关键行业的“中毒”烦恼：外网便利添风险 终端电脑量大难管控

5月12日晚间，WannaCry（又称Wanna Decryptor）勒索病毒在全球近百个国家和地区爆发，据中国国家信息安全漏洞库（CNNVD）5月14日发布的关于WannaCry勒索病毒攻击事件的分析报告（以下简称CNNVD报告），全球中招案例已超过75000个。

此次恶意攻击来势汹汹。勒索病毒首先在校园系统爆发；5月13日1时，中石油旗下部分加油站突然出现断网，线上支付功能受到影响；5月14日早间，无锡市人民政府新闻办公室官方微博“无锡发布”称多地出入境、派出所等公安网也疑似遭遇了病毒袭击。

能源、公安系统等纷纷“中招”，在网络安全专家看来，这是“安全意识薄弱”惹的祸。但“中招”机构也有苦衷，众多终端难以管理，外网便利又不能割舍，在效率与安全之间，关键行业当如何平衡？

局势暂缓遗留问题难解

截至5月14日，WannaCry勒索软件在中国已经肆虐了3天。中石油称，因勒索病毒爆发，导致银行卡、第三方支付等网络支付功能无法使用，加油及销售等基本业务运行正常，加油卡账户资金安全不受影响。

此外，“无锡发布”于5月14日早间发布微博称，无锡出入境处网络系统遭到病毒入侵，13~14日暂停办理所有业务，并且北京、上海、江苏、天津等多地的出入境、派出所等公安网也疑似遭遇了病毒袭击。

“中毒”面积之大十分罕见。CNNVD报告称，此次网络攻击涉及百余个国家和地区的政府、电力、电信、医疗机构等重要信息系统及个人电脑，最严重区域集中在美国、欧洲、澳洲等。其中，我国爆发时间应为上周五（5月12日）下午3时左右，恰逢国内各单位网络安全防范最松懈之时。

正当人们有些“张皇失措”时，攻击意外中断。据多个行业专家向《每日经济新闻》记者证实，因勒索软件中预留的终止机制被技术人员发现，目前的病毒不会再有新的“中招者”。但此次恶意攻击也远未结束，四川无声信息技术有限公司副总经理邹晓波向记者表示，由于13日有很多终端处于关机状态，不排除星期一（5月15日）这一病毒还会再爆发一轮。

而网络安全专家张瑞东更表示，这一波恶意攻击所造成的遗留问题难以解决，“我记得这个勒索病毒有一个星期的（付赎金）期限，一个星期内不解锁的文件短期内就解不了锁了，原有的已经被锁过的机器是没有办法解决这个问题的。”

这一病毒被认为难以暴力破解，在不交赎金的前提下，想要重新让“中毒”的电脑恢复服务只能重装系统。5月14日，中石油表示，截至5月14日12时，公司80％以上加油站已经恢复网络连接，受病毒感染的加油站正在陆续恢复银行卡、第三方支付功能。

“可能没锁到重要的东西。就像我们在超市买东西，结算的终端机器被锁了，但内部的数据也都会汇总并传到服务器上，这个机器上本来不会产生重要的数据，顶多是加油的时候临时产生的支付的信息，所以才会很容易（修复）。”张瑞东分析道。

但公安网络的情势似乎没有那么简单了。记者以咨询者身份于5月14日晚间拨打“无锡发布”的微博中公布的咨询电话，对方表示，目前正在努力恢复网络，但因网络还不稳定，建议不紧急者于一周后再来办理业务。

便利与安全权衡难题

在线支付停摆仅36小时就恢复使用，也没有影响到重要的加油系统，中石油在此次恶意攻击中“有惊无险”。

“加油站的内网与外网是完全独立的，通过中间池交换数据，而中间池仅能读取信息的权限，没办法运行，因此对内网没有什么影响。”为加油站开发ETC支付系统服务的一位技术人员向《每日经济新闻》记者解释道，除非内部人发起攻击，外部攻击者进入中石油的内网是非常难的，这也保证了“加油安全”。

值得注意的是，与中石油的大面积“中招”不同，中国石化就显得安全得多，这是为什么？“这要看内网的边际有多大，比如中石油接了很多外部系统，内网的外部终端就有很多，本身脆弱点也很多，维护人员就需要很多，容易出事。系统是越简单越安全，越复杂越危险。”张瑞东表示。

据公开报道显示，中石油网上支付可通过加油卡、微信、支付宝等99种方式支付费用。

中国石化数据显示，截至2016年12月31日，其品牌加油站总数30603座。对于在此次恶意攻击中“逃过一劫”，中国石化相关负责人向记者表示其加油卡自成体系，此外，该人士还强调，技术上的意外总是难免的，一定会竭力避免。

实际上，考虑到使用的便捷性，已有越来越多的关键性公共事业系统接入外网。而诸如石油网络、公安网络、金融系统拥有数量庞大的零散电脑终端，且使用频率高维护管理“粗放”，已成为棘手的安全问题。

除了数量庞大和便利化使用频繁，很多关键行业的网络安全管理粗放和维护意识也是一个难题。

网络安全专家张瑞东表示，针对此次病毒漏洞的“补丁”早在一个月前就已经发布，“中招主要是因为他们用的系统本身很陈旧，不会定期升级导致”。

邹晓波也表示，一些企业的安全管理人员安全意识不到位，存有侥幸心理，而据他这两天接触的案例，勒索病毒已扩散至金融系统，而这些系统的物理隔绝及逻辑隔绝已很完善，感染病毒是源于内网与外网接触的“交叉感染”，如员工使用自带已染毒的笔记本电脑及优盘。

“已经不是疏忽大意的问题了，是规则没有制定好，比如一个星期必须更新一次。”张瑞东介绍道，微软每周都会发布新补丁，从运维安全角度来讲，补丁是要求必须打的，但是因为微软的一些补丁本身会影响到系统的正常使用，或者会造成业务中断，所以很多人就会偷懒。

“不挨打不长教训”是张瑞东对此次事件的评价。邹晓波则表示，相应的安全应急预案也十分重要。上述两位业内人士也提醒，这一波恶意攻击虽被技术人员找到了“停止开关”，但不排除新的变种病毒再度发起攻击。

值得注意的是，5月14日，拥有最尖端反毒软件的“卡巴斯基实验室”通过其官方微信平台发布消息称，“新一波的WannaCry2.0攻击已经袭来，并且这次没有发现停止开关”。

这次，关键领域能抵御住攻击吗？网络安全防范该从何做起？

本文转自d1net（转载）