張 恬，陳志強(qiáng)

（無(wú)錫城市職業(yè)技術(shù)學(xué)院，江蘇 無(wú)錫 214153）

2017年5月12日起，“永恒之藍(lán)”勒索病毒（WannaCry）在世界范圍內(nèi)爆發(fā)，短時(shí)間內(nèi)迅速擴(kuò)散到全球各個(gè)國(guó)家，很多公司企業(yè)紛紛受到威脅，如英國(guó)國(guó)家醫(yī)療體系遭遇大規(guī)模網(wǎng)絡(luò)攻擊，多家醫(yī)院電腦系統(tǒng)幾乎全部癱瘓，導(dǎo)致電話(huà)線(xiàn)路被迫切斷，醫(yī)院病人緊急轉(zhuǎn)移。我國(guó)很多通信、企業(yè)及醫(yī)療等機(jī)構(gòu)也受到影響[1～2]。該病毒主要以郵件、程序木馬、網(wǎng)頁(yè)掛馬的形式進(jìn)行傳播，性質(zhì)惡劣、危害極大，一旦感染將利用各種加密算法對(duì)文件進(jìn)行加密，被感染者一般無(wú)法解密恢復(fù)，必須支付高額贖金，獲取解密私鑰才能破解，否則文件將會(huì)被破壞、損毀，故稱(chēng)該病毒為“勒索病毒”。從2018年年初到9月中旬，勒索病毒總計(jì)對(duì)超過(guò)200萬(wàn)臺(tái)計(jì)算機(jī)終端發(fā)起過(guò)攻擊，攻擊次數(shù)高達(dá)1 700萬(wàn)余次，且整體呈上升趨勢(shì)。2019年3月，國(guó)內(nèi)安全專(zhuān)家發(fā)現(xiàn)通過(guò)發(fā)送恐嚇郵件，誘使用戶(hù)下載附件，導(dǎo)致重要文件被加密且無(wú)法解密的GandCrab5.2勒索病毒。

1 病毒介紹

1.1 病毒傳播途徑

終端設(shè)備一旦感染勒索病毒，病毒會(huì)自動(dòng)運(yùn)行，為降低被殺毒軟件等安全防護(hù)類(lèi)軟件查殺的可能性，會(huì)快速刪掉軟件樣本，并通過(guò)網(wǎng)絡(luò)連接，接至黑客服務(wù)器，一旦連接成功，就將本機(jī)信息進(jìn)行上傳，并下載加密公鑰與私鑰，之后在本機(jī)注冊(cè)表內(nèi)寫(xiě)入加密公鑰，遍歷本機(jī)內(nèi)所有文件后將格式進(jìn)行篡改和加密操作，使用戶(hù)無(wú)法完成相應(yīng)的解密操作，最后在電腦桌面位置或者其他易察覺(jué)位置生成勒索提示文件，讓感染用戶(hù)繳納解密贖金，換取解密私鑰，恢復(fù)文件。該病毒變種類(lèi)型快，對(duì)常規(guī)依靠特征檢測(cè)的殺毒軟件造成極大挑戰(zhàn)，具有免疫性，感染文件以exe，vbe，wsf，jpg等為主，導(dǎo)致文件無(wú)法正常讀取，關(guān)鍵數(shù)據(jù)被破壞，給企業(yè)及用戶(hù)帶來(lái)嚴(yán)重影響。

1.2 病毒攻擊流程

1.2.1 攻擊流程

該類(lèi)型病毒目標(biāo)性強(qiáng)，傳播方式主要通過(guò)程序、郵件進(jìn)行。用戶(hù)一旦點(diǎn)擊運(yùn)行了病毒文件，會(huì)通過(guò)腳本文件進(jìn)行http請(qǐng)求，連接到黑客的服務(wù)器，并通過(guò)腳本文件，將本機(jī)信息上傳，下載勒索病毒加密公鑰和私鑰。然后，遍歷本地電腦內(nèi)所有文檔、圖片等文件并進(jìn)行格式篡改，將加密公鑰寫(xiě)入注冊(cè)表，對(duì)這些文件進(jìn)行加密。加密操作執(zhí)行完畢后，會(huì)在電腦的桌面位置或者其他易察覺(jué)位置生成勒索提示文件，讓感染用戶(hù)繳納贖金用以換取解密密鑰。具體的攻擊流程如圖1所示。

圖1 攻擊流程

1.2.2 加密流程

該病毒感染文件后，用高級(jí)加密標(biāo)準(zhǔn)（Advanced Encryption Standard，AES）加密算法隨機(jī)生成一個(gè)密鑰Key，用于之后的RSA加密。病毒在本地電腦端，隨機(jī)生成RSA密鑰，其中的公鑰用于加密AES的密鑰Key，且私鑰將被加密后隱藏在某個(gè)文件中。上一步的RSA私鑰，則被另一個(gè)RSA公鑰加密，且加密后的私鑰僅為黑客本人所有。加密流程如圖2所示。

