尊龙凯时网络不安全旧船票如何登上新客船

　　近日，美国网络安全和基础设施安全局（CISA）发出警告称，即使“非专业级”威胁行为者也能利用工业控制系统（ICS）和监控与数据采集（SCADA）技术中的漏洞——这些系统对油气行业运营至关重要。

　　正如一位专家所说：“网络安全，是生产安全在数字时代的延伸”。在油气网络安全这个隐形战场上，胜负将直接决定中国能源体系未来的安全基座与竞争力高度。

　　周磊：如果把石油石化产业链比作一条“能量主动脉”，网络安全风险正沿着上中下游三段式渗透，每一环的脆弱点都在被数字化进程同步放大。从荒野井口到城市油枪，这条能量主动脉上的每一个数字化接口都在成为潜在的“出血点”。唯有把通信链路的加密强度、管网监测的实时性、加油终端的认证机制、炼化工艺数据的完整性同步加固，才能让黑色黄金在流动中不被“黑色代码”截流。

　　当前，我国的石油石化行业已进入“系统性风险叠加期”：认知落差尚未弥合、技术债务尚未清偿、链条风险尚未隔离，而攻击者却早已借助自动化工具与AI算法悄然逼近防线。网络安全早已不只是“防范被入侵”的命题，更是关乎产业链韧性的全局问题和战略问题。

　　周磊：勘探、钻井平台越来越多地依靠卫星链路实现远程监控与自动化作业。一旦离开陆基光纤，就只剩“窄带+高时延”的卫星通信兜底，带宽不足、链路抖动、加密等级低让钻机、随钻测量工具、泥浆泵等关键设备“裸奔”入网。海上平台地处偏远、物理环境恶劣，安全防护、监测能力薄弱。国外已出现黑客通过卫星链路跳板入侵海上设施的实锤案例；国内虽未见公开报道，但隐患同样悬在头顶。另外，戈壁、高原与城市中成千上万公里的长输管线存在网络切片不统一、协议老旧、加密缺失等问题，一旦遭遇中间人攻击或信号欺骗，可能出现“压力正常”的假象，实则已发生泄漏。更棘手的是，阀门站、压气站多位于人迹罕至处，物理防护形同虚设。

　　炼化厂区面临着工艺数据“裸奔”的风险。在炼油、乙烯、芳烃装置，DCS（全流程集中监控）、PLC（单体逻辑动作）、APC（过程优化挖潜）系统实时掌控温度、压力、流量。然而，大量老旧系统仍跑在Modbus、OPC Classic等通信协议上，工艺数据从现场层到生产管理层“层层裸奔”。一旦攻击者横向渗透至OT（运营技术）域，不仅能窃取工艺配方，还可通过篡改设定值引发连锁反应，轻则“跑冒滴漏”，重则装置停产、罐区爆炸。

　　在加油站，IoT（物联网）与支付系统更是一把双刃剑。一台加油机就是一个物联网终端，扫码支付、车牌识别、液位仪、尊龙凯时(中国区)人生就是搏油气回收在线监测统统连进来。便利背后的风险是WiFi模组漏洞、POS机木马、二维码钓鱼的连环夹击——只要攻破一台边缘网关，就能批量篡改油价或窃取车主信息，且手法随支付场景迭代而快速翻新。

　　周磊：若把网络安全比作一场持久战，行业部分企业目前所处的位置恰好在及格线上向上攀登，处在“旧船票登不上新客船”的尴尬境地。数字化浪潮推高了攻击面，传统治理模式却还在用十年前的节奏补漏洞。要想驶离及格线，必须从预算、人才、技术、管理、文化五轴同步换挡。否则，每一次数字化提速，都可能成为下一次事故的加速器。

　　姜勇：虽然行业越来越重视网络安全的发展，但确实存在一些问题，尊龙凯时(中国区)人生就是搏如认知不足。由于行业公开报道的重大网络安全事故极少，企业容易产生“安全幻觉”：既然多年风平浪静，便只需例行公事投入、按部就班整改。与此同时，各业务板块、分子公司各自为政，把网络安全视为“别人家的事”，缺乏全局一盘棋的统筹意识。

