WannaCry勒索病毒攻击事件对银行信息安全工作的启示

栏目编辑：梁丽雯 E-mail:liven_01@163.com

Research|信息安全WannaCry勒索病毒攻击事件对银行信息安全工作的启示*

■ 中国农业银行广东省分行 王 挺

摘2017年5月全球范围内爆发了WannaCry勒索蠕虫病毒攻击事件，该病毒同时具有勒索加密功能和要：

蠕虫传播功能，是近些年爆发的最严重的一次病毒安全事件。在此次事件中，多家机构出现业务中断和数据因加密而丢失的情况，笔者就此次事件对银行机构信息安全工作进行了思考，并针对银行业信息安全工作提出了几方面的建议：加强专业技术人才培养、加强信息安全宣传教育、加强桌面终端管理系统体系建设等。

信息安全；WannaCry；数据加密关键词：

一、WannaCry勒索病毒攻击事件分析

2017年5月12日晚，全球范围内爆发了WannaCry勒索蠕虫病毒，该病毒同时具有勒索加密功能和蠕虫传播功能，是近些年爆发的最严重的一次病毒安全事件。该病毒利用了此前美国国家安全局NSA泄露的黑客工具，迅速实现了全球大规模传播。截至目前，该病毒已传播至100多个国家，超过75 000台计算机系统受感染。英国16家医院，西班牙电信公司，俄国内政部，大部分欧洲国家的多所高校，多家美国组织，国内多个政府机关、高等院校、国有企业均遭受其影响，并导致相应的业务中断。

WannaCry勒索蠕虫病毒在勒索类病毒中全球

首例使用了远程高危漏洞进行自我传播复制，该病毒感染和传播的条件为未安装微软MS17-010漏洞安全补丁，且未禁用445共享端口的Windows终端。一旦内网某台终端失陷，整个内网终端很有可能被攻陷并被执行加密勒索，被加密后的文件除非按照敲诈者要求支付赎金，否则很难通过其他手段对勒索文件进行恢复。

二、暴露的问题

（一）安全意识薄弱

一是此次事件重灾区是高校，部分人员因安全意识薄弱，无数据备份意识，导致重要数据（包括毕业

作者简介： 王 挺（1983-），男，湖北省通山人，工程师。

收稿日期： 2017-05-17

*本文仅代表作者个人观点，不代表作者所在单位意见。

65

Research|信息安全论文）因被加密而丢失。二是部分人员因点击.onion文件，从而造成病毒感染，也暴露了人们上网习惯不好，安全意识不高等问题。三是由于部分人员将内网与互联网电脑或者U盘等交叉使用，导致外网病毒迅速在内网传播，从而导致业务大规模中断。

（二）信息安全专业人才不足和水平不高一是根据网上报道，部分机构因信息安全人才储备不足和水平不高等问题，在此次事件中部分人员恐慌，5月15日上班后长时间不敢开机开展业务，从而造成长时间业务中断。二是部分机构在处置此次问题时，只是单纯地从网上寻找解决方案，而未能从整体和本单位实际出发制定相应对策。

（三）未建立统一桌面终端管理系统

由于部分机构，未建立统一的桌面终端管理系统，导致在此次事件中，病毒码升级、补丁升级、邮件以及移动存储设备管控需要通过不同方式实现，甚至由于没有补丁推送功能，在安装补丁时无法实现统一推送，从而只能通过人海战术，导致处置效率不高。

（四）网络管理不够精细化

此次事件的受害者，一是在防火墙管理中比较粗放，未禁用445等重要端口，网络管理精细化程度不高。二是在网络管理中文档不够精细，部分机构在处置关闭445端口时，因未能及时梳理出445端口清单而导致部分业务受影响。

