油氣企業內網終端安全體系建設的實踐與思考

摘要：近期，國內網絡安全面臨外部敵對勢力攻擊和斷供打壓帶來的雙重威脅。同時，黑客利用新冠病毒熱搜詞進行網絡攻擊，大肆竊取情報，特別是作為國家命脈的油氣企業逐漸成為主要被攻擊對象。油氣企業辦公網絡承載著企業的重要資產信息，是員工進行日常辦公使用的重要工具，主要涉及的IT設施是辦公終端、信息系統。一旦發生終端安全事件，可能造成核心資料丟失或敏感信息泄露，甚至造成巨大的經濟損失等。將從油氣企業內網終端面臨的主要安全風險為切入點（以Windows系統為例），并就內網終端的安全技術體系建設進行詳細論述，以及提出內網終端安全建設的未來展望。

關鍵詞：安全風險；安全體系建設；內生安全；桌面云

一、前言

油氣企業是保障國家能源安全，支撐國民經濟發展的重要基石。隨著國際網絡安全形勢愈發嚴峻，油氣企業一直是高級持續性網絡攻擊的主要目標[1]。內網終端作為油氣企業最基礎的辦公設施，涉及大量相關數據資料、敏感內容等，是不容破壞和泄露的。目前油氣企業內網終端安全管理，仍有諸多不足之處，只有對其不斷地進行分析研究，才可以讓終端安全管理發揮出應有的價值，成為油氣企業內網安全的保護屏障。

二、油氣企業面臨的主要挑戰和風險

（一）嚴格的國家管理要求

黨的十八大以來，黨和國家高度重視網絡安全工作，習近平總書記多次強調網絡安全工作的重要性，為網絡安全工作指明了方向。近年來，國家密集出臺了多項法律法規及相關標準，為國家網絡安全發展提供了重要保障。2017年6月1日，《網絡安全法》正式施行，主要是保障網絡安全，維護網絡空間主權和國家安全、社會公共利益，保護公民、法人和其他組織的合法權益，促進經濟社會信息化健康發展。2021年9月1日，《數據安全法》正式施行，主要是規范數據處理活，保障數據安全，促進數據開發利用，維護國家主權、安全和發展利益。2021年11月1日，《個人信息保護法》正式施行，為破解個人信息保護中的熱點問題提供了強有力的法律保障。為了進一步提高中央企業對網絡安全工作的認識，2019年4月1日，國資委發布的《中央企業負責人經營業績考核辦法》正式施行，將“網絡安全事件”同“生產安全責任事故”并列，納入考核范圍，并視情節給予企業負責人相應的處分。

（二）嚴峻的網絡安全形勢

隨著信息技術和網絡的快速發展，國家安全的邊界已經超越地理空間的限制，拓展到信息網絡，網絡安全成為事關國家安全的重要問題。當前網絡安全威脅的范圍和內容不斷擴大和演化，我國面臨的網絡安全形勢與挑戰日益嚴峻復雜，終端計算機、服務器等網絡基礎設施所面臨的網絡攻擊愈演愈烈[2]。

近年來，黑客組織頻繁對我國基礎信息網絡和重要信息系統等進行入侵攻擊、控制和突破，攻擊我國政府網站等。同時全球遭受勒索軟件攻擊的組織持續增長，它使用木馬病毒攻陷、控制各行業專家等重要目標人群的內網終端電腦，意圖獲取受害者終端電腦中的重要內部資料，操縱該電腦自動發送相關情報，從而達到最終目的。2015年6月，境內感染網絡病毒的終端數為近202萬個，我國境內179萬個IP地址對應的主機被木馬或僵尸程序控制。

油氣企業內網終端作為最基礎、最重要的基礎設施，安全事件頻頻發生。2017年5月，WannaCry勒索軟件席卷全球，國內中石油超2萬座加油站業務受到影響。2021年5月，美國最大輸油管道公司Colonial Pipeline遭勒索軟件攻擊，被索要贖金440萬美元，該網絡安全事件引發了全美有史以來規模最大的輸油管線停擺事故。據統計數據顯示，2021年8月，受攻擊對象中所運行的操作系統位居前二的是：Windows10、Windows7。

（三）嚴重的安全隱患問題

油氣企業內部覆蓋范圍廣，終端數量多且分散，使得終端安全防護形勢更為復雜嚴峻。對于Windows內網終端，不及時安裝準入系統、防病毒系統等防護軟件，存在較大的安全風險。個別用戶考慮安裝防護軟件導致系統運行緩慢，私自卸載防病毒系統，造成終端計算機長期處于高危狀態。一旦終端計算機攜帶惡意木馬文件，就會造成內網其他終端的大面積感染，嚴重導致阻塞內部網絡。

三、終端計算機安全技術體系建設

復雜的辦公環境給油氣企業終端安全的防護和管理帶來了很多的不便和風險，如何建設終端計算機安全技術體系成為了重點工作之一[3]。隨著油氣企業安全合規性、可用性要求的提高，信息技術人員從管理和技術角度出發，終端計算機安全技術體系主要由終端身份認證系統、終端準入系統、終端防病毒系統、終端補丁更新系統、終端數據防泄漏系統等組成，見圖1，以降低終端計算機病毒和木馬發生率，整體提升油氣企業終端抵御安全威脅的能力。

