摘 要：2017年5月12日，隨著名為“Wanna Cry”的勒索病毒大規(guī)模爆發(fā)，一種新型的具備自我傳播特性的勒索軟件及其變種，成為了全球互聯(lián)網(wǎng)的新型安全威脅。伴隨著“中國(guó)制造2025”發(fā)展戰(zhàn)略的推進(jìn)，制造企業(yè)“深度兩化融合”工作的開展，智能制造企業(yè)也不可避免地面臨惡意勒索軟件的威脅。論文以智能制造企業(yè)如何應(yīng)對(duì)惡意勒索軟件的入侵和攻擊展開初步探討，以期對(duì)從事信息安全建設(shè)的單位和同行有所借鑒。

關(guān)鍵詞：惡意勒索軟件；智能制造企業(yè)；安全策略

Intelligent Manufacturing Enterprises Reacting to the New Threats“Ransomware”

Xu Jin-wei 1 Hao Jun-lei 2 Liu Quan-feng 2 Pan Lu 2

(1.The Chinese PLA Zongcan a Research Institute Beijing 100091;2.Beijing Connected Information Technology Co., Ltd. Beijing 100041)Abstract Since May 12, 2017, with a ransomware breaking out, which named Wanna Cry, a new auto-propagating ransomware appears in the global Internet Networks, and arises more security threats thanbefore. More and more manufacturing Enterprises will evolve to Intelligent Manufacturing, pushed by thegovernment, the policy is named Made in China 2025. In the evolutions, the Intelligent ManufacturingEnterprises will face more and more security threats, especially from the ransomwares. Here, will shareour ideas to keep the intelligent manufacture from ransomware and wish to support the people facing thesame threats.

Key words ransomware; intelligent manufacturing enterprises; security policy

1 引言

當(dāng)前，新型惡意“勒索軟件”【注1】帶來的網(wǎng)絡(luò)安全隱患，正在威脅著全球互聯(lián)網(wǎng)的安全。2016年可謂是“勒索軟件爆發(fā)年”，僅僅在前3個(gè)月，勒索軟件的敲詐金額就高達(dá)數(shù)億美元，其攻擊的目標(biāo)用戶數(shù)量增加了6倍。為了逃避部署在網(wǎng)絡(luò)邊界的安全設(shè)備的檢測(cè)、識(shí)別和阻截，勒索軟件正在不斷進(jìn)行自我技術(shù)演進(jìn)：主動(dòng)探測(cè)、主動(dòng)掃描、主動(dòng)攻擊和主動(dòng)傳播將是勒索軟件下一階段的發(fā)展目標(biāo)。2017年5月12日起，隨著名為“Wanna Cry”的勒索病毒大規(guī)模爆發(fā)，一種新型的具備自我傳播特性的勒索軟件及其變種，成為了全球互聯(lián)網(wǎng)的新型安全威脅。隨著該勒索軟件大規(guī)模地入侵和攻擊全球電腦網(wǎng)絡(luò)，影響波及到近100個(gè)國(guó)家和地區(qū)，其中我國(guó)部分高校、部分政府機(jī)關(guān)和企事業(yè)單位的網(wǎng)絡(luò)應(yīng)用系統(tǒng)也受到了該勒索軟件的攻擊，尤其是公安行業(yè)的部分信息服務(wù)系統(tǒng)和能源企業(yè)的部分加油站點(diǎn)受到的影響更為嚴(yán)重。

高級(jí)可持續(xù)性攻擊（APT）和高級(jí)逃避技術(shù)攻擊（AET），將會(huì)造成更大范圍內(nèi)的惡性網(wǎng)絡(luò)安全事件；面對(duì)各種網(wǎng)絡(luò)攻擊,智能制造企業(yè)將會(huì)首當(dāng)其沖，優(yōu)先成為其惡意入侵和攻擊的目標(biāo)，其危害后果必將嚴(yán)重影響智能制造企業(yè)的正常生產(chǎn)和運(yùn)營(yíng)。

