从“勒索病毒”看高校网络安全
摘 要:高校在教育信息化建设,智慧校园建设过程中往往容易忽视网络安全,特别是在勒索病毒爆发期间,国内大量的教育机构主机遭到勒索病毒的攻击,充分暴露了高校网络安全的薄弱之处。本文针对高校网络安全的各类问题进行研究,并以此为出发点对高校网络安全防范策略进行研究。旨在提高高校网络安全防护水平,并为高校网络安全建設提供可借鉴的意见和参考。
关键词:网络安全 等级保护 防范策略
习近平总书记在中央网络安全和信息化领导小组第一次会议上提出网络安全和信息化是一体之双翼、驱动之双轮。深刻描述了高校信息化建设过程中建设发展和网络安全的关系,即安全是发展的保障,发展是安全的目的。然而在高校信息化建设过程中,大家往往重视各类应用系统的建设,关注的是各类云平台的强大功能。而对于网络安全却不够重视。导致了在2017年5月勒索病毒全球爆发的时候,大量的教育行政机构以及大量的高校主机遭到攻击并被病毒感染。这里笔者对目前高校的网络安全问题和防范策略进行一些分析和探讨,希望给大家一些启示。
1 高校网络安全现状分析
高校中使用网络的主体为青少年,而青少年对互联网的熟悉程度远远超过全国平均水平,但是青少年学生网络安全意识薄弱,对互联网上的信息信任度高,青少年受到年龄、阅历的限制,对于信息真伪缺乏辨识能力,容易轻信。目前高校网络信息安全面临严峻的挑战,黑客攻击、病毒入侵、网站被篡改、拒绝服务攻击(DDOS)、信息泄露等灾难性事故频发,严重威胁着高校各类信息业务的正常开展和网络的正常运营。5月12日晚,“勒索病毒”(WANNACRYPT)疯狂攻击全球上百个国家,无数珍贵资料被病毒加密锁定,国内各个高校更是成为受病毒攻击的重灾区,2017年3月,众多高校的校园门户网站遭到黑客入侵,首页被篡改为带有反动宣传或赌博、色情主题的页面。各个高校的应用系统主机被远程种下木马成为“肉鸡”。我们花费大量资金采购的防火墙和防病毒软件在这些入侵和攻击下形同虚设。面对复杂的网络威胁,以往我们使用的独立安全产品堆砌起来的网络防御体系摇摇欲坠。面对复杂的安全隐患,这种“各自为战”的安全系统已彻底失去效力。我们必须清醒的认识到:今天的网络信息安全技术与各种安全隐患之间进行的是一场深入、多层次的“战争”。为了彻底扭转这种“各自为战”的被动局面,应该使用全局化、智能化的安全网络体系代替陈旧的安防措施。将安全结构覆盖网络传输设备(网络交换机、路由器等)和网络终端设备(用户PC、服务器等),使之成为一个全局化的网络安全综合体系。在此基础上,也应能提供强大的日志、事后追踪以及审计功能,在网络出现异常时可以根据记录迅速查找源头,防止事态进一步扩大;在网络遭到攻击后,能迅速准确的定位攻击源头,严惩肇事者并能及时恢复重要数据,保证网络的正常运行。
2 高校网络安全防御策略探讨
2.1 加强认识、建立网络安全领导机构
各个高校要建立、健全网络安全与信息化领导小组,高校的法人代表或分管信息化工作的领导担任组长,要充分理解和认识习近平总书记提出的安全和发展是一体之双翼、驱动之双轮。安全是发展的保障,发展是安全的目的。从思想上高度重视,加大网络安全的资金投入和人员投入。从思想上高度重视,加大网络安全的资金投入和人员投入。定期开展网络安全应急预警演练。加强全体师生员工的网络安全意识。
2.2 各个高校网络运维部门要分清责任、提高认识
目前高校的网络运维机构一般称“信息中心”或“网络中心”。是高校负责信息系统日常运行、技术维护和相应的安全管理保障部门。网络用户的账号和密码的规范管理、用户的个人信息保密也由该部门负责。网络运维部门应该按照“谁主管、谁负责;谁使用、谁负责;谁运营、谁负责”的基本原则。清晰地区分网络安全责任。以“勒索病毒”的感染情况为例,“勒索病毒”主要是通过扫描WINDOWS的漏洞,通过对445端口进行蠕虫攻击,对整个电脑的资料进行锁定并勒索。对于网络运维部门而言,各类应用服务器的漏洞修补工作应该由运维部门完成,同时运维部门还负责防火墙的不必须端口的及时关闭。而对于终端用户而言,点击来历不明的邮件,或是使用已经不提供升级的Windows XP导致感染勒索病毒则是终端用户个人的问题。网络运维部门应及时提醒并提供相关漏洞修复工具。
2.3 切实落实教育系统安全等级保护定级工作
教育部办公厅关于印发《教育行业信息系统安全等级保护定级工作指南的通知》教技厅函[2014]74号明确提出各个高等学校要严格按照学校信息系统分类表的要求,对学校的各个业务系统进行定级。并将定级材料交所在地的公安机关办理信息系统安全等级保护备案,根据定级级别不同,公安机关将要求相关评测机构对各高校所定等级进行第三方评测。评测过程实际就是对于相关信息系统进行全面检测,对于检测中发现的问题和漏洞,各个高校要及时整改和修补。这样就能大大减少WEB应用漏洞的发生。而WEB应用漏洞与系统漏洞不同,一般是网络运维部门很难及时发现的,这样就能大大减少黑客攻击的薄弱点,提高黑客的攻击成本。
2.4 重视保留网络安全产品的日志文件及时做好重要信息的安全备份
在当前的网络空间攻防过程中,国内的网络防御与国外的黑客组织在技术层面的较量中暂时处于弱势,这就要求我们网络运维部门及终端使用者对于网络安全日志文件包括防火墙、路由器、交换机、服务器、PC终端等都要注重保留,2017年6月1日正式实施的《网络安全法》明确规定,各类日志文件要保留6个月以上。这样在网络出现异常时可以根据日志记录迅速查找源头,防止事态进一步扩大;在网络遭到攻击后,能迅速准确的定位攻击源头,严惩肇事者。在网络安全的日常维护过程中要注重各类重要信息的安全备份。特别是高校的人事、学工、一卡通数据等重要数据,要做到异地备份。这样即便遭遇了类似“勒索病毒”的感染,也不需要购买比特币交“赎金”解锁了。
3 对于高校网络安全建设的展望
在教育信息化高速发展的今天,我们要认真领会、落实习近平总书记提出的,没有网络安全就没有国家安全,没有信息化就没有现代化的基本思想。各高校既要大力提高教育信息化水平,强化教育信息化对教学改革,尤其是课程改革的服务与支撑,又不能忽视教育网络安全。时刻牢记安全是发展的保障,发展是安全的目的。安全与发展要两翼齐飞,共同构建多层次、全局化、智能化的教育网络安全体系。
参考文献
[1] 候艳.高校网络安全存在的问题研究[J].电脑与电信2015(10):53-53.