（一）終端身份認證系統

身份認證系統主要用來識別、驗證登錄企業內網終端或信息系統中用戶數字身份的真實性和合法性。身份認證是企業內網終端安全技術體系中的第一道防線，對接入內網的用戶起到驗證的作用，守護內網終端的入口安全[4]。

終端登錄實質上是身份認證過程，常為基于用戶名和密碼的認證，屬于靜態認證手段。企業一般采取活動目錄域，即AD域技術（即Active Directory）。AD域是實施終端管理的基礎，也是構建安全技術體系的基礎。所有企業內網，包括用戶信息，都可以在AD域內維護，有利于資源的集中管理。一旦域賬戶密碼被破解，可能會導致終端計算機感染木馬程序等，這可以通過增加密碼強度和使用USB-Key智能卡登錄來解決此類問題。

當內網多個應用系統與AD域集成后，用戶通過單點登錄即可實現對所有授權系統進行訪問，這也帶來了不少的安全問題。目前市面上主流的身份認證技術主要以動態口令技術和雙因素認證技術為主，以規避單點登錄造成的安全問題。動態口令等認證技術主要通過限制使用口令的時間等手段，黑客即使獲得口令也無法輕易仿冒用戶信息，在較大程度上確保了終端用戶安全，但可能因出現多次輸入口令而降低了用戶的登錄體驗。基于生物特征或與第三方系統（如短信）結合的身份認證技術優勢日益凸顯，即雙因素認證，能夠顯著提升終端的安全性、可用性，但成本較高，需要花費較多的時間對接[5]。

（二）終端準入系統

終端準入系統是解決終端接入企業辦公網絡問題的重要基礎設施。終端準入是一種主動防御類型的網絡安全管理技術，能有效增強內網終端的安全性。目前業內主流的準入系統主要分為兩類，一類是有客戶端準入系統，另一類是無客戶端準入系統。

有客戶端的準入方案需要在每個終端上安裝客戶端，客戶端會對用戶的身份和計算機的安全基線配置進行檢查，檢查通過后方可接入網絡。通過準入系統后臺可以對客戶端進行資產管理、補丁管理、非法外聯控制等方面的管理和控制，但實施困難，存在用戶意外卸載客戶端、占用系統資源的情況。無客戶端的準入方案主要通過劃分VLAN來管理，基于網絡行為主動發現并管理，可實現快速部署，具有較高的可用性。

（三）終端防病毒系統

防病毒系統是企業內網終端最基礎的安全設施，用于應對病毒和木馬威脅。防病毒軟件通過分析病毒軟件樣本，生成病毒特征庫，全盤掃描主機上的文件、進程、郵件附件等信息，如果有程序和病毒特征相同，就判定為病毒。因此防病毒系統主要依賴最新的病毒庫，即所謂的黑名單，它對已知病毒有較好的防護效果，病毒查殺較為精確，但對病毒的變種或新病毒等，往往沒有很好的應對措施。

除了依賴病毒庫，很多防病毒系統也會基于行為特征來判定程序是否是病毒，即所謂的白名單，解決基于特征比對無法發現的未知病毒，使系統免受零日安全威脅，降低誤報率。

另外，防病毒策略應該由后臺統一進行策略下發，用戶端不能直接變更防病毒策略。在日常使用過程中，防病毒軟件可能會將一些正常軟件判定為惡意軟件，這時應該為用戶提供自助添加文件白名單的權限，如文件、文件夾、文件擴展名、應用程序、網站域名等。

（四）終端補丁更新系統

企業內網終端可能存在許多安全漏洞，如勒索病毒就是利用系統安全漏洞進行攻擊，應對此類攻擊最有效的方法就是安裝補丁[6]。在進行安全漏洞修復時，需要全面、快速地完成補丁更新，依靠人工手動更新基本是不現實的，這時需要有補丁更新系統來提供支撐。

企業最常見的補丁更新系統有微軟的WSUS（即Windows Server Update Services，補丁更新服務器），在部署WSUS服務器前，建議公司計算機全部加入AD域，這樣可以通過域的組策略設置客戶端更新。不排除極少數補丁安裝后，會出現計算機藍屏或無法啟動等無法預估的情況。如果要避免這些風險，需要設置一個更新測試計算機組，當有更新時，先將更新推送到測試計算機組，確保更新正常后，再進行正式推送。

當然，也可以使用準入系統等第三方軟件進行補丁管理，前提是在需要更新的終端上安裝客戶端，相比WSUS，第三方補丁管理系統可以進行非微軟軟件的更新、管理更加精細化、方便檢查補丁更新情況等諸多優點。

（五）終端數據防泄漏系統

從油氣終端安全建設角度考慮，數據防泄漏是必不可少的一部分，而辦公網絡終端數據防泄漏更是重中之重。終端數據防泄漏有多種方式，如文件加密、硬件管控、云桌面、使用DLP系統（即Data Leakage Prevention，數據泄露防護）等。其中DLP系統應用范圍廣，是目前企業終端數據防泄漏的主流趨勢[7]。

