冯 维
(中国石化海南石油分公司,海南 海口 570203)
近年来国家对网络信息安全的高度重视,每年通过组织护网行动,检验各机关、企事业单位等网络安全防护水平,极大促进了网络安全管理的发展。另一方面通过攻击队的攻击渗透也暴露了各单位网络安全方面的薄弱环节。油品销售企业的加油站数量多、分布广,网络接入技术多样,防护能力弱,容易攻击渗透。在2019年护网期间,就有攻击队尝试了利用社工进入加油站办公区进行渗透活动。另外从实际环境来看,加油站出现加油卡欺骗、篡改系统数据套取资金的安全事件,对企业经营管理、资金监管存在严重威胁,解决加油站网络安全问题已经刻不容缓。
由于加油站点多、位置分散,管理难度大,员工网络安全意识淡薄,做好网络防护绝非易事,需要技术与管理并重,双管齐下,加大安全技术投入方能取得好的效果。以下从物理安全、软件和设备安全、管理安全三个方面分析加油站网络安全现状分析和原因,并在对加油站网络安全加固方面进行探索。
目前有些加油站到企业中心机房的通讯线路大部分由通讯运营商全权代理,链路的vlan划分、数据加密方式、ip扩容、网络配置等全都依赖于运营商,形成对运营商绝对信任的网络安全现状。然而三大通讯运营商的网络施工、配置业务部分是外包给其他企业,施工队伍技术水平参差不齐,人员流动性也很大,不仅不方便对加油站进行网络管理,而且电信运营商运维人员掌握油站的网络配置信息,可以随意接入企业内网,不利于油站网络安全,存在较大风险。
由于业务的扩展,加油站配备了很多无线接入设备如无线POS机、无线盘点机、无线圈存机等,因此很多油站安装了内网AP。但AP防护难度大,使用wifi密码破解工具就可以轻而易举的扫描出用户密码,即使绑定了mac地址,也能被伪造mac地址欺骗。另外有些油站为方便客户购物支付及产品宣传,提供了扫码wifi,用户通过手机扫描进入加油站网络浏览商品、下单支付,也带来了一定的网络安全风险。
加油站应用多,接入点多且变化频繁,接入设备不仅有电脑主机,还有网络加油机、网络摄像头、无线AP、液位仪设备、发卡机、圈存机等等,操作系统既有windows,也有linux。为了方便项目实施和设备接入,大多加油站没有配备防火墙和做防护策略,交换机大都未对接入交换机做端口保护,也就是只要在加油站的接入交换机插上网线和配置IP地址,就可以进入加油站网络。
加油站普遍安装了互联网宽带,在油站检查时发现加油站使用办公电脑或发卡发票电脑连接互联网宽带,这些电脑既联外网又联内网。加油站员工在访问一些互联网站点时,极容易下载安装木马,致使电脑成为黑客的肉鸡,威胁内网安全。
加油站数量众多,设备更新投入大,因此还有不少使用了10年以上的电脑,这部分电脑由于内存小、硬盘老化,安装桌面安全系统和杀毒软件后运行速度缓慢,无法进行正常的业务操作,因此有部分电脑并未安装桌面安全系统和杀毒软件,无法通过桌面安全更新系统补丁。没有安装杀毒软件又存在高危漏洞,极容易被感染病毒和木马,威胁整个网络安全。
随着业务多样化,为适应4G和5G时代的管理和营销要求,各种设备也在朝着网络化的方向改进,使用旧式的串口通讯方式的设备逐渐被淘汰,取而代之的直接通过以太网、4G和5G接入网络主干网各种设备如网络加油机、网络摄像头、网络液位仪、网络POS机等。设备网络化在为系统实施、设备管理带来了灵活变利的同时,也给网络带来一定的风险。如网络加油机通过私有协议控制油机出油和计数,在封闭的串口通讯也许不存在问题,但通过IP、端口进行控制管理设备,油机设备就会暴露在网络中,就有被挖掘漏洞、破解和渗透的可能,几年前海康摄像头密码事件就是很典型的例子。
油品销售企业实施网络准入控制系统,在机关大楼和各油库、区域公司采用MVG模式,取得了良好的效果,保护到了每个接入点。然而加油站的终端设备类型非常多,有网络摄像头、液位仪控制器、加油卡圈存机、网络加油机等,而且设备更换频繁。如果采用MVG模式部署准入系统,需要管理大量的白名单数据,手动添加信任,而且还有运行linux终端的设备,准入系统体现出了局限性。因此一般都采取策略路由模式,仅保护访问的行为(如访问OA系统、加油卡服务器等),但并未真正保护到加油站里的网络设备,而且不经准入仍然可以访问未设定保护的远程服务器和主机。
