摘 要：2017年5月12日，隨著名為“Wanna Cry”的勒索病毒大規(guī)模爆發(fā)，一種新型的具備自我傳播特性的勒索軟件及其變種，成為了全球互聯(lián)網的新型安全威脅。伴隨著“中國制造2025”發(fā)展戰(zhàn)略的推進，制造企業(yè)“深度兩化融合”工作的開展，智能制造企業(yè)也不可避免地面臨惡意勒索軟件的威脅。論文以智能制造企業(yè)如何應對惡意勒索軟件的入侵和攻擊展開初步探討，以期對從事信息安全建設的單位和同行有所借鑒。

關鍵詞：惡意勒索軟件；智能制造企業(yè)；安全策略

Intelligent Manufacturing Enterprises Reacting to the New Threats“Ransomware”

Xu Jin-wei 1 Hao Jun-lei 2 Liu Quan-feng 2 Pan Lu 2

(1.The Chinese PLA Zongcan a Research Institute Beijing 100091;2.Beijing Connected Information Technology Co., Ltd. Beijing 100041)Abstract Since May 12, 2017, with a ransomware breaking out, which named Wanna Cry, a new auto-propagating ransomware appears in the global Internet Networks, and arises more security threats thanbefore. More and more manufacturing Enterprises will evolve to Intelligent Manufacturing, pushed by thegovernment, the policy is named Made in China 2025. In the evolutions, the Intelligent ManufacturingEnterprises will face more and more security threats, especially from the ransomwares. Here, will shareour ideas to keep the intelligent manufacture from ransomware and wish to support the people facing thesame threats.

Key words ransomware; intelligent manufacturing enterprises; security policy

1 引言

當前，新型惡意“勒索軟件”【注1】帶來的網絡安全隱患，正在威脅著全球互聯(lián)網的安全。2016年可謂是“勒索軟件爆發(fā)年”，僅僅在前3個月，勒索軟件的敲詐金額就高達數(shù)億美元，其攻擊的目標用戶數(shù)量增加了6倍。為了逃避部署在網絡邊界的安全設備的檢測、識別和阻截，勒索軟件正在不斷進行自我技術演進：主動探測、主動掃描、主動攻擊和主動傳播將是勒索軟件下一階段的發(fā)展目標。2017年5月12日起，隨著名為“Wanna Cry”的勒索病毒大規(guī)模爆發(fā)，一種新型的具備自我傳播特性的勒索軟件及其變種，成為了全球互聯(lián)網的新型安全威脅。隨著該勒索軟件大規(guī)模地入侵和攻擊全球電腦網絡，影響波及到近100個國家和地區(qū)，其中我國部分高校、部分政府機關和企事業(yè)單位的網絡應用系統(tǒng)也受到了該勒索軟件的攻擊，尤其是公安行業(yè)的部分信息服務系統(tǒng)和能源企業(yè)的部分加油站點受到的影響更為嚴重。

高級可持續(xù)性攻擊（APT）和高級逃避技術攻擊（AET），將會造成更大范圍內的惡性網絡安全事件；面對各種網絡攻擊,智能制造企業(yè)將會首當其沖，優(yōu)先成為其惡意入侵和攻擊的目標，其危害后果必將嚴重影響智能制造企業(yè)的正常生產和運營。

3 惡意勒索軟件的防范技術措施

由于勒索軟件可以通過多種方式完成滲透和攻擊行為，所以減少勒索軟件感染的風險需要基于安全產品組合的方案，而不是僅依靠某個安全產品或某項安全技術。為了防范勒索軟件攻擊，必須及時和快速地檢測其是否已經侵入網絡系統(tǒng)并進行控制以降低損害程度，對Web和郵件等勒索軟件的重要傳播路徑實現(xiàn)高效防護和攔截，應對勒索軟件采取的安全策略應是實現(xiàn)“一次發(fā)現(xiàn)，全面防護”。

在防范惡意勒索軟件的時候，可首先考慮采取常規(guī)的預防措施來阻止攻擊者的掃描和探測行為。例如：及時發(fā)現(xiàn)和修補系統(tǒng)中的漏洞，防止網絡釣魚行為，強化DMZ區(qū)域的安全防護等。安全防護措施主要包含五個方面。

