勒索病毒爆發波及中石油：2萬座加油站斷網 35小時恢復八成

每經記者 謝宏辰 蘇傑德 朱萬平 靳水平 每經編輯 陳俊傑

5月14日13時許，成都東二環的中石油某加油站連外網已恢復，能夠辦理顧客刷卡付款、為加油卡充值等業務；此刻，中石油北京華威路上一加油站也已恢復連外網。若從13日凌晨1點開始計，這兩座加油站已斷網約36小時。

實際上，這兩個加油站的斷網和恢復，是中石油國內超2萬座加油站週末境遇的寫照。

5月13日，《每日經濟新聞》獨家報道，包括北京、上海、杭州、重慶、成都和南京等多地中石油旗下加油站在當天凌晨突然斷網，因斷網無法刷銀行卡及使用網絡支付，只能使用現金，加油站加油業務正常運行。

據中石油相關負責人透露，截至5月14日12時，“中國石油80%以上加油站已經恢復網絡連接”。斷網開始於5月13日1時，“公司緊急中斷所有加油站上連網絡端口”。而之所以斷網，其表示，因全球WannaCry勒索病毒爆發，公司所屬部分加油站正常運行受到波及。

●斷網“有驚無險”

14日中午，《每日經濟新聞》記者來到前述位於成都東二環的中石油加油站，恰遇有客戶要為加油卡充值。該站一位員工稱，“現在還辦理不了”，而另一位員工立即提醒，“現在已可辦理。”其表示該加油站的網絡剛恢復，支付寶等網絡支付方式已可正常使用。

加油正常，但只能用現金、充值卡來付款，不能刷卡等連外網為主的方式進行支付，是過去一天國內中石油加油站的普遍情況。

“中國石油緊急應對勒索病毒影響。”14日午間，中石油相關負責人告訴記者。這寥寥數字，終於揭開了中石油加油站大面積斷網的真實原因。

該相關負責人進而介紹，5月12日22:30左右，因全球WannaCry勒索病毒爆發，該公司所屬部分加油站正常運行受到波及。病毒導致加油站加油卡、銀行卡、第三方支付等網絡支付功能無法使用，加油及銷售等基本業務運行正常，加油卡賬戶資金安全不受影響。

實際上，就是在12日，一次可謂迄今為止最大規模的勒索病毒網絡攻擊席捲全球。在中國，最早曝出受到該病毒影響的是一些高校。

13日早上8時許，《每日經濟新聞》記者來到成都東二環中石油某加油站，該加油站的加油業務比較正常，但不能通過刷卡、網絡支付。

“（斷網）大概是在前天（5月13日）1點左右。”14日，前述成都東二環中石油加油站的員工回憶。彼時，加油站接到公司應急科的通知，因為疑似有中石油加油站網絡受到病毒攻擊，為了防止病毒的進一步傳播，要求其切斷外網。

截至14日中午12時，中國石油80%以上加油站已經恢復網絡連接。

●網絡逐步恢復

13日上午，《每日經濟新聞》多位記者分別聯繫北京、上海、成都、重慶、南京、杭州、武漢、廈門、南充、德陽等國內多個城市數十個中石油加油站均被告知，不能刷卡和網絡支付。

由於仍然可以採用現金、加油卡等不需要聯網的支付方式支付油費，中石油加油站的正常業務並沒有受到太大影響。

隨後，記者又致電中石油相關負責人，對方當時表示，該事件正在核實中，會盡快公佈結果。對於斷網原因，其並未迴應。不過，斷網原因在中石油加油站員工內部已傳開。當日，一位加油站員工告訴記者，“主要是受到一種全球性的病毒攻擊所致。”

“5月13日凌晨1點，為確保用戶數據安全和防止病毒擴散，中國石油緊急中斷了所有加油站上連網絡端口。”就中石油而言，斷網是為了排查風險，特別是內部已有加油站“遇襲”。

