美國最大輸油管道停運事件對電網(wǎng)企業(yè)網(wǎng)絡(luò)安全的啟示分析

李文清，肖浥青，齊曉曼，羅 祾，郭乃網(wǎng)

(國網(wǎng)上海市電力公司電力科學(xué)研究院，上海 200437)

1 美國最大輸油管道停運事件回顧

1.1 事件經(jīng)過

科洛尼爾(Colonial Pipeline)是美國最大的燃油管道運營商，成立于1962年，其運營的管線全長逾5 500英里，途經(jīng)12個州，是美國最大的成品油運輸管道。美國當(dāng)?shù)貢r間5月7日，勒索軟件攻擊使得科洛尼爾整個網(wǎng)絡(luò)系統(tǒng)下線癱瘓，并威脅公開被竊數(shù)據(jù)以索取贖金。為此，該公司主動切斷部分網(wǎng)絡(luò)連接，暫停所有管道運營，并且支付了約500萬美元的贖金。其后，該公司聘用了一家領(lǐng)先的第三方網(wǎng)絡(luò)安全公司對該事件的性質(zhì)和范圍進(jìn)行了調(diào)查，同時聯(lián)系了執(zhí)法部門和其他聯(lián)邦機構(gòu)。5月8日，美國總統(tǒng)拜登聽取該事件的簡報，并積極評估事件影響。美國政府宣布將與州和地方政府合作恢復(fù)管道運營，避免供應(yīng)中斷。5月9日，為減緩輸油管道停擺帶來的油料供應(yīng)不足問題，聯(lián)邦汽車運輸安全管理局在總統(tǒng)拜登的指示下發(fā)布了一份“區(qū)域緊急狀態(tài)聲明”，對受影響的17個州和華盛頓特區(qū)給予汽油、柴油、航空燃料和其他成品油的臨時運輸豁免，解除對公路運輸燃油的多項限制?？坡迥釥栆矊⒉扇『＿\方式實現(xiàn)交付。5月12日，該公司宣布重新啟動輸油管道，但完全恢復(fù)可能仍需要數(shù)天時間。

1.2 事件影響

此次事件是已知的對美國能源基礎(chǔ)設(shè)施的最大網(wǎng)絡(luò)攻擊，導(dǎo)致了許多不良后果。

(1)直接影響美國經(jīng)濟(jì)。美國東部及南部是經(jīng)濟(jì)發(fā)達(dá)地區(qū)，燃油供應(yīng)關(guān)系到民航、汽車運營，斷供油持續(xù)數(shù)天，沿線大量地區(qū)出現(xiàn)“多米諾骨牌”效應(yīng)，引發(fā)大面積油料短缺和油價上漲。

(2)直接影響美國民眾生活和政府公信力。燃油供應(yīng)缺失直接影響居民生活，在美國政府公信度因疫情防控不當(dāng)而不斷降低的當(dāng)前，燃油供應(yīng)大范圍停運會進(jìn)一步加劇美國人民對于政府的質(zhì)疑。

(3)間接影響美國國際形象。本次事件導(dǎo)致各國對美國政府的基礎(chǔ)設(shè)施維護(hù)能力以及網(wǎng)絡(luò)戰(zhàn)防御能力產(chǎn)生質(zhì)疑，對一向以技術(shù)發(fā)達(dá)、業(yè)務(wù)領(lǐng)先著稱的美國國際形象造成打擊。

2 原因分析及暴露問題

2.1 直接原因

本次幕后黑手已被確認(rèn)為名叫“黑暗面”(Dark Side)的專業(yè)黑客團(tuán)體。他們聲稱此次發(fā)動攻擊的動機僅僅出于獲取利潤?！昂诎得妗背闪⒂?010年，主要通過竊取公司和機構(gòu)的機密數(shù)據(jù)對受害公司勒索20～200萬美元的贖金。至今已經(jīng)襲擊了80多家歐美企業(yè)，從中勒索了數(shù)百萬美元。由于疫情期間科洛尼爾公司職員在家辦公，遠(yuǎn)程訪問了輸油管道控制系統(tǒng)，導(dǎo)致遠(yuǎn)程桌面軟件賬戶登陸信息泄漏，該組織通過植入惡意軟件，控制了該公司的電腦系統(tǒng)，對近100 Gb的數(shù)據(jù)進(jìn)行強行加密，并威脅公開被盜數(shù)據(jù)以索取高價贖金。為防止病毒持續(xù)擴散，該公司關(guān)閉了部分或全部工業(yè)控制系統(tǒng)。

