智能制造企業(yè)應(yīng)對(duì)新型安全威脅“勒索軟件”探討

徐金偉++郝軍雷++劉權(quán)峰++潘魯

摘 要：2017年5月12日，隨著名為“Wanna Cry”的勒索病毒大規(guī)模爆發(fā)，一種新型的具備自我傳播特性的勒索軟件及其變種，成為了全球互聯(lián)網(wǎng)的新型安全威脅。伴隨著“中國(guó)制造2025”發(fā)展戰(zhàn)略的推進(jìn)，制造企業(yè)“深度兩化融合”工作的開展，智能制造企業(yè)也不可避免地面臨惡意勒索軟件的威脅。論文以智能制造企業(yè)如何應(yīng)對(duì)惡意勒索軟件的入侵和攻擊展開初步探討，以期對(duì)從事信息安全建設(shè)的單位和同行有所借鑒。

關(guān)鍵詞：惡意勒索軟件；智能制造企業(yè)；安全策略

1 引言

當(dāng)前，新型惡意“勒索軟件”【注1】帶來(lái)的網(wǎng)絡(luò)安全隱患，正在威脅著全球互聯(lián)網(wǎng)的安全。2016年可謂是“勒索軟件爆發(fā)年”，僅僅在前3個(gè)月，勒索軟件的敲詐金額就高達(dá)數(shù)億美元，其攻擊的目標(biāo)用戶數(shù)量增加了6倍。為了逃避部署在網(wǎng)絡(luò)邊界的安全設(shè)備的檢測(cè)、識(shí)別和阻截，勒索軟件正在不斷進(jìn)行自我技術(shù)演進(jìn)：主動(dòng)探測(cè)、主動(dòng)掃描、主動(dòng)攻擊和主動(dòng)傳播將是勒索軟件下一階段的發(fā)展目標(biāo)。2017年5月12日起，隨著名為“Wanna Cry”的勒索病毒大規(guī)模爆發(fā)，一種新型的具備自我傳播特性的勒索軟件及其變種，成為了全球互聯(lián)網(wǎng)的新型安全威脅。隨著該勒索軟件大規(guī)模地入侵和攻擊全球電腦網(wǎng)絡(luò)，影響波及到近100個(gè)國(guó)家和地區(qū)，其中我國(guó)部分高校、部分政府機(jī)關(guān)和企事業(yè)單位的網(wǎng)絡(luò)應(yīng)用系統(tǒng)也受到了該勒索軟件的攻擊，尤其是公安行業(yè)的部分信息服務(wù)系統(tǒng)和能源企業(yè)的部分加油站點(diǎn)受到的影響更為嚴(yán)重。

這次爆發(fā)的惡意軟件“Wanna Cry”，是一種呈現(xiàn)為蠕蟲病毒模式的惡意勒索軟件，通過(guò)利用編號(hào)為MS17-010的Windows操作系統(tǒng)漏洞，主動(dòng)掃描和攻擊，主動(dòng)傳播和感染W(wǎng)indows 10版本之外，其他未能及時(shí)安裝補(bǔ)丁的Windows操作系統(tǒng)。在成功入侵計(jì)算機(jī)或服務(wù)器等主機(jī)后，“Wanna Cry”惡意勒索軟件對(duì)計(jì)算機(jī)或服務(wù)器等主機(jī)上存儲(chǔ)的文件進(jìn)行加密操作，并彈出勒索頁(yè)面索要贖金，并威脅如果在規(guī)定時(shí)間內(nèi)不交出贖金，將毀掉被加密的文件和數(shù)據(jù)等重要資產(chǎn)信息。