（1）定期進行端口掃描，查看實際與互聯(lián)網鏈接的業(yè)務系統(tǒng)和操作系統(tǒng)的情況。通過采取將公共地址映射到私有地址的技術措施，減少連接到公共互聯(lián)網的業(yè)務系統(tǒng)和操作系統(tǒng)，縮小攻擊者的攻擊范圍；定期使用漏洞掃描工具對其進行掃描，盡快修復掃描報告中的高危漏洞。

（2）定期執(zhí)行補丁更新。在對網絡進行常規(guī)的系統(tǒng)安全維護時，確保定期執(zhí)行補丁維護，確保 DMZ 系統(tǒng)日志連接到日志采集器SIEM，需要身份驗證的公開系統(tǒng)服務都應當使用強口令，減少弱口令的使用，還可以考慮實施雙因子身份驗證等技術措施。同時，需要進行身份驗證的公開系統(tǒng)服務都應具有限制功能，例如設置口令次數(shù)，超出閥值后將中斷系統(tǒng)服務，以阻止外部攻擊者的暴力破解攻擊行為，實現(xiàn)保護網絡系統(tǒng)的目的。

（3）加強網絡邊界防護能力。在互聯(lián)網出口檢測并阻擋惡意勒索軟件的掃描和入侵，借助下一代防火墻（NGFW）和下一代網絡入侵防御（NGIPS）設備，采用威脅防御為核心的網絡架構設計，確保在勒索攻擊發(fā)生的整個過程能夠提供有效的威脅保護。同時采用可實時監(jiān)控、管理和感知網絡內部安全事件的統(tǒng)一集中管理平臺（SIEM），實現(xiàn)網絡內部高危漏洞與資產表的清晰對應管理，根據安全預警迅速摸清網絡內的漏洞分布情況及危險程度，及時進行漏洞的修補和處理，防患于未然。利用SIEM平臺可實時發(fā)現(xiàn)和判斷勒索軟件的入侵和攻擊情況，以便及時和快速地采取應對措施，阻斷勒索軟件的后續(xù)入侵和攻擊，降低勒索軟件可能造成的影響范圍和損失程度。同時，在網絡內部采用設置安全分區(qū)和強化隔離等技術手段，

（4）強化郵件安全防護手段切斷傳播途徑。采取技術措施，防止惡意網絡釣魚行為，尤其是釣魚郵件事件的發(fā)生。建議設置郵件安全網關，應具備識別和阻止發(fā)送和接收可執(zhí)行文件（exe、dll、cpl、scr）或帶有宏的JavaScript（.js文件）等Office 文檔，并可以掃描和識別 .zip 文件的內容。加強對SPF記錄進行檢查驗證，以減少欺騙性電子郵件的發(fā)生，并及時升級郵件安全網關，更新網絡釣魚網站的域名信息。

（5）加強Web安全防護、攔截釣魚網站訪問。為了切斷勒索軟件利用Web方式進行傳播，建議部署Web安全網關，集成URL地址過濾、網站信譽過濾和惡意軟件過濾及數(shù)據泄露預防功能，對用戶上網行為進行全面的監(jiān)控和防護

（6）強化安全管理制度。嚴格管理U盤等移動存儲介質的使用，切斷惡意勒索軟件感染系統(tǒng)的途徑。要求員工堅決不使用來歷不明的U盤等存儲介質，在U盤等存儲介質應用前，進行病毒掃描和查殺；如果確需在敏感的安全分區(qū)使用U盤等存儲介質，可以考慮單獨準備一批專用介質，并實行專人管理。

4 智能制造企業(yè)防范惡意勒索軟件攻擊的安全策略

隨著“中國制造2025”發(fā)展戰(zhàn)略的推進，制造企業(yè)“深度兩化融合”工作的開展，智能制造企業(yè)也不可避免地將會面臨惡意勒索軟件的威脅。本章將以智能制造企業(yè)如何應對惡意勒索軟件的入侵和攻擊進行初步探討。

