泉州医学高等专科学校 何晓明

2017年勒索病毒席卷全球，时至今日勒索病毒依然存在我们身边。高校人员众多、设备众多、安全防护技术能力弱等，这些现状可能使高校成为勒索病毒的重灾区。本文将从勒索病毒概述、勒索病毒危害、勒索病毒传播途径、高校主机感染勒索病毒应急处理流程、高校感染勒索病毒潜在风险点、高校防范勒索病毒策略等方面谈谈高校如何防范勒索病毒。

2017年WannaCry勒索病毒一夜之间席卷全球，政府、企业、高校、个人都成了勒索病毒的攻击对象。随着时间的流逝，勒索病毒并没有消失而是出现了更多的新变种。如何防范勒索病毒成了近几年一个热门的网络安全话题。本文将以高校为主体谈谈如何防范勒索病毒，主要分为勒索病毒概述、勒索病毒危害、勒索病毒传播途径、高校主机感染勒索病毒应急处理流程、高校感染勒索病毒潜在风险点、高校防范勒索病毒策略等部分。

1 勒索病毒概述

2017年，美国国家安全局黑客武器攻击库的泄漏造成勒索病毒的大爆发。勒索病毒恶意加密数据，政府、企业、高校、个人等都成了勒索病毒的攻击对象。在加油站、银行、医院、超市、学校、核电站、机场等地方都可能见到勒索病毒的影子。为了能尽快收获赎金，勒索病毒通常会在受感染主机的桌面等显著位置上显示支付赎金方式。目前，勒索病毒已经有很多变种，也不再仅仅依靠永恒之蓝漏洞作为攻击手段[1]。

2 勒索病毒危害

勒索病毒开始大爆发的时候，大多数杀毒软件还没办法拦截。不同的勒索病毒可能会使用不同的加密算法对文件恶意加密，要求被勒索者支付一定数额的赎金获得解密密钥，如果超过一定时间未支付赎金被加密文件还可能将被自动删除[2]。系统瘫痪、服务中止、数据加密等这些对政府、企业、高校、个人的影响是不可估量的。勒索病毒往往不容易彻底清除，重启系统后病毒依然存在，且容易横向传播。

3 勒索病毒传播途径

勒索病毒较早的传播途径是利用系统漏洞。后来勒索病毒的传播途径就更多样化[3]。利用系统漏洞、应用软件漏洞、中间件漏洞；利用邮件传播，通过诱导邮件，让收件用户打开邮件里的附件或邮件里的链接，进而感染勒索病毒；利用软件下载传播，通过用户下载安装含有勒索病毒的软件感染勒索病毒；利用网页挂毒、U盘带毒等方式传播；利用RDP爆破，再对内网进行扫描，横向感染主机。

4 高校主机感染勒索病毒应急处理流程

较弱的网络安全专业技术能力往往决定了高校感染勒索病毒后需要邀请专业的安全公司进行溯源分析。这也决定了高校没有能力自己恢复被勒索病毒加密的数据。高校主机（一般指重要业务系统主机）感染勒索病毒后的应急处理流程如图1所示。

4.1 隔离感染勒索病毒的主机

禁用网卡，拔掉网线，在防火墙、核心交换机、终端检测响应平台等设备或平台上限制该主机的访问权限。

4.2 安全处置

删除系统上的非正常账号，修改主机上的一切相关密码。进行漏洞扫描，对漏洞进行修复。使用杀毒软件进行全盘查杀，必要时使用专杀工具。

4.3 溯源分析

只有溯源，才能更好防御。请专业的安全公司对感染勒索病毒主机进行溯源分析。

4.4 恢复业务

利用备份文件或利用安全公司的解密工具和专业技术人员进行数据解密恢复数据。如果目前没办法对该加密文件解密，那么这部分文件只能暂时留存，等待后续公布的密钥进一步尝试解密。根据安全公司的溯源分析报告对主机进行加固，然后恢复业务。

5 高校感染勒索病毒潜在风险点

高校师生人员多、应用系统多、网络设备多、服务器多、专业安全管理员少、师生网络安全意识不高、安全运维能力低等这些现状都可能进一步转变成高校感染勒索病毒的潜在风险点。

5.1 使用已经停止服务支持的操作系统

一个高校少则有几千人，多则几万人，个人电脑数量就不会少。为了支撑整个学校的信息化建设，学校的服务器数量往往有几十个、上百个。这些电脑和服务器的操作系统版本多样，有一些操作系统已经停止服务支持。当出现系统漏洞时，这些停止服务支持的操作系统就无法修复漏洞，这样在面对勒索病毒时候就毫无招架之力。

5.2 安全运维能力弱

技术人员数量偏少、技术能力偏弱。高校网络安全专业技术人员偏少，在日常的工作中更侧重网络安全管理，网络安全运维能力比较薄弱。同时，因为技术人员数量和工作时间的限制，高校一般也缺少7×24h的网络安全监控能力。

5.3 漏洞修复不及时

对于系统漏洞、应用系统漏洞和中间件漏洞等漏洞，各类管理员因没有较高网络安全意识或怕修复漏洞后业务启用不了而不愿意修复漏洞或不及时修复漏洞。也有一些管理员为了避免业务迁移的麻烦，一直使用已经停止服务支持的系统或软件，造成了漏洞无法修复。还有一些业务系统因为系统已经过了系统厂商维保期，高校自身无力修复漏洞。

5.4 使用弱口令

个人电脑、服务器、应用系统等各类账号存在弱口令现象。如果账号存在弱口令，那么这将直接被勒索病毒暴力破解。

5.5 内网防护不完善

缺少细化内网各区域，未对各个区域细化访问控制策略。如果内网某个电脑或服务器被勒索病毒攻破而又未细化各区域的访问控制策略，那么这个被攻破的跳板机将成了勒索病毒在内网进一步传播的帮凶。