“WannaCry”勒索軟件的大規(guī)模傳播，使網(wǎng)絡(luò)信息安全再次面臨嚴(yán)峻的挑戰(zhàn)，已成為各行業(yè)信息系統(tǒng)和公眾關(guān)注的焦點(diǎn)。雖然目前這次安全事件的影響暫告一段落，但是勒索軟件的安全威脅并沒(méi)有消失，它繼續(xù)呈現(xiàn)出常態(tài)化的趨勢(shì)并不斷演變出新的變種，繼“WannaCry”勒索軟件之后，又有新的惡意勒索軟件不斷出現(xiàn)，與被稱為 Petrwrap和GoldenEye等的Petya類勒索軟件存在明顯不同，部分安全專家將這個(gè)新的勒索軟件變種命名為“Nyetya”。該變種利用 EternalBlue、EternalRomance等漏洞和新型網(wǎng)絡(luò)攻擊工具，利用WMI和PsExec等公共通信或共享業(yè)務(wù)端口，在被其成功入侵后的網(wǎng)絡(luò)內(nèi)部進(jìn)行橫向滲透和傳播。與“WannaCry”不同，新型變種的“Nyetya”勒索軟件，因沒(méi)有包含外部掃描組件，更難以被發(fā)現(xiàn)、識(shí)別和阻截，進(jìn)一步增加了其網(wǎng)絡(luò)安全威脅程度。

面對(duì)新型的不斷演變的網(wǎng)絡(luò)信息安全威脅，尤其是惡意勒索軟件所產(chǎn)生的嚴(yán)重影響和后果，我們敏感地意識(shí)到：必須加強(qiáng)對(duì)惡意勒索軟件的機(jī)理研究，改進(jìn)安全防護(hù)手段，以確保網(wǎng)絡(luò)信息系統(tǒng)的安全穩(wěn)定運(yùn)行。我們組織專項(xiàng)課題組，通過(guò)近一年的時(shí)間對(duì)該新型惡意軟件進(jìn)行跟蹤與分析發(fā)現(xiàn)，惡意勒索軟件雖然目前是以互聯(lián)網(wǎng)上的計(jì)算機(jī)終端和服務(wù)器等主機(jī)為主要攻擊目標(biāo)。但是，隨著“中國(guó)制造2025”發(fā)展目標(biāo)的實(shí)施，制造企業(yè)的智能化發(fā)展步伐的加快，企業(yè)內(nèi)部的管理信息系統(tǒng)、工業(yè)物聯(lián)網(wǎng)系統(tǒng)和工業(yè)制造控制系統(tǒng)之間實(shí)現(xiàn)縱向集成聯(lián)通后，下一步將成為網(wǎng)絡(luò)違法犯罪分子覬覦的重點(diǎn)目標(biāo)，更會(huì)成為惡意勒索軟件攻擊和入侵的目標(biāo)。為此，我們有必要未雨綢繆，深入研究和分析惡意勒索軟件有可能對(duì)智能制造企業(yè)的攻擊和入侵等產(chǎn)生的危害和影響，探討智能制造企業(yè)應(yīng)對(duì)惡意勒索軟件的安全防護(hù)方案。

2 惡意勒索軟件的入侵途徑和技術(shù)特點(diǎn)

勒索軟件是通過(guò)使用各種加密技術(shù)手段，來(lái)阻止用戶訪問(wèn)被攻擊的文件和數(shù)據(jù)，以實(shí)現(xiàn)最終控制目標(biāo)資源為目的的一種惡意軟件。早期的惡意勒索軟件，通過(guò)使用各種加密技術(shù)來(lái)鎖定計(jì)算機(jī)的訪問(wèn)權(quán)限或者拒絕訪問(wèn)文件和數(shù)據(jù)（例如修改 ACL 以及禁止訪問(wèn)系統(tǒng)工具、桌面等），而較新版本的勒索軟件，目前主要使用強(qiáng)加密算法（例如 AES、RSA 等）來(lái)加密用戶的文件和數(shù)據(jù)。勒索軟件專門以用戶的文件和數(shù)據(jù)為攻擊目標(biāo)，同時(shí)盡量會(huì)避免破壞攻擊目標(biāo)上的系統(tǒng)文件。原因是，一方面可以確保用戶會(huì)收到相關(guān)通知：他們的文件遭受到了攻擊；另一方面，用戶也能在支付贖金后取回他們的文件。

在對(duì)文件和數(shù)據(jù)進(jìn)行加密后，惡意勒索軟件往往在自我刪除后將會(huì)留下相應(yīng)文檔，該文檔會(huì)指示受害者如何支付贖金，并重新獲得對(duì)加密文件的訪問(wèn)權(quán)限。使用惡意勒索軟件的攻擊者，大多以勒索贖金為目標(biāo)，但也有極少數(shù)帶有政治背景或以惡意競(jìng)爭(zhēng)為目的的攻擊者，則可能以竊取、刪除、破壞智能制造企業(yè)的重要文件和核心數(shù)據(jù)為主要目標(biāo)，從而達(dá)到破壞智能制造企業(yè)的生產(chǎn)和正常運(yùn)行的目的。對(duì)于這類以破壞企業(yè)生產(chǎn)和正常運(yùn)營(yíng)為目標(biāo)的危害更大的惡意攻擊行為，我們必須給于高度重視，并進(jìn)一步強(qiáng)化安全防范的技術(shù)措施予以應(yīng)對(duì)。

早期的惡意勒索軟件，往往表現(xiàn)為木馬病毒模式，采用傳統(tǒng)的網(wǎng)絡(luò)釣魚方法進(jìn)行入侵；如通過(guò)釣魚郵件，惡意廣告等手段，利用用戶計(jì)算機(jī)上的操作系統(tǒng)漏洞完成入侵和攻擊。而“Wanna Cry”惡意勒索軟件的入侵和攻擊，一改原來(lái)的被動(dòng)釣魚模式，改為探測(cè)掃描Windows操作系統(tǒng)的漏洞后，主動(dòng)向目標(biāo)主機(jī)推送漏洞攻擊包，從而完成入侵和攻擊行為，同時(shí)也從傳統(tǒng)的木馬模式變?yōu)橹鲃?dòng)傳播擴(kuò)散的蠕蟲病毒模式，如果再借助目前多種新型的網(wǎng)絡(luò)入侵和攻擊手段，如高級(jí)可持續(xù)性攻擊（APT）和高級(jí)逃避技術(shù)攻擊（AET），將會(huì)造成更大范圍內(nèi)的惡性網(wǎng)絡(luò)安全事件；面對(duì)各種網(wǎng)絡(luò)攻擊，智能制造企業(yè)將會(huì)首當(dāng)其沖，優(yōu)先成為其惡意入侵和攻擊的目標(biāo)，其危害后果必將嚴(yán)重影響智能制造企業(yè)的正常生產(chǎn)和運(yùn)營(yíng)。endprint

3 惡意勒索軟件的防范技術(shù)措施

由于勒索軟件可以通過(guò)多種方式完成滲透和攻擊行為，所以減少勒索軟件感染的風(fēng)險(xiǎn)需要基于安全產(chǎn)品組合的方案，而不是僅依靠某個(gè)安全產(chǎn)品或某項(xiàng)安全技術(shù)。為了防范勒索軟件攻擊，必須及時(shí)和快速地檢測(cè)其是否已經(jīng)侵入網(wǎng)絡(luò)系統(tǒng)并進(jìn)行控制以降低損害程度，對(duì)Web和郵件等勒索軟件的重要傳播路徑實(shí)現(xiàn)高效防護(hù)和攔截，應(yīng)對(duì)勒索軟件采取的安全策略應(yīng)是實(shí)現(xiàn)“一次發(fā)現(xiàn)，全面防護(hù)”。

在防范惡意勒索軟件的時(shí)候，可首先考慮采取常規(guī)的預(yù)防措施來(lái)阻止攻擊者的掃描和探測(cè)行為。例如：及時(shí)發(fā)現(xiàn)和修補(bǔ)系統(tǒng)中的漏洞，防止網(wǎng)絡(luò)釣魚行為，強(qiáng)化DMZ區(qū)域的安全防護(hù)等。安全防護(hù)措施主要包含五個(gè)方面。

（1）定期進(jìn)行端口掃描，查看實(shí)際與互聯(lián)網(wǎng)鏈接的業(yè)務(wù)系統(tǒng)和操作系統(tǒng)的情況。通過(guò)采取將公共地址映射到私有地址的技術(shù)措施，減少連接到公共互聯(lián)網(wǎng)的業(yè)務(wù)系統(tǒng)和操作系統(tǒng)，縮小攻擊者的攻擊范圍；定期使用漏洞掃描工具對(duì)其進(jìn)行掃描，盡快修復(fù)掃描報(bào)告中的高危漏洞。

（2）定期執(zhí)行補(bǔ)丁更新。在對(duì)網(wǎng)絡(luò)進(jìn)行常規(guī)的系統(tǒng)安全維護(hù)時(shí)，確保定期執(zhí)行補(bǔ)丁維護(hù)，確保 DMZ 系統(tǒng)日志連接到日志采集器/SIEM，需要身份驗(yàn)證的公開系統(tǒng)/服務(wù)都應(yīng)當(dāng)使用強(qiáng)口令，減少弱口令的使用，還可以考慮實(shí)施雙因子身份驗(yàn)證等技術(shù)措施。同時(shí)，需要進(jìn)行身份驗(yàn)證的公開系統(tǒng)/服務(wù)都應(yīng)具有限制功能，例如設(shè)置口令次數(shù)，超出閥值后將中斷系統(tǒng)/服務(wù)，以阻止外部攻擊者的暴力破解攻擊行為，實(shí)現(xiàn)保護(hù)網(wǎng)絡(luò)系統(tǒng)的目的。

（3）加強(qiáng)網(wǎng)絡(luò)邊界防護(hù)能力。在互聯(lián)網(wǎng)出口檢測(cè)并阻擋惡意勒索軟件的掃描和入侵，借助下一代防火墻（NGFW）和下一代網(wǎng)絡(luò)入侵防御（NGIPS）設(shè)備，采用威脅防御為核心的網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)，確保在勒索攻擊發(fā)生的整個(gè)過(guò)程能夠提供有效的威脅保護(hù)。同時(shí)采用可實(shí)時(shí)監(jiān)控、管理和感知網(wǎng)絡(luò)內(nèi)部安全事件的統(tǒng)一集中管理平臺(tái)（SIEM），實(shí)現(xiàn)網(wǎng)絡(luò)內(nèi)部高危漏洞與資產(chǎn)表的清晰對(duì)應(yīng)管理，根據(jù)安全預(yù)警迅速摸清網(wǎng)絡(luò)內(nèi)的漏洞分布情況及危險(xiǎn)程度，及時(shí)進(jìn)行漏洞的修補(bǔ)和處理，防患于未然。利用SIEM平臺(tái)可實(shí)時(shí)發(fā)現(xiàn)和判斷勒索軟件的入侵和攻擊情況，以便及時(shí)和快速地采取應(yīng)對(duì)措施，阻斷勒索軟件的后續(xù)入侵和攻擊，降低勒索軟件可能造成的影響范圍和損失程度。同時(shí)，在網(wǎng)絡(luò)內(nèi)部采用設(shè)置安全分區(qū)和強(qiáng)化隔離等技術(shù)手段，

（4）強(qiáng)化郵件安全防護(hù)手段切斷傳播途徑。采取技術(shù)措施，防止惡意網(wǎng)絡(luò)釣魚行為，尤其是釣魚郵件事件的發(fā)生。建議設(shè)置郵件安全網(wǎng)關(guān)，應(yīng)具備識(shí)別和阻止發(fā)送和接收可執(zhí)行文件（exe、dll、cpl、scr）或帶有宏的JavaScript（.js文件）等Office 文檔，并可以掃描和識(shí)別 .zip 文件的內(nèi)容。加強(qiáng)對(duì)SPF記錄進(jìn)行檢查/驗(yàn)證，以減少欺騙性電子郵件的發(fā)生，并及時(shí)升級(jí)郵件安全網(wǎng)關(guān)，更新網(wǎng)絡(luò)釣魚網(wǎng)站的域名信息。