在企業(yè)向智能制造的演進過程中，智能制造企業(yè)的網絡架構將分為三個層次：企業(yè)管理網絡、工業(yè)物聯(lián)網、工業(yè)控制系統(tǒng)和工業(yè)制造主機。企業(yè)的數(shù)據類型也分成商業(yè)大數(shù)據和工業(yè)大數(shù)據兩大種類。在考慮智能制造企業(yè)如何應對惡意勒索軟件的入侵和攻擊時，既要考慮網絡的總體安全防護，同時也要考慮企業(yè)網絡中的不同層次類型，進行有針對性的防護。在考慮企業(yè)核心數(shù)據安全時，也要針對不同數(shù)據類型的特點，進行有針對性的防護。尤其是工業(yè)大數(shù)據具有實時性和不可替代性的特點，除了做好常規(guī)的數(shù)據備份和異地容災工作外，更應該考慮做好存儲工業(yè)大數(shù)據的設備之間的備份熱切換和實時同步備份工作。

網絡信息安全保護工作是“三分靠技術，七分靠管理”。首先，智能制造企業(yè)應按照國家有關《信息安全等級保護》的相應規(guī)范，建設和健全企業(yè)內部的相關網絡和信息安全的各項管理制度。自行開發(fā)研制或引入網絡信息安全管理軟件平臺，將寫在紙面上的各項規(guī)章制度活化起來，做到事事有跟蹤，件件有落實，定期統(tǒng)計落實工作的進展情況，與企業(yè)的獎懲管理制度結合起來，把網絡和信息安全的各項管理制度，全面落實到實處。使惡意勒索軟件在企業(yè)網絡內部無處安身，更無法傳播擴散。

在按照國家有關《信息安全等級保護》的相應規(guī)范，建設和強化企業(yè)網絡邊界防護的基礎上，智能制造企業(yè)還應按照信息安全等級保護規(guī)范，考慮企業(yè)內部各業(yè)務系統(tǒng)或其功能模塊的實時性質、使用者類比、主要功能歸屬、設備使用場所、各業(yè)務系統(tǒng)間的相互關系、廣域網通信方式及對生產制造系統(tǒng)的影響程度等因素，依據企業(yè)系統(tǒng)業(yè)務流程劃分網絡內部的安全分區(qū)，并將業(yè)務系統(tǒng)或其功能模塊置于相應的安全分區(qū)內。安全分區(qū)之間，應采用防火墻或安全交換機實現(xiàn)分區(qū)間安全隔離和訪問控制，企業(yè)的核心安全區(qū)采用防火墻+IPS+主機加固軟件等綜合措施加強安全防護。以防范惡意勒索軟件入侵后，在企業(yè)網絡內部的傳播和擴散，將影響限制在最小范圍內。

智能制造企業(yè)應根據不同安全區(qū)域的安全防護要求，確定其安全等級和防護水平。其中，生產控制大區(qū)的安全等級高于管理信息大區(qū)，業(yè)務系統(tǒng)的安全定級按《信息系統(tǒng)安全等級保護定級工作指導意見》進行定級，具體等級標準見下表。（注：待國家四部委頒布新的工業(yè)制造企業(yè)《信息系統(tǒng)安全等級保護定級工作指導意見》后，請按照新的標準執(zhí)行）。

的安全防范措施。尤其是工業(yè)大數(shù)據具有實時性和不可替代性的特點，更應考慮數(shù)據的實時同步和存儲設備之間的“熱備”切換技術措施。智 能 制 造 企 業(yè) 應 建 設 基 于 大 數(shù) 據 處 理 技術 的 、 統(tǒng) 一 安 全 事 件 實 時 管 理 和 感 知 平 臺（SIEM），實現(xiàn)網絡安全工作的集中化、實時化管理，在SIEM平臺上實現(xiàn)清晰相符的漏洞表與資產表的對應關系管理。通過SIEM平臺，實現(xiàn)實時確定安全威脅來源、安全威脅類型，是否已入侵網絡，入侵后攻擊目標，攻擊成功與否，影響后果預判等安全管理目標。同時通過SIEM平臺，通過對安全大數(shù)據的分析和挖掘，實現(xiàn)對安全威脅的感知與預警，尤其是針對惡意勒索軟件的前期大量掃描動作的判斷，入侵攻擊中可能利用的漏洞類型，通過與資產表的對應關系，及時提供安全預警，指導智能企業(yè)網絡安全技術人員提前做好相應的防范工作，將惡意勒索軟件拒之門外，確保企業(yè)網絡安全穩(wěn)定地運行。

