高校感染勒索病毒風險與防范策略

泉州醫學高等專科學校 何曉明

2017年勒索病毒席卷全球，時至今日勒索病毒依然存在我們身邊。高校人員眾多、設備眾多、安全防護技術能力弱等，這些現狀可能使高校成為勒索病毒的重災區。本文將從勒索病毒概述、勒索病毒危害、勒索病毒傳播途徑、高校主機感染勒索病毒應急處理流程、高校感染勒索病毒潛在風險點、高校防范勒索病毒策略等方面談談高校如何防范勒索病毒。

2017年WannaCry勒索病毒一夜之間席卷全球，政府、企業、高校、個人都成了勒索病毒的攻擊對象。隨著時間的流逝，勒索病毒并沒有消失而是出現了更多的新變種。如何防范勒索病毒成了近幾年一個熱門的網絡安全話題。本文將以高校為主體談談如何防范勒索病毒，主要分為勒索病毒概述、勒索病毒危害、勒索病毒傳播途徑、高校主機感染勒索病毒應急處理流程、高校感染勒索病毒潛在風險點、高校防范勒索病毒策略等部分。

1 勒索病毒概述

2017年，美國國家安全局黑客武器攻擊庫的泄漏造成勒索病毒的大爆發。勒索病毒惡意加密數據，政府、企業、高校、個人等都成了勒索病毒的攻擊對象。在加油站、銀行、醫院、超市、學校、核電站、機場等地方都可能見到勒索病毒的影子。為了能盡快收獲贖金，勒索病毒通常會在受感染主機的桌面等顯著位置上顯示支付贖金方式。目前，勒索病毒已經有很多變種，也不再僅僅依靠永恒之藍漏洞作為攻擊手段[1]。

2 勒索病毒危害

勒索病毒開始大爆發的時候，大多數殺毒軟件還沒辦法攔截。不同的勒索病毒可能會使用不同的加密算法對文件惡意加密，要求被勒索者支付一定數額的贖金獲得解密密鑰，如果超過一定時間未支付贖金被加密文件還可能將被自動刪除[2]。系統癱瘓、服務中止、數據加密等這些對政府、企業、高校、個人的影響是不可估量的。勒索病毒往往不容易徹底清除，重啟系統后病毒依然存在，且容易橫向傳播。

3 勒索病毒傳播途徑

勒索病毒較早的傳播途徑是利用系統漏洞。后來勒索病毒的傳播途徑就更多樣化[3]。利用系統漏洞、應用軟件漏洞、中間件漏洞；利用郵件傳播，通過誘導郵件，讓收件用戶打開郵件里的附件或郵件里的鏈接，進而感染勒索病毒；利用軟件下載傳播，通過用戶下載安裝含有勒索病毒的軟件感染勒索病毒；利用網頁掛毒、U盤帶毒等方式傳播；利用RDP爆破，再對內網進行掃描，橫向感染主機。

4 高校主機感染勒索病毒應急處理流程

較弱的網絡安全專業技術能力往往決定了高校感染勒索病毒后需要邀請專業的安全公司進行溯源分析。這也決定了高校沒有能力自己恢復被勒索病毒加密的數據。高校主機（一般指重要業務系統主機）感染勒索病毒后的應急處理流程如圖1所示。

4.1 隔離感染勒索病毒的主機

禁用網卡，拔掉網線，在防火墻、核心交換機、終端檢測響應平臺等設備或平臺上限制該主機的訪問權限。

4.2 安全處置

刪除系統上的非正常賬號，修改主機上的一切相關密碼。進行漏洞掃描，對漏洞進行修復。使用殺毒軟件進行全盤查殺，必要時使用專殺工具。

4.3 溯源分析

只有溯源，才能更好防御。請專業的安全公司對感染勒索病毒主機進行溯源分析。

4.4 恢復業務

利用備份文件或利用安全公司的解密工具和專業技術人員進行數據解密恢復數據。如果目前沒辦法對該加密文件解密，那么這部分文件只能暫時留存，等待后續公布的密鑰進一步嘗試解密。根據安全公司的溯源分析報告對主機進行加固，然后恢復業務。