實際上，上述病毒的波及範圍頗廣。在國內，其對部分高校的教育網、校園網造成嚴重影響，致使許多實驗室數據被鎖，不少學生的論文等重要資料“淪陷”。

經過12小時的奮戰，13日13時，根據現場驗證過的技術解決方案，中石油開始逐站實施恢復工作。到了14日12時，中石油八成加油站的網絡已經恢復正常。同時，“受病毒感染的加油站正在陸續恢復加油卡、銀行卡、第三方支付功能。”

隨後其網絡恢復進展如何？昨日下午，中國石油相關負責人向記者表示，已陸續恢復，沒有其他信息發佈。目前，中石油的加油站網絡數量仍在增長，且引入了更多新興支付渠道。

據中國石油公告，其2016年不斷提升單站銷售能力，銷售網絡進一步完善，運營加油站數量達到20895座，同比增長0.9%。單站加油量10.46噸/日，同比減少0.9%。此外，中國石油網上支付可通過加油卡、微信、支付寶等99種方式支付費用。

為何中石油的加油站網絡系統受到了此次勒索病毒的襲擊？四川無聲信息技術有限公司副總經理鄒曉波分析認為，可能發生的情況是：部分加油站的網絡平時不會注意到補丁升級，目前出現的問題可能是支付系統主機被病毒鎖定，而部分主機感染後，如果其他主機不採取防範措施，很容易導致全網感染。

原因剖析

關鍵行業的“中毒”煩惱：外網便利添風險 終端電腦量大難管控

每經記者 李少婷 每經編輯 陳俊傑

5月12日晚間，WannaCry（又稱Wanna Decryptor）勒索病毒在全球近百個國家和地區爆發，據中國國家信息安全漏洞庫（CNNVD）5月14日發佈的關於WannaCry勒索病毒攻擊事件的分析報告（以下簡稱CNNVD報告），全球中招案例已超過75000個。

此次惡意攻擊來勢洶洶。勒索病毒首先在校園系統爆發；5月13日1時，中石油旗下部分加油站突然出現斷網，線上支付功能受到影響；5月14日早間，無錫市人民政府新聞辦公室官方微博“無錫發佈”稱多地出入境、派出所等公安網也疑似遭遇了病毒襲擊。

能源、公安系統等紛紛“中招”，在網絡安全專家看來，這是“安全意識薄弱”惹的禍。但“中招”機構也有苦衷，眾多終端難以管理，外網便利又不能割捨，在效率與安全之間，關鍵行業當如何平衡？

局勢暫緩遺留問題難解

截至5月14日，WannaCry勒索軟件在中國已經肆虐了3天。中石油稱，因勒索病毒爆發，導致銀行卡、第三方支付等網絡支付功能無法使用，加油及銷售等基本業務運行正常，加油卡賬戶資金安全不受影響。

此外，“無錫發佈”於5月14日早間發佈微博稱，無錫出入境處網絡系統遭到病毒入侵，13~14日暫停辦理所有業務，並且北京、上海、江蘇、天津等多地的出入境、派出所等公安網也疑似遭遇了病毒襲擊。

“中毒”面積之大十分罕見。CNNVD報告稱，此次網絡攻擊涉及百餘個國家和地區的政府、電力、電信、醫療機構等重要信息系統及個人電腦，最嚴重區域集中在美國、歐洲、澳洲等。其中，我國爆發時間應為上週五（5月12日）下午3時左右，恰逢國內各單位網絡安全防範最鬆懈之時。

正當人們有些“張皇失措”時，攻擊意外中斷。據多個行業專家向《每日經濟新聞》記者證實，因勒索軟件中預留的終止機制被技術人員發現，目前的病毒不會再有新的“中招者”。但此次惡意攻擊也遠未結束，四川無聲信息技術有限公司副總經理鄒曉波向記者表示，由於13日有很多終端處於關機狀態，不排除星期一（5月15日）這一病毒還會再爆發一輪。

而網絡安全專家張瑞東更表示，這一波惡意攻擊所造成的遺留問題難以解決，“我記得這個勒索病毒有一個星期的（付贖金）期限，一個星期內不解鎖的文件短期內就解不了鎖了，原有的已經被鎖過的機器是沒有辦法解決這個問題的。”