（5）加強(qiáng)Web安全防護(hù)、攔截釣魚網(wǎng)站訪問(wèn)。為了切斷勒索軟件利用Web方式進(jìn)行傳播，建議部署Web安全網(wǎng)關(guān)，集成URL地址過(guò)濾、網(wǎng)站信譽(yù)過(guò)濾和惡意軟件過(guò)濾及數(shù)據(jù)泄露預(yù)防功能，對(duì)用戶上網(wǎng)行為進(jìn)行全面的監(jiān)控和防護(hù)

（6）強(qiáng)化安全管理制度。嚴(yán)格管理U盤等移動(dòng)存儲(chǔ)介質(zhì)的使用，切斷惡意勒索軟件感染系統(tǒng)的途徑。要求員工堅(jiān)決不使用來(lái)歷不明的U盤等存儲(chǔ)介質(zhì)，在U盤等存儲(chǔ)介質(zhì)應(yīng)用前，進(jìn)行病毒掃描和查殺；如果確需在敏感的安全分區(qū)使用U盤等存儲(chǔ)介質(zhì)，可以考慮單獨(dú)準(zhǔn)備一批專用介質(zhì)，并實(shí)行專人管理。

4 智能制造企業(yè)防范惡意勒索軟件攻擊的安全策略

隨著“中國(guó)制造2025”發(fā)展戰(zhàn)略的推進(jìn)，制造企業(yè)“深度兩化融合”工作的開展，智能制造企業(yè)也不可避免地將會(huì)面臨惡意勒索軟件的威脅。本章將以智能制造企業(yè)如何應(yīng)對(duì)惡意勒索軟件的入侵和攻擊進(jìn)行初步探討。

在企業(yè)向智能制造的演進(jìn)過(guò)程中，智能制造企業(yè)的網(wǎng)絡(luò)架構(gòu)將分為三個(gè)層次：企業(yè)管理網(wǎng)絡(luò)、工業(yè)物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)和工業(yè)制造主機(jī)。企業(yè)的數(shù)據(jù)類型也分成商業(yè)大數(shù)據(jù)和工業(yè)大數(shù)據(jù)兩大種類。在考慮智能制造企業(yè)如何應(yīng)對(duì)惡意勒索軟件的入侵和攻擊時(shí)，既要考慮網(wǎng)絡(luò)的總體安全防護(hù)，同時(shí)也要考慮企業(yè)網(wǎng)絡(luò)中的不同層次類型，進(jìn)行有針對(duì)性的防護(hù)。在考慮企業(yè)核心數(shù)據(jù)安全時(shí)，也要針對(duì)不同數(shù)據(jù)類型的特點(diǎn)，進(jìn)行有針對(duì)性的防護(hù)。尤其是工業(yè)大數(shù)據(jù)具有實(shí)時(shí)性和不可替代性的特點(diǎn)，除了做好常規(guī)的數(shù)據(jù)備份和異地容災(zāi)工作外，更應(yīng)該考慮做好存儲(chǔ)工業(yè)大數(shù)據(jù)的設(shè)備之間的備份熱切換和實(shí)時(shí)同步備份工作。

網(wǎng)絡(luò)信息安全保護(hù)工作是“三分靠技術(shù)，七分靠管理”。首先，智能制造企業(yè)應(yīng)按照國(guó)家有關(guān)《信息安全等級(jí)保護(hù)》的相應(yīng)規(guī)范，建設(shè)和健全企業(yè)內(nèi)部的相關(guān)網(wǎng)絡(luò)和信息安全的各項(xiàng)管理制度。自行開發(fā)研制或引入網(wǎng)絡(luò)信息安全管理軟件平臺(tái)，將寫在紙面上的各項(xiàng)規(guī)章制度活化起來(lái)，做到事事有跟蹤，件件有落實(shí)，定期統(tǒng)計(jì)落實(shí)工作的進(jìn)展情況，與企業(yè)的獎(jiǎng)懲管理制度結(jié)合起來(lái)，把網(wǎng)絡(luò)和信息安全的各項(xiàng)管理制度，全面落實(shí)到實(shí)處。使惡意勒索軟件在企業(yè)網(wǎng)絡(luò)內(nèi)部無(wú)處安身，更無(wú)法傳播擴(kuò)散。

