馮 維

(中國(guó)石化海南石油分公司，海南 海口 570203)

近年來(lái)國(guó)家對(duì)網(wǎng)絡(luò)信息安全的高度重視，每年通過(guò)組織護(hù)網(wǎng)行動(dòng)，檢驗(yàn)各機(jī)關(guān)、企事業(yè)單位等網(wǎng)絡(luò)安全防護(hù)水平，極大促進(jìn)了網(wǎng)絡(luò)安全管理的發(fā)展。另一方面通過(guò)攻擊隊(duì)的攻擊滲透也暴露了各單位網(wǎng)絡(luò)安全方面的薄弱環(huán)節(jié)。油品銷(xiāo)售企業(yè)的加油站數(shù)量多、分布廣，網(wǎng)絡(luò)接入技術(shù)多樣，防護(hù)能力弱，容易攻擊滲透。在2019年護(hù)網(wǎng)期間，就有攻擊隊(duì)嘗試了利用社工進(jìn)入加油站辦公區(qū)進(jìn)行滲透活動(dòng)。另外從實(shí)際環(huán)境來(lái)看，加油站出現(xiàn)加油卡欺騙、篡改系統(tǒng)數(shù)據(jù)套取資金的安全事件，對(duì)企業(yè)經(jīng)營(yíng)管理、資金監(jiān)管存在嚴(yán)重威脅，解決加油站網(wǎng)絡(luò)安全問(wèn)題已經(jīng)刻不容緩。

由于加油站點(diǎn)多、位置分散，管理難度大，員工網(wǎng)絡(luò)安全意識(shí)淡薄，做好網(wǎng)絡(luò)防護(hù)絕非易事，需要技術(shù)與管理并重，雙管齊下，加大安全技術(shù)投入方能取得好的效果。以下從物理安全、軟件和設(shè)備安全、管理安全三個(gè)方面分析加油站網(wǎng)絡(luò)安全現(xiàn)狀分析和原因，并在對(duì)加油站網(wǎng)絡(luò)安全加固方面進(jìn)行探索。

1 加油站物理安全現(xiàn)狀分析

1.1 加油站通訊鏈路存在風(fēng)險(xiǎn)

目前有些加油站到企業(yè)中心機(jī)房的通訊線(xiàn)路大部分由通訊運(yùn)營(yíng)商全權(quán)代理，鏈路的vlan劃分、數(shù)據(jù)加密方式、ip擴(kuò)容、網(wǎng)絡(luò)配置等全都依賴(lài)于運(yùn)營(yíng)商，形成對(duì)運(yùn)營(yíng)商絕對(duì)信任的網(wǎng)絡(luò)安全現(xiàn)狀。然而三大通訊運(yùn)營(yíng)商的網(wǎng)絡(luò)施工、配置業(yè)務(wù)部分是外包給其他企業(yè)，施工隊(duì)伍技術(shù)水平參差不齊，人員流動(dòng)性也很大，不僅不方便對(duì)加油站進(jìn)行網(wǎng)絡(luò)管理，而且電信運(yùn)營(yíng)商運(yùn)維人員掌握油站的網(wǎng)絡(luò)配置信息，可以隨意接入企業(yè)內(nèi)網(wǎng)，不利于油站網(wǎng)絡(luò)安全，存在較大風(fēng)險(xiǎn)。

1.2 無(wú)線(xiàn)AP接入安全防護(hù)不足

由于業(yè)務(wù)的擴(kuò)展，加油站配備了很多無(wú)線(xiàn)接入設(shè)備如無(wú)線(xiàn)POS機(jī)、無(wú)線(xiàn)盤(pán)點(diǎn)機(jī)、無(wú)線(xiàn)圈存機(jī)等，因此很多油站安裝了內(nèi)網(wǎng)AP。但AP防護(hù)難度大，使用wifi密碼破解工具就可以輕而易舉的掃描出用戶(hù)密碼，即使綁定了mac地址，也能被偽造mac地址欺騙。另外有些油站為方便客戶(hù)購(gòu)物支付及產(chǎn)品宣傳，提供了掃碼wifi，用戶(hù)通過(guò)手機(jī)掃描進(jìn)入加油站網(wǎng)絡(luò)瀏覽商品、下單支付，也帶來(lái)了一定的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。