[2] 王军.论高校数据安全[J].信息系统工程,2012(8):76.
[3] 贺斌.高校网络安全存在的问题与完善策略探析[J].信息通信,2014(10):165,168.
[4] 吴比.计算机网络数据安全策略的研究[J].信息与电脑,2011(2):10-11.
[5] 钱程.浅谈高校数据安全管理与备份[J].中国新技术新产品,2012(16):21.
[6]李江.数字化校园中典型安全问题分析及防御对策[J].山东工业技术,2016(9):191.
作者:刘佳
摘要:本文以勒索病毒事件为切入点,结合工作实际指出基层央行在网络安全防控方面存在的问题,同时提出一些合理化的建议与对策来保障网络安全防控工作的顺利开展。
关键词:勒索病毒;基层央行;网络安全
自从1989年第一次有记录的勒索病毒攻击以来,勒索病毒已经成为一个严峻的网络威胁。它通过加密目标设备上的文件,阻止目标访问,并索要赎金以换取解密密钥。据统计,仅2021年上半年就发生1200多起勒索病毒攻击事件,对全球各国的教育、医疗、金融等行业造成巨大的经济损失。
一、勒索病毒攻击趋势分析
当前,勒索病毒攻击事件频频发生,具有攻击水平高、驻留时间短、影响范围广、勒索金额大等特点。通过对勒索病毒攻击事件的分析,可以看出主要有以下几个方面的趋势:
一是呈现多平台、轻量化攻击趋势。除Windows平台外,针对Android、Linux、Mac等常见平台的勒索攻击数量也在不断增加。此外,一些新型勒索软件可进行快速迭代更新,通过简单的混淆器工具生成不同的脚本,可以有效规避依赖于静态文件签名检测的安全软件,从而变得更加灵活,适用性更强。
二是一些网络组织假借勒索病毒名义来对目标实施破坏性攻击。例如,2017年的乌克兰NotPetya攻击事件中,犯罪团伙通过对乌克兰的流行会计软件推送包含病毒的软件更新,使超过80家乌克兰和俄罗斯企业受到网络攻击,造成超过100亿美元的经济损失。
三是犯罪门槛逐渐降低。低成本的攻击和高利润的回报极大推动了勒索产业的发展,衍生出大量的恶意软件开发和黑客服务。犯罪分子只需支付一定的费用即可在不懂技术的前提下创建出专属的勒索软件并一直使用,由此逐渐形成一种名为犯罪软件即服务(CaaS)的犯罪模式。在此模式下,犯罪分子无需精通相关技术也能实施复杂的网络攻击,大大降低了网络犯罪门槛。
四是通过三重勒索策略来增加获取赎金的概率。当前,部分勒索病毒在二重勒索策略(加密設备以及窃取数据)的基础上,通过整合DDOS(分布式拒绝服务攻击)能力组成三重勒索策略。在此策略下,勒索病毒不仅能加密目标设备的文件以及泄露敏感数据,还能利用被感染电脑发送恶意网络流量来影响业务系统的正常运行,以此来给受害公司施加压力,迫使他们支付赎金。
五是中小企业成为攻击的重灾区。与大型企业相比,中小企业无论是在组织架构还是在技术能力上都难以及时正确地应对处理勒索病毒攻击,这也导致近年来针对中小企业的勒索攻击数量明显上升。
二、基层央行网络安全防控存在的问题
随着信息化建设的不断推进,人民银行各级分支机构形成了庞大的网络系统。不断发生的勒索病毒攻击事件也给基层央行的网络安全防控敲响了警钟。从现有的技术手段来看,针对勒索病毒攻击事件最有效的应对方法就是在日常工作中做好防护。然而在实际工作中,基层央行的网络安全防控仍存在许多不足,导致其可能无法有效应对潜在的网络安全威胁。
(一)管理上的不足
一是网络安全意识薄弱。基层行许多员工对于网络安全知识了解较少,对于可能面临的网络安全风险也不太清楚。同时,虽然一些基层行成立了相应的网络安全领导小组,但由于部分行领导不够重视,使领导小组的作用未能完全发挥。
二是网络安全管理制度执行不到位。从现状来看,虽然各基层行内部均制定了网络安全管理的规定,但在日常工作中,部分基层行并未认真学习和贯彻落实好相关规章制度,基层员工存在对制度不了解、对制度的执行存在不到位等现象,使得网络安全管理规定形同虚设。
三是应急管理流于表面。部分单位在制定应急管理预案过程中存在着内容老旧、脱离实际、可操作性低、生搬硬套等问题。此外,在应急演练过程中部分单位敷衍了事,同时也没有针对像勒索病毒这样的新型网络安全威胁来增加相应的应急演练内容,导致其可能无法有效应对突发事件,使得应急演练无法起到应有的作用。
(二)技术上的不足
一是操作系统存在漏洞。人民银行内部使用的主要是win7和xp系统,而在win7、xp等老旧操作系统中存在大量没有及时修复的漏洞,极易被勒索病毒来利用攻击。
