中国石油

东方地球物理勘探有限责任公司 > 新闻公告 > 一线采风
坚守网络长城的安全卫士
打印 2018-09-20 字体: [大] [中] [小]

    提起信息技术中心信息安全技术总监王勇,大家都觉得他是一个“技术大神”,所有的时间都在钻研,不是在办公室处理安全事件,就是在各大网站浏览行业新情况,要不就是研究个小程序、小系统,解决一些管理问题。他多次说:“我就这一个爱好,甘愿把所有都献给它。”

信息中心网络卫士合并.jpg
                         王勇(右一)带领同事们进行“头脑风暴”。                         王勇(左)耐心为同事答疑解惑。
 

  正是他把全部的时间和精力献给了信息安全技术,也正是这种不断进取、不知疲倦的学习精神,让他成为了网络安全方面的权威专家。2013年,王勇代表中国石油参与了发改委信息安全专项中工业控制信息安全领域相关条款制定工作,提出面向现场设备环境的边界安全专用网关产品、面向集散控制系统(DCS)的异常监测产品、安全采集远程终端单元(RTU)产品和工业应用软件漏洞扫描产品的研发工作,最终被发改委完整采纳。2015年,王勇在中国石油十三五规划中总体负责信息安全部分的编制工作,牵头完成了中国石油新的信息安全五年规划,对云安全、工控安全等新兴领域完成了业务布局,将桌面安全、网络安全等方面提升了新的高度。2016年,王勇代表中国石油对国家网络安全法提出了修改建议并被采纳。

 

  2017年,人们至今记忆犹新。5月12日晚22时,王勇结束了一天的工作走在回家的路上,手机上刷着安全行业的公众号,最新的安全消息和各种奇怪名称的病毒不停地在眼前闪现。北京的夜晚静谧中又流光溢彩,谁也没料到这个普通的夜晚成为王勇至今难忘的一夜,他和他的团队遭遇到了十几年来最为严峻的考验。

 

  22点多,他接到一个报警电话,一个石油的加油站系统中病毒了,对于网络安全技术达人来说,这是日常最普通的一件事,也许没什么大不了,只要及时解决就好了。他看着告警电话中的中毒截图,职业敏感性让他隐隐觉得不安,不一会又出现了2条中毒告警,他头皮一紧,凭借10多年的工作经验和敏锐的行业嗅觉,他觉得这绝不是几起简简单单的病毒,非常有可能大面积爆发,必须以最快的时间及时制止,否则大肆爆发,后果将不堪设想。他快速的思考了一下,立即向集团公司上报了他对此事件的预测,并迅速回家打包行李,第一时间赶到了信息安全实验室。

 

  23时,此病毒被证实为比特币勒索病毒,已在全球范围内爆发,集团公司部分加油站计算机和办公网计算机受到波及。持续监测发现中毒终端数量攀升。据不完全统计,共计17家地区公司,1376座加油站,10座油库受此次病毒影响。加油站银联卡刷卡、微信和支付宝支付、发卡点发卡储值等业务受到影响。办公网7200余台办公网计算机和服务器受到感染。情况十分的危急。

 

  次日凌晨1点,信息管理部主管领导组织现场应急保障会议,紧急启动应急预案,全面展开应急响应工作。明确各应急小组工作任务,全面排查风险,制定技术解决方案。

 

  王勇作为应急响应小组现场总指挥,迅速召集“红客团队”第一时间回到工作岗位,他们团队不仅要控制住病毒持续扩散,还要立即处理已中毒的系统,减少集团公司的损失,还要维护好石油形象。凌晨1点的信息安全实验室,安静、严肃、又有点疯狂。

 

  经过一整天不眠不休的奋战,5月13日凌晨2点左右,在石油内网通过现场取证的方式获取了第一例比特币勒索病毒样本,并在短时间内完成了初步的行为特征分析。对勒索病毒的传播方式、感染原理、加密手段等关键信息获得了第一手的资料,为进一步调整优化防护措施奠定了基础。

 

  此次感染勒索病毒的计算机会请求特定的公网域名作为开关以决定是否启用加密。当发现这一特征后,王勇组织人员搭建了蜜罐服务器和日志监控系统,在内网DNS服务器上将该域名劫持解析至内网蜜罐服务器。这一措施阻断了勒索病毒的传播过程,并建立了中毒计算机的监控机制,为及时发现、通报并修复中毒计算机提供了必要的技术手段。

 

  王勇还带领人员现场开发了针对此次勒索病毒的批量扫描系统,实现了对全网计算机的漏洞状态进行快速排查。并在服务器恢复上线过程中,对每台申请上线的服务器进行漏洞检测,检测合格才允许上线。在病毒预防和避免二次感染方面发挥了重大作用。

 

  王勇带领团队成员在现场连续奋战两周没有回家,及时阻断了病毒的扩散,建立了免疫机制,及时控制住了事态发展,为集团公司避免了重大损失。为此,信息技术中心受到了集团公司的肯定和表扬。

 

  王勇凭借着对网络安全的执着,凭借着共产党员的笃定信仰,努力筑建中石油自己的网络安全长城,他组建了中油瑞飞同时也是中国石油的“红客团队”。该团队作为信息安全的最核心力量,常年战斗在信息安全攻防第一线,历年来在集团公司安全检查、重大信息安全事件应急响应、黑客攻击对抗、国家检查迎检等方面发挥了重要的作用。尤其是在勒索病毒爆发之际、在十九大安全保障之时、以及集团公司护网行动最重要的时刻,都起到了至关重要的作用。

 

  【撰稿、摄影:穆琳  董保华】

2018-09-20 来源: 责任编辑: