在上一篇文章《原创|近年全球石油天然气行业网络安全事件汇总分析》中,笔者总结了2017年以来国内外石油天然气行业发生的主要网络安全事件的特征,其中一个重要且直观结论就是——石油天然气行业信息系统所发生网络安全事件,主要还是集中在网络可访问的那些系统

基于该结论,近期网络安全应急技术国家工程研究中心对国内石油石化行业相关企业相关的联网管理系统、联网生产控制系统、采集勘探系统、交通储运系统、炼化系统、销售系统等暴露系统进行一次摸排,希望能通过真实的数据并结合具体的案例,展示整个行业的信息系统的安全现状,提升行业参与者的网络安全意识。

1. 石油天然气行业资产互联网侧资产暴露情况

1.1. 联网信息系统互联网侧暴露情况

依托于工程研究中心自建网络空间测绘系统,针对石油天然气企业进行联网信息系统探测,发现公网上暴露大量企业相关的信息系统,共2339个。分布于浙江(584个)、北京(523个)、广东(250个)等全国32省。

图1 石油天然气行业联网信息系统分布统计图

图2 石油天然气行业联网信息系统全国分布图

暴露的企业信息系统根据功能划分,可分为电子商务平台、工程管理系统以及门户网站等多种类型系统,具体分类统计如下表所示。

表1 石油天然气行业联网信息系统分类统计

1.2. 生产监测与控制系统互联网侧暴露情况

针对石油天然气行业的生产监测与控制系统进行探测,发现公网上暴露大量企业相关的生产控制系统,共153个。分布于北京(37个)、浙江省(30个)、山东省(15个)等全国23省直辖市。

图3 生产监测与控制系统分布统计图

图4 生产监测与控制系统全国分布图

暴露的生产监测与控制系统根据功能划分,可分为作业平台、生产系统以及管理系统等多种类型系统,具体分类统计如下表所示。

表2 生产监测与控制系统分类统计

1.3. 采集勘探系统互联网侧暴露情况

针对石油天然气行业的采集勘探系统进行探测,发现公网上暴露的系统,共44个。分布于陕西省(11个)、北京(9个)、浙江省(9个)、山东省(8个)等全国7省直辖市。

图7 采集勘探系统分布统计图

图8 采集勘探系统全国分布图

1.4. 交通、储运系统互联网侧暴露情况

针对石油天然气行业的储运输送系统进行探测,发现公网上暴露的系统,共11个。分布于北京(2个)、广东省(2个)、浙江省(2个)等全国7省直辖市。

图9 交通、储运系统分布统计图

图10 交通、储运系统全国分布图

1.5. 炼化系统互联网侧暴露情况

针对石油天然气行业的炼化系统进行探测,发现公网上暴露的系统,共27个。分布于江苏省(10个)、安徽省(5个)、香港(3个)等全国10省直辖市。

图11 炼化系统分布统计图

图12 炼化系统全国分布图

1.6. 销售系统互联网侧暴露情况

针对石油天然气行业的经营分析销售系统进行探测,发现公网上暴露的系统,共45个。分布于北京(11个)、广东省(6个)、浙江省(4个)等全国16省直辖市。

图13 销售系统分布统计图

图14 销售系统全国分布图

2. 石油石化行业安全巡检情况

站在网络安全的角度,尽量减少信息系统的互联网暴露程度,可有效降低网络安全风险。对于上述所探测到的石油天然气行业信息系统,选取部分进行巡检,通过巡检结果再次形象的说明减少互联网暴露程度的必要性。

2.1. XX沟采油队动液面系统—Jenkins用户名枚举漏洞

(一)安全隐患详情

1、安全隐患URL:http://XX.105.167.XX:8099/search/?q=a

2、安全隐患级别:中

3、安全隐患危害:攻击者可利用该漏洞获取系统所有用户名信息。

4、验证截图:

(二)修复建议

(1)限制铭感路径访问

2.2. XX石油工业互联网平台—弱口令(admin/admin123)

(一)安全隐患详情

1、安全隐患URL:http://XX.115.152.XX:9090

2、安全隐患级别:高

3、安全隐患危害:由于系统用户名密码存在弱口令,不法分子可通过暴露在外网的URL可直接访问系统登录站点,可能登录到系统内部并获取管理员权限,严重影响正常生产安全,并给企业带来不可估量的损失。

4、验证截图:

(二)修复建议

(1)建议强制用户首次登录时修改默认口令

(2)完善密码策略,信息安全最佳实践的密码策略为8位(包括)以上字符,包含数字、大小写字母、特殊字符中的至少3种。

2.3. XX石油开票系统—弱口令(admin/admin123)

(一)安全隐患详情

1、安全隐患URL:http://XX.92.105.XXX:8082

2、安全隐患级别:高

3、安全隐患危害:由于系统用户名密码存在弱口令,不法分子可通过暴露在外网的URL可直接访问系统登录站点,可能登录到系统内部并获取管理员权限,严重影响正常生产安全,并给企业带来不可估量的损失。

4、验证截图:

(二)修复建议

(1)建议强制用户首次登录时修改默认口令

(2)完善密码策略,信息安全最佳实践的密码策略为8位(包括)以上字符,包含数字、大小写字母、特殊字符中的至少3种。

声明:本文来自CNCERT国家工程研究中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。