制造企業(yè)的智能化，使企業(yè)的業(yè)務系統(tǒng)呈現(xiàn)開放化的趨勢，在為企業(yè)發(fā)展帶來新鮮活力的同時，也使得這些系統(tǒng)暴露在互聯(lián)網的安全威脅之下。智能制造企業(yè)應考慮采用前置服務器與后臺數(shù)據

隨著移動辦公的興起，極大地方便了企業(yè)員工的工作，同時也為企業(yè)的網絡安全，尤其是數(shù)據安全帶來了新的隱患。智能制造企業(yè)應考慮，對移動辦公中數(shù)據安全實施全程管理，建議采用VPN技術措施實現(xiàn)終端和傳輸通道加密，同時輔以安全加密通道內的安全防護（防火墻+IPS）。移動辦公的服務器主機，需設置在企業(yè)網絡內部，通過采取強化安全管理技術措施，確保企業(yè)網絡和信息數(shù)據的安全。

5 結束語

在過去幾年里，在全球范圍內勒索軟件的變種和惡意入侵行為已呈明顯的上升態(tài)勢，國內的網絡違法犯罪分子，也在蠢蠢欲動，欲利用惡意勒索軟件謀取不義之財，在“Wanna Cry”惡意勒索病毒爆發(fā)的過程中，出現(xiàn)了中文版本的勒索通知，就是最好的佐證。在“Wanna Cry”惡意勒索病毒爆發(fā)過程中，發(fā)現(xiàn)了其呈現(xiàn)了蠕蟲病毒的諸多特征 - 快速傳播、傳送負載（勒索軟件）和削弱系統(tǒng)的恢復能力，由此可見自我傳播型的惡意勒索軟件（或稱其為“惡意加密軟件”）肆虐的時代即將到來。據國內外安全專家預測，惡意勒索軟件的未來發(fā)展趨勢是，該惡意軟件將變種為能夠在整個信息網絡里面，進行自我傳播和半自主的滲透，對互聯(lián)網用戶，尤其是智能制造企業(yè)造成毀滅性的惡果。

通過對這次“Wanna Cry”惡意勒索病毒爆發(fā)的過程研究和分析，發(fā)現(xiàn)這次病毒爆發(fā)中受害最嚴重的醫(yī)療行業(yè)部門的內部網絡，其垂直貫通情況類似于智能制造企業(yè)未來演進的模型。但是，大可不必因噎廢食停止制造企業(yè)向智能制造企業(yè)的演進過程，只要認真做好全方位的安全防護，輔以有針對性地做好惡意勒索軟件的安全防范工作，即使做不到高枕無憂，也可以將損失范圍降到最低，以確保智能制造企業(yè)的安全穩(wěn)定運營。

長期以來，國內制造企業(yè)的在網絡安全方面投入了大量的資金和精力，在高安全威脅的情況下，保證了企業(yè)內部網絡安全穩(wěn)定的運行。在面對自我傳播型的惡意勒索軟件肆虐的時代即將到來的時刻，制造企業(yè)在向智能制造企業(yè)演進過程中，同時應做好網絡安全規(guī)劃，擴展和建設立體化、綜合化的大縱深多層次安全防御體系，有效地面對愈加嚴重的網絡信息安全威脅，保證智能制造企業(yè)安全穩(wěn)定地運行。

【注1】：惡意勒索軟件（Ransomware）的攻擊主要以高強度密碼學算法加密受害者電腦上的文件，并要求其支付贖金以換取文件解密為目的，因此該軟件也被稱為惡意加密軟件或密鎖敲詐類木馬。除此之外，近年來在Android手機上也逐漸流行一種鎖屏類敲詐木馬，這類木馬同樣是通過鎖定受害者手機屏幕，使受害者無法正常使用手機，借機進行敲詐。近年來，因感染敲詐類木馬而被迫支付贖金的事時常發(fā)生，有些受害者損失高達數(shù)萬美元。因此，敲詐木馬已逐漸成為安全領域內的重點關注對象，據安全公司統(tǒng)計，敲詐木馬在所有惡意軟件中所占比例，從2015年的第三位上升到了2016年的首位，形勢十分嚴峻。

關注讀覽天下微信， 100萬篇深度好文， 等你來看……