（五）部分机构响应速度慢

根据网上报道，在5月12-13日出现大量攻击事件，部分机构无相关应急处置小组，也无法快速制定应急方案，响应速度和处置速度慢，部分机构在5月15日后才开始处置。

（六）对信息安全投入和重视不够

一是部分机构对信息安全资金投入不够，未采购防火墙IDS，IPS、漏洞扫描等设备，未有效发现或者阻击攻击。二是部分机构对信息安全工作重视不够，未按照要求开展等级保护测评工作，也未定期开展网络

66

2017年·第7期

栏目编辑：梁丽雯 E-mail:liven_01@163.com

安全检查和渗透性测试工作。

三、对银行业信息安全工作的启示及建议

虽然此次WannaCry勒索蠕虫病毒攻击事件中，我国银行机构没有因攻击事件影响业务，但此次事件所暴露的问题足以让各银行机构引以为戒。保障银行业信息系统安全稳定高效运行是各银行业任务和目标，为进一步做好信息安全工作，保障系统安全稳定高效运行，通过此次事件，笔者认为还需要从以下方面加强工作。

（一）加强专业技术人才培养，提高信息安全实战能力

一是建议加强信息安全人才储备工作，增加对信息安全专业人才招聘。二是鼓励各级信息安全技术人员参加继续教育，如考取CISSP，CISP等专业职业证书，提高技术水平。三是加强与各类信息安全企业间交流，如采取短训、论坛、讲座等灵活形式，及时了解业内新技术、新动态，提高安全管理员技术水平、拓宽眼界和知识。四是鼓励各级信息安全技术人员及爱好者，参考各类信息安全实战技能竞赛，通过竞赛促进防护技能和信息安全知识的提高。

（二）加强信息安全宣传教育，提高员工风险意识一是建议平时加强信息安全宣传和教育工作，定期开展信息安全、数据安全、保密等培训和宣传工作，将信息安全知识学习纳入日常员工管理中，不断提高员工信息安全和信息泄露防范意识。二是在特殊时期，对突发事件要及时进行公告、引导，明确处置机制和步骤，避免造成不必要的恐慌。三是重视保密协议的签订，加大公共区域、流动性岗位、临时岗位或行外人员管控力度，明确员工信息安全保护职责，培养员工良好工作习惯，提高员工对敏感资料的保护意识。

（三）加强桌面终端管理系统体系建设，强化终端安全

一是建设统一的桌面终端安全管理系统，该系统

2017年·第7期

栏目编辑：梁丽雯 E-mail:liven_01@163.com

Research|信息安全同时涵盖防病毒、补丁分发、数据安全、软件管理、网络准入控制、移动存储介质管控等功能。通过桌面终端管理系统下发策略，对各类终端实现统一管理和防护。二是定期梳理桌面终端安全软件部署情况，避免因部分人员的工作疏漏，导致部分终端设备未按照要求部署。三是将操作系统补丁升级工作纳入日常工作中，根据微软发布的补丁情况，在对信息系统进行技术和业务测试后，通过桌面终端管理系统统一推送补丁及时修复高危漏洞，同时也避免临时安装补丁时出现系统不兼容的问题。

（四）加强网络精细化管理，提高网络自身安全一是加强防火墙、代理服务器、IDS，IPS、漏洞扫描、路由器等设备的策略配置管理，严格遵循“必须知道，最小授权”原则，对相关端口进行严格控制。二是加强对存量配置梳理，定期跟进因业务变化须同步新

策略的情况，避免业务变化后，相关无用策略遗留而造成风险。

（五）加强信息安全应急处置工作，提升快速处置水平

一是优化信息安全应急处置流程和方案，通过此次事件，进一步优化信息安全应急处置流程，优化应急处置方案，提高系统快速恢复能力。二是加大日常信息安全应急演练工作力度，增加信息安全突发事件场景，通过日常演练提高应急处置能力。FTT参考文献：

[1]唐磊. 银行业信息安全与防范[J]. 工程技术，2016（12）:226.

[2]郑智鹏. 银行信息安全问题及建议[J]. 金融科技时代，2016（5）:51-53.

67