圖2 加密流程

1.3 病毒危害

勒索病毒往往具有大規(guī)模爆發(fā)、傳播迅速、無(wú)法解密、隱蔽通信等特征。以下從傳播范圍、危害性、隱蔽性3個(gè)方面做簡(jiǎn)要闡述。

（1）傳播范圍廣。勒索病毒感染了終端的用戶(hù)電腦，病毒自動(dòng)運(yùn)行，為了避免被殺毒軟件等安全防護(hù)類(lèi)軟件的查殺，還會(huì)刪除自身樣本，用戶(hù)的網(wǎng)絡(luò)連接正常，會(huì)直接接到勒索病毒服務(wù)器，自行完成加密公鑰和私鑰的下載。同時(shí)，相同局域網(wǎng)內(nèi)其他電腦也會(huì)一并進(jìn)行感染，如果同一局域網(wǎng)內(nèi)的網(wǎng)絡(luò)防護(hù)措施較弱，將導(dǎo)致整個(gè)局域網(wǎng)淪陷。

（2）損失巨大。用戶(hù)電腦感染勒索病毒后，勒索病毒會(huì)將電腦內(nèi)所有文檔、視頻圖片、壓縮文件、郵件信箱和數(shù)據(jù)庫(kù)文件等進(jìn)行加密，并修改文件格式，統(tǒng)一命名為.WNCRY，提示用戶(hù)支付贖金，用戶(hù)若未在規(guī)定時(shí)間內(nèi)支付贖金，則會(huì)被強(qiáng)制刪除電腦內(nèi)數(shù)據(jù)且無(wú)法修復(fù)，而且也有部分的勒索病毒制造者，即使對(duì)其完成了贖金的支付，也并沒(méi)有給出相應(yīng)的解密密鑰，既造成錢(qián)財(cái)損失，又使得用戶(hù)數(shù)據(jù)丟失。

（3）隱蔽威脅。勒索病毒進(jìn)入電腦后，能夠自我復(fù)制，駐留系統(tǒng)注冊(cè)表，修改系統(tǒng)服務(wù)，篡改系統(tǒng)內(nèi)核數(shù)據(jù)，以此躲避殺毒軟件的檢測(cè)，導(dǎo)致傳統(tǒng)的安全防御技術(shù)對(duì)其難以檢測(cè)，直到用戶(hù)被劫持?jǐn)?shù)據(jù)、勒索贖金。因此，勒索病毒攻擊于無(wú)形之中，來(lái)去無(wú)蹤，危害巨大，后果嚴(yán)重。

2 校園網(wǎng)信息安全應(yīng)對(duì)措施

2.1 校園網(wǎng)防治體系建設(shè)

近年來(lái)，網(wǎng)絡(luò)安全事件的爆發(fā)給校園網(wǎng)的安全也敲響了警鐘，校園網(wǎng)的安全隱患主要來(lái)自?xún)?nèi)網(wǎng)和外網(wǎng)兩個(gè)方面。對(duì)于校園網(wǎng)安全建設(shè)主要從培養(yǎng)網(wǎng)絡(luò)安全意識(shí)、建立網(wǎng)絡(luò)安全機(jī)制和網(wǎng)絡(luò)安全管理團(tuán)隊(duì)建設(shè)3個(gè)方面進(jìn)行分析。

2.1.1 培養(yǎng)網(wǎng)絡(luò)安全意識(shí)

網(wǎng)絡(luò)安全意識(shí)的培養(yǎng)在網(wǎng)絡(luò)安全建設(shè)中是最突出的。2014年起，每年9月的第三周，在中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組領(lǐng)導(dǎo)下，由中央網(wǎng)信辦牽頭，教育部、工業(yè)和信息化部、公安部、新聞出版廣電總局、共青團(tuán)中央等相關(guān)部門(mén)共同舉辦國(guó)家網(wǎng)絡(luò)安全宣傳周，旨在培育有高度的安全意識(shí)、有文明的網(wǎng)絡(luò)素養(yǎng)、有守法的行為習(xí)慣、有必備的防護(hù)技能的“四有好網(wǎng)民”[3]。

培養(yǎng)師生網(wǎng)絡(luò)安全意識(shí)，就是要讓“沒(méi)有網(wǎng)絡(luò)安全就沒(méi)有國(guó)家安全”的意識(shí)深入內(nèi)心，讓“網(wǎng)絡(luò)信息人人共享、網(wǎng)絡(luò)安全人人有責(zé)”的意識(shí)落地生根，讓師生加強(qiáng)法制觀(guān)念，文明規(guī)范上網(wǎng)習(xí)慣、增強(qiáng)個(gè)人信息保護(hù)意識(shí)。