3 惡意勒索軟件的防范技術(shù)措施

由于勒索軟件可以通過多種方式完成滲透和攻擊行為，所以減少勒索軟件感染的風(fēng)險(xiǎn)需要基于安全產(chǎn)品組合的方案，而不是僅依靠某個(gè)安全產(chǎn)品或某項(xiàng)安全技術(shù)。為了防范勒索軟件攻擊，必須及時(shí)和快速地檢測(cè)其是否已經(jīng)侵入網(wǎng)絡(luò)系統(tǒng)并進(jìn)行控制以降低損害程度，對(duì)Web和郵件等勒索軟件的重要傳播路徑實(shí)現(xiàn)高效防護(hù)和攔截，應(yīng)對(duì)勒索軟件采取的安全策略應(yīng)是實(shí)現(xiàn)“一次發(fā)現(xiàn)，全面防護(hù)”。

在防范惡意勒索軟件的時(shí)候，可首先考慮采取常規(guī)的預(yù)防措施來阻止攻擊者的掃描和探測(cè)行為。例如：及時(shí)發(fā)現(xiàn)和修補(bǔ)系統(tǒng)中的漏洞，防止網(wǎng)絡(luò)釣魚行為，強(qiáng)化DMZ區(qū)域的安全防護(hù)等。安全防護(hù)措施主要包含五個(gè)方面。

（1）定期進(jìn)行端口掃描，查看實(shí)際與互聯(lián)網(wǎng)鏈接的業(yè)務(wù)系統(tǒng)和操作系統(tǒng)的情況。通過采取將公共地址映射到私有地址的技術(shù)措施，減少連接到公共互聯(lián)網(wǎng)的業(yè)務(wù)系統(tǒng)和操作系統(tǒng)，縮小攻擊者的攻擊范圍；定期使用漏洞掃描工具對(duì)其進(jìn)行掃描，盡快修復(fù)掃描報(bào)告中的高危漏洞。

（2）定期執(zhí)行補(bǔ)丁更新。在對(duì)網(wǎng)絡(luò)進(jìn)行常規(guī)的系統(tǒng)安全維護(hù)時(shí)，確保定期執(zhí)行補(bǔ)丁維護(hù)，確保 DMZ 系統(tǒng)日志連接到日志采集器SIEM，需要身份驗(yàn)證的公開系統(tǒng)服務(wù)都應(yīng)當(dāng)使用強(qiáng)口令，減少弱口令的使用，還可以考慮實(shí)施雙因子身份驗(yàn)證等技術(shù)措施。同時(shí)，需要進(jìn)行身份驗(yàn)證的公開系統(tǒng)服務(wù)都應(yīng)具有限制功能，例如設(shè)置口令次數(shù)，超出閥值后將中斷系統(tǒng)服務(wù)，以阻止外部攻擊者的暴力破解攻擊行為，實(shí)現(xiàn)保護(hù)網(wǎng)絡(luò)系統(tǒng)的目的。

（3）加強(qiáng)網(wǎng)絡(luò)邊界防護(hù)能力。在互聯(lián)網(wǎng)出口檢測(cè)并阻擋惡意勒索軟件的掃描和入侵，借助下一代防火墻（NGFW）和下一代網(wǎng)絡(luò)入侵防御（NGIPS）設(shè)備，采用威脅防御為核心的網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)，確保在勒索攻擊發(fā)生的整個(gè)過程能夠提供有效的威脅保護(hù)。同時(shí)采用可實(shí)時(shí)監(jiān)控、管理和感知網(wǎng)絡(luò)內(nèi)部安全事件的統(tǒng)一集中管理平臺(tái)（SIEM），實(shí)現(xiàn)網(wǎng)絡(luò)內(nèi)部高危漏洞與資產(chǎn)表的清晰對(duì)應(yīng)管理，根據(jù)安全預(yù)警迅速摸清網(wǎng)絡(luò)內(nèi)的漏洞分布情況及危險(xiǎn)程度，及時(shí)進(jìn)行漏洞的修補(bǔ)和處理，防患于未然。利用SIEM平臺(tái)可實(shí)時(shí)發(fā)現(xiàn)和判斷勒索軟件的入侵和攻擊情況，以便及時(shí)和快速地采取應(yīng)對(duì)措施，阻斷勒索軟件的后續(xù)入侵和攻擊，降低勒索軟件可能造成的影響范圍和損失程度。同時(shí)，在網(wǎng)絡(luò)內(nèi)部采用設(shè)置安全分區(qū)和強(qiáng)化隔離等技術(shù)手段，

