构建某著名企业应用安全防护体系助力油气行业数字化转型

目录CONTENTS010203某著名企业终端安全态势油气行业数字化转型风险分析梆梆安全公司简介1某著名企业终端安全态势1.1国际安全态势当前全球网络安全威胁和风险日益突出，并向政治、经济、文化、社会、生态、国防等领域传导渗透。互联网已经成为意识形态斗争的主战场，网上渗透与反渗透、破坏与反破坏、颠覆与反颠覆的斗争尖锐复杂。油气行业的网络信息系统长期以来一直是网络攻击的重要目标，安全运营的要求高、责任大、任务重。Ø

2016.9.19中国工程院院士、清华大学互联网是继陆海空太空之后的第五个疆域。Ø

2019.5.13网络安全等级保护制度2.0标准正式实施，标志着企业网络安全被上升到国家层面。Ø

2020-2021境外黑客组织频繁发起网络安全攻击，妄想达成舆论导向和政治目的。2021年5月9日，美国政府宣布进入国家紧急状态，原因是当地最大燃油管道运营商ColonialPipeline受到勒索软件攻击，被迫关闭其位于美国东部沿海各州供油的关键燃油网络。2020年9月，重保期间溯源到大量境外网络攻击，某著名企业终端相对传统服务在安全防护层面还是有所欠缺，最后攻入内网，以上均为通过反编译某著名企业APP进行探测和注入攻击，通过威胁态势监控系统进行溯源和封停。印度黑客组织，在我国疫情期间利用肺炎疫情相关题材，采用鱼叉式钓鱼方式进行邮件投递APT攻击。2020年7月以来，中东油气行业也发现多起供应链的APT攻击事件。网络安全已经上升到国家层面，油气等支柱产业深受影响！1.2国内安全态势能源行业按照信息技术总体规划持续推进信息化建设，经过“十一五”、“十二五”的快速发展，建成并投入使用了集某著名企业息系统和集成平台。早在“十三五”规划中提到：随着5G等技术发展，油气行业某著名企业应用的建设和应用规模将进一步扩大，某著名企业应用安全风险日益严峻、合规性日益严格。为满足合规性要求，提高某著名企业应某著名企业在云安全防护中设立了某著名企业应用安全防护规划项目。近期“十四五”规划指出：按照“数据+平台+应用”的新模式，大力推进数据中心、物联网、工业互联网等新型基础设施建设，深化大数据、人工智能、5G、北斗等技术应用，夯实公司数字化某著名企业将继续发力某著名企业应用安全防护等新业态、新经济。云计算大数据物联网某著名企业互联网人工智能数字孪生随着国家对“新基建”工作加大投入力度，5G网络、工业互联等关键基础设施的建设促进企业更多、更重要的业务系统从传统PC桌面应用转向某著名企业应用，通过某著名企业通信方式对数据采集处理、生产作业、监控巡查等操作。同时，互联网针对某著名企业应用攻击频频发生、技术手段不断出新、黑产活动依然猖獗，某著名企业安全面临更加严峻的挑战。1.3国家法律法规《信息安全技术网络安全等级保护基本要求》扩《关某著名企业信息化项目建设与信息系统运行维护工作计划的通知》的安排，2019年新启动“某著名企业应用安全防护系统建设项目”。集团公司信息管理部下达了《关于委托编制某著名企业应用安全防护系统项目可行性研究报告的函》。展要求部分，从某著名企业终端管控、某著名企业应用管控等多个方面对某著名企业互联提出了相关安全要求，规范某著名企业应用的建设与使用，提升某著名企业应用安全性，降低某著名企业应用带来的安全风险与隐患。ØØØØØØØØØØØØ《中华人民共和某著名企业络安全法》2017年6月1日《个人信息保护法（草案）》2020年10月21日《网络安全等级保护基本要求》（GB/T22239-2019）《信息系统等级保护安全设计技术要求》（GB/T25070-2010）《常见类型某著名企业互联网应用程序必要个人信息范围规定》（国信办秘字〔2021〕14号）《信息安全技术某著名企业智能终端应用软件安全技术要求和测试评价方法》（GB/T34975-2017）《信息安全技术某著名企业智能终端数据存储安全技术要求与测试评价方法》（GB/T34977-2017）《信息安全技术网络安全等级保护测评要求》（GB/T28448-2019）——梆梆安全参与编制《某著名企业互联网应用程序安全加固能力评估要求与测试方法标准》（YD/T3474-2019）——梆梆安全参与编制《公共安全行业标准某著名企业终端防火墙产品测评准则》（公信安【2010】787号）——梆梆安全参与编制《公共安全行业标准某著名企业互联网应用程序安全加固产品测评准则》（公信安【2016】326号）——梆梆安全参与编制《国家标准信息安全技术信息系统安全等级保护基本要求某著名企业互联要求标准》（GB/T22239-2008）——梆梆安全参与编制国标企标对某著名企业互联网的安全要求2油气行业数字化转型风险分析2.1数字化转型背景全球各大石油公司在2020年增加数字化投资，投资重点从之前的大数据、物联网、某著名企业应用、云计算延伸到机器人、无人机、人工智能、智能穿戴设备等领域。从当前国内外领先石油公司的实践看，油气行业数字化转型主要围绕作业现场智能化、生产运营一体化、贸平台化、研究设计协同化4个方向，推动数字技术与生产经营管理深度融合。——摘自《挪威船级社2020年油气行业展望报告》《埃森哲油气行业投资趋势分析报告》现状需求Ø

