從“勒索病毒”攻擊談我國計算機網絡安全管理現狀

　　針對近期全球發生的“勒索病毒”攻擊事件，深入分析了該病毒攻擊所呈現的特點，對我國眾多行業和企業所造成的危害及影響，并在此基礎上論述了我國計算機網絡安全管理現狀，進而總結了未來我國計算機網絡安全管理需要從技術上提高、從管理上完善的結論。

　　《信息網絡安全》(月刊)創刊于2001年，由公安部第三研究所、中國計算機學會計算機安全專業委員會主辦。是由公安部主管，公安部第三研究所、中國計算機學會共同主辦的信息網絡安全領域中的一本綜合性刊物。是中國計算機學會唯一指定信息網絡安全類會刊，也是公安部公共信息網絡安全監察工作對外宣傳的窗口。

　　0 序 言

　　2017年5月12日夜間，黑客組織ShadowBrokers在全球發起迄今為止最大規模、危害最嚴重的蠕蟲勒索病毒攻擊，在短短5個小時內，全球至少100多個國家和地區相繼被攻破，感染數百萬臺計算機，文件被病毒雙重加密，技術人員至今無能為力，無法破解。該病毒攻擊是利用位于Windows SMB共享服務中的漏洞，用戶在聯網后即可發生感染且全程無需用戶操作，只要感染后病毒將立刻采用2 048甚至4 096位高強度加密算法將用戶電腦的本地文件進行加密且令其無法破解。被攻擊電腦被鎖定，使用暴力破解的方法根本無效，文件被加密后，查殺病毒也無效，受害者只能付錢消災才能通過攻擊者提供的密鑰恢復訪問。

　　1 勒索病毒攻擊在我國國內所造成的危害

　　在我國國內，至少包括中國石油、多個高校、電信、移動、公安、銀行、交通等多個政府部門、行業或部門、企業無一幸免，都出現了不同程度的感染和影響，受害者電腦被黑客鎖定，黑客提示需要支付價值相當于300美元(約合人民幣2 069元)的比特幣才能解鎖，曾一度出現“銀行取不了錢，加油站加不了油”的嚴重局面。

　　在此次病毒攻擊事件中，已經在生產管理、數據資源、經濟利益等方面給企業和個人造成的嚴重損失。

　　1.1 生產暫停、管理停滯

　　病毒風暴發生后，受到攻擊的行業和企業均在第一時間啟動應急預案，截斷所有計算機網絡連接，中斷互聯網+訪問，關閉客戶端計算機、生產服務器停用。在某些大型企業內網，病毒傳染嚴重，不同程度出現被感染計算機或者服務器，較輕者少數計算機被感染，嚴重的出現服務器被感染，處于癱瘓狀態，信息系統無法運行、數據服務器全面癱瘓停機，IT技術人員為了應付病毒入侵手忙腳亂，開展排查、工具檢測、測試、病毒分析、病毒掃描、補丁升級等等工作，耗費了大量的精力。受影響行業和企業自上而下管理工作停滯等待技術人員處理，部分銀行的提款機因為被感染而造成客戶無法提取現金;加油站加油機被感染無法為車主提供加油服務;有些企業因為缺少網絡支持造成數據采集、傳輸、視頻終端傳輸中斷等等，嚴重者不得不停止生產。

　　1.2 數據資源損失嚴重

　　在攻擊中已造成國內部分高校畢業生畢業設計被加密無法解鎖，只能重新進行畢業設計;用戶計算機因為被感染而造成數據被加密后無法解密，重要工作數據被瑣死而無法恢復，不得不重新彌補;從公布的數據和信息，有的企業已經存在生產服務器和科研成果服務因為被感染，數據資源無法恢復，使企業多年的經營成果毀于一旦。信息數據屬于各行業、企業的財富和密碼范疇，是企業經營戰略的重要支撐，任何數據被盜、泄密、竊取或損毀后果都是無法估量的，價值和損失是非常大的，后果是非常嚴重的。

　　1.3 經濟損失大

　　一方面，生產經營對一個企業來說，就是創造效益，反之生產經營的停滯，就是給企業造成了經濟損失，尤其是對于我國國內的部分大型國有企業，生產經營的停滯，造成的損失是巨大的。

　　另一方面由于病毒的注入無法查殺而導致交換設備、服務器、計算機等報廢，不得不大量重新購入替換，有的行業和企業需要大面積更新換代計算機、升級操作系統等等，這些對企業來說是一筆不菲的投入;有些企業的重要生產數據和科研成果數據本來會直接給企業經濟效益，因為被加密鎖死而無法解密甚至損壞，變相給企業帶來的經濟損失是無法估量的。對于個人或許采納了黑客的提醒，支付了贖金以求解密個人資料和文件，但往往收效甚微，給個人造成的經濟損失也是較大的