1.3 交換機(jī)接口保護(hù)不足

加油站應(yīng)用多，接入點(diǎn)多且變化頻繁，接入設(shè)備不僅有電腦主機(jī)，還有網(wǎng)絡(luò)加油機(jī)、網(wǎng)絡(luò)攝像頭、無(wú)線(xiàn)AP、液位儀設(shè)備、發(fā)卡機(jī)、圈存機(jī)等等，操作系統(tǒng)既有windows，也有l(wèi)inux。為了方便項(xiàng)目實(shí)施和設(shè)備接入，大多加油站沒(méi)有配備防火墻和做防護(hù)策略，交換機(jī)大都未對(duì)接入交換機(jī)做端口保護(hù)，也就是只要在加油站的接入交換機(jī)插上網(wǎng)線(xiàn)和配置IP地址，就可以進(jìn)入加油站網(wǎng)絡(luò)。

1.4 內(nèi)外網(wǎng)不分離

加油站普遍安裝了互聯(lián)網(wǎng)寬帶，在油站檢查時(shí)發(fā)現(xiàn)加油站使用辦公電腦或發(fā)卡發(fā)票電腦連接互聯(lián)網(wǎng)寬帶，這些電腦既聯(lián)外網(wǎng)又聯(lián)內(nèi)網(wǎng)。加油站員工在訪(fǎng)問(wèn)一些互聯(lián)網(wǎng)站點(diǎn)時(shí)，極容易下載安裝木馬，致使電腦成為黑客的肉雞，威脅內(nèi)網(wǎng)安全。

2 加油站軟件和設(shè)備安全現(xiàn)狀分析

2.1 設(shè)備性能不足，操作系統(tǒng)版本低，補(bǔ)丁更新不及時(shí)

加油站數(shù)量眾多，設(shè)備更新投入大，因此還有不少使用了10年以上的電腦，這部分電腦由于內(nèi)存小、硬盤(pán)老化，安裝桌面安全系統(tǒng)和殺毒軟件后運(yùn)行速度緩慢，無(wú)法進(jìn)行正常的業(yè)務(wù)操作，因此有部分電腦并未安裝桌面安全系統(tǒng)和殺毒軟件，無(wú)法通過(guò)桌面安全更新系統(tǒng)補(bǔ)丁。沒(méi)有安裝殺毒軟件又存在高危漏洞，極容易被感染病毒和木馬，威脅整個(gè)網(wǎng)絡(luò)安全。

2.2 網(wǎng)絡(luò)設(shè)備存在的風(fēng)險(xiǎn)因素

隨著業(yè)務(wù)多樣化，為適應(yīng)4G和5G時(shí)代的管理和營(yíng)銷(xiāo)要求，各種設(shè)備也在朝著網(wǎng)絡(luò)化的方向改進(jìn)，使用舊式的串口通訊方式的設(shè)備逐漸被淘汰，取而代之的直接通過(guò)以太網(wǎng)、4G和5G接入網(wǎng)絡(luò)主干網(wǎng)各種設(shè)備如網(wǎng)絡(luò)加油機(jī)、網(wǎng)絡(luò)攝像頭、網(wǎng)絡(luò)液位儀、網(wǎng)絡(luò)POS機(jī)等。設(shè)備網(wǎng)絡(luò)化在為系統(tǒng)實(shí)施、設(shè)備管理帶來(lái)了靈活變利的同時(shí)，也給網(wǎng)絡(luò)帶來(lái)一定的風(fēng)險(xiǎn)。如網(wǎng)絡(luò)加油機(jī)通過(guò)私有協(xié)議控制油機(jī)出油和計(jì)數(shù)，在封閉的串口通訊也許不存在問(wèn)題，但通過(guò)IP、端口進(jìn)行控制管理設(shè)備，油機(jī)設(shè)備就會(huì)暴露在網(wǎng)絡(luò)中，就有被挖掘漏洞、破解和滲透的可能，幾年前?？禂z像頭密碼事件就是很典型的例子。