海量lOT终端和某著名企业APP:油气生产作业现场，利用无人机、人工智能等lOT终端进行远程操控；贸易销售板块，利用某著名企业APP进行查询和交。Ø

合法合规：对某著名企业应用违规采集个人信息、用户敏感信息泄漏、超范围使用权限等安全风险进行防控检测。Ø

功能服务提升：增加源码检测及加固技术；增加即时通讯内容管理能力；提供终端运行阶段攻击监测、预警、阻断、溯源全流程安全管控；实现某著名企业应用安全服务集中管理。Ø

合法合规、平台安全功能及服务:某著名企业终端的开发、接入、发布、运行等全生命要提供标准化安全服务，需保障某著名企业终端安全合规运行。2.2行业某著名企业互联网业务现状经过多年的持续建设，在油气行业的办公管理、经营管理、生产管理等领域，已经建设了大量的某著名企业应用，场景非常复杂。在生产作业层面，即有采用智能手机、平板电脑等通用终端的场景，也有采用工业手持等专用终端的场景;在办公管理层面，有某著名企业办公APP、文化建设APP等面向企业员工;在公共服务层面，有中油好客e站、、海油行等对外客应用;在应用形态层面，即有Android、iOS原生应用，也有H5应用、混合应用。对于存储涉密数据的应用通用应用的管控力度肯定有所区别，但是现有的某著名企业应用基础防护手段不足以抵御复杂场景的应用攻击。用

户终

端网

络接

入内网移动门户生产作业类某著名企业应用涉及商密数据面向企业员工专控终端为载体无线虚拟网专网安全接入平台到内网外网移动门户办公管理类某著名企业应用混合应用不涉及商密数据面向企业员工和外部协作人员智能手机为载体智能手机为载体互联网为通道互联网为通道安全交互平台到外网安全交互平台到外网公共服务移动门户公共服务类某著名企业应用定制终端面向企业客户2.3某著名企业应用的风险某能源企业某著名企业平台前期已基于云资源和云安全基础设施完成等保建设，初步具备对某著名企业应用提供安全组件服务、安全管控服务、安全接入标准。随着企业业务系统从传统PC桌面应用转向某著名企业应用，企业对某著名企业应用不断深化，同时考虑互联网对某著名企业应用威胁多样性、复杂性。针对某著名企业平台提出更高的安全要求：①安全合规、满足监管②代码安全引发风险③某著名企业办公内容安全④某著名企业终端威胁。某著名企业应用发布渠道风险Ø

截至2020年底，国内已备案的应用商店总数为151个，安全渠道不足10%，大量渠道对仿冒、盗版和钓鱼应用没有任何检测/处置能力。企业某著名企业应用的针对性攻击Ø

我国某著名企业互联网用户规模已突破13亿，占全球网民总规模的32%，移动应用攻击进入高发期，恶意程序正在实施破坏力极大的针对性攻击。黑/灰产规模庞大Ø

企业在某著名企业应用推广方面投入了大量资金，越来越多的企业某著名企业应用成为攻击目标，大量企业被“薅羊毛”。某著名企业应用合规监管力度加强Ø

《个人信息保护法》《App违法违规收集使用个人信息自评估指南》等某著名企业应用典型攻击手段要求：整改某著名企业应用违规采集、敏感信息泄漏、权限使用等安全风险。2.4对内某著名企业办公：通过OA攻入内网事件事件：2021年4月，某能源企业某著名企业OA应用发现高危漏洞，重保前期的攻防演练过程中，攻击方通过某著名企业OA应用作为跳板，成功进入内网并拿下数台内网服务器。攻击者先进行了信息收集，发现其OA暴露在外网并且某著名企业OA

APP版本服务接口未下线，通过逆向找到URL、数据库名等关键信息，然后通过社工攻击获取到数个OA账号信息，通过HOOK关键类获取到VPN账户名、密码、地址，成功进入内网，最后拿下数台内网服务器。办公

APP

风险分析办公

APP

防护手段Ø

病毒通过某著名企业设备渗透企业内网：黑客攻击倾向逐渐转至某著名企业设备，某著名企业设Ø

全面考虑安全事件：越狱ROOT事件、设备丢失事件、员工离职事件、用户备沦陷后很容黑客入侵渗透企业内网的跳板。异常登录事件、未安装指定应用事件、违规安装应用事件等。Ø

某著名企业设备丢失造成数据泄密：每年约有7000万部手机丢失，其中60%含敏Ø

提前设置预案：对于常发生的安全事件，可提前预定义好相应的处理预案。感信息，涉及某著名企业办公的设备一旦丢失则可能沦为黑客攻击企业网络的利器。事件发生时，系统就会按照预案自动进行处理，提高事件处理效率。Ø