　　2 從事件的危害談我國計算機網絡安全管理現狀

　　從“永恒之藍、Onion”病毒攻擊對我國所造成的危害，可見計算機網絡安全意識仍然未深入到每位網絡用戶。計算機安全漏洞多，網絡的抗風險能力仍然低，企業、行業的抗風險防病毒手段少，面臨的風險高。

　　2.1 計算機用戶無良好操作習慣，網絡安全意識低，平時不注重數據備份管理

　　筆者對自己所在單位的被感染計算機用戶做了深入的了解和咨詢，受感染的計算機都在病毒風暴發生的第一時間被感染，究其原因均屬于下班后不及時關閉計算機，平時計算機操作習慣差，安全意識低，為了方便省事，長期使用電腦后不及時關機，不截斷電源;另一方面無視計算機系統補丁，不及時更新，不能有效防堵計算機安全漏洞;再就是用戶疏于對工作資料、文件和數據的管理，往往忽視數據備份的重要性，在“永恒之藍、Onion”病毒攻擊事件中，部分被感染用戶就因為沒有備份數據而無法找回重要的生產資料和數據。

　　2.2 計算機網絡結構不完善、安全漏洞多，防護手段差、抗風險能力弱

　　從本次安全事件的爆發波及范圍廣，造成危害大，涉及行業企業多，透露出我國國內眾多行業、企業的計算機網絡安全仍然面臨高風險，仍然處于無法保障的尷尬困境。就其根源分析，我國多數行業和企業的計算機網絡的安全防護手段少、差、弱且落后。

　　一是國內多數行業和企業大量使用盜版操作系統，而且版本多樣，功能閹割嚴重，漏洞百出，這些聯網的計算機漏洞多、風險高，尤其是致命的漏洞，一旦感染病毒將會給用戶、網絡造成嚴重破壞和損失;二是國內部分企業或行業對計算機網絡安全意識仍然不夠，平時不重視網絡安全，對網絡安全教育宣傳不到位，不愿在網絡安全設備做投資本，沒有先進的防護設備或防護手段;三是從公布的被攻擊案例，有的企業或行業的大型服務器受到“永恒之藍、Onion”攻擊，生產信息數據、成果數據嚴重受損無法恢復，造成了無法估量的損失，這些企業或行業均屬于在開發自己的應用系統中不合理配置安全基線，不做安全防護體系，沒有安全有效的數據和備份機制，抗風險能力弱，面對“永恒之藍、Onion”的攻擊根本無任何抵御能力;四是數據風險意識差，備份機制不完善或根本沒有備份機制和災備系統，有的只做熱備份沒有冷部分，有的只做同地或異地網絡備份，不做介質備份，此次攻擊風暴中，數據庫服務器在被“永恒之藍、Onion”攻擊的同時，處于同一網絡的同機備份數據和網絡異地備份數據同樣被感染、被加密，均無法恢復，假如這些企業或行業有異地介質備份，何至于在次風暴中如此的被動局促和手忙腳亂。

　　2.3 設備老化，管理不到位，未及時更新換代，大量使用盜版系統、盜版軟件

　　一是大量網絡服務器、安全防護設備、交換機老化、陳舊，帶病工作、帶病上崗，超負荷運轉，早已到該升級換代的年齡，為了節省支出，管理人員和管理部門選擇視而不見，要么不升級、不更換，要么不配置。在“永恒之藍、Onion”病毒攻擊應急工作中，有的企業或行業的服務器、交換設備由于系統版本低，兼容性差根本無法升級;二是現有設備管理不到位，疏于管理，長期不對服務器、交換設備進行系統漏洞掃描、病毒檢測，升級系統補丁，造成漏洞多，抗風險能力弱;三是Windows XP、2003系統用戶仍然多，微軟公司早已停止針對XP、2003及以下版系統的補丁更新，使這些用戶長期面臨系統漏洞多而且無法修復的風險中。早在2017年4月微軟就發布了相關漏洞升級的更新，但是屬于Windows 7及以上系統;四是在我國國內，大量使用盜版的操作系統和軟件，也是造成漏洞多、風險大的重要原因。

　　2.4 沒有屬于自己的核心系統為中國各行各業提供網絡安全保護

　　至今，我國還沒有成熟的，普及的應用操作系統，大面積使用的都是Windows、Unix、Linux系統。此次攻擊主要是針對微軟的操作系統和軟件，核心技術屬于國外IT公司和巨頭。這對中國的企業、政府，各行各業都是致命的，掌握不了核心技術就掌握不了命運，自己的就是掌握在別人手中。從長遠來看，形成自己的核心技術和核心產品才是掌握自己命運的最根本、最行之有效的辦法和思路，也只有這樣才能從根本上為中國自己的企業、政府提供計算機網絡安全保護。

　　3 結 語

　　總的來說，這次攻擊事件暴露出我國計算機網絡安全管理，既有技術上的不足，也有管理上的漏洞，使我國計算機網絡安全風險仍然面臨風險高、漏洞多、技術落后、手段陳舊的現實，要從技術層面和管理層面提高計算機網絡安全管理水平仍然還有很長的一段路要走。