在終端上安裝DLP客戶端，可以識別終端上的敏感數據信息，管控策略可對敏感數據泄露進行阻斷和審計。而且成本較低，對用戶影響較小，可以較好的滿足防泄漏需求，但技術有限，可能存在部分泄露行為無法有效管控的情況。

建議企業終端在大規模部署DLP系統前，先進行小范圍試點運行，DLP只對客戶端進行監控審計、并在這個過程中不斷優化策略。進行全面推廣時，建議DLP客戶端通過準入系統或第三方軟件進行自動推送，并且DLP客戶端不能被用戶卸載、進程不能被惡意中斷。

四、下一步展望

通過上述的終端安全技術體系建設，油氣企業終端安全形勢有所好轉，但油氣企業經濟體量較大，內網終端環境復雜，業務數據較多，成本高、維護難的問題越來越凸顯，同時面臨的網絡不安全因素日益增多，終端數據安全變得日益重要。

另外，隨著地緣政治形勢的不斷惡化，油氣行業遭受網絡攻擊頻次和攻擊強度正在逐年上升，攻擊方式越來越多樣化，涉及惡意軟件、木馬攻擊、勒索病毒、高級持續性威脅APT攻擊（Advanced Persistent Threat）等。其中，從2012年4月起，海蓮花組織就針對中國多個實體機構，潛伏開展了精密組織的網絡攻擊。越來越多的方法可以繞過傳統的被動防御技術對目標系統進行攻擊，因而傳統的被動防御技術也引進了蜜罐、沙箱、態勢感知等主動防御技術，進一步彌補了攻防不對稱的局面。

隨著攻防手段越來越多樣化，并結合終端環境安全的復雜性，傳統油氣行業在終端安全方面，特別是在數據安全方面，以提升“檢測、防御、應急、預測”能力為主要目標，建立一套新型油氣行業終端安全保障體系，切實保障易受攻擊的終端安全。

根據國家法律法規要求，企業需要穩步推進終端數據安全技術建設，包括安全通信網絡設計、云技術等。嚴格將終端辦公網與生產網絡邏輯隔離，避免因個別終端淪陷造成大范圍的網絡攻擊。云是安全通信網絡的重要基礎設施，承載著大量的業務數據信息，可以考慮桌面云作為最容易落地的解決方案。所有桌面云系統采用云技術改造傳統終端辦公，將服務器、存儲等硬件設備部署在機房，通過虛擬化技術組建計算及存儲資源池，實現用戶桌面集中在數據中心，用戶采用瘦終端+顯示器、智能終端+APP等方式登錄桌面進行辦公[8]。所有桌面主機運行于云平臺，實現終端計算機集中管控的效果。同時管理、維護成本低，運維方便，更重要的是數據統一存儲，用戶本地不保存任何數據，實現數據的安全策略管控，做到終端不留密、防護軟件統一安裝部署、終端安全管理簡化[9]，無需擔心終端被非法竊取資料。

五、結語

油氣企業的終端管控是企業辦公中非常重要的管理環節，終端內生安全顯得尤為重要。終端內生安全主要通過提升終端安全技術等措施[10]，以此來提升終端環境的“超強免疫力”。總之，油氣企業內網終端安全技術體系建設有效防止了內網風險問題的發生，并有力的提升了企業內網的安全性、高可用性、穩定性。油氣企業內網終端安全形勢復雜，仍存在諸多安全問題，我們需要持續對油氣企業終端安全體系進行更深入的探索研究及分析，逐步提升終端監測預警與協同處理能力，才能從根本上消除終端安全漏洞，全面提升整個油氣企業的終端安全防護水平。

參考文獻

[1]閆廣華，呂曉晨，郝小輝，等.淺談網絡攻擊與終端安全防護[J].科技創新與應用，2014（35）：72.

[2]李碩.終端安全管理系統在企業內網中的應用[J].電子技術與軟件工程，2017（10）：221-222.

[3]羅華屏.大型企業內網計算機終端安全管理探究[J].產業與科技論壇，2020，19（02）：36-38.

[4]周廣輝.企業統一用戶認證平臺的研究和實現[D].西安：西安電子科技大學，2009.

[5]聶大成，陳瑩，曾夢岐.車聯網終端安全防護技術研究[J].通信技術，2017（8）：1794-1799.

[6]孫浩峰，雷遠東.終端安全形勢嚴峻[J].網絡安全和信息化，2016（01）：20-21.

[7]宛紅強.石油企業計算機網絡信息安全及防范措施探究[J].中國石油和化工標準與質量，2019，39（19）：121-122.

[8]何永遠，徐新智，李楓，等.桌面云終端系統在電力行業中的典型應用[J].電力信息與通信技術，2014，12（8）：97-101.

[9]焦文.基于虛擬化技術的桌面云辦公新模式[J].電子技術與軟件工程，2019（10）：146.

[10]高學旺.淺談計算機安全弱點及其對應關鍵技術[J].通訊世界，2017（07）：85.

（作者單位：中國海油集團能源經濟研究院）