5 高校感染勒索病毒潛在風險點

高校師生人員多、應用系統多、網絡設備多、服務器多、專業安全管理員少、師生網絡安全意識不高、安全運維能力低等這些現狀都可能進一步轉變成高校感染勒索病毒的潛在風險點。

5.1 使用已經停止服務支持的操作系統

一個高校少則有幾千人，多則幾萬人，個人電腦數量就不會少。為了支撐整個學校的信息化建設，學校的服務器數量往往有幾十個、上百個。這些電腦和服務器的操作系統版本多樣，有一些操作系統已經停止服務支持。當出現系統漏洞時，這些停止服務支持的操作系統就無法修復漏洞，這樣在面對勒索病毒時候就毫無招架之力。

5.2 安全運維能力弱

技術人員數量偏少、技術能力偏弱。高校網絡安全專業技術人員偏少，在日常的工作中更側重網絡安全管理，網絡安全運維能力比較薄弱。同時，因為技術人員數量和工作時間的限制，高校一般也缺少7×24h的網絡安全監控能力。

5.3 漏洞修復不及時

對于系統漏洞、應用系統漏洞和中間件漏洞等漏洞，各類管理員因沒有較高網絡安全意識或怕修復漏洞后業務啟用不了而不愿意修復漏洞或不及時修復漏洞。也有一些管理員為了避免業務遷移的麻煩，一直使用已經停止服務支持的系統或軟件，造成了漏洞無法修復。還有一些業務系統因為系統已經過了系統廠商維保期，高校自身無力修復漏洞。

5.4 使用弱口令

個人電腦、服務器、應用系統等各類賬號存在弱口令現象。如果賬號存在弱口令，那么這將直接被勒索病毒暴力破解。

5.5 內網防護不完善

缺少細化內網各區域，未對各個區域細化訪問控制策略。如果內網某個電腦或服務器被勒索病毒攻破而又未細化各區域的訪問控制策略，那么這個被攻破的跳板機將成了勒索病毒在內網進一步傳播的幫兇。

5.6 基線配置不完善

對于重要業務系統基線配置可能做的比較完善。對于內網環境下的一般系統就缺少完整的基線配置，可能缺少操作系統、中間件、數據庫等其中的一項或幾項基線配置。

5.7 賬號管理混亂

對于一些新建設的業務系統，在系統建設初期往往會新建一些測試賬號。隨著項目建設完成，這些測試賬號往往也被遺留著。對于一些比較老舊且使用時間比較長的業務系統，則往往會存在一些無人使用的僵尸賬號或圖操作便利的高權限賬號。

5.8 資產梳理不全面

如果沒有對服務器、操作系統、中間件、應用軟件、使用端口、IP、域名等資產進行梳理，那么在進行漏洞修復、安全策略配置等方面將可能存在疏漏。

5.9 師生網絡安全意識不高

全校師生人員數量眾多，如果沒有較高網絡安全意識，那么每一名師生都將成為勒索病毒事件的受害者。使用弱口令、打開來歷不清楚網址、打開陌生郵件附件、安裝安全性未知的激活軟件、不安裝殺毒軟件、不啟用防火墻、不備份重要數據、u盤不查殺直接打開等。

6 高校防范勒索病毒策略

根據高校感染勒索病毒潛在風險點提出了操作系統版本管理、資產的梳理、購買專業的安全運營服務、應用系統的維保、重要數據備份、開啟防火墻、核心交換機ACL策略、移動存儲介質管理、基線配置、賬號和口令管理、安裝殺毒軟件、漏洞修復、網絡安全教育培訓等十三個高校防范勒索病毒策略。

6.1 操作系統版本管理

加強操作系統的版本管理，特別是服務器操作系統的版本管理。個人電腦盡可能停止使用已停止服務支持的操作系統。新部署服務器不使用已經停止服務支持的操作系統，在用已停止服務支持操作系統的服務器盡快更換新的操作系統。

