趙翀

中國民用航空局華北地區(qū)空中交通管理局內(nèi)蒙古分局 內(nèi)蒙古呼和浩特 010070

2016年8月，網(wǎng)絡上名叫“ShadowBrokers”的黑客組織號稱入侵了NSA（美國國家安全局）下屬的黑客組織“方程式”。在拍賣竊取的黑客工具未果后，此組織在2017年4月14日在公開網(wǎng)絡上一口氣放出了十幾個網(wǎng)絡世界中核彈級的攻擊工具“NSA武器庫”供所有人下載。2017年5月12日晚，名為Wannacry的勒索病毒襲擊全球網(wǎng)絡，該勒索病毒利用“NSA武器庫”中的ETERNALBLUE（永恒之藍）發(fā)起攻擊。蠕蟲利用SMB服務器漏洞，通過滲透到未打補丁的WINDOWS計算機中，實現(xiàn)大規(guī)模迅速傳播，數(shù)十萬臺計算機受到感染，感染病毒后病毒會對WINDOWS系統(tǒng)計算機內(nèi)現(xiàn)有的文檔、圖片、視頻等進行快速加密，所用加密算法用暴力破解方法不可解，同時要求用戶支付一定量的資金進行解密，否則一段時間后刪除文件。在我國范圍內(nèi)，教育網(wǎng)受災嚴重，機關、企事業(yè)單位均有不同程度的感染。對于計算機網(wǎng)絡業(yè)內(nèi)來說，蠕蟲病毒早已屢見不鮮，勒索病毒也隨著電子郵件等方式早已為人們所知。為何這次的“永恒之藍”勒索病毒造成了如此轟動的效果并造成了如此巨大的損失呢？筆者認為應從以下幾個方面來分析：

隸屬于“NSA武器庫”的一批影響網(wǎng)絡安全的“核彈極”應用的徹底公開和民用化。此次爆發(fā)的“永恒之藍”勒索病毒及此前同時放出的一批網(wǎng)絡攻擊工具使用的漏洞的危險程度、漏洞利用的水平、以及工具制作的水平，均屬于世界頂級。未來的一段時間內(nèi)，這類工具一定會被廣泛利用，絕不僅僅是一個“永恒之藍”那么簡單。

此次“永恒之藍”勒索病毒借著網(wǎng)絡攻擊工具擴大了蠕蟲病毒的傳播效率、使得傳統(tǒng)勒索病毒能更大范圍的進行傳播，這種將舊有病毒特性融合創(chuàng)新的新型攻擊手段只是開始，這是網(wǎng)絡安全人員與病毒制作者之間的賽跑過程，越早對整個單位的網(wǎng)絡安全應急響應能力和防范能力進行審視并查漏補缺，才能應對此后層出不窮的各類新型網(wǎng)絡攻擊。

微軟公司在“NSA武器庫”徹底公布之前兩個月已經(jīng)發(fā)布了相應的WINDOWS補丁，WINDOWS8.1及以上用戶只要運行WINDOWSUPDATE就基本可以免疫此次病毒爆發(fā)?？墒菄鴥?nèi)計算機運行現(xiàn)狀是，大量的計算機使用盜版WINDOWS系統(tǒng)，同時企事業(yè)單位不注重內(nèi)網(wǎng)電腦的更新?lián)Q代工作，認為內(nèi)網(wǎng)計算機只要能上內(nèi)網(wǎng)能看文件就可以不用更新。可是通常盜版WINDOWS7都會關閉自動更新，至于WINDOWSXP及以下版本的系統(tǒng)微軟公司早已停止一切軟件支持，這些基本不設防的系統(tǒng)遇到能夠掃描網(wǎng)內(nèi)計算機特定端口的病毒，大量感染是必然的。