在按照國(guó)家有關(guān)《信息安全等級(jí)保護(hù)》的相應(yīng)規(guī)范，建設(shè)和強(qiáng)化企業(yè)網(wǎng)絡(luò)邊界防護(hù)的基礎(chǔ)上，智能制造企業(yè)還應(yīng)按照信息安全等級(jí)保護(hù)規(guī)范，考慮企業(yè)內(nèi)部各業(yè)務(wù)系統(tǒng)或其功能模塊的實(shí)時(shí)性質(zhì)、使用者類比、主要功能歸屬、設(shè)備使用場(chǎng)所、各業(yè)務(wù)系統(tǒng)間的相互關(guān)系、廣域網(wǎng)通信方式及對(duì)生產(chǎn)制造系統(tǒng)的影響程度等因素，依據(jù)企業(yè)系統(tǒng)業(yè)務(wù)流程劃分網(wǎng)絡(luò)內(nèi)部的安全分區(qū)，并將業(yè)務(wù)系統(tǒng)或其功能模塊置于相應(yīng)的安全分區(qū)內(nèi)。安全分區(qū)之間，應(yīng)采用防火墻或安全交換機(jī)實(shí)現(xiàn)分區(qū)間安全隔離和訪問(wèn)控制，企業(yè)的核心安全區(qū)采用防火墻+IPS+主機(jī)加固軟件等綜合措施加強(qiáng)安全防護(hù)。以防范惡意勒索軟件入侵后，在企業(yè)網(wǎng)絡(luò)內(nèi)部的傳播和擴(kuò)散，將影響限制在最小范圍內(nèi)。

智能制造企業(yè)應(yīng)根據(jù)不同安全區(qū)域的安全防護(hù)要求，確定其安全等級(jí)和防護(hù)水平。其中，生產(chǎn)控制大區(qū)的安全等級(jí)高于管理信息大區(qū)，業(yè)務(wù)系統(tǒng)的安全定級(jí)按《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作指導(dǎo)意見》進(jìn)行定級(jí)，具體等級(jí)標(biāo)準(zhǔn)見下表。（注：待國(guó)家四部委頒布新的工業(yè)制造企業(yè)《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作指導(dǎo)意見》后，請(qǐng)按照新的標(biāo)準(zhǔn)執(zhí)行）。endprint

智能制造企業(yè)應(yīng)依據(jù)國(guó)家頒布的有關(guān)《信息安全等級(jí)保護(hù)》的相應(yīng)規(guī)范，以及即將頒布的新修訂的《信息安全等級(jí)保護(hù)》規(guī)范，對(duì)企業(yè)內(nèi)部網(wǎng)絡(luò)的不同類別，有針對(duì)性的建設(shè)多層次的綜合安全防護(hù)方案。對(duì)于涉及企業(yè)管理和運(yùn)營(yíng)的局域網(wǎng)，應(yīng)采用強(qiáng)化的互聯(lián)網(wǎng)和局域網(wǎng)綜合安全防護(hù)方案；對(duì)于企業(yè)內(nèi)部的工業(yè)物聯(lián)網(wǎng)，應(yīng)采用強(qiáng)化后的物聯(lián)網(wǎng)安全綜合防護(hù)方案；對(duì)于企業(yè)內(nèi)部的生產(chǎn)制造系統(tǒng)，應(yīng)采用工業(yè)控制邏輯校驗(yàn)方案，確保工業(yè)主機(jī)的生產(chǎn)運(yùn)行安全。企業(yè)內(nèi)部的商業(yè)大數(shù)據(jù)和工業(yè)大數(shù)據(jù)應(yīng)采取分別管理和分別存儲(chǔ)的安全防范措施。尤其是工業(yè)大數(shù)據(jù)具有實(shí)時(shí)性和不可替代性的特點(diǎn)，更應(yīng)考慮數(shù)據(jù)的實(shí)時(shí)同步和存儲(chǔ)設(shè)備之間的“熱備”切換技術(shù)措施。

