WannaCry勒索病毒攻击事件对银行信息安全工作的启示

admin管理员组

文章数量:1530928

2024年4月26日发(作者：)

2017年·第7期

栏目编辑：梁丽雯 E-mail:liven_01@

Research|信息安全

WannaCry勒索病毒攻击事件对

银行信息安全工作的启示*

■ 中国农业银行广东省分行 王 挺

摘

2017年5月全球范围内爆发了WannaCry勒索蠕虫病毒攻击事件，该病毒同时具有勒索加密功能和

要：

蠕虫传播功能，是近些年爆发的最严重的一次病毒安全事件。在此次事件中，多家机构出现业务中断和数据因加

密而丢失的情况，笔者就此次事件对银行机构信息安全工作进行了思考，并针对银行业信息安全工作提出了几方

面的建议：加强专业技术人才培养、加强信息安全宣传教育、加强桌面终端管理系统体系建设等。

信息安全；WannaCry；数据加密

关键词：

一、WannaCry勒索病毒攻击事件分析

2017年5月12日晚，全球范围内爆发了WannaCry

勒索蠕虫病毒，该病毒同时具有勒索加密功能和蠕虫

传播功能，是近些年爆发的最严重的一次病毒安全事

件。该病毒利用了此前美国国家安全局NSA泄露的黑

客工具，迅速实现了全球大规模传播。截至目前，该病

毒已传播至100多个国家，超过75 000台计算机系统受

感染。英国16家医院，西班牙电信公司，俄国内政部，

大部分欧洲国家的多所高校，多家美国组织，国内多

个政府机关、高等院校、国有企业均遭受其影响，并导

致相应的业务中断。

WannaCry勒索蠕虫病毒在勒索类病毒中全球

首例使用了远程高危漏洞进行自我传播复制，该病毒

感染和传播的条件为未安装微软MS17-010漏洞安全

补丁，且未禁用445共享端口的Windows终端。一旦内

网某台终端失陷，整个内网终端很有可能被攻陷并

被执行加密勒索，被加密后的文件除非按照敲诈者

要求支付赎金，否则很难通过其他手段对勒索文件进

行恢复。

二、暴露的问题

（一）安全意识薄弱

一是此次事件重灾区是高校，部分人员因安全意

识薄弱，无数据备份意识，导致重要数据（包括毕业

作者简介：

王 挺（1983-），男，湖北省通山人，工程师。

收稿日期： 2017-05-17

*本文仅代表作者个人观点，不代表作者所在单位意见。

65

Research|信息安全

论文）因被加密而丢失。二是部分人员因点击.onion文

件，从而造成病毒感染，也暴露了人们上网习惯不好，

安全意识不高等问题。三是由于部分人员将内网与互

联网电脑或者U盘等交叉使用，导致外网病毒迅速在

内网传播，从而导致业务大规模中断。

（二）信息安全专业人才不足和水平不高

一是根据网上报道，部分机构因信息安全人才储

备不足和水平不高等问题，在此次事件中部分人员恐

慌，5月15日上班后长时间不敢开机开展业务，从而造

成长时间业务中断。二是部分机构在处置此次问题

时，只是单纯地从网上寻找解决方案，而未能从整体

和本单位实际出发制定相应对策。

（三）未建立统一桌面终端管理系统

由于部分机构，未建立统一的桌面终端管理系

统，导致在此次事件中，病毒码升级、补丁升级、邮件

以及移动存储设备管控需要通过不同方式实现，甚至

由于没有补丁推送功能，在安装补丁时无法实现统一

推送，从而只能通过人海战术，导致处置效率不高。

（四）网络管理不够精细化

此次事件的受害者，一是在防火墙管理中比较粗

放，未禁用445等重要端口，网络管理精细化程度不

高。二是在网络管理中文档不够精细，部分机构在处

置关闭445端口时，因未能及时梳理出445端口清单而

导致部分业务受影响。

（五）部分机构响应速度慢

根据网上报道，在5月12-13日出现大量攻击事件，

部分机构无相关应急处置小组，也无法快速制定应急