大量的用戶對于微軟在系統(tǒng)中提供的防護程序WINDOWSDEFENDER并不信任。它集成了防病毒、防火墻、系統(tǒng)維護、家長控制等多種功能，與其他殺毒軟件相比，WINDOWSDEFENDER本身并不會拖慢系統(tǒng)速度。雖然說它較為簡易，但其防護功能并沒有所有人想象中那么差。針對這次病毒襲擊，微軟公司也第一時間更新了自己的病毒庫，WINDOWSDEFENDER完全可以查殺出這款勒索病毒。

用戶的計算機使用習慣也導致了這次的病毒大爆發(fā)。這次病毒爆發(fā)的一個重災區(qū)是企事業(yè)單位的內(nèi)網(wǎng)電腦。這些內(nèi)網(wǎng)電腦沒有做到嚴格的專機專用，一機雙網(wǎng)的隔離做的不到位，甚至用戶亂使用移動存儲產(chǎn)品由外網(wǎng)向內(nèi)網(wǎng)拷貝數(shù)據(jù)。對于輕防護的內(nèi)部網(wǎng)絡來說，這次的病毒只要有一個不守規(guī)矩的用戶，就可以導致整個內(nèi)部網(wǎng)絡上所有未進行防護的計算機均受到感染。

假設沒有之前“ShadowBrokers”披露的“NSA武器庫”，搭載這些高級漏洞的也不是這次爆發(fā)的“永恒之藍”勒索病毒，這些攻擊工具的擁有者和制作者完全可以搭載其他的后門程序，進行國家情報收集、商業(yè)機密獲取、偷取個人隱私甚至個人的財富的掠奪都是輕而易舉。更何況前不久網(wǎng)上公布的只是一小部分攻擊工具，我們的網(wǎng)絡安全在第一個實例“永恒之藍”勒索病毒面前就像一層薄薄的窗戶紙。在這個移動互聯(lián)大發(fā)展的時代，如果這次感染的不是WINDOWS系統(tǒng)，而是海量的手機和各類移動端設備，現(xiàn)如今不需要帶錢包出門的我們，該怎么面對各類個人隱私以及個人網(wǎng)絡上的資產(chǎn)不會流失？

當前我們對于網(wǎng)絡安全保護的投入微不足道，相對于我們已經(jīng)離不開智能手機和智能手表、網(wǎng)購、用互聯(lián)網(wǎng)思維解決問題，我們的網(wǎng)絡安全意識基本屬于全方面的滯后。對于今后的網(wǎng)絡攻擊預防，我認為應從如下幾個方面進行加強：

（1）企事業(yè)單位的內(nèi)部網(wǎng)絡要與外部網(wǎng)絡進行嚴格隔離，如有必要登陸互聯(lián)網(wǎng)，必須在網(wǎng)絡邊界嚴格部署各類預防措施，盡量做好嚴防死守的準備。

（2）對于每一臺能夠互聯(lián)的設備，必須強制安裝一種防護軟件，多個安全軟件沒有必要，反而會對設備的運算速度造成拖累。

（3）每一臺能夠互聯(lián)的設備，必須確保安裝最新的操作系統(tǒng)安全補丁，如果有條件，盡量使用新設備、新操作系統(tǒng)、正版軟件。

（4）對每臺能聯(lián)網(wǎng)的設備的通信端口以及各類網(wǎng)絡功能進行梳理，比如遠程協(xié)助服務、網(wǎng)絡共享服務等不需要的服務和端口全部進行封禁，如有必要使用必須嚴格限制連接白名單。

（5）對每一位設備使用者進行安全教育，嚴格按規(guī)章執(zhí)行移動存儲設備在內(nèi)網(wǎng)設備上的使用規(guī)則，并使用相應的組策略進行嚴格控制。外網(wǎng)存儲設備進行嚴格殺毒和識別后才可以在內(nèi)網(wǎng)運行。

（6）個人和組織都應對關鍵設備、關鍵數(shù)據(jù)進行定期的備份，最好能進行離線備份，在數(shù)據(jù)被破壞之后盡量減少損失。