　　网络技术更新迭代飞速，但与之不匹配的是标准滞后、执行僵化。现行规范多是“五年前的剧本”，难以覆盖当下的攻击面；机械套用旧标准，把合规当封顶，基层单位即使发现新风险想追加投入，也被“不符合制度”一票否决，安全建设被锁死在过去的时间点。在这种情况下，很多培训成了基层“自嗨”，网络安全宣贯往往停留在“签到、拍照、发简报”的流程层面，最新案例和前沿技术无法有效触达决策层。

　　特别是“孤岛式”安全观已无法匹配行业的互联现实。随着物联网、工控网与办公网深度融合，上中下游早已不再是松散的链条，而是牵一发动全身的一张网。假设一下，一旦长输管道的工控系统被攻破，油田的阀门指令可能瞬间错乱，城市的燃气调度也会同步失控——看似局部的网络事件会在分钟级内演变成跨板块、跨地域的连锁危机。换言之，下游的“侥幸”与上游的“迟钝”，正在同一张网络里互相放大风险，任何节点的短板都可能成为整盘棋局的“雪崩”起点。

　　周磊：行业在迈向数字化、智能化的过程中，暴露出一系列环环相扣的安全痛点。首先，勒索软件已成为最突出的“灰犀牛”。攻击手段从传统IT网络渗透到工业控制系统的路径越来越短，影响面随之扩大。公开统计显示，2020~2024年，全球勒索攻击年复合增长率超过50%，能源、化工等关键基础设施首当其冲。国内虽然公开案例不多，但量少不等于风险低。由于缺乏披露机制，行业不得不大量参考海外数据来评估威胁等级。网络安全公司Zscaler披露的数据显示，石油天然气行业勒索软件攻击同比激增900%以上，主要驱动因素包括：从钻井平台到输油管道自动化程度的提升导致攻击面扩大以及陈旧的安全防护措施持续存在。

　　其次，资产底数不清，让防御无从谈起。石油石化企业的OT网络历经数十年扩建，设备生命周期动辄十年以上，系统庞杂、品牌型号众多，导致OT资产可见性长期不足，无论集团层面还是单厂层面都很难给出一份“100%准确”的设备台账：谁在用、谁在管、怎么管，答案往往模糊。国际咨询机构的调研也印证了这一点：多数能源企业只能清点出七八成的关键资产。

　　再次，ICT（信息和通信技术）供应链风险像暗流一样潜伏，行业无法自给所有芯片、软件与技术服务，往往大量依赖进口。风险不仅存在于最终供应商，也延伸到芯片制造、固件开发、运维外包等每一环。而且，漏洞可能隐藏在开源组件或闭源固件中。硬件问题尚可通过检测把控，软件缺陷却常常看不见、摸不到、打不全。

　　最后，人的因素仍是最大短板。目前看，油气企业总部和办公网络的安全意识培训已见起色，但加油站、炼化一线等“最后一公里”依旧薄弱，邮件、U 盘、移动运维终端都可能成为突破口。部分员工把“网络隔离”当成“金钟罩”；培训年年做，考核也年年考，可“听过就忘、考过就丢”的现象依旧普遍。

　　周磊：风险正在逼近，真正可靠的安全手段必须既解决当下痛点又能为持续演进的威胁留出升级空间。一是“老三样”：防火墙、IDS（入侵检测系统）、审计，依然能挡住大量低级扫描与误操作。但特征库更新周期远远落后于攻击变种，工业现场又担心“误杀”生产流量，干脆把策略调到最宽松，结果规则库成了摆设。只有把工业协议识别、工艺特征白名单写进规则，才能真正让“老药”焕发第二春。二是网络隔离层面要从“一刀切”到“分级闸口”。按功能域做逻辑或物理隔离仍是降低“一点失守、全网沦陷”概率的最快路径。但物理隔离不等于绝对安全——运维U盘、第三方调试笔记本、远程诊断通道都在悄悄“架桥”。真正要做的是把隔离当作“分级闸口”：高安全域设单向导入、低安全域设受控代理，再辅以日志留痕，既保留数据交换刚需又堵住“暗渡陈仓”。三是终端加固；无论是IT域还是OT域，各型终端仍然是网络攻击的突破口，更不用说在OT侧还有超期服役的老旧系统。即旧系统也要穿“防弹衣”。四是加强供应链安全。针对“总部已建白名单、准入测试，现场却仍先装后测”的现象，要把“带病入网”堵在出厂前，必须同步抓好软硬件管控：在硬件侧实行固件签名、到货即验签；在软件侧推行源代码托管与验证，确保每一台设备、每一行代码上线前完成可信认证，真正实现供应链端到端的安全闭环。

