输油管道停运对电网企业网络安全启示范文

1.美国最大输油管道停运事件回顾

1.1事件经过

科洛尼尔（ColonialPipeline）是美国最大的燃油管道运营商，成立于96年，其运营的管线全长逾55英里，途经个州，是美国最大的成品油运输管道。美国当地时间5月7日，勒索软件攻击使得科洛尼尔整个网络系统下线瘫痪，并威胁公开被窃数据以索取赎金。为此，该公司主动切断部分网络连接，暂停所有管道运营，并且支付了约5万美元的赎金。其后，该公司聘用了一家领先的第三方网络安全公司对该事件的性质和范围进行了调查，同时联系了执法部门和其他联邦机构。5月8日，美国总统拜登听取该事件的简报，并积极评估事件影响。美国政府宣布将与州和地方政府合作恢复管道运营，避免供应中断。5月9日，为减缓输油管道停摆带来的油料供应不足问题，联邦汽车运输安全管理局在总统拜登的指示下了一份“区域紧急状态声明”，对受影响的7个州和华盛顿特区给予汽油、柴油、航空燃料和其他成品油的临时运输豁免，解除对公路运输燃油的多项限制。科洛尼尔也将采取海运方式实现交付。5月日，该公司宣布重新启动输油管道，但完全恢复可能仍需要数天时间。

1.2事件影响

此次事件是已知的对美国能源基础设施的最大网络攻击，导致了许多不良后果。（）直接影响美国经济。美国东部及南部是经济发达地区，燃油供应关系到民航、汽车运营，断供油持续数天，沿线大量地区出现“多米诺骨牌”效应，引发大面积油料短缺和油价上涨。（）直接影响美国民众生活和政府公信力。燃油供应缺失直接影响居民生活，在美国政府公信度因疫情防控不当而不断降低的当前，燃油供应大范围停运会进一步加剧美国人民对于政府的质疑。（）间接影响美国国际形象。本次事件导致各国对美国政府的基础设施维护能力以及网络战防御能力产生质疑，对一向以技术发达、业务领先著称的美国国际形象造成打击。

2原因分析及暴露问题

2.1直接原因

本次幕后黑手已被确认为名叫“黑暗面”（DarkSide）的专业黑客团体。他们声称此次发动攻击的动机仅仅出于获取利润。“黑暗面”成立于年，主要通过窃取公司和机构的机密数据对受害公司勒索～万美元的赎金。至今已经袭击了8多家欧美企业，从中勒索了数百万美元。由于疫情期间科洛尼尔公司职员在家办公，远程访问了输油管道控制系统，导致远程桌面软件账户登陆信息泄漏，该组织通过植入恶意软件，控制了该公司的电脑系统，对近Gb的数据进行强行加密，并威胁公开被盗数据以索取高价赎金。为防止病毒持续扩散，该公司关闭了部分或全部工业控制系统。

2.2间接原因

私营机构的基础设施难以应对网络新技术攻击。美国大量能源基础设施是由私营机构负责建造和运营的，其中9家私营油气生产商开发了美国9％的油气井，生产5％的石油和85％的天然气，占国内生产总值的％。出于市场化的考量，私营机构往往不愿意大量投资于更新换代快、技术成本高、即时效益不明显的网络安全防护技术与设施的维护与更新，导致网络系统留下巨大的受击潜在隐患，一旦系统漏洞被外部黑客发现并利用，重要信息极易泄露。

2.3暴露问题

此次事件暴露出美国在工控系统技术安防层面仍有较大漏洞。一是未将工控系统采取物理隔离等高强度手段予以保护，相关部件存在可利用的漏洞，导致公共基础设施网络成为黑客攻击首要目标。二是缺乏应急响应措施，在关键节点被破坏时，未能够及时启动应急预案、投入备用系统。