3 加油站管理安全現(xiàn)狀分析

3.1 準(zhǔn)入系統(tǒng)的局限

油品銷(xiāo)售企業(yè)實(shí)施網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)，在機(jī)關(guān)大樓和各油庫(kù)、區(qū)域公司采用MVG模式，取得了良好的效果，保護(hù)到了每個(gè)接入點(diǎn)。然而加油站的終端設(shè)備類(lèi)型非常多，有網(wǎng)絡(luò)攝像頭、液位儀控制器、加油卡圈存機(jī)、網(wǎng)絡(luò)加油機(jī)等，而且設(shè)備更換頻繁。如果采用MVG模式部署準(zhǔn)入系統(tǒng)，需要管理大量的白名單數(shù)據(jù)，手動(dòng)添加信任，而且還有運(yùn)行l(wèi)inux終端的設(shè)備，準(zhǔn)入系統(tǒng)體現(xiàn)出了局限性。因此一般都采取策略路由模式，僅保護(hù)訪(fǎng)問(wèn)的行為(如訪(fǎng)問(wèn)OA系統(tǒng)、加油卡服務(wù)器等)，但并未真正保護(hù)到加油站里的網(wǎng)絡(luò)設(shè)備，而且不經(jīng)準(zhǔn)入仍然可以訪(fǎng)問(wèn)未設(shè)定保護(hù)的遠(yuǎn)程服務(wù)器和主機(jī)。

3.2 員工網(wǎng)絡(luò)安全意識(shí)淡薄，警覺(jué)性不高

由于網(wǎng)絡(luò)安全宣傳不到位，對(duì)加油站員工網(wǎng)絡(luò)安全教育不夠，員工的網(wǎng)絡(luò)安全意識(shí)淡薄、警覺(jué)性不高。有些員工為圖工作方便將密碼透露給他人，密碼設(shè)置簡(jiǎn)單、密碼記錄在顯眼的位置或貼在屏幕上，在公共場(chǎng)所輸入密碼時(shí)未進(jìn)行遮擋，下班或中途離開(kāi)未注銷(xiāo)登錄等等。密碼泄露是網(wǎng)絡(luò)安全事件中較為嚴(yán)重的情況，攻擊者通過(guò)合法的途徑進(jìn)入系統(tǒng)、攻擊網(wǎng)絡(luò)，可以繞過(guò)ips、ids防御檢測(cè)，防火墻和系統(tǒng)日志也不會(huì)發(fā)出警報(bào)，長(zhǎng)期侵害系統(tǒng)和網(wǎng)絡(luò)，危害較大。還有些員工使用不安全的U盤(pán)且使用前未掃描病毒，隨意下載安裝不明軟件致使大面積主機(jī)中病毒木馬。

加油站員工的警覺(jué)性不高，容易遭受社工攻擊。有些員工接到電話(huà)，只要對(duì)方聲稱(chēng)是信息部門(mén)人員或運(yùn)維人員，往往不經(jīng)核實(shí)就按對(duì)方要求提供用戶(hù)密碼，開(kāi)啟遠(yuǎn)程桌面，配合操作。