（4）強(qiáng)化郵件安全防護(hù)手段切斷傳播途徑。采取技術(shù)措施，防止惡意網(wǎng)絡(luò)釣魚行為，尤其是釣魚郵件事件的發(fā)生。建議設(shè)置郵件安全網(wǎng)關(guān)，應(yīng)具備識(shí)別和阻止發(fā)送和接收可執(zhí)行文件（exe、dll、cpl、scr）或帶有宏的JavaScript（.js文件）等Office 文檔，并可以掃描和識(shí)別 .zip 文件的內(nèi)容。加強(qiáng)對(duì)SPF記錄進(jìn)行檢查驗(yàn)證，以減少欺騙性電子郵件的發(fā)生，并及時(shí)升級(jí)郵件安全網(wǎng)關(guān)，更新網(wǎng)絡(luò)釣魚網(wǎng)站的域名信息。

（5）加強(qiáng)Web安全防護(hù)、攔截釣魚網(wǎng)站訪問。為了切斷勒索軟件利用Web方式進(jìn)行傳播，建議部署Web安全網(wǎng)關(guān)，集成URL地址過濾、網(wǎng)站信譽(yù)過濾和惡意軟件過濾及數(shù)據(jù)泄露預(yù)防功能，對(duì)用戶上網(wǎng)行為進(jìn)行全面的監(jiān)控和防護(hù)

（6）強(qiáng)化安全管理制度。嚴(yán)格管理U盤等移動(dòng)存儲(chǔ)介質(zhì)的使用，切斷惡意勒索軟件感染系統(tǒng)的途徑。要求員工堅(jiān)決不使用來歷不明的U盤等存儲(chǔ)介質(zhì)，在U盤等存儲(chǔ)介質(zhì)應(yīng)用前，進(jìn)行病毒掃描和查殺；如果確需在敏感的安全分區(qū)使用U盤等存儲(chǔ)介質(zhì)，可以考慮單獨(dú)準(zhǔn)備一批專用介質(zhì)，并實(shí)行專人管理。

4 智能制造企業(yè)防范惡意勒索軟件攻擊的安全策略

隨著“中國(guó)制造2025”發(fā)展戰(zhàn)略的推進(jìn)，制造企業(yè)“深度兩化融合”工作的開展，智能制造企業(yè)也不可避免地將會(huì)面臨惡意勒索軟件的威脅。本章將以智能制造企業(yè)如何應(yīng)對(duì)惡意勒索軟件的入侵和攻擊進(jìn)行初步探討。