智能制造企業(yè)應(yīng)建設(shè)基于大數(shù)據(jù)處理技術(shù)的、統(tǒng)一安全事件實(shí)時(shí)管理和感知平臺(tái)（SIEM），實(shí)現(xiàn)網(wǎng)絡(luò)安全工作的集中化、實(shí)時(shí)化管理，在SIEM平臺(tái)上實(shí)現(xiàn)清晰相符的漏洞表與資產(chǎn)表的對(duì)應(yīng)關(guān)系管理。通過(guò)SIEM平臺(tái)，實(shí)現(xiàn)實(shí)時(shí)確定安全威脅來(lái)源、安全威脅類型，是否已入侵網(wǎng)絡(luò)，入侵后攻擊目標(biāo)，攻擊成功與否，影響后果預(yù)判等安全管理目標(biāo)。同時(shí)通過(guò)SIEM平臺(tái)，通過(guò)對(duì)安全大數(shù)據(jù)的分析和挖掘，實(shí)現(xiàn)對(duì)安全威脅的感知與預(yù)警，尤其是針對(duì)惡意勒索軟件的前期大量掃描動(dòng)作的判斷，入侵攻擊中可能利用的漏洞類型，通過(guò)與資產(chǎn)表的對(duì)應(yīng)關(guān)系，及時(shí)提供安全預(yù)警，指導(dǎo)智能企業(yè)網(wǎng)絡(luò)安全技術(shù)人員提前做好相應(yīng)的防范工作，將惡意勒索軟件拒之門外，確保企業(yè)網(wǎng)絡(luò)安全穩(wěn)定地運(yùn)行。

制造企業(yè)的智能化，使企業(yè)的業(yè)務(wù)系統(tǒng)呈現(xiàn)開放化的趨勢(shì)，在為企業(yè)發(fā)展帶來(lái)新鮮活力的同時(shí)，也使得這些系統(tǒng)暴露在互聯(lián)網(wǎng)的安全威脅之下。智能制造企業(yè)應(yīng)考慮采用前置服務(wù)器與后臺(tái)數(shù)據(jù)庫(kù)隔離并實(shí)施訪問(wèn)控制的安全措施，既方便業(yè)務(wù)合作伙伴的工作，同時(shí)也要保護(hù)好企業(yè)的網(wǎng)絡(luò)和數(shù)據(jù)安全。

隨著移動(dòng)辦公的興起，極大地方便了企業(yè)員工的工作，同時(shí)也為企業(yè)的網(wǎng)絡(luò)安全，尤其是數(shù)據(jù)安全帶來(lái)了新的隱患。智能制造企業(yè)應(yīng)考慮，對(duì)移動(dòng)辦公中數(shù)據(jù)安全實(shí)施全程管理，建議采用VPN技術(shù)措施實(shí)現(xiàn)終端和傳輸通道加密，同時(shí)輔以安全加密通道內(nèi)的安全防護(hù)（防火墻+IPS）。移動(dòng)辦公的服務(wù)器主機(jī)，需設(shè)置在企業(yè)網(wǎng)絡(luò)內(nèi)部，通過(guò)采取強(qiáng)化安全管理技術(shù)措施，確保企業(yè)網(wǎng)絡(luò)和信息數(shù)據(jù)的安全。

5 結(jié)束語(yǔ)

在過(guò)去幾年里，在全球范圍內(nèi)勒索軟件的變種和惡意入侵行為已呈明顯的上升態(tài)勢(shì)，國(guó)內(nèi)的網(wǎng)絡(luò)違法犯罪分子，也在蠢蠢欲動(dòng)，欲利用惡意勒索軟件謀取不義之財(cái)，在“Wanna Cry”惡意勒索病毒爆發(fā)的過(guò)程中，出現(xiàn)了中文版本的勒索通知，就是最好的佐證。在“Wanna Cry”惡意勒索病毒爆發(fā)過(guò)程中，發(fā)現(xiàn)了其呈現(xiàn)了蠕蟲病毒的諸多特征 - 快速傳播、傳送負(fù)載（勒索軟件）和削弱系統(tǒng)的恢復(fù)能力，由此可見自我傳播型的惡意勒索軟件（或稱其為“惡意加密軟件”）肆虐的時(shí)代即將到來(lái)。據(jù)國(guó)內(nèi)外安全專家預(yù)測(cè)，惡意勒索軟件的未來(lái)發(fā)展趨勢(shì)是，該惡意軟件將變種為能夠在整個(gè)信息網(wǎng)絡(luò)里面，進(jìn)行自我傳播和半自主的滲透，對(duì)互聯(lián)網(wǎng)用戶，尤其是智能制造企業(yè)造成毀滅性的惡果。