二是业务系统设计存在缺陷。基层央行内部存在许多自主开发的业务系统,而受限于时间以及开发人员的技术水平,许多业务系统在开发过程中只注重业务功能的实现却忽视了使用过程中可能引发的安全问题。
三是网络安全设备所引发的风险。首先,网络安全设备的老化和设计缺陷容易导致宕机等故障。其次,网络安全设备本身安全防护等级不同,可能无法抵御更高等级的网络攻击。最后,网络安全设备配置不当也有可能会造成安全隐患。
四是杀毒软件病毒库更新不及时。以珠海中支为例,虽然正常情况下杀毒软件的病毒库会自动在后台更新,但是在实际工作中发现部分电脑杀毒软件的病毒库并未在后台完成自动更新,有的甚至还在使用2017年的病毒库。
五是缺乏智能化监控平台。随着基层央行业务网络以及应用体系逐渐复杂,传统的被动式防御方法已难以有效应对层出不穷的网络威胁。但是,由于缺乏智能化监控平台,相关人员在应对网络威胁时始终处于“被动挨打”的局面,难以及时有效解决网络安全隐患。
(三)人员上的不足
一是科技人员数量占比低,普遍身兼多职。长期以来,基层央行科技人员的数量占比一直不高。以珠海中支为例,科技部门人数为6人,不足全行总人数的5%。同时,与总行和分行设立专门的部门来管理网络安全不同,地市中支的科技人员普遍兼顾综合、运维、开发等多项事务,而县支行的科技人员甚至还兼顾其他部门的业务。
二是专业技术水平有限。在过往的招聘过程中,笔试与面试环节均未有设立对计算机专业知识的考察,导致新入行的科技人员可能存在专业知识基础薄弱等现象。而在后续的工作中又由于不重视培训而忽视了对自己专业技能的提升。此外,受薪资待遇等因素限制,基层央行难以吸引和留住优秀的科技人才。
三、对策与建议
(一)强化网络安全管理
一是提高全员网络安全意识。可通过结合国家网络安全宣传周、科技活动周等系列活动深入开展网络安全教育,提高员工网络安全意识,使网络安全观念深入人心。同时,建议上级行适当增加对网络安全的考核比例,让全行员工能更直观认识到网络安全工作的重要性。
二是落实好网络安全责任。首先应当完善网络安全管理制度,健全组织管理机制,将网络安全责任逐级分解到部门和个人,使各部门及其成员能明确自身职责。同时,对于新入网的计算机也要根据网络准入制度做好管控措施,落实好责任主体,防止出现监管漏洞。
三是构建有效的应急管理机制。一方面可通过成立网络安全技术小组以及协调小组来确保有序开展应急管理工作。另一方面要加强应急演练的针对性。除了常规的演练内容之外,还应根据当前出现的新型网络安全威胁来增加相应的演练内容,提高管理人员应急处置能力。
(二)加强网络安全防护和技术保障能力
一是安排专人做好对业务系统和网络设备的日常巡检,及时排查和消除安全隐患及漏洞。另外,也可通过运用一体化终端安全管理系统来加强对内部电脑的扫描排查,及时督促出现问题的电脑用户采取安装补丁、升级病毒库等措施进行改进。
二是要保障网络产品和网络安全设备投入,确保它们得到及时维护,提升信息化产品和服务安全可控水平。另一方面可通过建立生命周期管理清单,及时更新老化的网络安全设备,以免造成安全隐患。
三是定期组织开展技能培训。通过运用线下授课、远程培训等多种方式来组织开展网络安全技能培训,对常见的网络安全攻击以及近年来出现的新型网络安全威胁进行重点讲解,使科技人员对其攻击原理、防范方法等方面有更深刻的了解,提高他们有效应对网络安全威胁的能力。此外,也可通过定期组织科技人员参加网络安全竞赛,加强科技人员网络安全攻防实战能力,积累更多的实战经验。
四是构筑网络安全联合防线。通过在相邻地市中支间建立横向的协作管理机制,加强网络安全联防联控,提升抵御网络安全风险能力。此外,各相邻中支间也可开展合作交流,总结与分享各自的不足和先进经验。
五是推进智能化建设。基层行可根据单位实际构建智能监控平台,通过结合人工智能等先进技术来实现对业务网络的精细化、智能化管理。另外,面对日益复杂的业务网络以及层出不穷的新型网络安全威胁,基层行也应逐步推动网络安全设备的自动化和智能化,使其能自主扫描风险漏洞,增强防御的主动性。
(三)加强人才队伍建设
一是建议在招聘过程中增加对专业知识的考核以及科技人员的招聘数量,做好科技后备人才的储备。
二是完善考核激励机制。对基层行在网络管理方面表现优秀的单位应予以奖励表彰;对表现突出的个人可在晋升、职称评定方面予以优先考虑。
三是合理安排分配职责。在对科技人员的工作安排中,应尽量避免让其兼顾过多其他业务,以免顾此失彼,影响网络安全工作的开展。
参考文献:
[1]安恒威胁情报中心. 2021年上半年全球勒索软件趋势报告[R]. 2021.