5.6 基线配置不完善

对于重要业务系统基线配置可能做的比较完善。对于内网环境下的一般系统就缺少完整的基线配置，可能缺少操作系统、中间件、数据库等其中的一项或几项基线配置。

5.7 账号管理混乱

对于一些新建设的业务系统，在系统建设初期往往会新建一些测试账号。随着项目建设完成，这些测试账号往往也被遗留着。对于一些比较老旧且使用时间比较长的业务系统，则往往会存在一些无人使用的僵尸账号或图操作便利的高权限账号。

5.8 资产梳理不全面

如果没有对服务器、操作系统、中间件、应用软件、使用端口、IP、域名等资产进行梳理，那么在进行漏洞修复、安全策略配置等方面将可能存在疏漏。

5.9 师生网络安全意识不高

全校师生人员数量众多，如果没有较高网络安全意识，那么每一名师生都将成为勒索病毒事件的受害者。使用弱口令、打开来历不清楚网址、打开陌生邮件附件、安装安全性未知的激活软件、不安装杀毒软件、不启用防火墙、不备份重要数据、u盘不查杀直接打开等。

6 高校防范勒索病毒策略

根据高校感染勒索病毒潜在风险点提出了操作系统版本管理、资产的梳理、购买专业的安全运营服务、应用系统的维保、重要数据备份、开启防火墙、核心交换机ACL策略、移动存储介质管理、基线配置、账号和口令管理、安装杀毒软件、漏洞修复、网络安全教育培训等十三个高校防范勒索病毒策略。

6.1 操作系统版本管理

加强操作系统的版本管理，特别是服务器操作系统的版本管理。个人电脑尽可能停止使用已停止服务支持的操作系统。新部署服务器不使用已经停止服务支持的操作系统，在用已停止服务支持操作系统的服务器尽快更换新的操作系统。

6.2 资产的梳理

在日常工作中，注意对服务器、操作系统、中间件、应用软件、使用端口、IP、域名等资产进行梳理。避免因梳理不到位而导致防护策略不到位的事件发生。

6.3 购买专业的安全运营服务

购买专业的网络安全运营服务可解决高校网络安全专业技术人员不足、网络安全技术能力弱、不能7×24h网络安全监控的问题。

6.4 应用系统的维保

杜绝已经脱保的应用系统还在线上的现象发生。如果应用系统已经过了系统厂商的维保期，那么它的服务可能还能正常运行，但如果该应用系统出现漏洞，那么一般高校没能力修复该漏洞。只要该应用系统不下线，该漏洞就一直存在。这可能就是一颗勒索炸弹。因此，只有加强应用系统的维保管理，才能更好的保护应用系统安全。

6.5 重要数据备份

勒索病毒可能采用多种加密算法对文件进行加密，如果没有解密密钥那么文件一般很难解密。个人用户要养成对重要资料进行备份的习惯。服务器端数据要有本异地备份[4]。只有备份才能最大程度降低勒索病毒的危害。

6.6 开启防火墙

启用系统防火墙，关闭不必要的服务和端口，如：135、137、138、139、445、3389、22等端口，必要时修改默认端口号。启用硬件防火墙，重点做好各应用服务端口的限制防护策略，严格执行最小化原则。

6.7 核心交换机ACL策略

在核心交换机上对高危端口做好访问控制策略。通过在核心交换机上配置高危端口的ACL策略可以降低个别个人电脑或服务器未对高危端口进行限制而感染勒索病毒的风险。

6.8 移动存储介质管理

避免u盘、光盘、移动硬盘等移动介质未经杀毒而直接打开。禁用系统对u盘、光盘、移动硬盘等移动介质的自动运行功能。如果移动介质感染勒索病毒而又未经杀毒插入个人电脑或服务器后又自动运行，那么个人电脑或服务器感染勒索病毒的概率就非常高。只有加强移动存储介质管理，才能尽可能降低移动介质传播勒索病毒的风险。

6.9 基线配置

定期做好操作系统、Web服务中间件、数据库、网络设备等的基线核查配置。各类管理员在平时工作中应做好相关安全基线配置，避免只有安全管理员单打独斗的现象发生。

6.10 账号和口令管理

各类账号都应该使用强口令且避免同一个口令使用在多个账号上，并定期更改口令[5]。如果条件允许，可修改默认账号名称，进一步提高安全性。同时，及时清理僵尸账号、测试账号、非超级管理员的高权限账号。

6.11 安装杀毒软件

安装杀毒软件或开启系统自带的杀毒软件并设置定时杀毒和实时监控，病毒库开启自动更新，启用密码防退出功能。

6.12 漏洞修复

开启Windows系统自动更新功能自动定期修复系统漏洞、及时修复应用软件漏洞、及时修复中间件漏洞，对于Linux等其他操作系统也应该定期进行漏洞修复。

6.13 网络安全教育培训

通过对各类管理员进行专业的网络安全技术培训，提高他们的网络安全专业能力；通过对全校师生进行网络安全意识教育，提高师生防范勒索病毒的风险意识，不随便访问来路不清楚的网站、不访问赌博网站、不访问色情网站、不打开来历不清楚的邮件链接和附件、不下载和安装来历不清楚的软件（如：破解版、汉化版、激活版）。

7 结语

随着时间的推移，勒索病毒的种类越来越多样化，感染形式越来越隐蔽。各高校感染勒索病毒的潜在风险点也不一定相同。因此，高校如果仅依靠某一种或几种策略将很难防范勒索病毒。只有多种策略形成合力，同时根据勒索病毒的变异情况和高校自身情况，及时调整防范策略，才能更好防范勒索病毒。