3.3 對(duì)運(yùn)維人員、外部人員管理不嚴(yán)格

有些加油站未制訂系統(tǒng)網(wǎng)絡(luò)運(yùn)維人員、外部人員進(jìn)站維修、施工方面的管理制度。外部人員未經(jīng)授權(quán)就可以進(jìn)入加油站辦公區(qū)，未對(duì)入場(chǎng)人員進(jìn)行身份核實(shí)，實(shí)施過(guò)程也沒(méi)有專(zhuān)人監(jiān)督。甚至有些小站，當(dāng)班員工少，都在場(chǎng)外進(jìn)行加油服務(wù)，外來(lái)人員可以隨意進(jìn)入辦公區(qū)而無(wú)人過(guò)問(wèn)。如果黑客有意攻擊，這些加油站就成了良好的攻擊場(chǎng)所。

4 加油站網(wǎng)絡(luò)安全加固策略

(1)改變通訊線(xiàn)路配置模式，令安全配置完全可控。某公司在這方面積極探索，取得了很好的成效。該公司通訊運(yùn)營(yíng)商原有加油站網(wǎng)絡(luò)接入方式為mpls-vpn，網(wǎng)關(guān)配置在運(yùn)營(yíng)商設(shè)備上，網(wǎng)絡(luò)配置等全都依賴(lài)于運(yùn)營(yíng)商，極不方便也不安全。因此，將加油站網(wǎng)絡(luò)接入方式改為ipran，在加油站增加自己的路由器設(shè)備作為加油站網(wǎng)關(guān)設(shè)備，運(yùn)營(yíng)商只負(fù)責(zé)透明傳輸，所有網(wǎng)絡(luò)配置都在該公司的網(wǎng)絡(luò)設(shè)備上，經(jīng)過(guò)加密后，運(yùn)維商無(wú)法獲取到真實(shí)的傳輸內(nèi)容，也無(wú)法更改網(wǎng)絡(luò)配置，不僅解決了加油站網(wǎng)絡(luò)管理方便性的問(wèn)題，也提高了網(wǎng)絡(luò)安全性，更能在加油站路由器上新增一條4g備份鏈路，保障了油站網(wǎng)絡(luò)健壯性和業(yè)務(wù)的可持續(xù)性。

(2)加大對(duì)接入點(diǎn)的保護(hù)，關(guān)閉交換機(jī)未啟用的端口，對(duì)加油站準(zhǔn)入控制逐步由策略路由模式替換為MVG模式，對(duì)非windows終端設(shè)備逐個(gè)添加信任，利用準(zhǔn)入系統(tǒng)的防護(hù)功能將設(shè)備與交換機(jī)端口綁定，這樣即使網(wǎng)線(xiàn)被接到攻擊者的電腦，因設(shè)備身份與注冊(cè)身份不一致，也進(jìn)入不了內(nèi)網(wǎng)。

(3)如果AP防范能力不足，可以考慮撤銷(xiāo)加油站內(nèi)網(wǎng)AP，使用專(zhuān)用的物聯(lián)網(wǎng)4G或5G卡進(jìn)行移動(dòng)應(yīng)用。內(nèi)外網(wǎng)完全分離，內(nèi)網(wǎng)的辦公電腦、業(yè)務(wù)電腦、重要設(shè)備嚴(yán)格限制不能訪(fǎng)問(wèn)互聯(lián)網(wǎng)。細(xì)化中心防火墻策略和站級(jí)防火墻策略，限制加油站網(wǎng)絡(luò)僅能訪(fǎng)問(wèn)各系統(tǒng)應(yīng)用服務(wù)器的特定IP及端口(如視頻監(jiān)控設(shè)備僅能訪(fǎng)問(wèn)視頻監(jiān)控服務(wù)器的IP及專(zhuān)有端口)，保護(hù)數(shù)據(jù)庫(kù)服務(wù)器不被攻擊，限制高危端口如445、135-139等，防止病毒蔓延。