[2]东俊宁. 基层央行网络安全管理长效机制探究[J]. 无线互联科技, 2021, 18(03):13-14.
[3]王雪莲. 基层央行网络安全工作存在的问题和建议[J]. 金融科技时代, 2021, 29(04):68-70.
作者简介:王维康(1998年10月);性别:男;民族:汉族;籍贯:广东揭阳;职称:助理工程师;学历:本科;单位:中国人民银行珠海市中心支行;研究方向:網络安全、金融科技,单位所在省市:广东省珠海市,邮编:519000
作者:王维康
[摘 要] 针对近期全球发生的“勒索病毒”攻击事件,深入分析了该病毒攻击所呈现的特点,对我国众多行业和企业所造成的危害及影响,并在此基础上论述了我国计算机网络安全管理现状,进而总结了未来我国计算机网络安全管理需要从技术上提高、从管理上完善的结论。
[关键词] 勒索病毒;特点;危害;网络安全
doi : 10 . 3969 / j . issn . 1673 - 0194 . 2017. 15. 088
[
0 序 言
2017年5月12日夜间,黑客组织ShadowBrokers在全球发起迄今为止最大规模、危害最严重的蠕虫勒索病毒攻击,在短短5个小时内,全球至少100多个国家和地区相继被攻破,感染数百万台计算机,文件被病毒双重加密,技术人员至今无能为力,无法破解。该病毒攻击是利用位于Windows SMB共享服务中的漏洞,用户在联网后即可发生感染且全程无需用户操作,只要感染后病毒將立刻采用2 048甚至4 096位高强度加密算法将用户电脑的本地文件进行加密且令其无法破解。被攻击电脑被锁定,使用暴力破解的方法根本无效,文件被加密后,查杀病毒也无效,受害者只能付钱消灾才能通过攻击者提供的密钥恢复访问。
1 勒索病毒攻击在我国国内所造成的危害
在我国国内,至少包括中国石油、多个高校、电信、移动、公安、银行、交通等多个政府部门、行业或部门、企业无一幸免,都出现了不同程度的感染和影响,受害者电脑被黑客锁定,黑客提示需要支付价值相当于300美元(约合人民币2 069元)的比特币才能解锁,曾一度出现“银行取不了钱,加油站加不了油”的严重局面。
在此次病毒攻击事件中,已经在生产管理、数据资源、经济利益等方面给企业和个人造成的严重损失。
1.1 生产暂停、管理停滞
病毒风暴发生后,受到攻击的行业和企业均在第一时间启动应急预案,截断所有计算机网络连接,中断互联网访问,关闭客户端计算机、生产服务器停用。在某些大型企业内网,病毒传染严重,不同程度出现被感染计算机或者服务器,较轻者少数计算机被感染,严重的出现服务器被感染,处于瘫痪状态,信息系统无法运行、数据服务器全面瘫痪停机,IT技术人员为了应付病毒入侵手忙脚乱,开展排查、工具检测、测试、病毒分析、病毒扫描、补丁升级等等工作,耗费了大量的精力。受影响行业和企业自上而下管理工作停滞等待技术人员处理,部分银行的提款机因为被感染而造成客户无法提取现金;加油站加油机被感染无法为车主提供加油服务;有些企业因为缺少网络支持造成数据采集、传输、视频终端传输中断等等,严重者不得不停止生产。
1.2 数据资源损失严重
在攻击中已造成国内部分高校毕业生毕业设计被加密无法解锁,只能重新进行毕业设计;用户计算机因为被感染而造成数据被加密后无法解密,重要工作数据被琐死而无法恢复,不得不重新弥补;从公布的数据和信息,有的企业已经存在生产服务器和科研成果服务因为被感染,数据资源无法恢复,使企业多年的经营成果毁于一旦。信息数据属于各行业、企业的财富和密码范畴,是企业经营战略的重要支撑,任何数据被盗、泄密、窃取或损毁后果都是无法估量的,价值和损失是非常大的,后果是非常严重的。
1.3 经济损失大
一方面,生产经营对一个企业来说,就是创造效益,反之生产经营的停滞,就是给企业造成了经济损失,尤其是对于我国国内的部分大型国有企业,生产经营的停滞,造成的损失是巨大的。
另一方面由于病毒的注入无法查杀而导致交换设备、服务器、计算机等报废,不得不大量重新购入替换,有的行业和企业需要大面积更新换代计算机、升级操作系统等等,这些对企业来说是一笔不菲的投入;有些企业的重要生产数据和科研成果数据本来会直接给企业经济效益,因为被加密锁死而无法解密甚至损坏,变相给企业带来的经济损失是无法估量的。对于个人或许采纳了黑客的提醒,支付了赎金以求解密个人资料和文件,但往往收效甚微,给个人造成的经济损失也是较大的
2 从事件的危害谈我国计算机网络安全管理现状
从“永恒之蓝、Onion”病毒攻击对我国所造成的危害,可见计算机网络安全意识仍然未深入到每位网络用户。计算机安全漏洞多,网络的抗风险能力仍然低,企业、行业的抗风险防病毒手段少,面临的风险高。
2.1 计算机用户无良好操作习惯,网络安全意识低,平时不注重数据备份管理
笔者对自己所在单位的被感染计算机用户做了深入的了解和咨询,受感染的计算机都在病毒风暴发生的第一时间被感染,究其原因均属于下班后不及时关闭计算机,平时计算机操作习惯差,安全意识低,为了方便省事,长期使用电脑后不及时关机,不截断电源;另一方面无视计算机系统补丁,不及时更新,不能有效防堵计算机安全漏洞;再就是用户疏于对工作资料、文件和数据的管理,往往忽视数据备份的重要性,在“永恒之蓝、Onion”病毒攻击事件中,部分被感染用户就因为没有备份数据而无法找回重要的生产资料和数据。
2.2 计算机网络结构不完善、安全漏洞多,防护手段差、抗风险能力弱
从本次安全事件的爆发波及范围广,造成危害大,涉及行业企业多,透露出我国国内众多行业、企业的计算机网络安全仍然面临高风险,仍然处于无法保障的尴尬困境。就其根源分析,我国多数行业和企业的计算机网络的安全防护手段少、差、弱且落后。
