从“永恒之蓝”病毒爆发浅谈网络安全

赵翀

中国民用航空局华北地区空中交通管理局内蒙古分局 内蒙古呼和浩特 010070

2016年8月，网络上名叫“ShadowBrokers”的黑客组织号称入侵了NSA（美国国家安全局）下属的黑客组织“方程式”。在拍卖窃取的黑客工具未果后，此组织在2017年4月14日在公开网络上一口气放出了十几个网络世界中核弹级的攻击工具“NSA武器库”供所有人下载。2017年5月12日晚，名为Wannacry的勒索病毒袭击全球网络，该勒索病毒利用“NSA武器库”中的ETERNALBLUE（永恒之蓝）发起攻击。蠕虫利用SMB服务器漏洞，通过渗透到未打补丁的WINDOWS计算机中，实现大规模迅速传播，数十万台计算机受到感染，感染病毒后病毒会对WINDOWS系统计算机内现有的文档、图片、视频等进行快速加密，所用加密算法用暴力破解方法不可解，同时要求用户支付一定量的资金进行解密，否则一段时间后删除文件。在我国范围内，教育网受灾严重，机关、企事业单位均有不同程度的感染。对于计算机网络业内来说，蠕虫病毒早已屡见不鲜，勒索病毒也随着电子邮件等方式早已为人们所知。为何这次的“永恒之蓝”勒索病毒造成了如此轰动的效果并造成了如此巨大的损失呢？笔者认为应从以下几个方面来分析：

隶属于“NSA武器库”的一批影响网络安全的“核弹极”应用的彻底公开和民用化。此次爆发的“永恒之蓝”勒索病毒及此前同时放出的一批网络攻击工具使用的漏洞的危险程度、漏洞利用的水平、以及工具制作的水平，均属于世界顶级。未来的一段时间内，这类工具一定会被广泛利用，绝不仅仅是一个“永恒之蓝”那么简单。

此次“永恒之蓝”勒索病毒借着网络攻击工具扩大了蠕虫病毒的传播效率、使得传统勒索病毒能更大范围的进行传播，这种将旧有病毒特性融合创新的新型攻击手段只是开始，这是网络安全人员与病毒制作者之间的赛跑过程，越早对整个单位的网络安全应急响应能力和防范能力进行审视并查漏补缺，才能应对此后层出不穷的各类新型网络攻击。

微软公司在“NSA武器库”彻底公布之前两个月已经发布了相应的WINDOWS补丁，WINDOWS8.1及以上用户只要运行WINDOWSUPDATE就基本可以免疫此次病毒爆发。可是国内计算机运行现状是，大量的计算机使用盗版WINDOWS系统，同时企事业单位不注重内网电脑的更新换代工作，认为内网计算机只要能上内网能看文件就可以不用更新。可是通常盗版WINDOWS7都会关闭自动更新，至于WINDOWSXP及以下版本的系统微软公司早已停止一切软件支持，这些基本不设防的系统遇到能够扫描网内计算机特定端口的病毒，大量感染是必然的。

大量的用户对于微软在系统中提供的防护程序WINDOWSDEFENDER并不信任。它集成了防病毒、防火墙、系统维护、家长控制等多种功能，与其他杀毒软件相比，WINDOWSDEFENDER本身并不会拖慢系统速度。虽然说它较为简易，但其防护功能并没有所有人想象中那么差。针对这次病毒袭击，微软公司也第一时间更新了自己的病毒库，WINDOWSDEFENDER完全可以查杀出这款勒索病毒。

用户的计算机使用习惯也导致了这次的病毒大爆发。这次病毒爆发的一个重灾区是企事业单位的内网电脑。这些内网电脑没有做到严格的专机专用，一机双网的隔离做的不到位，甚至用户乱使用移动存储产品由外网向内网拷贝数据。对于轻防护的内部网络来说，这次的病毒只要有一个不守规矩的用户，就可以导致整个内部网络上所有未进行防护的计算机均受到感染。

假设没有之前“ShadowBrokers”披露的“NSA武器库”，搭载这些高级漏洞的也不是这次爆发的“永恒之蓝”勒索病毒，这些攻击工具的拥有者和制作者完全可以搭载其他的后门程序，进行国家情报收集、商业机密获取、偷取个人隐私甚至个人的财富的掠夺都是轻而易举。更何况前不久网上公布的只是一小部分攻击工具，我们的网络安全在第一个实例“永恒之蓝”勒索病毒面前就像一层薄薄的窗户纸。在这个移动互联大发展的时代，如果这次感染的不是WINDOWS系统，而是海量的手机和各类移动端设备，现如今不需要带钱包出门的我们，该怎么面对各类个人隐私以及个人网络上的资产不会流失？

当前我们对于网络安全保护的投入微不足道，相对于我们已经离不开智能手机和智能手表、网购、用互联网思维解决问题，我们的网络安全意识基本属于全方面的滞后。对于今后的网络攻击预防，我认为应从如下几个方面进行加强：

（1）企事业单位的内部网络要与外部网络进行严格隔离，如有必要登陆互联网，必须在网络边界严格部署各类预防措施，尽量做好严防死守的准备。

（2）对于每一台能够互联的设备，必须强制安装一种防护软件，多个安全软件没有必要，反而会对设备的运算速度造成拖累。

（3）每一台能够互联的设备，必须确保安装最新的操作系统安全补丁，如果有条件，尽量使用新设备、新操作系统、正版软件。

（4）对每台能联网的设备的通信端口以及各类网络功能进行梳理，比如远程协助服务、网络共享服务等不需要的服务和端口全部进行封禁，如有必要使用必须严格限制连接白名单。

（5）对每一位设备使用者进行安全教育，严格按规章执行移动存储设备在内网设备上的使用规则，并使用相应的组策略进行严格控制。外网存储设备进行严格杀毒和识别后才可以在内网运行。

（6）个人和组织都应对关键设备、关键数据进行定期的备份，最好能进行离线备份，在数据被破坏之后尽量减少损失。