通過(guò)對(duì)這次“Wanna Cry”惡意勒索病毒爆發(fā)的過(guò)程研究和分析，發(fā)現(xiàn)這次病毒爆發(fā)中受害最嚴(yán)重的醫(yī)療行業(yè)部門的內(nèi)部網(wǎng)絡(luò)，其垂直貫通情況類似于智能制造企業(yè)未來(lái)演進(jìn)的模型。但是，大可不必因噎廢食停止制造企業(yè)向智能制造企業(yè)的演進(jìn)過(guò)程，只要認(rèn)真做好全方位的安全防護(hù)，輔以有針對(duì)性地做好惡意勒索軟件的安全防范工作，即使做不到高枕無(wú)憂，也可以將損失范圍降到最低，以確保智能制造企業(yè)的安全穩(wěn)定運(yùn)營(yíng)。

長(zhǎng)期以來(lái)，國(guó)內(nèi)制造企業(yè)的在網(wǎng)絡(luò)安全方面投入了大量的資金和精力，在高安全威脅的情況下，保證了企業(yè)內(nèi)部網(wǎng)絡(luò)安全穩(wěn)定的運(yùn)行。在面對(duì)自我傳播型的惡意勒索軟件肆虐的時(shí)代即將到來(lái)的時(shí)刻，制造企業(yè)在向智能制造企業(yè)演進(jìn)過(guò)程中，同時(shí)應(yīng)做好網(wǎng)絡(luò)安全規(guī)劃，擴(kuò)展和建設(shè)立體化、綜合化的大縱深多層次安全防御體系，有效地面對(duì)愈加嚴(yán)重的網(wǎng)絡(luò)信息安全威脅，保證智能制造企業(yè)安全穩(wěn)定地運(yùn)行。

【注1】：惡意勒索軟件（Ransomware）的攻擊主要以高強(qiáng)度密碼學(xué)算法加密受害者電腦上的文件，并要求其支付贖金以換取文件解密為目的，因此該軟件也被稱為惡意加密軟件或密鎖敲詐類木馬。除此之外，近年來(lái)在Android手機(jī)上也逐漸流行一種鎖屏類敲詐木馬，這類木馬同樣是通過(guò)鎖定受害者手機(jī)屏幕，使受害者無(wú)法正常使用手機(jī)，借機(jī)進(jìn)行敲詐。近年來(lái)，因感染敲詐類木馬而被迫支付贖金的事時(shí)常發(fā)生，有些受害者損失高達(dá)數(shù)萬(wàn)美元。因此，敲詐木馬已逐漸成為安全領(lǐng)域內(nèi)的重點(diǎn)關(guān)注對(duì)象，據(jù)安全公司統(tǒng)計(jì)，敲詐木馬在所有惡意軟件中所占比例，從2015年的第三位上升到了2016年的首位，形勢(shì)十分嚴(yán)峻。

參考文獻(xiàn)

[1] 中國(guó)安天實(shí)驗(yàn)室.揭開勒索軟件的真面目[M].2015年8月5日.

[2] Ransomware[J].Wikipedia，2016年7月.

[3] Intel Security（美國(guó)）.邁克菲實(shí)驗(yàn)室威脅報(bào)告[D].2016年12月13日.

[4] 360互聯(lián)網(wǎng)安全中心.2016年中國(guó)互聯(lián)網(wǎng)安全報(bào)告[D].2017年02月15日.

[5] 美國(guó)思科公司. Cisco 2016 Midyear Cybersecurity Report[D]. 2017年2月endprint