主動防御是防勒索病毒的最優(yōu)選擇

黃玉琪

這次勒索病毒“WannaCry”（永恒之藍）在全球范圍內(nèi)的爆發(fā)，讓眾多單位業(yè)務停滯，遭受了不同程度的損失。

遭受病毒攻擊的單位手忙腳亂，開始緊急補救。無非幾個步驟：斷網(wǎng)，打補丁，重新聯(lián)網(wǎng)并開展業(yè)務。

從遭受病毒攻擊，到開始大面積影響工作，到全面斷網(wǎng)無法開展業(yè)務，然后再全面打補丁，最后恢復正常辦公，這個過程顯然是不得已而為之。在這個過程中，中斷業(yè)務辦理幾個小時甚至幾天，實在影響太大，特別是一些公共事業(yè)單位業(yè)務停擺，會影響大量民眾的生活、生命安全。比如，醫(yī)院、公安、加油站等單位，由于中斷辦公，將嚴重影響民眾的正常生活。更有甚者，重災區(qū)之一的學校，由于大量論文、學術資料中毒，可能永遠找不回來，使得很多學生不得不推延了答辯時間，影響了正常畢業(yè)。

那么針對這種未知、突發(fā)性的病毒有沒有主動防御和事前防御的辦法？能否在下次其他的勒索軟件爆發(fā)之前做好預防工作？這是值得大家思考的，特別是信息安全領域的人士應該認真思考的事情。

北京遠為軟件有限公司（以下簡稱遠為軟件）作為一家資深的信息安全公司，一直以來致力于主動防御和事前防御技術的研究。目前，遠為軟件的多網(wǎng)安全隔離系統(tǒng)是公司主動防御和事前防御的核心產(chǎn)品，已經(jīng)在眾多政府、央企部署。這次勒索病毒爆發(fā)后，遠為軟件做了詳細而廣泛的回訪?？蛻艟硎?，裝了遠為軟件產(chǎn)品的電腦都沒有受到勒索病毒的攻擊，有一些沒有裝遠為軟件產(chǎn)品的電腦則遭受到了勒索病毒的攻擊。事實證明，遠為軟件的產(chǎn)品對付未知病毒的攻擊是有實際效果的。

那么遠為軟件的多網(wǎng)隔離產(chǎn)品是如何保護電腦免受未知病毒攻擊的呢？

第一，遠為軟件多網(wǎng)隔離底層的多個虛擬機，可以將辦公資料、重要資料保護起來。

遠為軟件多網(wǎng)隔離產(chǎn)品利用終端虛擬機技術，在操作系統(tǒng)下層運行遠為軟件終端虛擬機管理器。用戶操作系統(tǒng)運行在遠為軟件虛擬機管理器之上，將用戶的電腦虛擬成兩臺，一臺是辦公虛擬機，一臺是上互聯(lián)網(wǎng)的虛擬機。辦公虛擬機和互聯(lián)網(wǎng)完全隔離，封閉各種外設訪問接口和不常使用的網(wǎng)絡端口，用戶只能訪問內(nèi)網(wǎng)業(yè)務系統(tǒng)。因此，辦公虛擬機不會遭受勒索病毒的攻擊，保存在辦公虛擬機中的辦公數(shù)據(jù)和重要數(shù)據(jù)不會被勒索病毒感染。

第二，遠為軟件多網(wǎng)隔離可以快速修復中毒的文件，保證文件的可用性，防止數(shù)據(jù)丟失。

因為遠為軟件多網(wǎng)隔離系統(tǒng)運行在操作系統(tǒng)下層，所以不管操作系統(tǒng)中了任何病毒，都可以秒級無損修復。比如，互聯(lián)網(wǎng)虛擬機被勒索病毒感染，那么使用多網(wǎng)隔離的快速修復功能，可以在幾秒鐘內(nèi)恢復系統(tǒng)，把病毒清理干凈，并且所有數(shù)據(jù)恢復正常，不會丟失任何數(shù)據(jù)文件。

第三，遠為軟件的多網(wǎng)隔離可以實現(xiàn)所有未知病毒的事前防御。

所有病毒感染的是操作系統(tǒng)中的文件，不管是通過加密手段還是植入病毒程序的方法，不管是針對系統(tǒng)文件還是用戶數(shù)據(jù)文件，都是對計算機里的文件進行非法修改，導致文件的不可用性或非正常性。由于遠為軟件多網(wǎng)隔離系統(tǒng)能夠?qū)τ嬎銠C建立時間軸，對所有的文件的操作進行記錄和控制，不管什么病毒對文件修改后，遠為軟件多網(wǎng)隔離產(chǎn)品都能夠?qū)⑦@個文件修復到病毒修改之前的狀態(tài)。特別需要指出的是，當計算機狀態(tài)恢復到中毒之前的某個時間點后，病毒也會隨之被清理干凈。