勒索病毒横行下的信息化安全防护规划

勒索病毒横行下的信息化安全防护规划

孙文超

青岛兴仪电子设备有限责任公司 山东省青岛市  

摘要

“十四五”规划和2035年远景目标纲要中明确提出，要培育壮大人工智能、大数据、区块链、云计算、网络安全等新兴数字产业。而在“大智移云”蓬勃发展的背景下，产业安全已经成为数字经济平稳、健康发展的“生命线”,为携手整个行业面对更加纷繁复杂的挑战，面对当前勒索病毒横行的恶劣互联网环境，而编写信息化安全防护规划。

关键词：勒索病毒;勒索病毒防护；数据安全;应用安全；

一、 勒索病毒攻击防御现状说明

1．勒索病毒防御的目的和现实意义

在当今5G的互联网时代，人工智能、物联网、云计算、区块链等技术发生了天翻地覆的发展，我国数字经济正在迈向以数据为要素、以产业互联网为载体的新时代。在数字技术不断推动经济发展的同时，其背后的安全风险也日益显现。近年来，各类勒索病毒攻击事件而造成的数据泄漏、数据滥用、个人隐私侵害等安全事件层出不穷，导致很多人“谈勒索色变”， 对于数字经济平稳、健康发展造成了严重的威胁，因此勒索病毒的入侵防御、数据安全保证成为目前刻不容缓的问题。

二、勒索病毒种类与传播方式

1.常见的勒索病毒有以下⼏类

（1）数据加密勒索病毒

所有⽂件被加密（⽂件、图⽚、视频甚⾄是数据库），受感染的⽂件被加密后会被删除，⽤户通常会在⽂件夹中看到⼀个包含付款说明的⽂本⽂件。最典型的案例就是WannaCry，感染⽂件型勒索病毒后，病毒会更改系统桌⾯并展⽰勒索⽀付提⽰。

（2）锁屏勒索病毒——WinLocker

WinLocker会锁定电脑屏幕并要求付款。它会呈现⼀个全屏图像并阻⽌所有其它窗⼝开启。这种类型的勒索病毒并不会加密⽤户的数据⽂件，数据有挽回的可能。

（3）主引导记录（MBR）勒索病毒

主引导记录（MBR）是电脑硬盘驱动器的⼀部份，影响操作系统的启动功能，中断电脑的正常启动，然后在屏幕上显⽰要求赎⾦的内容，今年最流⾏的Petya就属于这类病毒。这类病毒不同于⽂件型勒索病毒，感染后病毒可能采⽤磁盘级加密技术覆写磁盘，数据基本⽆挽回可能。

（4）⽹络服务器加密勒索病毒

这类病毒专门针对⽹络服务器上的⽂件进⾏加密。它通常使⽤内容管理系统中的已知漏洞，在⽹络服务上释放和安装勒索病毒，例如最近经常碰到的master勒索病毒。

（5）移动设备勒索软件（安卓）

⽬前针对移动设备的勒索病毒主要存在于安卓系统上，⽤户遭受感染的⽅式⼀般为下载、浏览不信任程序以及⽹站或伪装程序。

（6）另类的勒索攻击——DDoS攻击

通过DDoS攻击来堵塞服务器通道。万幸的是这样的攻击不会影响到企业的数据安全，但是从事互联网业务的企业，是致命的攻击，比如：在线教育培训类。

2.勒索病毒的传播⽅式

在诸多勒索攻击案例中，勒索病毒主要的传播途径有以下⼏种：

（1）⽹站挂马

⽤户浏览有安全威胁的⽹站，系统被植⼊⽊马感染ceber勒索病毒。

（2）邮件传播

这种传播⽅式也是病毒界⽼套路的传播⽅式。病毒执⾏体附着于邮件附件的docx、XLS、TXT等⽂件中，攻击者以⼴撒⽹的⽅式⼤量传播垃圾邮件、钓鱼邮件，⼀旦收件⼈打开邮件附件或者点击邮件中的链接地址，勒索软件会以⽤户看不见的形式在后台静默安装，实施勒索。