這一病毒被認為難以暴力破解，在不交贖金的前提下，想要重新讓“中毒”的電腦恢復服務只能重裝系統。5月14日，中石油表示，截至5月14日12時，公司80％以上加油站已經恢復網絡連接，受病毒感染的加油站正在陸續恢復銀行卡、第三方支付功能。

“可能沒鎖到重要的東西。就像我們在超市買東西，結算的終端機器被鎖了，但內部的數據也都會彙總並傳到服務器上，這個機器上本來不會產生重要的數據，頂多是加油的時候臨時產生的支付的信息，所以才會很容易（修復）。”張瑞東分析道。

但公安網絡的情勢似乎沒有那麼簡單了。記者以諮詢者身份於5月14日晚間撥打“無錫發佈”的微博中公佈的諮詢電話，對方表示，目前正在努力恢復網絡，但因網絡還不穩定，建議不緊急者於一周後再來辦理業務。

便利與安全權衡難題

在線支付停擺僅36小時就恢復使用，也沒有影響到重要的加油系統，中石油在此次惡意攻擊中“有驚無險”。

“加油站的內網與外網是完全獨立的，通過中間池交換數據，而中間池僅能讀取信息的權限，沒辦法運行，因此對內網沒有什麼影響。”為加油站開發ETC支付系統服務的一位技術人員向《每日經濟新聞》記者解釋道，除非內部人發起攻擊，外部攻擊者進入中石油的內網是非常難的，這也保證了“加油安全”。

值得注意的是，與中石油的大面積“中招”不同，中國石化就顯得安全得多，這是為什麼？“這要看內網的邊際有多大，比如中石油接了很多外部系統，內網的外部終端就有很多，本身脆弱點也很多，維護人員就需要很多，容易出事。系統是越簡單越安全，越複雜越危險。”張瑞東表示。

據公開報道顯示，中石油網上支付可通過加油卡、微信、支付寶等99種方式支付費用。

中國石化數據顯示，截至2016年12月31日，其品牌加油站總數30603座。對於在此次惡意攻擊中“逃過一劫”，中國石化相關負責人向記者表示其加油卡自成體系，此外，該人士還強調，技術上的意外總是難免的，一定會竭力避免。

實際上，考慮到使用的便捷性，已有越來越多的關鍵性公共事業系統接入外網。而諸如石油網絡、公安網絡、金融系統擁有數量龐大的零散電腦終端，且使用頻率高維護管理“粗放”，已成為棘手的安全問題。

除了數量龐大和便利化使用頻繁，很多關鍵行業的網絡安全管理粗放和維護意識也是一個難題。

網絡安全專家張瑞東表示，針對此次病毒漏洞的“補丁”早在一個月前就已經發布，“中招主要是因為他們用的系統本身很陳舊，不會定期升級導致”。

鄒曉波也表示，一些企業的安全管理人員安全意識不到位，存有僥倖心理，而據他這兩天接觸的案例，勒索病毒已擴散至金融系統，而這些系統的物理隔絕及邏輯隔絕已很完善，感染病毒是源於內網與外網接觸的“交叉感染”，如員工使用自帶已染毒的筆記本電腦及優盤。

“已經不是疏忽大意的問題了，是規則沒有制定好，比如一個星期必須更新一次。”張瑞東介紹道，微軟每週都會發布新補丁，從運維安全角度來講，補丁是要求必須打的，但是因為微軟的一些補丁本身會影響到系統的正常使用，或者會造成業務中斷，所以很多人就會偷懶。

“不捱打不長教訓”是張瑞東對此次事件的評價。鄒曉波則表示，相應的安全應急預案也十分重要。上述兩位業內人士也提醒，這一波惡意攻擊雖被技術人員找到了“停止開關”，但不排除新的變種病毒再度發起攻擊。

值得注意的是，5月14日，擁有最尖端反毒軟件的“卡巴斯基實驗室”通過其官方微信平臺發佈消息稱，“新一波的WannaCry2.0攻擊已經襲來，並且這次沒有發現停止開關”。

這次，關鍵領域能抵禦住攻擊嗎？網絡安全防範該從何做起？