由于网络安全宣传不到位,对加油站员工网络安全教育不够,员工的网络安全意识淡薄、警觉性不高。有些员工为图工作方便将密码透露给他人,密码设置简单、密码记录在显眼的位置或贴在屏幕上,在公共场所输入密码时未进行遮挡,下班或中途离开未注销登录等等。密码泄露是网络安全事件中较为严重的情况,攻击者通过合法的途径进入系统、攻击网络,可以绕过ips、ids防御检测,防火墙和系统日志也不会发出警报,长期侵害系统和网络,危害较大。还有些员工使用不安全的U盘且使用前未扫描病毒,随意下载安装不明软件致使大面积主机中病毒木马。
加油站员工的警觉性不高,容易遭受社工攻击。有些员工接到电话,只要对方声称是信息部门人员或运维人员,往往不经核实就按对方要求提供用户密码,开启远程桌面,配合操作。
有些加油站未制订系统网络运维人员、外部人员进站维修、施工方面的管理制度。外部人员未经授权就可以进入加油站办公区,未对入场人员进行身份核实,实施过程也没有专人监督。甚至有些小站,当班员工少,都在场外进行加油服务,外来人员可以随意进入办公区而无人过问。如果黑客有意攻击,这些加油站就成了良好的攻击场所。
(1)改变通讯线路配置模式,令安全配置完全可控。某公司在这方面积极探索,取得了很好的成效。该公司通讯运营商原有加油站网络接入方式为mpls-vpn,网关配置在运营商设备上,网络配置等全都依赖于运营商,极不方便也不安全。因此,将加油站网络接入方式改为ipran,在加油站增加自己的路由器设备作为加油站网关设备,运营商只负责透明传输,所有网络配置都在该公司的网络设备上,经过加密后,运维商无法获取到真实的传输内容,也无法更改网络配置,不仅解决了加油站网络管理方便性的问题,也提高了网络安全性,更能在加油站路由器上新增一条4g备份链路,保障了油站网络健壮性和业务的可持续性。
(2)加大对接入点的保护,关闭交换机未启用的端口,对加油站准入控制逐步由策略路由模式替换为MVG模式,对非windows终端设备逐个添加信任,利用准入系统的防护功能将设备与交换机端口绑定,这样即使网线被接到攻击者的电脑,因设备身份与注册身份不一致,也进入不了内网。
(3)如果AP防范能力不足,可以考虑撤销加油站内网AP,使用专用的物联网4G或5G卡进行移动应用。内外网完全分离,内网的办公电脑、业务电脑、重要设备严格限制不能访问互联网。细化中心防火墙策略和站级防火墙策略,限制加油站网络仅能访问各系统应用服务器的特定IP及端口(如视频监控设备仅能访问视频监控服务器的IP及专有端口),保护数据库服务器不被攻击,限制高危端口如445、135-139等,防止病毒蔓延。
(4) 加强系统实施的管理,规范实施流程,及时清理敏感信息。项目实施人员对新系统的安装实施往往为了快速部署、快速排查问题,多未按网络安全的流程进行规范操作,特别是时间紧,网点多,配置繁琐的项目,而且密码掌握在运维人员手中,存在较大风险。应在安装试运行后就要及时设置复杂密码和清理敏感文件,要完善系统运维功能,尽量不让运维人员登录操作系统和数据库,在系统应用界面提供故障处理功能。
(5) 制订加油站网络运维人员、外部人员进站或远程运维相关管理制度,防止社工攻击。制度应涵盖授权规定、运维规定、验收规定、身份验证规定等。为了方便管理,可以通过开发运维系统,动态扫描鉴定身份和维修内容。对于远程运维的身份鉴定,可以采取固话号码鉴定、远程视频、远程指纹等方式进行确认。
(6) 加大网络安全宣传、培训、检查、考核力度。加油站对网络安全管理远远达不到传统安全管理的重视程度。应充分履行网络安全职责,一是要通过安全讲座、网络安全视频教程、网络安全宣传海报大力宣传网络安全的重要性;二是对入职员工进行网络安全培训、考评;三是按HSSE管理要求拟定网络安全管理检查细则,纳入站长、片区经理、区域公司的各级管理人员巡检范围;四是业绩考核加入或加大网络安全考核比重。
近年来油品销售企业加大网络安全投入,上线了堡垒机、漏扫系统、桌面安全系统、360防病毒系统、准入控制系统、G01系统等网络安全产品,统一了互联网出口,梳理和管控互联网应用,组织信息安全水平评价、护网行动、网络攻防比武等活动,使得企业的主干网络、机房服务器安全防护水平有了质的提升,然而加油站的网络安全状况并未得到很大改善。网络信息安全是全方位的,依据木桶原理,所有防御点都必须做到滴水不漏。加油站在整个防御体系是最为薄弱的环节,黑客从加油站进行突破攻陷,有可能造成防御体系的土崩瓦解,中心防护的再好也徒然,因此加固加油站网络安全防护已经迫在眉睫。