從“勒索病毒”攻擊談我國計算機網(wǎng)絡安全管理現(xiàn)狀

　　針對近期全球發(fā)生的“勒索病毒”攻擊事件，深入分析了該病毒攻擊所呈現(xiàn)的特點，對我國眾多行業(yè)和企業(yè)所造成的危害及影響，并在此基礎上論述了我國計算機網(wǎng)絡安全管理現(xiàn)狀，進而總結了未來我國計算機網(wǎng)絡安全管理需要從技術上提高、從管理上完善的結論。

　　《信息網(wǎng)絡安全》(月刊)創(chuàng)刊于2001年，由公安部第三研究所、中國計算機學會計算機安全專業(yè)委員會主辦。是由公安部主管，公安部第三研究所、中國計算機學會共同主辦的信息網(wǎng)絡安全領域中的一本綜合性刊物。是中國計算機學會唯一指定信息網(wǎng)絡安全類會刊，也是公安部公共信息網(wǎng)絡安全監(jiān)察工作對外宣傳的窗口。

　　0 序 言

　　2017年5月12日夜間，黑客組織ShadowBrokers在全球發(fā)起迄今為止最大規(guī)模、危害最嚴重的蠕蟲勒索病毒攻擊，在短短5個小時內，全球至少100多個國家和地區(qū)相繼被攻破，感染數(shù)百萬臺計算機，文件被病毒雙重加密，技術人員至今無能為力，無法破解。該病毒攻擊是利用位于Windows SMB共享服務中的漏洞，用戶在聯(lián)網(wǎng)后即可發(fā)生感染且全程無需用戶操作，只要感染后病毒將立刻采用2 048甚至4 096位高強度加密算法將用戶電腦的本地文件進行加密且令其無法破解。被攻擊電腦被鎖定，使用暴力破解的方法根本無效，文件被加密后，查殺病毒也無效，受害者只能付錢消災才能通過攻擊者提供的密鑰恢復訪問。

　　1 勒索病毒攻擊在我國國內所造成的危害

　　在我國國內，至少包括中國石油、多個高校、電信、移動、公安、銀行、交通等多個政府部門、行業(yè)或部門、企業(yè)無一幸免，都出現(xiàn)了不同程度的感染和影響，受害者電腦被黑客鎖定，黑客提示需要支付價值相當于300美元(約合人民幣2 069元)的比特幣才能解鎖，曾一度出現(xiàn)“銀行取不了錢，加油站加不了油”的嚴重局面。

　　在此次病毒攻擊事件中，已經(jīng)在生產(chǎn)管理、數(shù)據(jù)資源、經(jīng)濟利益等方面給企業(yè)和個人造成的嚴重損失。

　　1.1 生產(chǎn)暫停、管理停滯

　　病毒風暴發(fā)生后，受到攻擊的行業(yè)和企業(yè)均在第一時間啟動應急預案，截斷所有計算機網(wǎng)絡連接，中斷互聯(lián)網(wǎng)+訪問，關閉客戶端計算機、生產(chǎn)服務器停用。在某些大型企業(yè)內網(wǎng)，病毒傳染嚴重，不同程度出現(xiàn)被感染計算機或者服務器，較輕者少數(shù)計算機被感染，嚴重的出現(xiàn)服務器被感染，處于癱瘓狀態(tài)，信息系統(tǒng)無法運行、數(shù)據(jù)服務器全面癱瘓停機，IT技術人員為了應付病毒入侵手忙腳亂，開展排查、工具檢測、測試、病毒分析、病毒掃描、補丁升級等等工作，耗費了大量的精力。受影響行業(yè)和企業(yè)自上而下管理工作停滯等待技術人員處理，部分銀行的提款機因為被感染而造成客戶無法提取現(xiàn)金;加油站加油機被感染無法為車主提供加油服務;有些企業(yè)因為缺少網(wǎng)絡支持造成數(shù)據(jù)采集、傳輸、視頻終端傳輸中斷等等，嚴重者不得不停止生產(chǎn)。