一是国内多数行业和企业大量使用盗版操作系统,而且版本多样,功能阉割严重,漏洞百出,这些联网的计算机漏洞多、风险高,尤其是致命的漏洞,一旦感染病毒将会给用户、网络造成严重破坏和损失;二是国内部分企业或行业对计算机网络安全意识仍然不够,平时不重视网络安全,对网络安全教育宣传不到位,不愿在网络安全设备做投资本,没有先进的防护设备或防护手段;三是从公布的被攻击案例,有的企业或行业的大型服务器受到“永恒之蓝、Onion”攻击,生产信息数据、成果数据严重受损无法恢复,造成了无法估量的损失,这些企业或行业均属于在开发自己的应用系统中不合理配置安全基线,不做安全防护体系,没有安全有效的数据和备份机制,抗风险能力弱,面对“永恒之蓝、Onion”的攻击根本无任何抵御能力;四是数据风险意识差,备份机制不完善或根本没有备份机制和灾备系统,有的只做热备份没有冷部分,有的只做同地或异地网络备份,不做介质备份,此次攻击风暴中,数据库服务器在被“永恒之蓝、Onion”攻击的同时,处于同一网络的同机备份数据和网络异地备份数据同样被感染、被加密,均无法恢复,假如这些企业或行业有异地介质备份,何至于在次风暴中如此的被动局促和手忙脚乱。
2.3 设备老化,管理不到位,未及时更新换代,大量使用盗版系统、盗版软件
一是大量网络服务器、安全防护设备、交换机老化、陈旧,带病工作、带病上岗,超负荷运转,早已到该升级换代的年龄,为了节省支出,管理人员和管理部门选择视而不见,要么不升级、不更换,要么不配置。在“永恒之蓝、Onion”病毒攻击应急工作中,有的企业或行业的服务器、交换设备由于系统版本低,兼容性差根本无法升级;二是现有设备管理不到位,疏于管理,长期不对服务器、交换设备进行系统漏洞扫描、病毒检测,升级系统补丁,造成漏洞多,抗风险能力弱;三是Windows XP、2003系统用户仍然多,微软公司早已停止针对XP、2003及以下版系统的补丁更新,使这些用户长期面临系统漏洞多而且无法修复的风险中。早在2017年4月微软就发布了相关漏洞升级的更新,但是属于Windows 7及以上系统;四是在我国国内,大量使用盗版的操作系统和软件,也是造成漏洞多、风险大的重要原因。
2.4 没有属于自己的核心系统为中国各行各业提供网络安全保护
至今,我国还没有成熟的,普及的应用操作系统,大面积使用的都是Windows、Unix、Linux系统。此次攻击主要是针对微软的操作系统和软件,核心技术属于国外IT公司和巨头。这对中国的企业、政府,各行各业都是致命的,掌握不了核心技术就掌握不了命运,自己的就是掌握在别人手中。从长远来看,形成自己的核心技术和核心产品才是掌握自己命运的最根本、最行之有效的办法和思路,也只有这样才能从根本上为中国自己的企业、政府提供计算机网络安全保护。
3 结 语
总的来说,这次攻击事件暴露出我国计算机网络安全管理,既有技术上的不足,也有管理上的漏洞,使我国计算机网络安全风险仍然面临风险高、漏洞多、技术落后、手段陈旧的现实,要从技术层面和管理层面提高计算机网络安全管理水平仍然还有很长的一段路要走。
作者:任泽坤 邓月锐 郑梅姣 刘秀云 谢超 王舒迟 李海
校园网用户:
近期网络上开始流传一种被称之为“勒索病毒”的恶意程序,该类程序可能会通过电子邮件附件、Office文档、JS脚本、带毒网址等途径传播。一旦中招,病毒会自动以极高强度的加密方式,加密硬盘上所有Office文档、图像、视频、压缩包等类型的文件,目前全球业界尚未找到有效的技术破解方法,即一旦工作文档被病毒破坏,基本上不可能恢复,这将给单位和个人带来巨大损失。
尤其值得关注的是,由于勒索病毒采取了多种先进的对抗技术,使得病毒的每次感染都会自我变形加密,从而绕过所有杀毒软件的特征追杀,即依赖杀软无法有效对抗勒索病毒。
信息中心特别提醒:
1. 不要打开来源不明的电子邮件附件,尤其是带有各种诱惑性语言的电子邮件附件。即使熟人发送的电子邮件,一旦发现不符合逻辑的、与最近交流对不上号的或其他莫名其妙的内容、添加了不常见的附件等,均应当先通过电话、QQ等其他方式确认,否则不可贸然打开附件。
2. 不要点击安全状态不明的网页地址。对于QQ、电子邮件以及网站、论坛等场合见到的网站地址,如果不能确定其安全性,请切勿点击。对于以一串无意义乱码组成的域名、其他不熟悉的域名,更不要随便点击。
3. 禁用自动播放功能。U盘、移动硬盘也是一个重要的病毒传播途径,病毒可能会通过移动设备的自动播放功能而自动激活、感染。禁止自动播放的步骤:
运行(win+r键)→输入gpedit.msc并回车→计算机配置→管理模板→Windows组件→自动播放策略→关闭自动播放→已启用→全部驱动器→确定。
4. 禁用危险文件类型和危险文件。步骤:运行(win+r键)→输入secpol.msc并回车→软件限制策略→鼠标右键点击,选择“创建软件限制策略”→其他规则→右击,新建路径规则→在路径栏输入:Wscript.exe→确定。重复前述“新建路径规则”操作,但路径栏分别输入Cscript.exe和*.scr,再建立两条路径规则;查看一下当前所有硬盘盘符,确定如果插入U盘或移动硬盘时可能会用到哪些盘符,比如U盘盘符为H:,则再次创建一条路径规则,在路径中输入H:*.*;如果移动硬盘有多个分区或可能同时使用多只U盘,则以此类推创建更多的盘符规则。这样可有效阻止所有JS脚本以及.SCR类型的文件被加载,并且阻止移动介质上直接运行任何可执行文件(文档打开不受影响),可极大地提高移动介质的安全性。注意:对于Home版(家庭版)的操作系统,本项创建策略功能无法使用。
