报告中的高危漏洞。
(2)定期执行补丁更新。在对网络进行常规的系统安全维护时,确保定期执行补丁维护,确保 DMZ 系统日志连接到日志采集器/SIEM,需要身份验证的公开系统/服务都应当使用强口令,减少弱口令的使用,还可以考虑实施双因子身份验证等技术措施。同时,需要进行身份验证的公开系统/服务都应具有限制功能,例如设置口令次数,超出阀值后将中断系统/服务,以阻止外部攻击者的暴力破解攻击行为,实现保护网络系统的目的。
(3)加强网络边界防护能力。在互联网出口检测并阻挡恶意勒索软件的扫描和入侵,借助下一代防火墙(NGFW)和下一代网络入侵防御(NGIPS)设备,采用威胁防御为核心的网络架构设计,确保在勒索攻击发生的整个过程能够提供有效的威胁保护。同时采用可实时监控、管理和感知网络内部安全事件的统一集中管理平台(SIEM),实现网络内部高危漏洞与资产表的清晰对应管理,根据安全预警迅速摸清网络内的漏洞分布情况及危险程度,及时进行漏洞的修补和处理,防患于未然。利用SIEM平台可实时发现和判断勒索软件的入侵和攻擊情况,以便及时和快速地采取应对措施,阻断勒索软件的后续入侵和攻击,降低勒索软件可能造成的影响范围和损失程度。同时,在网络内部采用设置安全分区和强化隔离等技术手段,
(4)强化邮件安全防护手段切断传播途径。采取技术措施,防止恶意网络钓鱼行为,尤其是钓鱼邮件事件的发生。建议设置邮件安全网关,应具备识别和阻止发送和接收可执行文件(exe、dll、cpl、scr)或带有宏的JavaScript(.js文件)等Office 文档,并可以扫描和识别 .zip 文件的内容。加强对SPF记录进行检查/验证,以减少欺骗性电子邮件的发生,并及时升级邮件安全网关,更新网络钓鱼网站的域名信息。
(5)加强Web安全防护、拦截钓鱼网站访问。为了切断勒索软件利用Web方式进行传播,建议部署Web安全网关,集成URL地址过滤、网站信誉过滤和恶意软件过滤及数据泄露预防功能,对用户上网行为进行全面的监控和防护
(6)强化安全管理制度。严格管理U盘等移动存储介质的使用,切断恶意勒索软件感染系统的途径。要求员工坚决不使用来历不明的U盘等存储介质,在U盘等存储介质应用前,进行病毒扫描和查杀;如果确需在敏感的安全分区使用U盘等存储介质,可以考虑单独准备一批专用介质,并实行专人管理。
4 智能制造企业防范恶意勒索软件攻击的安全策略
随着“中国制造2025”发展战略的推进,制造企业“深度两化融合”工作的开展,智能制造企业也不可避免地将会面临恶意勒索软件的威胁。本章将以智能制造企业如何应对恶意勒索软件的入侵和攻击进行初步探讨。
在企业向智能制造的演进过程中,智能制造企业的网络架构将分为三个层次:企业管理网络、工业物联网、工业控制系统和工业制造主机。企业的数据类型也分成商业大数据和工业大数据两大种类。在考虑智能制造企业如何应对恶意勒索软件的入侵和攻击时,既要考虑网络的总体安全防护,同时也要考虑企业网络中的不同层次类型,进行有针对性的防护。在考虑企业核心数据安全时,也要针对不同数据类型的特点,进行有针对性的防护。尤其是工业大数据具有实时性和不可替代性的特点,除了做好常规的数据备份和异地容灾工作外,更应该考虑做好存储工业大数据的设备之间的备份热切换和实时同步备份工作。
网络信息安全保护工作是“三分靠技术,七分靠管理”。首先,智能制造企业应按照国家有关《信息安全等级保护》的相应规范,建设和健全企业内部的相关网络和信息安全的各项管理制度。自行开发研制或引入网络信息安全管理软件平台,将写在纸面上的各项规章制度活化起来,做到事事有跟踪,件件有落实,定期统计落实工作的进展情况,与企业的奖惩管理制度结合起来,把网络和信息安全的各项管理制度,全面落实到实处。使恶意勒索软件在企业网络内部无处安身,更无法传播扩散。
在按照国家有关《信息安全等级保护》的相应规范,建设和强化企业网络边界防护的基础上,智能制造企业还应按照信息安全等级保护规范,考虑企业内部各业务系统或其功能模块的实时性质、使用者类比、主要功能归属、设备使用场所、各业务系统间的相互关系、广域网通信方式及对生产制造系统的影响程度等因素,依据企业系统业务流程划分网络内部的安全分区,并将业务系统或其功能模块置于相应的安全分区内。安全分区之间,应采用防火墙或安全交换机实现分区间安全隔离和访问控制,企业的核心安全区采用防火墙+IPS+主机加固软件等综合措施加强安全防护。以防范恶意勒索软件入侵后,在企业网络内部的传播和扩散,将影响限制在最小范围内。
智能制造企业应根据不同安全区域的安全防护要求,确定其安全等级和防护水平。其中,生产控制大区的安全等级高于管理信息大区,业务系统的安全定级按《信息系统安全等级保护定级工作指导意见》进行定级,具体等级标准见下表。(注:待国家四部委颁布新的工业制造企业《信息系统安全等级保护定级工作指导意见》后,请按照新的标准执行)。