在企業(yè)向智能制造的演進(jìn)過程中，智能制造企業(yè)的網(wǎng)絡(luò)架構(gòu)將分為三個(gè)層次：企業(yè)管理網(wǎng)絡(luò)、工業(yè)物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)和工業(yè)制造主機(jī)。企業(yè)的數(shù)據(jù)類型也分成商業(yè)大數(shù)據(jù)和工業(yè)大數(shù)據(jù)兩大種類。在考慮智能制造企業(yè)如何應(yīng)對(duì)惡意勒索軟件的入侵和攻擊時(shí)，既要考慮網(wǎng)絡(luò)的總體安全防護(hù)，同時(shí)也要考慮企業(yè)網(wǎng)絡(luò)中的不同層次類型，進(jìn)行有針對(duì)性的防護(hù)。在考慮企業(yè)核心數(shù)據(jù)安全時(shí)，也要針對(duì)不同數(shù)據(jù)類型的特點(diǎn)，進(jìn)行有針對(duì)性的防護(hù)。尤其是工業(yè)大數(shù)據(jù)具有實(shí)時(shí)性和不可替代性的特點(diǎn)，除了做好常規(guī)的數(shù)據(jù)備份和異地容災(zāi)工作外，更應(yīng)該考慮做好存儲(chǔ)工業(yè)大數(shù)據(jù)的設(shè)備之間的備份熱切換和實(shí)時(shí)同步備份工作。

網(wǎng)絡(luò)信息安全保護(hù)工作是“三分靠技術(shù)，七分靠管理”。首先，智能制造企業(yè)應(yīng)按照國(guó)家有關(guān)《信息安全等級(jí)保護(hù)》的相應(yīng)規(guī)范，建設(shè)和健全企業(yè)內(nèi)部的相關(guān)網(wǎng)絡(luò)和信息安全的各項(xiàng)管理制度。自行開發(fā)研制或引入網(wǎng)絡(luò)信息安全管理軟件平臺(tái)，將寫在紙面上的各項(xiàng)規(guī)章制度活化起來，做到事事有跟蹤，件件有落實(shí)，定期統(tǒng)計(jì)落實(shí)工作的進(jìn)展情況，與企業(yè)的獎(jiǎng)懲管理制度結(jié)合起來，把網(wǎng)絡(luò)和信息安全的各項(xiàng)管理制度，全面落實(shí)到實(shí)處。使惡意勒索軟件在企業(yè)網(wǎng)絡(luò)內(nèi)部無處安身，更無法傳播擴(kuò)散。

在按照國(guó)家有關(guān)《信息安全等級(jí)保護(hù)》的相應(yīng)規(guī)范，建設(shè)和強(qiáng)化企業(yè)網(wǎng)絡(luò)邊界防護(hù)的基礎(chǔ)上，智能制造企業(yè)還應(yīng)按照信息安全等級(jí)保護(hù)規(guī)范，考慮企業(yè)內(nèi)部各業(yè)務(wù)系統(tǒng)或其功能模塊的實(shí)時(shí)性質(zhì)、使用者類比、主要功能歸屬、設(shè)備使用場(chǎng)所、各業(yè)務(wù)系統(tǒng)間的相互關(guān)系、廣域網(wǎng)通信方式及對(duì)生產(chǎn)制造系統(tǒng)的影響程度等因素，依據(jù)企業(yè)系統(tǒng)業(yè)務(wù)流程劃分網(wǎng)絡(luò)內(nèi)部的安全分區(qū)，并將業(yè)務(wù)系統(tǒng)或其功能模塊置于相應(yīng)的安全分區(qū)內(nèi)。安全分區(qū)之間，應(yīng)采用防火墻或安全交換機(jī)實(shí)現(xiàn)分區(qū)間安全隔離和訪問控制，企業(yè)的核心安全區(qū)采用防火墻+IPS+主機(jī)加固軟件等綜合措施加強(qiáng)安全防護(hù)。以防范惡意勒索軟件入侵后，在企業(yè)網(wǎng)絡(luò)內(nèi)部的傳播和擴(kuò)散，將影響限制在最小范圍內(nèi)。

智能制造企業(yè)應(yīng)根據(jù)不同安全區(qū)域的安全防護(hù)要求，確定其安全等級(jí)和防護(hù)水平。其中，生產(chǎn)控制大區(qū)的安全等級(jí)高于管理信息大區(qū)，業(yè)務(wù)系統(tǒng)的安全定級(jí)按《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作指導(dǎo)意見》進(jìn)行定級(jí)，具體等級(jí)標(biāo)準(zhǔn)見下表。（注：待國(guó)家四部委頒布新的工業(yè)制造企業(yè)《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作指導(dǎo)意見》后，請(qǐng)按照新的標(biāo)準(zhǔn)執(zhí)行）。