5. 注重工作文档和个人重要数据的备份。可通过移动磁盘、网盘等方式定期离线备份重要工作文档;当前紧急、重要的工作除了这些方式外,还可向自己的电子邮箱以附件发送一份电子邮件作为临时备份。万一发生感染勒索病毒的情况,请切勿自行重装系统、尝试打开加密文件等,可第一时间关闭计算机电源并向信息中心寻求帮助,也许能够最大限度挽救工作数据。
特此通知,请广大校园网用户加强防范。
信息化建设与发展中心 2016年4月6日
关于做好医疗卫生领域重要信息系统安全管理暨
加强防范新型升级勒索病毒工作的通知
各市、县(区)卫生计生委(局),委机关各处室(局),各直属单位,各级医疗卫生机构:
根据国家和自治区相关要求,为加强我省医疗卫生领域重要信息系统安全管理,做好勒索病毒的防范工作,确保重要信息系统和网站稳定运行,保障网络和系统安全。现将有关事项及要求通知如下:
一、加强组织机构,责任到人
各单位要加强网络信息安全组织机构,整合技术力量,确保有机构有人员负责网络信息安全保障工作。要落实重要信息系统安全责任制,做到任务到人,责任到人。
二、全面排查,整改加固
近期,要组织专门技术力量,对重要信息系统和重点网站开展全面、细致的安全漏洞监测、僵木蠕等恶意代码查杀、渗透测试等,对系统运维和安全状况做到心中有数。对通过排查、检测发现的安全隐患和漏洞,以及开展等保测评工作中存在的问题,要及时、规范的进行整改加固,切实提高信息系统抵御网站攻击、非法控制和窃密等工作的能力和水平。
同时,针对近期国内发生的多起医院感染新型勒索病毒事件,各二三级医院要重点做好防范变种勒索病毒感染工作,加强防范意识,加大防范力度 。
三、监测预警,确保安全
在做好安全防范工作的同时,各单位要在重要时间节点,严 格落实值班报告制度,通过人工和技术手段确保重要信息系统24 小时实时监测、预警和系统的应急处置,随时掌握重要信息系统 和重点网站运行状况及保障情况,确保发生网络安全事件(故) 时能够第一时间妥善快速处置。发生重大网络安全事件要及时报
-自治区卫生计生委规划信息处和自治区卫生计生委信息中心。
四、其他
1.各市卫生计生委(局)要将工作要求传达到辖区所有县(区)卫生计生局、医疗卫生机构,特别是二三级医院,保证工作落实到位。
2.各直属单位、医科大学总医院要按照工作要求,尽快落实,确保重要信息系统安全。
3.委机关各相关处室(局)要做好重要业务信息系统和网站的网络信息安全管理工作。
4.各单位要确定一名信息安全联络人,并加入卫生计生信息安全QQ群(群号:)及时掌握最新的预警通知和防范方法。
联系人: 联系电话:
附件:安全防范措施及工作建议
-附件
安全防范措施及工作建议
一、以预防为主,各单位要组织技术人员在服务器、网络环境、应用三个层面进行安全风险检查与加固
1.服务器层面,需要避免弱口令,避免多个系统使用同一口令,及时安装漏洞补丁,关闭Windows共享服务、远程桌面控制等不必要的服务,安装防病毒、终端安全管理软件,并及时更新将病毒库。
2.网络层面,要做好安全区域隔离工作,尤其针对重要业务系统及核心数据库,应该设置独立的安全区域,并做好区域边界的安全防御,严格限制重要区域的访问权限并关闭telnet、snmp等不必要、不安全的服务。
3.应用系统层面,各业务单位需要对应用系统进行安全渗透测试与加固,保障应用系统自身安全可控,并对业务系统及数据进行备份,并验证备份系统及备份数据的可用性,一但主系统遭受攻击,保障备份业务系统可以立即启用;同时,需要做好备份系统与主系统的安全隔离工作,避免主系统和备份系统同时被感染、被攻击。
二、日常工作中,各单位要加强系统使用过程的管理与网络安全状态的实时监测
1.各单位一旦发现电脑中毒,立即断网。按照日常防范步骤,检查和落实漏洞修复等安全措施。严格禁止使用U盘、移动硬盘等可执行摆渡攻击的设备,同时尽快备份电脑中的重要文件和数据资料。
2.要常态化的开展安全检查和评估,及时发现安全薄弱环节,及时修补安全漏洞和安全管理机制上的不足,保持系统的安全维持在一个相对较高的水平。
3.及时关注并跟进网络安全的技术进步,有条件的单位,可以采取新型的基于大数据的流量的监测设备并配合专业的分析服务,以便做到蠕虫病毒的第一时间发现、第一时间处置、第一时间溯源
-根除。
三、具体安全防范措施
1.进一步健全数据备份机制,确保所有系统在本地有数据备份,第三级及以上信息系统、网络要健全容灾备份机制。
2.服务器尽量不要开放外网端口,关闭不必要的高危端口,不使用系统自带远程协助服务,使用其它远程管理软件,例如:TeamViewer或者瑞友天翼。
3.更改默认administrator管理帐户,禁用GUEST来宾帐户。
4.更改复杂密码,字母大小写,数字及符号组合的密码,不低于10位字符。
5.外网服务器不要有访问及修改内网计算机文件夹的权限。
6.设置帐户锁定策略,在输入5次密码错误后禁止登录。
-
如果您对网络安全方面的新闻有所关注,应该听说多家公司受到勒索软件,特别是“Locky”的影响,其中不乏国内知名公司。这款勒索软件于今年二月露面并迅速成长为全球第二大勒索软件系列,排名仅次于CryptoWall,位于TeslaCrypt之前。虽然美国、法国与日本是受Locky影响最严重的三个国家,但是勒索软件同样肆虐其他亚太地区,尤其是中国。
最近发生的这波网络攻击浪潮使许多机构与用户深表担忧,您应该也不例外。勒索软件是很龌龊的事物,但是经过细心准备,您可以显著降低感染风险,并且减少感染之后对您或您的机构造成的影响。 什么是勒索软件?
