编者按:在勒索病毒爆发事件中,兰州石化自动化院应急小组团结一心,积极应对,为中国石油筑就了一道坚实的数字防线,进一步维护了集团公司炼化企业网络信息安全。

  8月3日上午,英国一机场由于网络故障而导致航班大面积延误的新闻,再一次刺痛了人们的神经。

  网络安全虽然看不见也摸不着,但对众多行业来说,任何可以导致系统出现故障的漏洞都是致命的。兰州石化作为大型炼化企业,自然也不例外。随着生产经营和管理信息化水平的日趋提升,对担负在数字端口守护炼厂重任的兰州石化自动化院来说,要坚持服务中国石油网络安全主营业务,突出信息化对生产和管理的深度支撑,为网络信息安全和生产自动化的稳定与提升提供有力保障。

  驻外项目部保护集团公司炼化企业数据

  5月13日凌晨,集团公司部分统建系统遭到勒索病毒攻击。兰州石化自动化院驻外各项目组接到病毒爆发预警后,立即组织骨干力量对系统进行排查、修复。

  MES项目组安排各驻点项目经理,并协调咨询、硬件厂商等各方人员,对MES2.0第一批10家实施企业以及其他16家地区企业MES系统所涉及的服务器、buffer机进行逐个排查。项目组按照总部安全中心处理方案,进行补丁更新和紧急处理,并安排专人通过电话、QQ、微信为地区企业提供技术支持。为更快地处理病毒,项目组组织人员深入吉林石化、辽阳石化等部分企业机房处理问题,26家地区企业数据陆续恢复应用。

  档案项目组安排人员赴北京勘探院数据中心和昌平数据中心机房,对档案系统72台实体服务器和59台虚拟机进行排查、处理,并从兰州紧急调派一名技术骨干,进行系统检查工作。5月15日7时40分,档案系统完成了所有硬件的病毒查杀及补丁安装工作。

  广域网项目组接到通知后,第一时间做出信息安全网络响应,对中国石油广域网涉及的3个数据中心、12个区域中心、159家企事业单位、DNS系统、SSL-VPN等系统网络和应用进行应急保障,对广域网所有1200台设备进行安全防护测试和加固。

  四川销售加管系统运维项目组5月12日晚10时19分接到地市分公司情况上报。项目组经与广域网项目组确认后断开四川与北京网络连接。同时,为尽量减少交叉感染,安排人员对所有加油站网络进行隔离处理。经过项目组全体人员一周的努力,终于在5月19日晚恢复了所有站点和网点的系统应用工作。

  让勒索病毒无法影响正常生产

  5月12日晚间至13日凌晨,兰州石化部分夜间值班计算机用户电脑出现中毒症状,自动化院院长刘双明果断启动信息安全应急预案。

  结合集团公司要求,网络所技术人员对中病毒的服务器进行数据恢复与系统重建;对没有中病毒的服务器采取打补丁、备份数据等防护措施;对于已中毒的个别服务器,查杀病毒后尝试恢复数据库文件,重新搭建应用系统框架。

  5月16日6时,兰州石化主要应用系统已经基本恢复,准备联网,但用户计算机还面临巨大风险。应急小组紧急制作周一开机操作指南页面,服务器管理人员紧急增加了大批服务器的安全策略和防护级别,网络管理人员关闭了病毒可利用的主要端口,封禁了一批中毒用户计算机的网络连接。

  病毒爆发时,自动化院MES所技术人员先对兰州石化50多台数采机进行快速检查并远程关机,确保与病毒进行隔离。远程关机后,MES所的技术人员又挨个装置跑,进行离线安全检查和补丁安装。

  自动化院技术人员仔细检查服务器。李博宇 摄

  过控所负责的数采报表系统与DCS系统直接连接,5套管控系统设置在厂区偏远位置未联网,必须到现场进行处理;罐区等12套系统直接参与生产控制,必须到现场进行断网操作,现场查杀病毒。方案确定后,过控所副所长李海涛立刻分配任务,各系统主要技术人员紧急赶赴各个装置现场进行处理。病毒未对兰州石化重要应用系统的数据造成影响。

  6月28日早晨,兰州石化网页发布通知,勒索病毒变种可能利用系统漏洞进行攻击。有了之前的经验,兰州石化自动化院应对起来更加得心应手。网络所利用现有资源部署微软补丁分发服务器,每天从微软站点定时下载操作系统安全补丁,自动向属地云平台虚拟服务器分发安装。

  目前,兰州石化自动化院已经部署下发补丁9249个,其中关键更新854个,安全更新8394个,下发到全部在用的43套云平台虚拟机。与此同时,所内还开展技术人员沟通和培训,总结经验,增强信息安全意识,提升信息安全管理水平。

版权所有:中国石油新闻中心 | 京ICP经营许可证010289号 | 互联网新闻信息服务许可证编号:国新网许可证1012006016号

电话:010-62094114 | 违法和不良信息举报电话:010-64523205 | 编辑信箱:news@vip.oilnews.cn