某著名企业应用合规性较差：工信部发布的问题APP中，存在大量截图、窃听、偷Ø

数据隔离：通过安全沙箱隔离个人/企业数据，允的身份/设备/应用录、偷传设备信息、夹带恶意程序等问题，多款软件上黑榜。接入内网，远程擦除不可控设备数据，保障数据的传输、存储、访问安全。2.5对客某著名企业APP：京东优惠券漏洞薅羊毛事件事件：2020年1月7日，京东一张200元的优惠券使用规则设置出现错误，部分低价小家电也可以使用，消费者用几块量200元左右的小家电一扫而空。其中，仅一款烤箱就被下单24万次，到手价仅6元，一夜之间被撸实际商品总额达到7000万元。某著名企业

APP

风险分析某著名企业

APP

防护手段Ø

营销资金损失：用户群体庞大，遭遇一定数量恶意用户“薅羊毛”的情况Ø

管控：在APP需求设计阶段介入，通过安全基线进行安全设计和安全开发。不可避免，造成优惠券、积分被恶意领取，增大营销成本，带来经济损失。Ø

检测：通过渗透测试、源码审计、漏扫和合规检测等手段，分析其业务功能逻辑设计是否合理，避免被黑灰产薅羊毛；分析其安全漏洞，避免被利用造成数据；分析其用户权限使用情况，避免应用不合规。Ø

业务逻辑漏洞：App一旦出现安全漏洞，会造成免费加油、木等安全风险，不仅给企业带来严重的经济损失，还损坏企业名誉。Ø

用户隐私：系统用户量庞大，一旦信息，会造成客户账号被冒用，用户名密码沦为撞库数据等间接影响，给客户和企业造成经济损失，给企业声誉造成严重影响。Ø

加固：对APP进行代码混淆、安全加壳，防止程序被反编译、被动态调试。Ø

监测：实时识别和分析APP运行阶段的安全威胁，如：模拟器、位置欺诈、设备信息造假、敏感配置、框架软件、风险程序等。2.6lOT终端：通过摄像头获取监控数据事件事件：2021年3月10日，一群黑客表示，他们已经入侵了硅谷监控创业公司Verkada收集的海量监控摄像头数据，能够看到医院、公司、警局、监狱以及学校内部的15万个监控摄像头的实时录像情况。监控视频被曝光的企业包括特斯拉、Cloudflare。此外，黑客还能够看到女子卫生诊所、精神病院以及Verkada本身办公室的视频。其中一个视频拍摄自特斯拉上海仓库，能够看到装配线上的工人。黑客称，他们能够访问特斯拉工厂和仓库内的222个摄像头。某著名企业终端

风险分析某著名企业终端

防护手段Ø

终端本体漏洞：硬件层、操作系统层、固件层存在重大漏洞。Ø

探查：对IoT资产进行探查并进行安全管理，以IP地址为监测目标，通过比对前后两次扫描结果，自动做资产变更监测。Ø

在线终端击：越狱或Root后的系统，被病毒/木意软件攻击的风险极高；厂商补丁分发不及时或用户停用自动更新，导致系统漏洞被利用；定制系统漏洞修复困难。及时性差，程序适配和更新困难。Ø检测：对物联网设备及智能硬件进行渗透测试，包括物理安全、固件安全、OS安全、数据安全和接口安全等；识别和分析物联网设备固件安全。Ø

终端失控风险：设备丢失、被盗或送检均存在数据被恶意读取、窃取的风险；某著名企业终端在淘汰、废弃过程中，没有对其中的数据进行清除处理，导致数据被恢复和使用。Ø

加固：为物联网应用提供源代码深度混淆、固件防逆向、程序逻辑防破解等多重保护手段，保护物联网应用程序安全，防止破解和攻击。Ø

监测：实现智能终端资产状态管理、安全威胁发现。2.7某著名企业安全防御体系自适应安全框架（ASA）是Gartner提出的面向下一代的安全体系框架，以应对云大物移智时代所面临的安全形势。自适应安全框架（ASA）从预测、防御、检测、响应四个维度（PPDR），强调安全防护是一个持续处理的、循环的过程，细粒度、多角度、持续化的对安全威胁进行实时动态分析，自动适应不断变化的网络和威胁环境，并不断优化自身的安全防御机制。油气行业涉及大量某著名企业应用和物联网终端，同时，某著名企业安全的标准制度，某著名企业应用技术、安全攻击技术、安全防护技术都出现了新的变化，为了更好的满足合规性要求，对抗更加复杂的安全风险，应参考ASA等技术理念，构建适应当前安全形势和要求的防护系统。基于PPDR模型的安全保障体系预测响应防护检测PPDR检测已知漏洞、风险，提升安全防御能力。•

APP/SDK/小程序/lOT终端漏扫•

APP/SDK/lOT固件恶意外联和后门动态安全测试•

APP/SDK/小程序/lOT终端渗透测试•

实时威胁检测（攻击行为、环境风险）3梆梆安全公司简介3.1公司简介程序可信某著名企业APP代码安全lOT固件盗版监测应用加固VMP保护白盒KEY、，