6.2 資產的梳理

在日常工作中，注意對服務器、操作系統、中間件、應用軟件、使用端口、IP、域名等資產進行梳理。避免因梳理不到位而導致防護策略不到位的事件發生。

6.3 購買專業的安全運營服務

購買專業的網絡安全運營服務可解決高校網絡安全專業技術人員不足、網絡安全技術能力弱、不能7×24h網絡安全監控的問題。

6.4 應用系統的維保

杜絕已經脫保的應用系統還在線上的現象發生。如果應用系統已經過了系統廠商的維保期，那么它的服務可能還能正常運行，但如果該應用系統出現漏洞，那么一般高校沒能力修復該漏洞。只要該應用系統不下線，該漏洞就一直存在。這可能就是一顆勒索炸彈。因此，只有加強應用系統的維保管理，才能更好的保護應用系統安全。

6.5 重要數據備份

勒索病毒可能采用多種加密算法對文件進行加密，如果沒有解密密鑰那么文件一般很難解密。個人用戶要養成對重要資料進行備份的習慣。服務器端數據要有本異地備份[4]。只有備份才能最大程度降低勒索病毒的危害。

6.6 開啟防火墻

啟用系統防火墻，關閉不必要的服務和端口，如：135、137、138、139、445、3389、22等端口，必要時修改默認端口號。啟用硬件防火墻，重點做好各應用服務端口的限制防護策略，嚴格執行最小化原則。

6.7 核心交換機ACL策略

在核心交換機上對高危端口做好訪問控制策略。通過在核心交換機上配置高危端口的ACL策略可以降低個別個人電腦或服務器未對高危端口進行限制而感染勒索病毒的風險。

6.8 移動存儲介質管理

避免u盤、光盤、移動硬盤等移動介質未經殺毒而直接打開。禁用系統對u盤、光盤、移動硬盤等移動介質的自動運行功能。如果移動介質感染勒索病毒而又未經殺毒插入個人電腦或服務器后又自動運行，那么個人電腦或服務器感染勒索病毒的概率就非常高。只有加強移動存儲介質管理，才能盡可能降低移動介質傳播勒索病毒的風險。

6.9 基線配置

定期做好操作系統、Web服務中間件、數據庫、網絡設備等的基線核查配置。各類管理員在平時工作中應做好相關安全基線配置，避免只有安全管理員單打獨斗的現象發生。

6.10 賬號和口令管理

各類賬號都應該使用強口令且避免同一個口令使用在多個賬號上，并定期更改口令[5]。如果條件允許，可修改默認賬號名稱，進一步提高安全性。同時，及時清理僵尸賬號、測試賬號、非超級管理員的高權限賬號。

6.11 安裝殺毒軟件

安裝殺毒軟件或開啟系統自帶的殺毒軟件并設置定時殺毒和實時監控，病毒庫開啟自動更新，啟用密碼防退出功能。

6.12 漏洞修復

開啟Windows系統自動更新功能自動定期修復系統漏洞、及時修復應用軟件漏洞、及時修復中間件漏洞，對于Linux等其他操作系統也應該定期進行漏洞修復。

6.13 網絡安全教育培訓

通過對各類管理員進行專業的網絡安全技術培訓，提高他們的網絡安全專業能力；通過對全校師生進行網絡安全意識教育，提高師生防范勒索病毒的風險意識，不隨便訪問來路不清楚的網站、不訪問賭博網站、不訪問色情網站、不打開來歷不清楚的郵件鏈接和附件、不下載和安裝來歷不清楚的軟件（如：破解版、漢化版、激活版）。

7 結語

隨著時間的推移，勒索病毒的種類越來越多樣化，感染形式越來越隱蔽。各高校感染勒索病毒的潛在風險點也不一定相同。因此，高校如果僅依靠某一種或幾種策略將很難防范勒索病毒。只有多種策略形成合力，同時根據勒索病毒的變異情況和高校自身情況，及時調整防范策略，才能更好防范勒索病毒。