關于加油站網絡安全的現狀分析和加固的探索

馮 維

(中國石化海南石油分公司，海南 ?？?570203)

近年來國家對網絡信息安全的高度重視，每年通過組織護網行動，檢驗各機關、企事業單位等網絡安全防護水平，極大促進了網絡安全管理的發展。另一方面通過攻擊隊的攻擊滲透也暴露了各單位網絡安全方面的薄弱環節。油品銷售企業的加油站數量多、分布廣，網絡接入技術多樣，防護能力弱，容易攻擊滲透。在2019年護網期間，就有攻擊隊嘗試了利用社工進入加油站辦公區進行滲透活動。另外從實際環境來看，加油站出現加油卡欺騙、篡改系統數據套取資金的安全事件，對企業經營管理、資金監管存在嚴重威脅，解決加油站網絡安全問題已經刻不容緩。

由于加油站點多、位置分散，管理難度大，員工網絡安全意識淡薄，做好網絡防護絕非易事，需要技術與管理并重，雙管齊下，加大安全技術投入方能取得好的效果。以下從物理安全、軟件和設備安全、管理安全三個方面分析加油站網絡安全現狀分析和原因，并在對加油站網絡安全加固方面進行探索。

1 加油站物理安全現狀分析

1.1 加油站通訊鏈路存在風險

目前有些加油站到企業中心機房的通訊線路大部分由通訊運營商全權代理，鏈路的vlan劃分、數據加密方式、ip擴容、網絡配置等全都依賴于運營商，形成對運營商絕對信任的網絡安全現狀。然而三大通訊運營商的網絡施工、配置業務部分是外包給其他企業，施工隊伍技術水平參差不齊，人員流動性也很大，不僅不方便對加油站進行網絡管理，而且電信運營商運維人員掌握油站的網絡配置信息，可以隨意接入企業內網，不利于油站網絡安全，存在較大風險。

1.2 無線AP接入安全防護不足

由于業務的擴展，加油站配備了很多無線接入設備如無線POS機、無線盤點機、無線圈存機等，因此很多油站安裝了內網AP。但AP防護難度大，使用wifi密碼破解工具就可以輕而易舉的掃描出用戶密碼，即使綁定了mac地址，也能被偽造mac地址欺騙。另外有些油站為方便客戶購物支付及產品宣傳，提供了掃碼wifi，用戶通過手機掃描進入加油站網絡瀏覽商品、下單支付，也帶來了一定的網絡安全風險。

1.3 交換機接口保護不足

加油站應用多，接入點多且變化頻繁，接入設備不僅有電腦主機，還有網絡加油機、網絡攝像頭、無線AP、液位儀設備、發卡機、圈存機等等，操作系統既有windows，也有linux。為了方便項目實施和設備接入，大多加油站沒有配備防火墻和做防護策略，交換機大都未對接入交換機做端口保護，也就是只要在加油站的接入交換機插上網線和配置IP地址，就可以進入加油站網絡。

1.4 內外網不分離

加油站普遍安裝了互聯網寬帶，在油站檢查時發現加油站使用辦公電腦或發卡發票電腦連接互聯網寬帶，這些電腦既聯外網又聯內網。加油站員工在訪問一些互聯網站點時，極容易下載安裝木馬，致使電腦成為黑客的肉雞，威脅內網安全。

2 加油站軟件和設備安全現狀分析

2.1 設備性能不足，操作系統版本低，補丁更新不及時

加油站數量眾多，設備更新投入大，因此還有不少使用了10年以上的電腦，這部分電腦由于內存小、硬盤老化，安裝桌面安全系統和殺毒軟件后運行速度緩慢，無法進行正常的業務操作，因此有部分電腦并未安裝桌面安全系統和殺毒軟件，無法通過桌面安全更新系統補丁。沒有安裝殺毒軟件又存在高危漏洞，極容易被感染病毒和木馬，威脅整個網絡安全。

2.2 網絡設備存在的風險因素

隨著業務多樣化，為適應4G和5G時代的管理和營銷要求，各種設備也在朝著網絡化的方向改進，使用舊式的串口通訊方式的設備逐漸被淘汰，取而代之的直接通過以太網、4G和5G接入網絡主干網各種設備如網絡加油機、網絡攝像頭、網絡液位儀、網絡POS機等。設備網絡化在為系統實施、設備管理帶來了靈活變利的同時，也給網絡帶來一定的風險。如網絡加油機通過私有協議控制油機出油和計數，在封閉的串口通訊也許不存在問題，但通過IP、端口進行控制管理設備，油機設備就會暴露在網絡中，就有被挖掘漏洞、破解和滲透的可能，幾年前?？禂z像頭密碼事件就是很典型的例子。

3 加油站管理安全現狀分析

3.1 準入系統的局限

油品銷售企業實施網絡準入控制系統，在機關大樓和各油庫、區域公司采用MVG模式，取得了良好的效果，保護到了每個接入點。然而加油站的終端設備類型非常多，有網絡攝像頭、液位儀控制器、加油卡圈存機、網絡加油機等，而且設備更換頻繁。如果采用MVG模式部署準入系統，需要管理大量的白名單數據，手動添加信任，而且還有運行linux終端的設備，準入系統體現出了局限性。因此一般都采取策略路由模式，僅保護訪問的行為(如訪問OA系統、加油卡服務器等)，但并未真正保護到加油站里的網絡設備，而且不經準入仍然可以訪問未設定保護的遠程服務器和主機。