（3）漏洞传播

这种传播⽅式是这⼏年⾮常流⾏的病毒传播⽅式。通过⽹络、系统、应⽤程序的漏洞攻击⽤户。例如今年在国内泛滥的WannaCry就是这样的典型：利⽤微软445端⼝协议漏洞，感染传播⽹内计算机。

（4）捆绑传播

与其他恶意软件捆绑传播，这种传播⽅式这两年有所变化。有⽤户使⽤P2P下载例如Bt、迅雷、电驴等下载⼯具下载⽂件后，勒索病毒体同下载⽂件进⾏捆绑导致⽤户感染。

（5）介质传播

可移动存储介质、本地和远程的驱动器以及⽹络共享传播、社交媒体传播。

三、整体化解决方案

1.整体化解决方案规划拓扑

方案防护产品设备说明：

2.产品针对勒索病毒的防护简述

（1）抗DDOS：主要防止通过DDoS攻击来堵塞服务器通道进行的攻击，致使企业无法远程办公，互联网业务无法正常运行。

（2）AF/NGAF：通过双向检测网络流量,有效识别来自网络层和应用层的内容风险.

（3）IPS、IDS：监视网络或网络设备的网络资料传输行为的计算机网络安全设备，能够及时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为.

（4）AC上网管控：SSL加密内容识别、代理识别等内容识别技术，防止非法内容绕过监管；应用细分识别技术：精准识别网盘、论坛、微博等各类应用的细分动作，防共享技术、非法Wi-Fi热点识别技术，让非法用户和终端无所遁形，准确识别并封堵。

（5）桌管+准入网关：终端计算机网络、设备接口和系统安全配置整体管控解决方案,解决终端信息安全管理的难题,保障终端计算机整体安全性，采用可信入网设计理念，打造安全可信的入网设备鉴别检测计算环境。

（6）企业数据交换云盘系统：终端数据上云实现在线办公协同、权限管控，并通过云盘的数据历史版本管控功能，针对企业的重要数据的安全，遇到勒索病毒时，可以通过历史版本恢复进行加密数据的恢复。

（7）运维堡垒机：针对运维系统进行集中管控、认证，减少系统被远程暴力破解登录等，保障应用系统不受来自外部和内部用户的入侵和破坏，而运用各种技术手段监控和记录运维人员对网络内的服务器、网络设备、安全设备、数据库等设备的操作行为，以便集中报警、及时处理及审计定责。

（8）应用灾备一体机：契合数字时代组织的生产方式变革带来对应用系统和数据保护的新需求：数据不丢（数据安全）和业务少停（应用安全）。提供本地统一管理、高效备份、极简验证演练、分钟级自动灾难重建恢复功能。为用户灾备赋能，实现备份、验证、演练和应急恢复的灾备全流程管理。

（9）企业杀毒软件：企业级用户内外网脆弱点进行全面防护，将威胁可视化，并规范企业对终端管理的范围和方式，让管理轻便化，充分满足企业级用户终端防护与管控需求。

参考文献

[1]宋佳佳.新时代数据信息化的安全问题及对策[J].电脑知识与技术,2022,18(03):43-44.DOI:10.14004/j.cnki.ckt.2022.0144.

[2]李立.计算机网络信息化安全管理研究[J].电脑知识与技术,2021,17(18):62-63+76.DOI:10.14004/j.cnki.ckt.2021.1662.

[3]胡定坤,于紫月. 勒索病毒猖獗，以色列应对有何妙招？[N]. 科技日报,2021-11-24(004).DOI:10.28502/n.cnki.nkjrb.2021.006333.

[4]王春海,楚小斌,赵志波.如何避免勒索病毒传播途径风险[J].网络安全和信息化,2021(02):123-127.