2.2 間接原因

私營機構(gòu)的基礎(chǔ)設(shè)施難以應(yīng)對網(wǎng)絡(luò)新技術(shù)攻擊。美國大量能源基礎(chǔ)設(shè)施是由私營機構(gòu)負(fù)責(zé)建造和運營的，其中9 000家私營油氣生產(chǎn)商開發(fā)了美國90%的油氣井，生產(chǎn)54%的石油和85%的天然氣，占國內(nèi)生產(chǎn)總值的4%。出于市場化的考量，私營機構(gòu)往往不愿意大量投資于更新?lián)Q代快、技術(shù)成本高、即時效益不明顯的網(wǎng)絡(luò)安全防護(hù)技術(shù)與設(shè)施的維護(hù)與更新，導(dǎo)致網(wǎng)絡(luò)系統(tǒng)留下巨大的受擊潛在隱患，一旦系統(tǒng)漏洞被外部黑客發(fā)現(xiàn)并利用，重要信息極易泄露。

2.3 暴露問題

此次事件暴露出美國在工控系統(tǒng)技術(shù)安防層面仍有較大漏洞。一是未將工控系統(tǒng)采取物理隔離等高強度手段予以保護(hù)，相關(guān)部件存在可利用的漏洞，導(dǎo)致公共基礎(chǔ)設(shè)施網(wǎng)絡(luò)成為黑客攻擊首要目標(biāo)。二是缺乏應(yīng)急響應(yīng)措施，在關(guān)鍵節(jié)點被破壞時，未能夠及時啟動應(yīng)急預(yù)案、投入備用系統(tǒng)。

3 網(wǎng)絡(luò)安全敲響能源企業(yè)安全警鐘

近年來，全球針對能源企業(yè)的網(wǎng)絡(luò)攻擊事件多發(fā)、頻發(fā)，網(wǎng)絡(luò)攻擊手段不斷升級，對其安全運營造成巨大的威脅。再加上新冠疫情在全球的蔓延，越來越多的工作需要網(wǎng)絡(luò)遠(yuǎn)程進(jìn)行，導(dǎo)致2020年以來網(wǎng)絡(luò)攻擊對能源行業(yè)的威脅尤為突出。根據(jù)國際商業(yè)機器公司的報告，2020年能源企業(yè)遭受的網(wǎng)絡(luò)攻擊在所有行業(yè)中升至第三位(2019年為第九位)；能源也是全球工業(yè)信息安全事件第二大最頻發(fā)領(lǐng)域(見圖1)。

圖1 全球工業(yè)信息安全事件

以下是歷史上數(shù)次造成能源企業(yè)重大信息安全事件的網(wǎng)絡(luò)攻擊手段。

(1)“震網(wǎng)”病毒：世界上首個網(wǎng)絡(luò)“超級破壞性武器”。“震網(wǎng)”首次發(fā)現(xiàn)于2010年6月，是第一個專門定向攻擊真實世界中基礎(chǔ)設(shè)施的“蠕蟲”病毒。該病毒通過U盤傳播，已感染全球超過 45 000個網(wǎng)絡(luò)，其中伊朗核設(shè)施遭到的攻擊最為嚴(yán)重。最終摧毀伊朗濃縮鈾工廠五分之一的離心機，導(dǎo)致核電站延遲運行。

(2)多種黑客手段：有史以來首次導(dǎo)致停電的網(wǎng)絡(luò)攻擊。2015年12月23日，烏克蘭多個區(qū)域的電力系統(tǒng)遭到網(wǎng)絡(luò)攻擊，造成大面積停電，電力中斷3～6 h，約140萬人受到影響。本次事故中黑客采用了多種攻擊手段：一是植入惡意軟件“Black Energy” ；二是發(fā)動網(wǎng)絡(luò)攻擊干擾控制系統(tǒng)，引起跳閘停電；三是對多家電力公司采取拒絕式服務(wù)攻擊，破壞基本通信，造成遠(yuǎn)程應(yīng)急救援及維修工作進(jìn)展艱難。