　　姜勇：首先，建议针对单位主管领导、分管网络安全的领导开展专门的网络安全培训，深入了解网络安全的重要性、当前形势、最新技术和潜在风险，转变认知，提高重视程度。同时，成立专项工作组统筹协调，由国家相关部门牵头，成立行业网络安全专项工作组，统筹协调上中下游企业包括国企、民企等，明确各方职责，形成整体防护体系，避免因某一环节出现问题而影响全局。关键枢纽可采用可靠防护措施，对于像国家管网永清站“七进八出”这样的关键枢纽，建议采取武警站岗等严格安保措施；可借鉴俄罗斯的做法，将远程控制的电磁阀更换为人工可操作的机械阀门，牺牲部分先进性和效率以保障安全。

　　其次，后续力量的培养。推动产学研协同合作，加强企业与高校、科研院所、科技公司的合作，促进AI等智能技术在网络安全领域的应用，将先进技术和成果推广到全行业，提升整体防护能力。统筹人才引进和培养。集团层面统筹网络安全人才的招聘和培养计划，确保行业内网络安全人才的充足和合理配置。

　　当然，最重要的是推进国产化替代，减少对外国软件的依赖。建议国家加强对国产化软件的认证和审核，确保安全性，同时警惕部分国产软件可能使用外国基础技术带来的风险。

　　中国石油石化：6月，全国能源网络安全大赛的战火在武汉点燃，中国石化38支战队获得多项荣誉。作为获奖的油田企业，您公司有什么经验分享？

　　梁波：近年来，持续加强网络安全合规管理与实战能力建设，取得了阶段性成果，连续两年在集团公司网络安全水平评价中获评A级。

　　在网络安全防护方面，积极探索创新举措：一是开展工业网络防护技术研究，结合业务场景分析与应用特征识别，构建契合油田实际的工业网络安全防护体系；二是推进数据驱动的精细化安全管理，开展网络安全量化考核与信息化项目监控指标的数据采集与分析，建立基于数据的安全能力评价模型，为安全建设与管理提供科学依据。

　　在智慧油田建设中，数据安全主要通过三项基础措施保障：一是实施数据分类分级管理，按业务属性对勘探开发、生产运行等核心数据划分敏感等级，对高敏感字段进行脱敏处理，并建立数据流转审批机制；二是采用冷热备份结合方式对核心生产数据每日增量备份、每周全量备份，异地存储备份介质；三是强化传输加密，关键业务数据通过国密算法加密传输，严格限制非授权端口访问；四是落实终端管控，尊龙凯时(中国区)人生就是搏生产网与办公网物理隔离，定期更新终端安全补丁，禁止私自接入外部设备。面对未来日益严峻和复杂的网络安全形势，将持续推进网络安全体系与“数智赋能型油气田”发展战略深度融合。

　　中国石油石化：加油站作为石油产业下游部门，一旦网络安全失守可能波及消费者。您公司如何做好网络安全工作？

　　张驰：作为下游部门，网络安全与消费者息息相关。为此，我们树立起多道防线。第一道防线是“看得见的眼睛”，也就是智能视频系统。我们在卸油口、加油岛、储罐区部署AI摄像机，实现抽烟、打电话、人员倒地、油品渗漏等13类异常行为秒级识别与联动报警。第二道防线是“双员机制”。“现场安全员+数字安全员协同”，异常事件10分钟内完成“预警—推送—复核—整改”全流程。我们还安排防爆巡检机器人，在大型油库试点，具备火情AI识别、灭火弹抛射、高清图传功能，可替代人工进入高危区域。最后一道防线是“行走的防火墙”，运用数据看板，省—市—站三级“安全态势一张图”，实时展示风险热力图、隐患整改进度及人员定位。

　　总体而言，未来的油气网络安全治理必然由“企业安全”升级为“行业体系安全”，再由“行业协同”迈向“国家级整体安全能力”的构建。只有在机制制度上敢于突破、在核心技术上掌握主动、在组织体系上实现联防共治，才能真正筑牢石油石化产业这条国家能源大动脉的安全防线。