客戶(hù)需求：在2017年“一帶一路”高峰論壇期間，“永恒之藍(lán)”勒索蠕蟲(chóng)爆發(fā)，中國(guó)海事局急需對(duì)所有終端桌面和各類(lèi)服務(wù)器進(jìn)行安全加固，快速實(shí)現(xiàn)漏洞修補(bǔ)，防止病毒爆發(fā)。

解決方案：亞信安全利用防毒墻網(wǎng)絡(luò)版(OfficeScan)與服務(wù)器深度安全防護(hù)系統(tǒng)(Deep Security)的智能化防御特性，啟用病毒爆發(fā)阻止策略和虛擬補(bǔ)丁功能，對(duì)一帶一路高峰論壇期間各類(lèi)業(yè)務(wù)保障系統(tǒng)提供了應(yīng)急處置與安全加固，未發(fā)生一起病毒感染事件，確保海事局信息系統(tǒng)正常運(yùn)行。

效果/客戶(hù)證言：海事局承擔(dān)著“讓航行更安全，讓海洋更清潔”的崇高使命，信息化將擔(dān)當(dāng)重任。通過(guò)此次勒索軟件防御工作的總結(jié)，雖然我們以“零事件”的成績(jī)完成了保障工作，但也發(fā)現(xiàn)了許多不足，不僅需要亞信安全提供的機(jī)器學(xué)習(xí)引擎和人工智能技術(shù)為安保助力，更需要在自身管理上找出問(wèn)題，以更積極主動(dòng)的安全管理能力去應(yīng)對(duì)未知威脅。——海事局相關(guān)領(lǐng)導(dǎo)

[[218308]]

【海事局承擔(dān)著“讓航行更安全，讓海洋更清潔”的崇高使命(照片來(lái)自海事局官網(wǎng))】

在“互聯(lián)網(wǎng)+”時(shí)代下，中華人民共和國(guó)海事局(以下簡(jiǎn)稱(chēng)：海事局)將海事信息化作為持續(xù)發(fā)展的核心要?jiǎng)?wù)之一，在推動(dòng)各級(jí)單位落實(shí)創(chuàng)新工作的同時(shí)，緊抓信息安全管理工作。在2017年“一帶一路”高峰論壇期間，海事局?jǐn)y手亞信安全共抗“永恒之藍(lán)”勒索蠕蟲(chóng)，利用亞信安全防毒墻網(wǎng)絡(luò)版(OfficeScan)與服務(wù)器深度安全防護(hù)系統(tǒng)(Deep Security)的智能化防御功能，對(duì)一帶一路高峰論壇保障系統(tǒng)提供了應(yīng)急處置與安全加固，確保相關(guān)業(yè)務(wù)系統(tǒng)的正常運(yùn)行。

“永恒之藍(lán)”突然來(lái)襲，海事局遇到棘手難題

2017年，是勒索軟件在全球加速蔓延的一年，特別是5月12日，“永恒之藍(lán)”勒索蠕蟲(chóng)(WannaCry)在全球多個(gè)國(guó)家爆發(fā)。在“永恒之藍(lán)”事件中，至少有150個(gè)國(guó)家、30萬(wàn)名用戶(hù)中招，造成的損失達(dá)80億美元，我國(guó)政府、教育、交通等多個(gè)行業(yè)也遭受不同程度的影響，這使人們對(duì)于勒索軟件的關(guān)注達(dá)到了空前的高度。

WannaCry病毒爆發(fā)的時(shí)間點(diǎn)，正值“一帶一路”高峰論壇舉辦之際。作為承擔(dān)海事局重要業(yè)務(wù)系統(tǒng)安全運(yùn)維保障工作的海事局信息科技處，在第一時(shí)間接到亞信安全的網(wǎng)絡(luò)威脅預(yù)警后，立即啟動(dòng)了阻止該病毒爆發(fā)的緊急處理工作。

但是，通過(guò)對(duì)WannaCry病毒傳播原理和自身網(wǎng)絡(luò)情況的分析，海事局信息科技處發(fā)現(xiàn)這個(gè)勒索蠕蟲(chóng)并不容易應(yīng)對(duì)：

第一，“永恒之藍(lán)”主要利用445文件共享端口實(shí)施破壞，但由于海事局內(nèi)網(wǎng)終端用戶(hù)文件、打印共享等需求，之前并未作此限制，仍然存在大量開(kāi)放的445端口。

第二，要應(yīng)對(duì)“永恒之藍(lán)”，就需要統(tǒng)一安裝Windows操作系統(tǒng)補(bǔ)丁，為每臺(tái)終端修補(bǔ)MS17-010漏洞，但面對(duì)數(shù)量龐大的內(nèi)網(wǎng)終端，逐一安裝部署補(bǔ)丁會(huì)耗用大量的時(shí)間，可能會(huì)給勒索蠕蟲(chóng)的攻擊帶來(lái)機(jī)會(huì)。

