勒索病毒与校园网安全策略分析
王杨+石翠
摘要:勒索病毒导致校园网计算机被感染,大量计算机文件被病毒力口密,无法使用。勒索病毒的螺虫传播的特性适宜于通过校园网快速於敦,进而在校园网中感染更多的主机。文章主要通过勒索病毒传播曝出的校园网安全隐患进行分析,提出校园网安全防护的技术和管理对策。
关键词:勒索病毒;校园网;网络安全
校园网的安全环境是指保证校园网能够满足校园用户的各种应用需求的正常进行,同时,在满足基本应用的前提下,保障校园网中的各种应用系统和应用软件产生的各种数据的安全。校园网的安全措施主要是保障硬件设备的安全、应用软件的安全和管理体系的安全。随着影响网络安全因素的不断变化,校园网的安全环境不断接受新的威胁,主要是各种己知、未知的安全风险不断侵蚀着校园安全环境。校园网安全形势会变得充满变数。
从勒索病毒对校园网侵害的传播路径来看,校园网的安全存在一些隐患,主要表现为过于依赖校园网出入口的边界防护,导致对外来安全风险缺乏有效的抵御手段;对内缺乏安全风险意识,对内在网络安全隐患缺少有效的应对措施。少部分院校的校园网没有完整的物理隔离措施和安全防护体系。从勒索病毒的破坏后果来说,校园网安全实际上最容易忽略数据资源备份的重要性,而数据备份是提高校园网安全风险抵御能力最有效的技术措施之一。本文主要从勒索病毒对校园网安全带来的隐患分析,结合校园网的实际需求,探宄校园网的网络安全防护对策。
1勒索病毒简介
勒索病毒主要是指爆发于2017年5月12日的Wanna Cry病毒,实质上是利用Windows系统漏洞传播的一种懦虫病毒,其代码来源于美国国家安全局的网络武器库中的Eteraal Blue漏洞。病毒代码长度3.3M字节,被勒索病毒感染计算机中的文件会被加密,这些文件包括Office文档、声音文件、视频文件、图片文件以及其他类型的各种文件。加密后的文件后缀名会被修改一致,进而通过生成勒索界面,向用户勒索赎金,赎金的方式需要以虚拟货币比特币的形式予以支付。勒索病毒的代码组成包括传播环节和破坏环节,传播环节依靠蠕虫病毒感染受害者并扩散传播,破坏环节通过加密用户文件的方式,使用户无法正常使用文件,进而达到勒索目的。勒索病毒的传播不仅仅是依靠伪装的文件下载、邮件链接等,其还具有主动扫描公网和局域网开放的端口的能力,通过扫描获知网络中开放的端口服务,进而入侵目标主机。
把勒索病毒形象比喻成一只苍蝇,其攻击过程首先是寻找有缝的蛋(系统存在漏洞的主机),然后通过这个缝隙在蛋中产卵(侵入系统后,破坏用户文件),最后让这个蛋变臭(被感染主机文件无法正常使用)。勒索病毒实际上使用了Office漏洞、永恒之蓝SMB漏洞、局域网传播等网络自我复制技术,同时使用了加密技术破坏了操作系统的正常服务,使得病毒的传播更迅速、破坏力更大[1]。
2校园网安全的隐患与防治策
校园网主要是为校园日常活动提供服务的网络环境。校园网提供的应用重点是服务于师生,用户可以通过校园网获取各种校园网服务。校园网可以看作是师生学习和工作环境的网络延伸。从院校的招生就业到教务教学活动的顺利开展多依托于校园网进行。校园网的外网接入可以选择教育网与互联网的双接口接入。校园网通常提供的服务有校园网内外之分。有針对外网和内网同时开放的服务,有只针对校园网内网开放的服务。校园网内部的网络,既包含有线校园网也包含无线校园网,有些院校的校园网还根据用户进行区分,分成教师、学生、教学、宿舍、实验室、图书馆等很多网络部分。对校园网的管理复杂性由此产生,安全隐患也多起源于此。校园网中的用户数量和种类不一,每年都在变化,对不同用户的网络权限设置是一个棘手的问题,不适宜的权限引入了更多的风险和隐患。校园网的安全水平受限于网络安全设备的配置管理水平和校园网的维护水平。在校园网安全危害出现的时候,校园网的安全才会引起重视,而网络安全事件的发生频次一般比较低,这导致了大多数人的不重视,使得与校园网安全相关的前期资金、人员、设备的投入往往存在较多缺口。
部分互联网服务提供商(Internet Service Provider,ISP)为了处理曾出现的蠕虫病毒传播,控制了445端口,X寸个人用户关闭了445端口,大量减少了在公网中暴露445端口的计算机数量,避免了此次勒索病毒的感染。但是教育网相对处于半封闭状态,未采取相应措施,导致有445端口开放的计算机处于不安全状态。而勒索病毒主要是通过445端口传播,导致了教育网连接的校园网是此次病毒的主要感染对象。
勒索病毒在校园网中传播迅速的原因主要有两点:(1)校园网通常都接入到教育网中,而教育网的445端口未封闭,校园网内部也存在着大量开放445端口的计算机,而勒索病毒的扩散主要是应用了445端口的网络文件服务,校园网中的计算机一旦受感染后,会扫描校园网是否存在开放的445端口,病毒发现目标后会通过开放端口植入病毒代码,并在宿主计算机上执行,勒索病毒具有蠕虫性质,在校园网中的扩散速度是极快的,一台计算机感染,校园网中满足扩散条件的其他计算机也会被入侵;(2)校园中存在着数量和种类众多的计算机,其中就包括了部分系统补丁无法及时更新、安装了各种Wmdows系统的主机。勒索病毒利用了“永恒之