智能制造企业应依据国家颁布的有关《信息安全等级保护》的相应规范,以及即将颁布的新修订的《信息安全等级保护》规范,对企业内部网络的不同类别,有针对性的建设多层次的综合安全防护方案。对于涉及企业管理和运营的局域网,应采用强化的互联网和局域网综合安全防护方案;对于企业内部的工业物联网,应采用强化后的物联网安全综合防护方案;对于企业内部的生产制造系统,应采用工业控制逻辑校验方案,确保工业主机的生产运行安全。企业内部的商业大数据和工业大数据应采取分别管理和分别存储的安全防范措施。尤其是工业大数据具有实时性和不可替代性的特点,更应考虑数据的实时同步和存储设备之间的“热备”切换技术措施。
智能制造企业应建设基于大数据处理技术的、统一安全事件实时管理和感知平台(SIEM),实现网络安全工作的集中化、实时化管理,在SIEM平台上实现清晰相符的漏洞表与资产表的对应关系管理。通过SIEM平台,实现实时确定安全威胁来源、安全威胁类型,是否已入侵网络,入侵后攻击目标,攻击成功与否,影响后果预判等安全管理目标。同时通过SIEM平台,通过对安全大数据的分析和挖掘,实现对安全威胁的感知与预警,尤其是针对恶意勒索软件的前期大量扫描动作的判断,入侵攻击中可能利用的漏洞类型,通过与资产表的对应关系,及时提供安全预警,指导智能企业网络安全技术人员提前做好相应的防范工作,将恶意勒索软件拒之门外,确保企业网络安全稳定地运行。
制造企业的智能化,使企业的业务系统呈现开放化的趋势,在为企业发展带来新鲜活力的同时,也使得这些系统暴露在互联网的安全威胁之下。智能制造企业应考虑采用前置服务器与后台数据库隔离并实施访问控制的安全措施,既方便业务合作伙伴的工作,同时也要保护好企业的网络和数据安全。
随着移动办公的兴起,极大地方便了企业员工的工作,同時也为企业的网络安全,尤其是数据安全带来了新的隐患。智能制造企业应考虑,对移动办公中数据安全实施全程管理,建议采用VPN技术措施实现终端和传输通道加密,同时辅以安全加密通道内的安全防护(防火墙+IPS)。移动办公的服务器主机,需设置在企业网络内部,通过采取强化安全管理技术措施,确保企业网络和信息数据的安全。
5 结束语
在过去几年里,在全球范围内勒索软件的变种和恶意入侵行为已呈明显的上升态势,国内的网络违法犯罪分子,也在蠢蠢欲动,欲利用恶意勒索软件谋取不义之财,在“Wanna Cry”恶意勒索病毒爆发的过程中,出现了中文版本的勒索通知,就是最好的佐证。在“Wanna Cry”恶意勒索病毒爆发过程中,发现了其呈现了蠕虫病毒的诸多特征 - 快速传播、传送负载(勒索软件)和削弱系统的恢复能力,由此可见自我传播型的恶意勒索软件(或称其为“恶意加密软件”)肆虐的时代即将到来。据国内外安全专家预测,恶意勒索软件的未来发展趋势是,该恶意软件将变种为能够在整个信息网络里面,进行自我传播和半自主的渗透,对互联网用户,尤其是智能制造企业造成毁灭性的恶果。
通过对这次“Wanna Cry”恶意勒索病毒爆发的过程研究和分析,发现这次病毒爆发中受害最严重的医疗行业部门的内部网络,其垂直贯通情况类似于智能制造企业未来演进的模型。但是,大可不必因噎废食停止制造企业向智能制造企业的演进过程,只要认真做好全方位的安全防护,辅以有针对性地做好恶意勒索软件的安全防范工作,即使做不到高枕无忧,也可以将损失范围降到最低,以确保智能制造企业的安全稳定运营。
长期以来,国内制造企业的在网络安全方面投入了大量的资金和精力,在高安全威胁的情况下,保证了企业内部网络安全稳定的运行。在面对自我传播型的恶意勒索软件肆虐的时代即将到来的时刻,制造企业在向智能制造企业演进过程中,同时应做好网络安全规划,扩展和建设立体化、综合化的大纵深多层次安全防御体系,有效地面对愈加严重的网络信息安全威胁,保证智能制造企业安全稳定地运行。
【注1】:恶意勒索软件(Ransomware)的攻击主要以高强度密码学算法加密受害者电脑上的文件,并要求其支付赎金以换取文件解密为目的,因此该软件也被称为恶意加密软件或密锁敲诈类木马。除此之外,近年来在Android手机上也逐渐流行一种锁屏类敲诈木马,这类木马同样是通过锁定受害者手机屏幕,使受害者无法正常使用手机,借机进行敲诈。近年来,因感染敲诈类木马而被迫支付赎金的事时常发生,有些受害者损失高达数万美元。因此,敲诈木马已逐渐成为安全领域内的重点关注对象,据安全公司统计,敲诈木马在所有恶意软件中所占比例,从2015年的第三位上升到了2016年的首位,形势十分严峻。
参考文献
[1]中国安天实验室.揭开勒索软件的真面目[M].2015年8月5日.
[2]Ransomware[J].Wikipedia,2016年7月.
[3]Intel Security(美国).迈克菲实验室威胁报告[D].2016年12月13日.
[4]360互联网安全中心.2016年中国互联网安全报告[D].2017年02月15日.
[5]美国思科公司. Cisco 2016 Midyear Cybersecurity Report[D]. 2017年2月
推荐访问: 勒索 制造企业 应对 威胁 探讨