第三，作為企業(yè)級(jí)運(yùn)行環(huán)境，海事局已經(jīng)禁止了相關(guān)服務(wù)器的自動(dòng)更新，以防止對(duì)生產(chǎn)服務(wù)器造成未經(jīng)測(cè)試的變化。針對(duì)之前的漏洞，工程師都會(huì)在更新到業(yè)務(wù)服務(wù)器之前，在實(shí)驗(yàn)室環(huán)境中花時(shí)間來(lái)測(cè)試和驗(yàn)證軟件補(bǔ)丁和更新，而在生產(chǎn)服務(wù)器上安裝未經(jīng)測(cè)試的MS17-010補(bǔ)丁是否會(huì)對(duì)業(yè)務(wù)造成影響，這是個(gè)未知數(shù)。

啟動(dòng)爆發(fā)阻止功能，“虛擬補(bǔ)丁”見(jiàn)奇效

在勒索軟件事件爆發(fā)后的第一時(shí)間，海事局更新了OfficeScan服務(wù)器病毒特征庫(kù)，并通過(guò)策略和防毒代碼推送的方式，在終端層實(shí)現(xiàn)了勒索軟件的查殺。在此基礎(chǔ)上，在亞信安全工程師的輔助下，海事局信息科技處有針對(duì)性的啟用了OfficeScan內(nèi)置的防御功能，成功封堵漏洞。

工程師首先通過(guò)防毒墻集中控制臺(tái)，封閉所有終端的445端口，拒絕勒索軟件相關(guān)文件的寫(xiě)入控制，快速實(shí)現(xiàn)了勒索軟件威脅擴(kuò)散的有效防御，第一時(shí)間阻斷了此病毒的網(wǎng)絡(luò)通路。其次，啟用OfficeScan的行為監(jiān)控模塊，對(duì)于異常加密的性能實(shí)現(xiàn)智能檢測(cè)，實(shí)現(xiàn)了不依賴(lài)病毒碼和補(bǔ)丁的情況下，也能抵御勒索軟件攻擊。最后，利用亞信安全OfficeScan產(chǎn)品的病毒爆發(fā)阻止功能，檢測(cè)病毒和共享文件夾會(huì)話(huà)的閾值，在病毒代碼未完成擴(kuò)散之前，自動(dòng)對(duì)網(wǎng)絡(luò)中的病毒傳播途徑進(jìn)行控制。

在服務(wù)器層面，海事局利用亞信安全服務(wù)器深度安全防護(hù)系統(tǒng)(Deep Security)提供的虛擬補(bǔ)丁(Virtual Patch)功能，對(duì)物理和虛擬服務(wù)器進(jìn)行病毒免疫加固，在無(wú)需重新啟動(dòng)系統(tǒng)的前提下，在數(shù)分鐘內(nèi)將這些規(guī)則應(yīng)用到所有虛擬主機(jī)上，避免了黑客利用修補(bǔ)漏洞的“時(shí)間差”。值得一提是， Deep Security還自動(dòng)保護(hù)了處于運(yùn)行狀態(tài)和休眠狀態(tài)的虛擬機(jī)，讓數(shù)據(jù)中心從容有序的完成了“永恒之藍(lán)”防御工作。

應(yīng)急服務(wù)十分到位，期待“機(jī)器學(xué)習(xí)”正式入駐

“一帶一路”國(guó)際合作高峰論壇在北京召開(kāi)，除了線(xiàn)下論壇的安全需要保障之外，線(xiàn)上網(wǎng)絡(luò)安全也是重中之重。恰逢“永恒之藍(lán)”勒索病毒的肆意爆發(fā)，亞信安全連夜應(yīng)急處理，并協(xié)助海事局對(duì)全部服務(wù)器和桌面終端進(jìn)行了安全防護(hù)，其技術(shù)和服務(wù)都贏得了客戶(hù)的贊許。

海事局相關(guān)領(lǐng)導(dǎo)表示：“一帶一路”戰(zhàn)略的提出，是對(duì)“海洋強(qiáng)國(guó)”戰(zhàn)略的具體化，使得“海洋強(qiáng)國(guó)”戰(zhàn)略能夠付諸實(shí)踐。在此次勒索軟件防御工作中，雖然我們以“零事件”的成績(jī)完成了“一帶一路”論壇的保障工作，但也發(fā)現(xiàn)了許多不足。未來(lái)，我們將進(jìn)一步在自身安全管理上尋找問(wèn)題，以更積極主動(dòng)的安全管理能力去應(yīng)對(duì)未知威脅，還希望借助亞信安全提供的機(jī)器學(xué)習(xí)引擎和人工智能技術(shù)，為安保助力。

據(jù)悉，在這場(chǎng)勒索病毒“防御戰(zhàn)”的對(duì)抗中，除了中國(guó)海事局之外，所有亞信安全服務(wù)客戶(hù)，通過(guò)以機(jī)器學(xué)習(xí)技術(shù)為核心的安全解決方案，成功抵御住了這次勒索病毒的瘋狂攻擊，成為國(guó)內(nèi)首個(gè)、廣泛利用三代安全融合技術(shù)抗擊大規(guī)模網(wǎng)絡(luò)攻擊的成功案例。