3网络安全敲响能源企业安全警钟

近年来，全球针对能源企业的网络攻击事件多发、频发，网络攻击手段不断升级，对其安全运营造成巨大的威胁。再加上疫情在全球的蔓延，越来越多的工作需要网络远程进行，导致年以来网络攻击对能源行业的威胁尤为突出。根据国际商业机器公司的报告，年能源企业遭受的网络攻击在所有行业中升至第三位（9年为第九位）；能源也是全球工业信息安全事件第二大最频发领域。以下是历史上数次造成能源企业重大信息安全事件的网络攻击手段。（）“震网”病毒：世界上首个网络“超级破坏性武器”。“震网”首次发现于年6月，是第一个专门定向攻击真实世界中基础设施的“蠕虫”病毒。该病毒通过U盘传播，已感染全球超过5个网络，其中伊朗核设施遭到的攻击最为严重。最终摧毁伊朗浓缩铀工厂五分之一的离心机，导致核电站延迟运行。（）多种黑客手段：有史以来首次导致停电的网络攻击。5年月日，乌克兰多个区域的电力系统遭到网络攻击，造成大面积停电，电力中断～6h，约万人受到影响。本次事故中黑客采用了多种攻击手段：一是植入恶意软件“BlackEnergy”；二是发动网络攻击干扰控制系统，引起跳闸停电；三是对多家电力公司采取拒绝式服务攻击，破坏基本通信，造成远程应急救援及维修工作进展艰难。（）勒索软件：已成为发展最快、流行最广的安全隐患。近年来，勒索软件的攻击规模和频率居高不下，席卷了全球各个领域、各种规模的政府、机构和企业。网络安全行业正面临着全新的挑战出现一个价值数千万英镑的潜在勒案生态系统。随着网络犯罪成本和难度的不断提高，网络安全建设相对滞后的关键基础设施逐渐成为勒索软件攻击的重灾区。费城天普大学的一项针对全球关键基础设施的勒索软件攻击的项目指出，近两年勒索软件事件频次陡然上升，年前八个月已有起（见图）。勒案软件攻击影响比较大的有两起事件。年月，葡萄牙跨国能源公司EDP遭到RagnarLocker勒索软件袭击，攻击者窃取了Tb的敏感数据文件，向EDP索要9万美元的巨额赎金。年6月和9月，欧洲能源巨头EnelGroup分别遭到EKANS和Netwalker两次勒索软件攻击，多达5Tb数据被窃取，赎金高达万美元。随着能源企业对网络的依赖程度越来越高，网络安全已经成为影响能源行业安全的重要因素，针对能源领域的网络攻击范围广、频率高，一旦能源企业遭受网络攻击，所造成的损失和社会影响面非常之大。此外，相较于具有一定可预测性的自然灾害威胁，人为网络攻击往往来源复杂、目的各异、出其不意，具有较强隐蔽性，并且网络攻击手段也在不断变化升级，防御难度较大。

4供电企业需关注的重点问题及建议

随着各类大数据技术的应用和企业数字化转型工作的推进，新能源发电广泛接入、智能终端和电力电子设备的大量应用以及移动办公的推广，网络结构呈现出分布式、泛终端的特征，网络空间与物理世界的安全边界不断模糊。供电企业很多自建系统在建设时没有考虑到网络环境的因素，存在一些漏洞和隐患。（）建立适应边界模糊、广泛互联的新型电力系统的网络安全智能防御体系。研究运用零信任安全、拟态安全等新技术，完善网络安全防御框架，推动网络安全策略由“边界防护”向“内生安全”及“角色控制”转变，满足“内外兼顾”的网络安全保障新需求。（）需要推动建立应急响应协同处置机制。针对发生威胁电网安全运行的网络袭击事件，制定自身网络安全应急预案，明确分级分类、由点及面的断网保电措施，同时加强与能源局、网信办、公安部的协同，共同建立部级应急响应协同处置机制。

作者:李文清 肖浥青 齐晓曼 罗祾 郭乃网 单位:国网上海市电力公司电力科学研究院