蓝”漏洞进行攻击[2]。校园网中的计算机主要安装的系统有WindowsXP,Windows2003,Windows2008,Windows7,
Windows8等,而这类主机如果升级补丁不及时,存在着SMB,NBT和NETBIOS等漏洞,139端口和445端口处于开放状态,正是勒索病毒的主要攻击目标。
校园网内计算机数量大,存在部分无法定期更新系统的计算机。各院校基于校园网的应用种类众多,从服务于院校管理的办公系统,到服务于教学的教务管理系统,这些应用都依赖于校园网。
3校园网安全的防治对策
勒索病毒事件表明了校园网的安全只是相对的,校园网的安全必须依赖技术和管理手段为校园网络空间提供有效的防御措施。校园网中的主机虽然处于一个相对隔离的局域网中,但是这种相对的隔离更容易让用户放松警惕、忽视网络安全防护。校园网的内网安全防范是同样重要的,如果防范不到位,也是病毒攻击的目标之一。
校园网的安全隐患主要来自两个方面:一个是外网,一个是内网。针对来自外网的安全隐患,有效的手段是通过在校园网出口处建立安全边界来实现;而内网的防护通常只是从校园网内部管理来保障的。然而单纯依靠一两种技术或是管理措施很难实现有效的网络安全防护。校园网的网络安全防范主要是从管理制度和防护技术上来实现。
3.1校园网完整的网络安全防治体系的建立
完整的安全防治体系是应对网络安全隐患最有效的武器。校园网中经常采用的就是Firewall技术。其主要是在校园网的出口区域加一道防火墙,保护内网免受外网攻击,对内网的防护则通常是在内网与服务器之间加一道防火墙确保服务器免受来自内网的攻击。入侵检测和入侵保护系统也是主动应对网络安全隐患的有效措施,主动地去识别网络行为的意图,对包含恶意或者是破坏行为的入侵予以识别,进而触发保护措施。
3.2对重要数据资源的保护
校园网中的数据资源保护,一是要系统保护,二是要数据备份。系统保护就是系统的安全;数据的备份就是数据的冗余。校园网中的数据安全,必须采取必要的数据冗余手段。感染勒索病毒后,文件被加密,这使得用户无法正常使用对应的数据资源。加密后的文件,几乎不可能从加密状态被恢复还原。对此,可行的方法是重装系统,而被加密的文件,却无法被恢复。应对类似网络安全隐患时,行之有效的手段就是对数据和文件进行备份,文件资源的备份可以更好地提高系统的健壮性,增强抵御病毒侵害的能力。
3.3定期更新操作系统补丁和升级各种应用系统
勒索病毒的爆发使得操作系统核心服务实际是处于攻击者进攻位置上的,不及时更新升级的系统是无法完全信任的。尽管校园网中的计算机种类众多、数量庞大,但是对不同系统的使用、维护与管理不可忽视。系统和软件的自动更新或者是定期自动更新需要打开,下载和安装厂商的漏洞补丁,修复系统隐患。校园网中的系统补丁需要根据厂家的補丁发布及时更新安装,应用软件等也需要及时升级。同时校园网使用和管理者需要通过权威渠道定期获取网络安全风险提示信息,及时维护校园网中的硬件和软件,阻止病毒通过系统和软件漏洞传播。校园中的服务器和网络硬件需要定期查看安全日志,根据安全日志对系统作必要维护。
3.4校园网的安全问题是人与技术、设备与管理、预防与应对相结合的问题
校园网的安全隐患很难穷尽,但是却可以预防。从校园网安全的角度来看,人员的管理主要是依靠校园网管理制度的完善和实施来保障的。针对校园网不同用户:系统管理员、运营管理员、用户,可以从硬件保障层、病毒处理层和管理层3个角度来搭建校园网安全防治体系[3]。技术的管理则包含更多层含义,其一是硬件的升级、管理与维护;其二是校园网各类软件的使用、维护与管理;其三是校园网用户网络安全素养的培训与提高,使用者的网络安全素养和意识是校园网安全隐患防治的主要突破口。
4结语
尽管网络安全隐患无法全面排除,但是这些漏洞是可以通过采取有效的措施来进行弥补的。任何时候校园网的安全都是相对的,但是提高网络防范意识、采用主动网络安全应对措施,对避免网络安全风险,降低安全隐患,减少安全损失都有积极作用。校园网的安全会随着技术进步和人员管理水平的不断提升而持续改善。
[参考文献]
[1]李威.Petya勒索蠕虫完全分析报告[J].计算机网络,2017(7):50-52.
[2]李潇,刘俊奇,范明翔.Wannacry勒索病毒预防及应对策略研究[J].保密科学技术,2017(7):19-20.
[3]刘中强,于成丽.从Wannacry勒索病毒着手探究局域网内计算机病毒的安全防御策略[J].保密科学技术,2017(6):18-21.