　　1.2 數(shù)據(jù)資源損失嚴重

　　在攻擊中已造成國內部分高校畢業(yè)生畢業(yè)設計被加密無法解鎖，只能重新進行畢業(yè)設計;用戶計算機因為被感染而造成數(shù)據(jù)被加密后無法解密，重要工作數(shù)據(jù)被瑣死而無法恢復，不得不重新彌補;從公布的數(shù)據(jù)和信息，有的企業(yè)已經(jīng)存在生產(chǎn)服務器和科研成果服務因為被感染，數(shù)據(jù)資源無法恢復，使企業(yè)多年的經(jīng)營成果毀于一旦。信息數(shù)據(jù)屬于各行業(yè)、企業(yè)的財富和密碼范疇，是企業(yè)經(jīng)營戰(zhàn)略的重要支撐，任何數(shù)據(jù)被盜、泄密、竊取或損毀后果都是無法估量的，價值和損失是非常大的，后果是非常嚴重的。

　　1.3 經(jīng)濟損失大

　　一方面，生產(chǎn)經(jīng)營對一個企業(yè)來說，就是創(chuàng)造效益，反之生產(chǎn)經(jīng)營的停滯，就是給企業(yè)造成了經(jīng)濟損失，尤其是對于我國國內的部分大型國有企業(yè)，生產(chǎn)經(jīng)營的停滯，造成的損失是巨大的。

　　另一方面由于病毒的注入無法查殺而導致交換設備、服務器、計算機等報廢，不得不大量重新購入替換，有的行業(yè)和企業(yè)需要大面積更新?lián)Q代計算機、升級操作系統(tǒng)等等，這些對企業(yè)來說是一筆不菲的投入;有些企業(yè)的重要生產(chǎn)數(shù)據(jù)和科研成果數(shù)據(jù)本來會直接給企業(yè)經(jīng)濟效益，因為被加密鎖死而無法解密甚至損壞，變相給企業(yè)帶來的經(jīng)濟損失是無法估量的。對于個人或許采納了黑客的提醒，支付了贖金以求解密個人資料和文件，但往往收效甚微，給個人造成的經(jīng)濟損失也是較大的

　　2 從事件的危害談我國計算機網(wǎng)絡安全管理現(xiàn)狀

　　從“永恒之藍、Onion”病毒攻擊對我國所造成的危害，可見計算機網(wǎng)絡安全意識仍然未深入到每位網(wǎng)絡用戶。計算機安全漏洞多，網(wǎng)絡的抗風險能力仍然低，企業(yè)、行業(yè)的抗風險防病毒手段少，面臨的風險高。

　　2.1 計算機用戶無良好操作習慣，網(wǎng)絡安全意識低，平時不注重數(shù)據(jù)備份管理

　　筆者對自己所在單位的被感染計算機用戶做了深入的了解和咨詢，受感染的計算機都在病毒風暴發(fā)生的第一時間被感染，究其原因均屬于下班后不及時關閉計算機，平時計算機操作習慣差，安全意識低，為了方便省事，長期使用電腦后不及時關機，不截斷電源;另一方面無視計算機系統(tǒng)補丁，不及時更新，不能有效防堵計算機安全漏洞;再就是用戶疏于對工作資料、文件和數(shù)據(jù)的管理，往往忽視數(shù)據(jù)備份的重要性，在“永恒之藍、Onion”病毒攻擊事件中，部分被感染用戶就因為沒有備份數(shù)據(jù)而無法找回重要的生產(chǎn)資料和數(shù)據(jù)。

　　2.2 計算機網(wǎng)絡結構不完善、安全漏洞多，防護手段差、抗風險能力弱

　　從本次安全事件的爆發(fā)波及范圍廣，造成危害大，涉及行業(yè)企業(yè)多，透露出我國國內眾多行業(yè)、企業(yè)的計算機網(wǎng)絡安全仍然面臨高風險，仍然處于無法保障的尷尬困境。就其根源分析，我國多數(shù)行業(yè)和企業(yè)的計算機網(wǎng)絡的安全防護手段少、差、弱且落后。