方案，响应速度和处置速度慢，部分机构在5月15日后

才开始处置。

（六）对信息安全投入和重视不够

一是部分机构对信息安全资金投入不够，未采购

防火墙IDS，IPS、漏洞扫描等设备，未有效发现或者阻

击攻击。二是部分机构对信息安全工作重视不够，未

按照要求开展等级保护测评工作，也未定期开展网络

66

2017年·第7期

栏目编辑：梁丽雯 E-mail:liven_01@

安全检查和渗透性测试工作。

三、对银行业信息安全工作的启示及建议

虽然此次WannaCry勒索蠕虫病毒攻击事件中，我

国银行机构没有因攻击事件影响业务，但此次事件所

暴露的问题足以让各银行机构引以为戒。保障银行业

信息系统安全稳定高效运行是各银行业任务和目标，

为进一步做好信息安全工作，保障系统安全稳定高效

运行，通过此次事件，笔者认为还需要从以下方面加

强工作。

（一）加强专业技术人才培养，提高信息安全实

战能力

一是建议加强信息安全人才储备工作，增加对信

息安全专业人才招聘。二是鼓励各级信息安全技术

人员参加继续教育，如考取CISSP，CISP等专业职业证

书，提高技术水平。三是加强与各类信息安全企业间

交流，如采取短训、论坛、讲座等灵活形式，及时了解

业内新技术、新动态，提高安全管理员技术水平、拓

宽眼界和知识。四是鼓励各级信息安全技术人员及爱

好者，参考各类信息安全实战技能竞赛，通过竞赛促

进防护技能和信息安全知识的提高。

（二）加强信息安全宣传教育，提高员工风险意识

一是建议平时加强信息安全宣传和教育工作，定

期开展信息安全、数据安全、保密等培训和宣传工作，

将信息安全知识学习纳入日常员工管理中，不断提高

员工信息安全和信息泄露防范意识。二是在特殊时

期，对突发事件要及时进行公告、引导，明确处置机制

和步骤，避免造成不必要的恐慌。三是重视保密协议

的签订，加大公共区域、流动性岗位、临时岗位或行外

人员管控力度，明确员工信息安全保护职责，培养员

工良好工作习惯，提高员工对敏感资料的保护意识。

（三）加强桌面终端管理系统体系建设，强化终

端安全

一是建设统一的桌面终端安全管理系统，该系统

2017年·第7期

栏目编辑：梁丽雯 E-mail:liven_01@

Research|信息安全

同时涵盖防病毒、补丁分发、数据安全、软件管理、网

络准入控制、移动存储介质管控等功能。通过桌面终

端管理系统下发策略，对各类终端实现统一管理和防

护。二是定期梳理桌面终端安全软件部署情况，避免

因部分人员的工作疏漏，导致部分终端设备未按照要

求部署。三是将操作系统补丁升级工作纳入日常工作

中，根据微软发布的补丁情况，在对信息系统进行技

术和业务测试后，通过桌面终端管理系统统一推送补

丁及时修复高危漏洞，同时也避免临时安装补丁时出

现系统不兼容的问题。

（四）加强网络精细化管理，提高网络自身安全

一是加强防火墙、代理服务器、IDS，IPS、漏洞扫

描、路由器等设备的策略配置管理，严格遵循“必须知

道，最小授权”原则，对相关端口进行严格控制。二是

加强对存量配置梳理，定期跟进因业务变化须同步新

策略的情况，避免业务变化后，相关无用策略遗留而

造成风险。

（五）加强信息安全应急处置工作，提升快速处

置水平

一是优化信息安全应急处置流程和方案，通过此

次事件，进一步优化信息安全应急处置流程，优化应

急处置方案，提高系统快速恢复能力。二是加大日常

信息安全应急演练工作力度，增加信息安全突发事件

场景，通过日常演练提高应急处置能力。

FTT

参考文献：

[1]唐磊. 银行业信息安全与防范[J]. 工程技术，

2016（12）:226.

[2]郑智鹏. 银行信息安全问题及建议[J]. 金融科

技时代，2016（5）:51-53.

67

本文标签： 工作事件部分机构处置