的安全防范措施。尤其是工業(yè)大數(shù)據(jù)具有實(shí)時(shí)性和不可替代性的特點(diǎn)，更應(yīng)考慮數(shù)據(jù)的實(shí)時(shí)同步和存儲(chǔ)設(shè)備之間的“熱備”切換技術(shù)措施。智 能 制 造 企 業(yè) 應(yīng) 建 設(shè) 基 于 大 數(shù) 據(jù) 處 理 技術(shù) 的 、 統(tǒng) 一 安 全 事 件 實(shí) 時(shí) 管 理 和 感 知 平 臺(tái)（SIEM），實(shí)現(xiàn)網(wǎng)絡(luò)安全工作的集中化、實(shí)時(shí)化管理，在SIEM平臺(tái)上實(shí)現(xiàn)清晰相符的漏洞表與資產(chǎn)表的對(duì)應(yīng)關(guān)系管理。通過SIEM平臺(tái)，實(shí)現(xiàn)實(shí)時(shí)確定安全威脅來源、安全威脅類型，是否已入侵網(wǎng)絡(luò)，入侵后攻擊目標(biāo)，攻擊成功與否，影響后果預(yù)判等安全管理目標(biāo)。同時(shí)通過SIEM平臺(tái)，通過對(duì)安全大數(shù)據(jù)的分析和挖掘，實(shí)現(xiàn)對(duì)安全威脅的感知與預(yù)警，尤其是針對(duì)惡意勒索軟件的前期大量掃描動(dòng)作的判斷，入侵攻擊中可能利用的漏洞類型，通過與資產(chǎn)表的對(duì)應(yīng)關(guān)系，及時(shí)提供安全預(yù)警，指導(dǎo)智能企業(yè)網(wǎng)絡(luò)安全技術(shù)人員提前做好相應(yīng)的防范工作，將惡意勒索軟件拒之門外，確保企業(yè)網(wǎng)絡(luò)安全穩(wěn)定地運(yùn)行。

制造企業(yè)的智能化，使企業(yè)的業(yè)務(wù)系統(tǒng)呈現(xiàn)開放化的趨勢(shì)，在為企業(yè)發(fā)展帶來新鮮活力的同時(shí)，也使得這些系統(tǒng)暴露在互聯(lián)網(wǎng)的安全威脅之下。智能制造企業(yè)應(yīng)考慮采用前置服務(wù)器與后臺(tái)數(shù)據(jù)

隨著移動(dòng)辦公的興起，極大地方便了企業(yè)員工的工作，同時(shí)也為企業(yè)的網(wǎng)絡(luò)安全，尤其是數(shù)據(jù)安全帶來了新的隱患。智能制造企業(yè)應(yīng)考慮，對(duì)移動(dòng)辦公中數(shù)據(jù)安全實(shí)施全程管理，建議采用VPN技術(shù)措施實(shí)現(xiàn)終端和傳輸通道加密，同時(shí)輔以安全加密通道內(nèi)的安全防護(hù)（防火墻+IPS）。移動(dòng)辦公的服務(wù)器主機(jī)，需設(shè)置在企業(yè)網(wǎng)絡(luò)內(nèi)部，通過采取強(qiáng)化安全管理技術(shù)措施，確保企業(yè)網(wǎng)絡(luò)和信息數(shù)據(jù)的安全。

5 結(jié)束語(yǔ)