　　一是國內多數(shù)行業(yè)和企業(yè)大量使用盜版操作系統(tǒng)，而且版本多樣，功能閹割嚴重，漏洞百出，這些聯(lián)網(wǎng)的計算機漏洞多、風險高，尤其是致命的漏洞，一旦感染病毒將會給用戶、網(wǎng)絡造成嚴重破壞和損失;二是國內部分企業(yè)或行業(yè)對計算機網(wǎng)絡安全意識仍然不夠，平時不重視網(wǎng)絡安全，對網(wǎng)絡安全教育宣傳不到位，不愿在網(wǎng)絡安全設備做投資本，沒有先進的防護設備或防護手段;三是從公布的被攻擊案例，有的企業(yè)或行業(yè)的大型服務器受到“永恒之藍、Onion”攻擊，生產(chǎn)信息數(shù)據(jù)、成果數(shù)據(jù)嚴重受損無法恢復，造成了無法估量的損失，這些企業(yè)或行業(yè)均屬于在開發(fā)自己的應用系統(tǒng)中不合理配置安全基線，不做安全防護體系，沒有安全有效的數(shù)據(jù)和備份機制，抗風險能力弱，面對“永恒之藍、Onion”的攻擊根本無任何抵御能力;四是數(shù)據(jù)風險意識差，備份機制不完善或根本沒有備份機制和災備系統(tǒng)，有的只做熱備份沒有冷部分，有的只做同地或異地網(wǎng)絡備份，不做介質備份，此次攻擊風暴中，數(shù)據(jù)庫服務器在被“永恒之藍、Onion”攻擊的同時，處于同一網(wǎng)絡的同機備份數(shù)據(jù)和網(wǎng)絡異地備份數(shù)據(jù)同樣被感染、被加密，均無法恢復，假如這些企業(yè)或行業(yè)有異地介質備份，何至于在次風暴中如此的被動局促和手忙腳亂。

　　2.3 設備老化，管理不到位，未及時更新?lián)Q代，大量使用盜版系統(tǒng)、盜版軟件

　　一是大量網(wǎng)絡服務器、安全防護設備、交換機老化、陳舊，帶病工作、帶病上崗，超負荷運轉，早已到該升級換代的年齡，為了節(jié)省支出，管理人員和管理部門選擇視而不見，要么不升級、不更換，要么不配置。在“永恒之藍、Onion”病毒攻擊應急工作中，有的企業(yè)或行業(yè)的服務器、交換設備由于系統(tǒng)版本低，兼容性差根本無法升級;二是現(xiàn)有設備管理不到位，疏于管理，長期不對服務器、交換設備進行系統(tǒng)漏洞掃描、病毒檢測，升級系統(tǒng)補丁，造成漏洞多，抗風險能力弱;三是Windows XP、2003系統(tǒng)用戶仍然多，微軟公司早已停止針對XP、2003及以下版系統(tǒng)的補丁更新，使這些用戶長期面臨系統(tǒng)漏洞多而且無法修復的風險中。早在2017年4月微軟就發(fā)布了相關漏洞升級的更新，但是屬于Windows 7及以上系統(tǒng);四是在我國國內，大量使用盜版的操作系統(tǒng)和軟件，也是造成漏洞多、風險大的重要原因。

　　2.4 沒有屬于自己的核心系統(tǒng)為中國各行各業(yè)提供網(wǎng)絡安全保護

　　至今，我國還沒有成熟的，普及的應用操作系統(tǒng)，大面積使用的都是Windows、Unix、Linux系統(tǒng)。此次攻擊主要是針對微軟的操作系統(tǒng)和軟件，核心技術屬于國外IT公司和巨頭。這對中國的企業(yè)、政府，各行各業(yè)都是致命的，掌握不了核心技術就掌握不了命運，自己的就是掌握在別人手中。從長遠來看，形成自己的核心技術和核心產(chǎn)品才是掌握自己命運的最根本、最行之有效的辦法和思路，也只有這樣才能從根本上為中國自己的企業(yè)、政府提供計算機網(wǎng)絡安全保護。

　　3 結 語

　　總的來說，這次攻擊事件暴露出我國計算機網(wǎng)絡安全管理，既有技術上的不足，也有管理上的漏洞，使我國計算機網(wǎng)絡安全風險仍然面臨風險高、漏洞多、技術落后、手段陳舊的現(xiàn)實，要從技術層面和管理層面提高計算機網(wǎng)絡安全管理水平仍然還有很長的一段路要走。