(4) 加強(qiáng)系統(tǒng)實(shí)施的管理，規(guī)范實(shí)施流程，及時(shí)清理敏感信息。項(xiàng)目實(shí)施人員對(duì)新系統(tǒng)的安裝實(shí)施往往為了快速部署、快速排查問(wèn)題，多未按網(wǎng)絡(luò)安全的流程進(jìn)行規(guī)范操作，特別是時(shí)間緊，網(wǎng)點(diǎn)多，配置繁瑣的項(xiàng)目，而且密碼掌握在運(yùn)維人員手中，存在較大風(fēng)險(xiǎn)。應(yīng)在安裝試運(yùn)行后就要及時(shí)設(shè)置復(fù)雜密碼和清理敏感文件，要完善系統(tǒng)運(yùn)維功能，盡量不讓運(yùn)維人員登錄操作系統(tǒng)和數(shù)據(jù)庫(kù)，在系統(tǒng)應(yīng)用界面提供故障處理功能。

(5) 制訂加油站網(wǎng)絡(luò)運(yùn)維人員、外部人員進(jìn)站或遠(yuǎn)程運(yùn)維相關(guān)管理制度，防止社工攻擊。制度應(yīng)涵蓋授權(quán)規(guī)定、運(yùn)維規(guī)定、驗(yàn)收規(guī)定、身份驗(yàn)證規(guī)定等。為了方便管理，可以通過(guò)開(kāi)發(fā)運(yùn)維系統(tǒng)，動(dòng)態(tài)掃描鑒定身份和維修內(nèi)容。對(duì)于遠(yuǎn)程運(yùn)維的身份鑒定，可以采取固話(huà)號(hào)碼鑒定、遠(yuǎn)程視頻、遠(yuǎn)程指紋等方式進(jìn)行確認(rèn)。

(6) 加大網(wǎng)絡(luò)安全宣傳、培訓(xùn)、檢查、考核力度。加油站對(duì)網(wǎng)絡(luò)安全管理遠(yuǎn)遠(yuǎn)達(dá)不到傳統(tǒng)安全管理的重視程度。應(yīng)充分履行網(wǎng)絡(luò)安全職責(zé)，一是要通過(guò)安全講座、網(wǎng)絡(luò)安全視頻教程、網(wǎng)絡(luò)安全宣傳海報(bào)大力宣傳網(wǎng)絡(luò)安全的重要性；二是對(duì)入職員工進(jìn)行網(wǎng)絡(luò)安全培訓(xùn)、考評(píng)；三是按HSSE管理要求擬定網(wǎng)絡(luò)安全管理檢查細(xì)則，納入站長(zhǎng)、片區(qū)經(jīng)理、區(qū)域公司的各級(jí)管理人員巡檢范圍；四是業(yè)績(jī)考核加入或加大網(wǎng)絡(luò)安全考核比重。

5 結(jié)語(yǔ)

近年來(lái)油品銷(xiāo)售企業(yè)加大網(wǎng)絡(luò)安全投入，上線(xiàn)了堡壘機(jī)、漏掃系統(tǒng)、桌面安全系統(tǒng)、360防病毒系統(tǒng)、準(zhǔn)入控制系統(tǒng)、G01系統(tǒng)等網(wǎng)絡(luò)安全產(chǎn)品，統(tǒng)一了互聯(lián)網(wǎng)出口，梳理和管控互聯(lián)網(wǎng)應(yīng)用，組織信息安全水平評(píng)價(jià)、護(hù)網(wǎng)行動(dòng)、網(wǎng)絡(luò)攻防比武等活動(dòng)，使得企業(yè)的主干網(wǎng)絡(luò)、機(jī)房服務(wù)器安全防護(hù)水平有了質(zhì)的提升，然而加油站的網(wǎng)絡(luò)安全狀況并未得到很大改善。網(wǎng)絡(luò)信息安全是全方位的，依據(jù)木桶原理，所有防御點(diǎn)都必須做到滴水不漏。加油站在整個(gè)防御體系是最為薄弱的環(huán)節(jié)，黑客從加油站進(jìn)行突破攻陷，有可能造成防御體系的土崩瓦解，中心防護(hù)的再好也徒然，因此加固加油站網(wǎng)絡(luò)安全防護(hù)已經(jīng)迫在眉睫。