賦能石油石化 實現移動物聯安全

互聯網+、中國製造2025的背後，是各類新型技術推動全球產業模式升級變革的不可逆趨勢。國內石油石化企業生產工作模式數字化、互聯化、物聯化，正是新技術在能源領域裡得以落地應用的具體體現。

石油石化業務轉型升級更加註重安全防護

現在，國內的石油石化企業都在實現數字化轉型，並更多的將業務與互聯網相融合。同時，部分石油石化企業也在開始嘗試應用物聯網技術，以期進一步提升生產網路、辦公網路的生產工作效率。但隨之而產生的新型網路信息安全問題，也引起了石油石化網路安全管理者們的高度重視。

《中國製造2025》要求「加強智能製造工業控制系統網路安全保障能力建設」，《關於深化製造業與互聯網融合發展指導意見》里也明確提出，要「實施工業控制系統安全保障能力提升工程」。目前，傳統PC端、伺服器端、互聯網端的安全防護技術已經比較成熟，依託於這些成熟的安全解決方案，石油石化企業已經在相應業務系統建立起有效的網路信息安全防線。

但需要注意的是，隨著石油石化企業「互聯網+」轉型模式的加速開啟，其在電子地圖、互聯網汽車、互聯網支付、互聯網金融、掌上營業廳、電子加油卡、物流、聯合營銷等領域裡的廣泛合作在變得更多、更深入。這意味著石油石化企業內部網路與外部網路之間的邊界在愈發的模糊、脆弱，原有邊界型安全策略對於這些新型業務場景不再適用。面對雲計算、大數據、物聯網、移動應用等新技術在石油石化業務領域應用過程中所引發的新型安全風險，相關網路安全管理者們正在重新思考更為有效的安全防禦思路。

移動物聯安全風險背後的真實誘因

在「2018中國石油石化企業信息技術交流大會網路安全分會場」里，梆梆安全專家王重人向石油石化企業的各位網路安全管理者們深入分析了當前移動端、物聯網端的安全風險趨勢，並針對移動應用安全和物聯網終端安全挑戰給出了專業的解決思路。

「終端不可控、開發不可控、使用不可控」，這是移動端安全風險的三個主要特徵。當前各類智能移動終端設備品牌型號多種多樣，且多為廠商定製操作系統，這類設備存在已經被Root的隱患，這會造成終端安裝移動應用的不可控風險。另外，運行在移動終端上的移動應用，其開發者往往會因為成本、交付時間、安全開發技能不足等因素，而「忽略」移動應用的安全性問題。更為重要的是，移動終端、移動應用的使用者身份、目的甚至行為存在很大的不可控性，這意味著訪問移動業務應用、業務移動感知終端的人可能是真正的合法用戶，也很有可能是一個「李鬼」。

如今的物聯網設備，其操作系統大多為Android、Linux等開放式操作系統，可以說從底層操作系統層面物聯網設備就面臨著大量不可預知的安全隱患。物聯網設備數量極為龐大且部署非常分散，海量的安全數據無法有效進行收集、分析、存儲和管理，終端設備資產的管理和維護十分困難，管理者很難能及時知道，哪些設備已經被攻擊、哪些設備變成了肉雞、哪些設備的安全漏洞還未被封堵。當下，物聯網產業整體還是處於初始階段，廠商之間的安全研發實力和投入力度參差不齊，這也使得物聯網產業整體的安全水準依然不高。

破局石油石化安全新挑戰

2017年安全情報顯示，物聯殭屍網路肉雞的爭奪愈演愈烈，全球超過百萬的物聯網終端設備相繼落入惡意攻擊者的「黑手」。而就在今年，安全研究人員在34款工控SCADA移動應用中竟然發現了147個安全漏洞，攻擊者能夠利用這些漏洞向控制機器的伺服器發出惡意指令。

石油石化企業在進行生產網路的物聯網建設過程中，勢必會有大量的感知終端設備暴露在野外環境下，攻擊者能夠很容易的直接接觸這些物聯網終端設備，進而實施破解、逆向分析、竊取數據、傳輸虛假信息、發起旁路攻擊等。而石油石化企業互聯網+轉型過程中，為更加貼近終端用戶而進行的業務移動化，在給消費者帶來便捷的同時，也同樣給惡意攻擊者帶來了「便捷」。

在網路空間安全(Cyberspace Security)問題已經上升到國家戰略層面的今天，作為國家重要基礎設施的石油石化行業，解決好移動物聯網安全問題極為重要。

對於移動端當前攻防焦點的移動應用安全風險問題，需要從檢測、防護、感知、運維管理這四個維度進行挑戰破局。通過自動測評、代碼審計、滲透測試等方式，提前發現石油石化移動業務應用里暗藏的安全漏洞、風險隱患。藉助加殼保護、Java to C、類抽取替換加密、虛擬機指令集替換等各類移動應用防護技術，極大增加攻擊者的攻擊成本，從攻擊ROI層面降低甚至阻止攻擊者的持續性攻擊。此外，對於重點石油石化移動業務應用則需實施全天候的移動威脅感知、移動應用監管監測，及時上報發現的安全風險，第一時間進行安全應急響應，針對性的調整相關安全基線，利用應用安全開發管理平台等工具實施對移動應用端安全威脅的快速封堵。

對於物聯網端的安全新挑戰，則首先需要解決好風險最大、最難管理的那個關鍵點——終端設備，構建好物聯網終端安全威脅預警系統，第一時間感知、發現各類安全風險。考慮到石油石化生產業務的連續性，以及物聯網終端設備自身計算、存儲等資源的局限性，需採用系統微分域動態檢測與保護技術，在終端設備部署輕量級威脅預警感測器，實時採集分析終端設備安全數據，及時發現安全問題，結合業務實際情況制定、調整安全策略，構建石油石化物聯網終端資產統一管理平台。

智慧石油石化的建設之路還很漫長，在石油石化企業積極行動起來的同時，梆梆安全這類的網路安全專業企業也將結合自身移動安全、物聯網安全等領域裡的優勢，與石油石化企業展開更為深入的合作，將專業的安全防護能力實現與智慧石油石化業務的全面融合！

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！