2.1.2 建設(shè)網(wǎng)絡(luò)安全機(jī)制

建立網(wǎng)絡(luò)安全機(jī)制有利于校園網(wǎng)的安全穩(wěn)定，校園網(wǎng)的安全防御中，網(wǎng)絡(luò)安全機(jī)制的建立是其中一環(huán)，可對(duì)整個(gè)網(wǎng)絡(luò)架構(gòu)實(shí)現(xiàn)安全保障的最大化和損失危害的最小化，涉及網(wǎng)絡(luò)架構(gòu)的物理和邏輯結(jié)構(gòu)兩方面。在安全防御方面，校園網(wǎng)最常用的手段是防火墻技術(shù)。為使校園網(wǎng)內(nèi)網(wǎng)安全，一般會(huì)在出口處加入出口防火墻，有效阻止外網(wǎng)攻擊，對(duì)校園內(nèi)部網(wǎng)絡(luò)的攻擊，則會(huì)在內(nèi)網(wǎng)與服務(wù)器之間加增數(shù)據(jù)中心防火墻，避免內(nèi)網(wǎng)攻擊。安全防御中的IPS（入侵防御系統(tǒng)）和IDS（入侵檢測(cè)系統(tǒng)）可主動(dòng)判斷網(wǎng)絡(luò)行為是否具備攻擊性，從而也成為對(duì)安全隱患進(jìn)行預(yù)防的有效手段，這兩種入侵檢測(cè)手段可識(shí)別惡意攻擊，并進(jìn)行攔截，從而開(kāi)啟保護(hù)模式。

對(duì)于校園網(wǎng)，還需建立分層、分段的安全保護(hù)機(jī)制，即各部門(mén)間劃分不同的網(wǎng)段，設(shè)置不同的權(quán)限，培養(yǎng)各部門(mén)均有網(wǎng)絡(luò)安全管理人員，在網(wǎng)絡(luò)安全預(yù)警發(fā)出后，可即時(shí)接收信息，縮短響應(yīng)時(shí)間。網(wǎng)絡(luò)安全管理人員平時(shí)還需定期地更新操作系統(tǒng)補(bǔ)丁并指導(dǎo)部門(mén)人員下載安裝，應(yīng)用軟件也需及時(shí)升級(jí)，減小安全隱患。

2.1.3 網(wǎng)絡(luò)安全管理團(tuán)隊(duì)建設(shè)

數(shù)據(jù)顯示，中國(guó)網(wǎng)絡(luò)安全人才缺口巨大，中國(guó)高校培養(yǎng)的信息安全專(zhuān)業(yè)畢業(yè)生近3年僅3萬(wàn)余人，不足市場(chǎng)需求量70萬(wàn)的5%[4]。由此可見(jiàn)，高校網(wǎng)絡(luò)安全管理團(tuán)隊(duì)的建設(shè)任務(wù)是相當(dāng)艱巨的。為了加強(qiáng)校園網(wǎng)安全管理團(tuán)隊(duì)建設(shè)，不僅需要學(xué)習(xí)網(wǎng)絡(luò)安全技術(shù)知識(shí)，還需要學(xué)習(xí)相關(guān)的法律法規(guī)，并推行適合學(xué)校實(shí)際情況的規(guī)章制度。根據(jù)各類(lèi)人員分工的不同，所進(jìn)行的培訓(xùn)也應(yīng)更有針對(duì)性，比如系統(tǒng)管理員，不僅需要有扎實(shí)的知識(shí)，還需要對(duì)硬件的升級(jí)、管理、維護(hù)及相關(guān)規(guī)章制度等都要熟悉，而對(duì)于普通用戶(hù)來(lái)說(shuō)，應(yīng)重點(diǎn)培養(yǎng)他們的網(wǎng)絡(luò)安全意識(shí)和網(wǎng)絡(luò)安全素養(yǎng)，通過(guò)分層有目的地培養(yǎng)，逐步建立起良好的網(wǎng)絡(luò)安全管理隊(duì)伍。

2.2 容災(zāi)中心建設(shè)