3.2 員工網絡安全意識淡薄，警覺性不高

由于網絡安全宣傳不到位，對加油站員工網絡安全教育不夠，員工的網絡安全意識淡薄、警覺性不高。有些員工為圖工作方便將密碼透露給他人，密碼設置簡單、密碼記錄在顯眼的位置或貼在屏幕上，在公共場所輸入密碼時未進行遮擋，下班或中途離開未注銷登錄等等。密碼泄露是網絡安全事件中較為嚴重的情況，攻擊者通過合法的途徑進入系統、攻擊網絡，可以繞過ips、ids防御檢測，防火墻和系統日志也不會發出警報，長期侵害系統和網絡，危害較大。還有些員工使用不安全的U盤且使用前未掃描病毒，隨意下載安裝不明軟件致使大面積主機中病毒木馬。

加油站員工的警覺性不高，容易遭受社工攻擊。有些員工接到電話，只要對方聲稱是信息部門人員或運維人員，往往不經核實就按對方要求提供用戶密碼，開啟遠程桌面，配合操作。

3.3 對運維人員、外部人員管理不嚴格

有些加油站未制訂系統網絡運維人員、外部人員進站維修、施工方面的管理制度。外部人員未經授權就可以進入加油站辦公區，未對入場人員進行身份核實，實施過程也沒有專人監督。甚至有些小站，當班員工少，都在場外進行加油服務，外來人員可以隨意進入辦公區而無人過問。如果黑客有意攻擊，這些加油站就成了良好的攻擊場所。

4 加油站網絡安全加固策略

(1)改變通訊線路配置模式，令安全配置完全可控。某公司在這方面積極探索，取得了很好的成效。該公司通訊運營商原有加油站網絡接入方式為mpls-vpn，網關配置在運營商設備上，網絡配置等全都依賴于運營商，極不方便也不安全。因此，將加油站網絡接入方式改為ipran，在加油站增加自己的路由器設備作為加油站網關設備，運營商只負責透明傳輸，所有網絡配置都在該公司的網絡設備上，經過加密后，運維商無法獲取到真實的傳輸內容，也無法更改網絡配置，不僅解決了加油站網絡管理方便性的問題，也提高了網絡安全性，更能在加油站路由器上新增一條4g備份鏈路，保障了油站網絡健壯性和業務的可持續性。

(2)加大對接入點的保護，關閉交換機未啟用的端口，對加油站準入控制逐步由策略路由模式替換為MVG模式，對非windows終端設備逐個添加信任，利用準入系統的防護功能將設備與交換機端口綁定，這樣即使網線被接到攻擊者的電腦，因設備身份與注冊身份不一致，也進入不了內網。

(3)如果AP防范能力不足，可以考慮撤銷加油站內網AP，使用專用的物聯網4G或5G卡進行移動應用。內外網完全分離，內網的辦公電腦、業務電腦、重要設備嚴格限制不能訪問互聯網。細化中心防火墻策略和站級防火墻策略，限制加油站網絡僅能訪問各系統應用服務器的特定IP及端口(如視頻監控設備僅能訪問視頻監控服務器的IP及專有端口)，保護數據庫服務器不被攻擊，限制高危端口如445、135-139等，防止病毒蔓延。

(4) 加強系統實施的管理，規范實施流程，及時清理敏感信息。項目實施人員對新系統的安裝實施往往為了快速部署、快速排查問題，多未按網絡安全的流程進行規范操作，特別是時間緊，網點多，配置繁瑣的項目，而且密碼掌握在運維人員手中，存在較大風險。應在安裝試運行后就要及時設置復雜密碼和清理敏感文件，要完善系統運維功能，盡量不讓運維人員登錄操作系統和數據庫，在系統應用界面提供故障處理功能。

(5) 制訂加油站網絡運維人員、外部人員進站或遠程運維相關管理制度，防止社工攻擊。制度應涵蓋授權規定、運維規定、驗收規定、身份驗證規定等。為了方便管理，可以通過開發運維系統，動態掃描鑒定身份和維修內容。對于遠程運維的身份鑒定，可以采取固話號碼鑒定、遠程視頻、遠程指紋等方式進行確認。

(6) 加大網絡安全宣傳、培訓、檢查、考核力度。加油站對網絡安全管理遠遠達不到傳統安全管理的重視程度。應充分履行網絡安全職責，一是要通過安全講座、網絡安全視頻教程、網絡安全宣傳海報大力宣傳網絡安全的重要性；二是對入職員工進行網絡安全培訓、考評；三是按HSSE管理要求擬定網絡安全管理檢查細則，納入站長、片區經理、區域公司的各級管理人員巡檢范圍；四是業績考核加入或加大網絡安全考核比重。

5 結語

近年來油品銷售企業加大網絡安全投入，上線了堡壘機、漏掃系統、桌面安全系統、360防病毒系統、準入控制系統、G01系統等網絡安全產品，統一了互聯網出口，梳理和管控互聯網應用，組織信息安全水平評價、護網行動、網絡攻防比武等活動，使得企業的主干網絡、機房服務器安全防護水平有了質的提升，然而加油站的網絡安全狀況并未得到很大改善。網絡信息安全是全方位的，依據木桶原理，所有防御點都必須做到滴水不漏。加油站在整個防御體系是最為薄弱的環節，黑客從加油站進行突破攻陷，有可能造成防御體系的土崩瓦解，中心防護的再好也徒然，因此加固加油站網絡安全防護已經迫在眉睫。