在過去幾年里，在全球范圍內(nèi)勒索軟件的變種和惡意入侵行為已呈明顯的上升態(tài)勢(shì)，國(guó)內(nèi)的網(wǎng)絡(luò)違法犯罪分子，也在蠢蠢欲動(dòng)，欲利用惡意勒索軟件謀取不義之財(cái)，在“Wanna Cry”惡意勒索病毒爆發(fā)的過程中，出現(xiàn)了中文版本的勒索通知，就是最好的佐證。在“Wanna Cry”惡意勒索病毒爆發(fā)過程中，發(fā)現(xiàn)了其呈現(xiàn)了蠕蟲病毒的諸多特征 - 快速傳播、傳送負(fù)載（勒索軟件）和削弱系統(tǒng)的恢復(fù)能力，由此可見自我傳播型的惡意勒索軟件（或稱其為“惡意加密軟件”）肆虐的時(shí)代即將到來。據(jù)國(guó)內(nèi)外安全專家預(yù)測(cè)，惡意勒索軟件的未來發(fā)展趨勢(shì)是，該惡意軟件將變種為能夠在整個(gè)信息網(wǎng)絡(luò)里面，進(jìn)行自我傳播和半自主的滲透，對(duì)互聯(lián)網(wǎng)用戶，尤其是智能制造企業(yè)造成毀滅性的惡果。

通過對(duì)這次“Wanna Cry”惡意勒索病毒爆發(fā)的過程研究和分析，發(fā)現(xiàn)這次病毒爆發(fā)中受害最嚴(yán)重的醫(yī)療行業(yè)部門的內(nèi)部網(wǎng)絡(luò)，其垂直貫通情況類似于智能制造企業(yè)未來演進(jìn)的模型。但是，大可不必因噎廢食停止制造企業(yè)向智能制造企業(yè)的演進(jìn)過程，只要認(rèn)真做好全方位的安全防護(hù)，輔以有針對(duì)性地做好惡意勒索軟件的安全防范工作，即使做不到高枕無憂，也可以將損失范圍降到最低，以確保智能制造企業(yè)的安全穩(wěn)定運(yùn)營(yíng)。

長(zhǎng)期以來，國(guó)內(nèi)制造企業(yè)的在網(wǎng)絡(luò)安全方面投入了大量的資金和精力，在高安全威脅的情況下，保證了企業(yè)內(nèi)部網(wǎng)絡(luò)安全穩(wěn)定的運(yùn)行。在面對(duì)自我傳播型的惡意勒索軟件肆虐的時(shí)代即將到來的時(shí)刻，制造企業(yè)在向智能制造企業(yè)演進(jìn)過程中，同時(shí)應(yīng)做好網(wǎng)絡(luò)安全規(guī)劃，擴(kuò)展和建設(shè)立體化、綜合化的大縱深多層次安全防御體系，有效地面對(duì)愈加嚴(yán)重的網(wǎng)絡(luò)信息安全威脅，保證智能制造企業(yè)安全穩(wěn)定地運(yùn)行。

【注1】：惡意勒索軟件（Ransomware）的攻擊主要以高強(qiáng)度密碼學(xué)算法加密受害者電腦上的文件，并要求其支付贖金以換取文件解密為目的，因此該軟件也被稱為惡意加密軟件或密鎖敲詐類木馬。除此之外，近年來在Android手機(jī)上也逐漸流行一種鎖屏類敲詐木馬，這類木馬同樣是通過鎖定受害者手機(jī)屏幕，使受害者無法正常使用手機(jī)，借機(jī)進(jìn)行敲詐。近年來，因感染敲詐類木馬而被迫支付贖金的事時(shí)常發(fā)生，有些受害者損失高達(dá)數(shù)萬(wàn)美元。因此，敲詐木馬已逐漸成為安全領(lǐng)域內(nèi)的重點(diǎn)關(guān)注對(duì)象，據(jù)安全公司統(tǒng)計(jì)，敲詐木馬在所有惡意軟件中所占比例，從2015年的第三位上升到了2016年的首位，形勢(shì)十分嚴(yán)峻。

關(guān)注讀覽天下微信， 100萬(wàn)篇深度好文， 等你來看……