（1）數(shù)據(jù)備份強(qiáng)于預(yù)防勒索病毒傳播。勒索病毒的威脅性極強(qiáng)，它的爆發(fā)時(shí)間短，當(dāng)前，對(duì)于被感染勒索病毒的機(jī)器，只能采取格式化電腦的方式，刪除電腦內(nèi)所有數(shù)據(jù)文件，重新安裝操作系統(tǒng)，除此之外，沒(méi)有更優(yōu)的解決方案。如此操作之后，若用戶(hù)平時(shí)未對(duì)重要數(shù)據(jù)進(jìn)行備份，則將導(dǎo)致用戶(hù)電腦內(nèi)儲(chǔ)存的數(shù)據(jù)被清空，無(wú)法還原，損失巨大。因此，在應(yīng)對(duì)勒索病毒威脅時(shí)，必須事先做好預(yù)防工作，若在病毒感染前做好數(shù)據(jù)備份，提前采取數(shù)據(jù)保護(hù)措施，使核心數(shù)據(jù)得到有效保護(hù)，可以避免造成不可挽回的損失。

（2）科學(xué)備份數(shù)據(jù)。正常備份工作應(yīng)做到時(shí)刻備份，確保每周備份一次。對(duì)于極度重要的數(shù)據(jù)文件，甚至可以做到每天備份，備份文件可以保存到不同的存儲(chǔ)設(shè)備中，備份范圍可包括硬盤(pán)及網(wǎng)盤(pán)內(nèi)的所有數(shù)據(jù)文件。若能夠?qū)?shù)據(jù)文件進(jìn)行科學(xué)備份，一旦受到病毒威脅，則可以將數(shù)據(jù)恢復(fù)到之前的正常狀態(tài)，避免數(shù)據(jù)丟失造成威脅。大量實(shí)踐證明，在面對(duì)病毒威脅時(shí)，數(shù)據(jù)備份的效果要明顯優(yōu)于病毒感染后的系統(tǒng)修復(fù)、漏洞掃描、病毒查殺，這是最安全的手段之一。在面對(duì)病毒威脅時(shí)，不論是個(gè)人還是團(tuán)體，都不應(yīng)該有僥幸心理，及時(shí)、有效地進(jìn)行科學(xué)備份工作，通過(guò)保證數(shù)據(jù)安全，避免受到病毒攻擊。

2.3 終端用戶(hù)應(yīng)對(duì)方案

盡管網(wǎng)絡(luò)安全隱患無(wú)法全面排除，但這些漏洞可通過(guò)采取安全技術(shù)和提高預(yù)防意識(shí)兩方面入手，也是面對(duì)校園網(wǎng)終端用戶(hù)的應(yīng)對(duì)方案，具體如下。

在安全技術(shù)方面可以采取的措施：（1）開(kāi)機(jī)前可斷掉網(wǎng)絡(luò)，定期備份計(jì)算機(jī)內(nèi)重要數(shù)據(jù)文件，避免重要文件感染勒索病毒后丟失。（2）將電腦里防火墻功能開(kāi)啟，并添加相關(guān)的安全策略，關(guān)閉TCP445端口和UDP135，147端口，避免通過(guò)該端口在局域網(wǎng)內(nèi)傳播病毒。（3）升級(jí)最新的防病毒安全軟件，自動(dòng)更新病毒特征庫(kù)，提升安全防護(hù)效果。（4）打開(kāi)Windows更新服務(wù)，給操作系統(tǒng)安裝最新系統(tǒng)補(bǔ)丁。（5）安裝反勒索防護(hù)工具。

在預(yù)防意識(shí)方面可以采取的措施：（1）對(duì)于陌生可疑郵件，尤其是帶有鏈接或附件的，提高警惕，不要輕易點(diǎn)擊打開(kāi)，避免郵件附件變成攻擊工具。（2）Office宏運(yùn)行方面的提示，不可直接點(diǎn)擊運(yùn)行鍵，有效阻止Office組件的攻擊路徑。（3）需要安裝更新軟件時(shí)，從官方網(wǎng)站進(jìn)行下載，后綴名為js，vbs等文件要確保其安全方可打開(kāi)。（4）定期進(jìn)行電腦全盤(pán)掃描病毒，清理各類(lèi)系統(tǒng)垃圾、流氓軟件及插件。

4 結(jié)語(yǔ)

本文通過(guò)對(duì)WannaCry勒索病毒的傳播途徑、攻擊流程、危害和特點(diǎn)進(jìn)行分析，從而引發(fā)對(duì)校園網(wǎng)網(wǎng)絡(luò)安全的思考，并提出了校園網(wǎng)信息安全應(yīng)對(duì)措施。雖然網(wǎng)絡(luò)安全的防護(hù)不是銅墻鐵壁，但積極采取有效的應(yīng)對(duì)方案，加強(qiáng)制度、人員等的防范意識(shí)，有意識(shí)地主動(dòng)減輕網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，從而降低或避免網(wǎng)絡(luò)安全方面的損失?？茖W(xué)技術(shù)在進(jìn)步發(fā)展，網(wǎng)絡(luò)安全管理人員形成梯隊(duì)管理，業(yè)務(wù)水平整體提升，也有利于校園網(wǎng)安全的穩(wěn)固。