，席卷中国、英国、美国、德国、日本等近百个国家。这款病毒利用了NSA（美国国家安全局）曾经秘密开发的Windows漏洞"永恒之蓝"（EternalBlue）进行传播，一旦用户系统被感染，该病毒会将用户文件加密，并向受害者勒索比特币作为解密费用。我国某石油旗下多地加油站受此病毒影响，于5月13日当天凌晨突然断网，导致无法使用银行卡和网络进行支付，涉及范围包括北京、上海、杭州、重庆、成都和南京等地超2万座加油站。

有惊无险的是，病毒爆发1天后，该集团80%以上加油站已经恢复网络连接。尽管此次影响范围广泛，但幸运的是仅限于支付方式受到影响，油库业务仍在正常进行。

然而，不是每次都这么幸运，勒索病毒一旦侵袭油库系统，严重可导致关键操作受阻、生产中断、供应链断裂，甚至可能引发设备损坏和环境安全风险，给油库运营和相关行业带来无法估量的严重后果。因此，确保油库系统安全和防范勒索病毒攻击至关重要。

01.精准排查，锁定致命网络安全问题

在WannaCry勒索病毒的爆发之后，该石油集团深刻认识到面对网络安全威胁不能坐以待毙，在销售和炼化两个关键板块开启多个试点项目，进行长时间的网络安全防护建设探索。其中，中国石油某销售公司作为某省市成品油供应主渠道，是一家运营上千座加油站的大型区域性石油销售公司，最终选择长扬科技作为试点合作伙伴。

长扬科技在信息安全领域具备专业能力并高度关注客户需求，加之精益求精的工作态度，得到客户的高度认可。双方合作后，第一时间对网络安全进行排查，最终发现五处致命网络安全问题：

混用一张网：生产网和办公网一张网，无边界，生产网线路混乱，缺乏标签。

边界防护缺失：生产网和办公网边界缺乏隔离手段；生产网内部各控制系统网络边界缺乏防护手段。

网络审计缺乏：无法对网络中入侵和异常行为进行监测审计；无法对工控设备日志进行审计记录；无法对工控网络中流量异常情况进行监测。

主机防护缺失：工业控制系统工程师站、操作员站等缺乏有效防护措施；工程师站、操作员站等缺乏USB介质安全防护手段；操作系统、组态软件版本老旧，存在大量漏洞。

安全管理不足：无法及时发现和追溯工控安全事件；无法对安全设备进行统一管控；工控安全管理制度缺失。

02.迅速出击，高效解决网络安全顽疾

面对以上严峻的安全问题，长扬科技安全服务团队紧急行动。凭借对工控系统在各行业特点及业务流程特点的研究及工程经验，依据《信息安全技术 网络安全等级保护基本要求》《销售工控系统安全防护指导方案》《中国石油网络安全管理办法》等相关要求，团队运用一系列技术手段，配合动态威胁监测分析统计，针对中国石油某销售公司在网络病毒攻击背景下暴露的突出问题，深入企业调研，迅速拿出针对性解决方案：

在安全通信网络方面，长扬科技安全服务团队在各分公司油库工控网与办公网之间部署工业网闸，将油库工控网络与办公网进行安全隔离，防止工业病毒或恶意程序通过办公网传播至工控网络。

在安全区域边界方面，服务团队在各分公司油库工控网管理层与过程控制层之间部署工业防火墙，进行边界防护和访问控制，保证控制系统操作的可靠性和安全性。

同时，服务团队在各分公司油库工控网管理层和过程控制层交换机侧旁路部署工业监测审计设备，针对工控网络中数据和流量进行合规性检查，对异常行为、安全事件进行审计分析，采用工控网络行为“白名单”与工控漏洞“黑名单”相结合的策略进行安全审计。

在安全计算环境方面，服务团队在各分公司油库工控网上位机（操作员站、服务器等）部署主机卫士，对系统中的组态软件、应用服务及其他运行程序进行白名单管控，阻止恶意软件及不被允许的程序运行，对移动存储介质的使用进行限制，防止恶意软件传播和数据泄密。

在安全管理中心方面，服务团队在调度中心设置安全管理中心，在安全管理中心部署统一管理平台对分布在各分公司油库工控网络中的工控安全设备进行管控，统一配置下发安全策略、工控安全事件分析及告警，方便用户及时掌握分公司油库工控网络安全状态。

在安全管理制度方面，服务团队为企业制定了专门针对油库工控网络安全管理制度，编写了应急预案和常见问题处置流程，交付项目管理文档及制度文档多达90余份。

工业控制系统架构情况如下图所示：

图1.工业控制系统部署架构图

通过以上解决方案的实施部署，长扬科技帮助该公司各油库安全风险降低到可控范围内，减少安全事件发生，有效防护勒索软件等恶意程序带来的安全风险，提升企业工业控制系统抗攻击能力，保护生产网络能够高效、稳定运行，减少因为系统停机带来的生产损失。

并且通过网络梳理，长扬科技帮助企业重新规划了各油库工控网络与办公网络IP地址，解决了线路混乱缺乏标签的问题，有效提升企业网络线路规范化程度。

03.成效明显，企业网络安全得到保障

在方案实施过程中，并非一帆风顺，挑战无处不在：

例如，该企业四个油库属不同地市，各地油库都是7*24小时作业，所有操作需提前报备审批，导致项目实施过程中难度非常大，且实施工期短，要求一个月完成四个油库的实施部署。

针对以上困难，长扬科技安全服务团队采用试点示范-应用推广模式，首先选择其中一个油库进行试点实施，梳理整个实施过程中可能遇到的问题和挑战，在试点项目成功完成后，安全服务团队开始将经验和教训推广到其他油库。他们根据试点项目实施情况，制定了详细的实施计划和时间表，并与各地油库操作人员密切合作。最终，服务团队顺利按要求时间完成项目交付。

在解决方案实施完成后，该企业网络安全部署情况完全满足《信息安全技术 网络安全等级保护基本要求》《销售工控系统安全防护指导方案》《中国石油网络安全管理办法》相关要求。通过本次项目建设，长扬科技积极协助客户迅速解决了油库工控网络安全防护问题，大大提升了客户公司工控安全综合保障能力，并持续3年为客户下属各油库工控网络提供安全保障服务。

如今，数字化时代已经到来，勒索病毒随时可能采用更加复杂和高级的攻击方式，入侵国家关键基础设施。尤其石油石化行业，是一个关乎国家经济和能源安全的主要行业。它具有特殊战略地位，涵盖了原油开采、炼油加工、石油化工等多个环节，承载着国家能源供应和经济发展的重要责任。

保证国家石油石化行业网络安全是长扬科技主要任务之一，在网络安全威胁不断升级的情况下，长扬科技旨在帮助各企业认识到工控网络安全对于这个行业的重要性。长扬科技将持续研究和推进针对石油石化行业各种工控网络攻击的特点，建立起一套切实可行、针对性强的解决方案，有效为企业筑牢安全防线，保障工控网络安全。

未来，长扬科技将与各企业紧密合作，根据技术发展趋势持续创新，确保企业信息资产安全和可靠性。长扬科技会一直站在网络安全技术的领先位置，助力石油石化行业在数字化时代的可持续发展！