勒索软件是一种恶意软件,可以感染设备、网络与数据中心并使其瘫痪,直至用户或机构支付赎金使系统解锁。由Fortinet和其他几家知名安全公司组成的网络威胁联盟于2015年10月发布了关于勒索软件的报告,报告预计此勒索软件已经给受害者带来至少3亿2500万美元的损失了。
勒索软件通常采取以下几种方式中的一种:
1、
2、
3、
4、
5、 感染操作系统,使设备无法启动。 加密驱动器或一组文件或文件名。
一些恶意版本使用定时器开始删除文件,直至支付赎金。
所有勒索软件都要求支付赎金以解锁或释放被锁定或加密的系统、文件、或数据。 受感染用户的设备屏幕上通常会显示类似的信息:
· “您的计算机已经感染病毒。点击此处可以解决问题。”
· “您的计算机被用于访问有非法内容的网站。您必须支付XXX美元罚金才能使计算机解锁。”
· “您计算机上的所有文件已被加密。您必须在72小时之内支付赎金才能恢复数据访问。” 我是如何被感染的?
勒索软件有多种传输方式:
1、 最常见的是电子邮件中附带的已感染文件:
例如,今天我收到一份自称来自银行的电子邮件。邮件中有正确的银行标识、真实的银行网址链接、以及我的名字。信息的正文声称检测到我的账户存在可疑活动,并且我需要安装附带的文件来验证我的证书。这看起来像合法的问题。其实不是,这是一个钓鱼攻击。 当然,对于我们来说真相就是银行不会发送文件并要求安装——当然不会验证您的证书。而是附带的文件已受到勒索软件的感染,如果我点击了该文件,勒索软件就会加载到我的系统中。
2、 路过式下载感染方式:
用户访问受感染的网页并在用户不知情的情况下下载并安装了恶意软件。勒索软件同样通过社交媒体扩散,比如网页式即时通讯应用程序。而且最近,脆弱的网页服务器被用作进入点来访问机构内部网络。
3、 软件升级方式感染:
用户在电脑使用过程中,经常提醒XX软件需要升级,请及时更新等提示。如:提示升级Adobe Flash软件 引起Cerber 病毒感染等。
4、 软件安装中的隐藏链接引发感染:
用户在安装软件过程中,都会隐藏一些不必要的链接,在您安装软件的同时将这些不必要的链接激活,从而感染病毒。 怎样才能阻止勒索软件?
1、升级企业防病毒到最新病毒库。
2、注意备份重要文件,定期异地备份文件数据,以规避恶意软件可能带来的风险。
3、提醒员工不要打开来历不明的邮件,点击打开电子邮件附件、或点击电子邮件中来路不明的网页链接。
4、不要随意下载并安装与工作不相关的程序软件。
5、用户在浏览网页过程中,注意不要随意打开提示窗口或浮屏窗口。
6、暂时取消对程序、软件的升级更新。
7、 无法访问外网的客户端,不会受该勒索软件影响。 发生勒索病毒后的解决办法?