(3)勒索軟件：已成為發(fā)展最快、流行最廣的安全隱患。近年來，勒索軟件的攻擊規(guī)模和頻率居高不下，席卷了全球各個領(lǐng)域、各種規(guī)模的政府、機構(gòu)和企業(yè)。網(wǎng)絡(luò)安全行業(yè)正面臨著全新的挑戰(zhàn)出現(xiàn)一個價值數(shù)千萬英鎊的潛在勒案生態(tài)系統(tǒng)(見圖2)。

圖2 勒索生態(tài)系統(tǒng)

隨著網(wǎng)絡(luò)犯罪成本和難度的不斷提高，網(wǎng)絡(luò)安全建設(shè)相對滯后的關(guān)鍵基礎(chǔ)設(shè)施逐漸成為勒索軟件攻擊的重災(zāi)區(qū)。費城天普大學(xué)的一項針對全球關(guān)鍵基礎(chǔ)設(shè)施的勒索軟件攻擊的項目指出，近兩年勒索軟件事件頻次陡然上升，2020年前八個月已有241起(見圖3)。

圖3 對關(guān)鍵基礎(chǔ)設(shè)施的勒索軟件攻擊事件統(tǒng)計

勒案軟件攻擊影響比較大的有兩起事件。

2020年4月，葡萄牙跨國能源公司EDP遭到Ragnar Locker勒索軟件襲擊，攻擊者竊取了10 Tb的敏感數(shù)據(jù)文件，向EDP索要1 090萬美元的巨額贖金。

2020年6月和9月，歐洲能源巨頭Enel Group分別遭到EKANS和Net walker兩次勒索軟件攻擊，多達(dá)5 Tb數(shù)據(jù)被竊取，贖金高達(dá)1 400萬美元。

隨著能源企業(yè)對網(wǎng)絡(luò)的依賴程度越來越高，網(wǎng)絡(luò)安全已經(jīng)成為影響能源行業(yè)安全的重要因素，針對能源領(lǐng)域的網(wǎng)絡(luò)攻擊范圍廣、頻率高，一旦能源企業(yè)遭受網(wǎng)絡(luò)攻擊，所造成的損失和社會影響面非常之大。此外，相較于具有一定可預(yù)測性的自然災(zāi)害威脅，人為網(wǎng)絡(luò)攻擊往往來源復(fù)雜、目的各異、出其不意，具有較強隱蔽性，并且網(wǎng)絡(luò)攻擊手段也在不斷變化升級，防御難度較大。

4 供電企業(yè)需關(guān)注的重點問題及建議

隨著各類大數(shù)據(jù)技術(shù)的應(yīng)用和企業(yè)數(shù)字化轉(zhuǎn)型工作的推進(jìn)，新能源發(fā)電廣泛接入、智能終端和電力電子設(shè)備的大量應(yīng)用以及移動辦公的推廣，網(wǎng)絡(luò)結(jié)構(gòu)呈現(xiàn)出分布式、泛終端的特征，網(wǎng)絡(luò)空間與物理世界的安全邊界不斷模糊。供電企業(yè)很多自建系統(tǒng)在建設(shè)時沒有考慮到網(wǎng)絡(luò)環(huán)境的因素，存在一些漏洞和隱患。

(1)建立適應(yīng)邊界模糊、廣泛互聯(lián)的新型電力系統(tǒng)的網(wǎng)絡(luò)安全智能防御體系。研究運用零信任安全、擬態(tài)安全等新技術(shù)，完善網(wǎng)絡(luò)安全防御框架，推動網(wǎng)絡(luò)安全策略由“邊界防護(hù)”向“內(nèi)生安全”及“角色控制”轉(zhuǎn)變，滿足“內(nèi)外兼顧”的網(wǎng)絡(luò)安全保障新需求。

(2)需要推動建立應(yīng)急響應(yīng)協(xié)同處置機制。針對發(fā)生威脅電網(wǎng)安全運行的網(wǎng)絡(luò)襲擊事件，制定自身網(wǎng)絡(luò)安全應(yīng)急預(yù)案，明確分級分類、由點及面的斷網(wǎng)保電措施，同時加強與能源局、網(wǎng)信辦、公安部的協(xié)同，共同建立國家級應(yīng)急響應(yīng)協(xié)同處置機制。