1、 发生勒索病毒如果你资料特别重要需要支付。按黑客给你的比特币地址支付xxx比特币即可。
2、
3、
4、
5、 目前,国内外没有破解工具可以让cerber加密文件恢复正常。
预防此类勒索病毒的需要每日更新杀毒软件病毒库,备份你的重要文件。 发生勒索病毒的PC机,及时断开网络;不要与公司局域网络链接。
PC机的维修,需要将整个机器硬盘格式化,您存储的数据全部丢失。(注:企业对PC机维修,建议更换硬盘。)
冬春季是诺如病毒流行高发季节,它是一种引起非细菌性急性胃肠炎的病毒,由诺如病毒感染引起胃肠炎,具有发病急、传播速度快、涉及范围广等特点。主要症状为恶心、呕吐、发热、腹痛和腹泻。儿童患者呕吐普遍,成人患者腹泻为多, 24h 内腹泻 4 ~ 8 次。诺如病毒主要经消化道传播,传染性极强,食用、饮用诺如病毒污染的食物或饮料、接触诺如病毒污染的物体然后手接触到口、直接接触到感染者等都可能被传染。由于学校人群密集,学生学习生活集中,是诺如病毒重点防御区域。
因此,为预防冬春季学校诺如病毒的暴发流行,学校应加强卫生监管,主要做好以下几项工作:
1、学校要高度重视,立即成立专门的组织,明确责任分工,严格落实各项防控措施。
2、要求每个班级有专门的老师负责,每日随访患者的病情进展情况,以及新发病例情况,及时上报。
3、严格保障饮食安全,搞好食堂卫生,做好餐具、用具及环境消毒工作,开展三管(管水、管粪、管饮食及饮食加工者)一灭(灭蝇)卫生工作。
4、确保食堂饭菜煮熟煮透,餐具消毒到位,禁止给学生生吃贝类。
5、食堂人员和参与午餐管理的教职员工一旦发现身体不适,必须立即停止工作,将情况报告领导和校医,同时应立即前往医院检查治疗。
6、在全校每个班级都要开展一次健康教育课,讲解诺如病毒传染病基本知识和食品卫生、饮水卫生,提倡良好的卫生习惯,尤其要强调饭前便后洗手。
7、严格落实晨午检制度,发现有疑似症状的学生,要立即劝其回家,并建议到医疗机构就诊。有症状的学生要在症状消失72小时后再复课。健康学生应避免与患病学生接触。
7、利用双休日时间,在全校开展一次全面彻底的环境消毒,包括教室、厕所、食堂等学生聚集的公共场所。
8、对厕所、直饮水龙头、洗手池水龙头、门把手等学生手经常接触的部位,每天不少于2次消毒,中午和放学后各一次。
9、督促学生加强室外锻炼,如发现有恶心、呕吐、腹痛、腹泻、发热等症状,应及时报告老师和家长,并前往正规医院诊治。
总则
为了建立统一的病毒防范体系,快速应对各类病毒性突发事件的爆发、及时处置病毒可能带来的危害建立本办法。
范围
本办法适用于本单位信息系统服务器的病毒防范管理
安全管理规定
(一) 预防管理
1) 应构建预防为主、防杀结合的计算机病毒长效管理与应急处理机制。全行应部署统一的防病毒产品,实施全行统一的预警管理。 2) 各类计算机应安装指定的防病毒软件,启用自动防护功能,服务器设备定期更新,终端设备实时进行更新。 3) 制订防病毒应急预案,并定期开展应急演练。 (二) 检测和控制管理
1) 应确保防病毒系统和组件的正常升级。
2) 防病毒管理人员应全面掌握所辖范围内的防病毒系统运行状态。 3) 计算机用户发现所用电脑遭受病毒攻击,且防病毒软件无法正常清除病毒时,应立即报告防病毒管理人员,采取相应措施进行杀毒。 4) 外来电子邮件或外部必须交换的移动存贮介质,在使用前须进行病毒检查。
5) 病毒大规模爆发期间,应及时采取有效措施,防止病毒扩散,消除病毒隐患。
6) 造成业务影响的病毒事件,处理后应编制存档文件,说明病毒爆发原因、处理方法、整改方法。 (三) 监督、检查管理
1) 防病毒管理人员须认真、及时地做好防病毒系统的维护、巡检、监督。
2) 防病毒管理人员应定期分析、总结防病毒系统的运行情况,并每月进行归纳存档。 (四) 教育与处罚
1) 防病毒管理员应定期对计算机用户进行防病毒培训,介绍病毒感染途径、破坏形式、造成的后果等,以提高计算机用户对病毒的认知能力。
2) 各类计算机使用人员应认真学习计算机病毒防治知识和技能,加强防范意识,自觉遵守有关计算机病毒防治规定。
3) 对因工作严重过失、不安装或不按规定使用防病毒软件而造成计算机信息系统遭受病毒侵害,或故意输入计算机病毒、蓄意危害和破坏计算机信息系统的行为,应根据相关规定进行处罚。
1、热工人员应分级授权使用工程师工作站、操作员站等人机接口。
2、严禁在DCS系统中使用非DCS软件。
3、严禁非授权人员使用工程师站和操作员站电脑人机接口。
4、运行操作员站电脑盘柜门锁门,钥匙由专人保管。(值长保管)
5、运行操作员站电脑外接USB口进行禁用。
6、在易受攻击破坏的系统上安装正版防毒杀毒软件,并保证其实时监控并定期对系统杀毒软件病毒库进行升级。
7、严禁在系统操作电脑上使用移动存储设备。(包括手机、优盘、移动硬盘等)
8、对系统内用户名和密码进行专人专管,并注意提高密码可靠性。
9、系统管理员定期为系统做好备份,备份应与现系统保持一致,且至少有两套备份;系统管理员在使用外存储设备之前,必须对外存储设备进行查杀毒工作(外存储设备为DCS系统专用的)。
10、在网络各节点主机中加装防火墙软件。
11、系统管理员应关注系统软件的升级补丁,及时完成升级工作以提高系统运行的稳定性和可靠性。
检修部热工专业
2011年11月8日
推荐阅读:
防范勒索病毒通知(推荐6篇)08-05
防范勒索病毒汇报(通用3篇)08-19
勒索病毒防范工作计划(共6篇)04-01
勒索病毒报告(通用9篇)09-16
勒索病毒事件报告(共5篇)02-15
勒索病毒处理报告(共3篇)05-29
windows爆发勒索病毒(推荐3篇)05-17
勒索病毒应对处理措施(精选2篇)06-19
预防勒索病毒自查报告(推荐3篇)08-30
勒索病毒预防处理方案(共7篇)09-07
