在“互聯網+”時代下，中華人民共和國海事局（以下簡稱：海事局）將海事信息化作為持續(xù)發(fā)展的核心要務之一，在推動各級單位落實創(chuàng)新工作的同時，緊抓信息安全管理工作。在2017年“一帶一路”高峰論壇期間，海事局攜手亞信安全共抗“永恒之藍”勒索蠕蟲，利用亞信安全防毒墻網絡版（OfficeScan）與服務器深度安全防護系統(tǒng)（Deep Security）的智能化防御功能，對一帶一路高峰論壇保障系統(tǒng)提供了應急處置與安全加固，確保相關業(yè)務系統(tǒng)的正常運行。

“永恒之藍”突然來襲，海事局遇到棘手難題

2017年，是勒索軟件在全球加速蔓延的一年，特別是5月12日，“永恒之藍”勒索蠕蟲（WannaCry）在全球多個國家爆發(fā)。在“永恒之藍”事件中，至少有150個國家、30萬名用戶中招，造成的損失達80億美元，我國政府、教育、交通等多個行業(yè)也遭受不同程度的影響，這使人們對于勒索軟件的關注達到了空前的高度。

WannaCry病毒爆發(fā)的時間點，正值“一帶一路”高峰論壇舉辦之際。作為承擔海事局重要業(yè)務系統(tǒng)安全運維保障工作的海事局信息科技處，在第一時間接到亞信安全的網絡威脅預警后，立即啟動了阻止該病毒爆發(fā)的緊急處理工作。

但是，通過對WannaCry病毒傳播原理和自身網絡情況的分析，海事局信息科技處發(fā)現這個勒索蠕蟲并不容易應對：

第一，“永恒之藍”主要利用445文件共享端口實施破壞，但由于海事局內網終端用戶文件、打印共享等需求，之前并未作此限制，仍然存在大量開放的445端口。

第二，要應對“永恒之藍”，就需要統(tǒng)一安裝Windows操作系統(tǒng)補丁，為每臺終端修補MS17-010漏洞，但面對數量龐大的內網終端，逐一安裝部署補丁會耗用大量的時間，可能會給勒索蠕蟲的攻擊帶來機會。

第三，作為企業(yè)級運行環(huán)境，海事局已經禁止了相關服務器的自動更新，以防止對生產服務器造成未經測試的變化。針對之前的漏洞，工程師都會在更新到業(yè)務服務器之前，在實驗室環(huán)境中花時間來測試和驗證軟件補丁和更新，而在生產服務器上安裝未經測試的MS17-010補丁是否會對業(yè)務造成影響，這是個未知數。

啟動爆發(fā)阻止功能，“虛擬補丁”見奇效

在勒索軟件事件爆發(fā)后的第一時間，海事局更新了OfficeScan服務器病毒特征庫，并通過策略和防毒代碼推送的方式，在終端層實現了勒索軟件的查殺。在此基礎上，在亞信安全工程師的輔助下，海事局信息科技處有針對性的啟用了OfficeScan內置的防御功能，成功封堵漏洞。

工程師首先通過防毒墻集中控制臺，封閉所有終端的445端口，拒絕勒索軟件相關文件的寫入控制，快速實現了勒索軟件威脅擴散的有效防御，第一時間阻斷了此病毒的網絡通路。其次，啟用OfficeScan的行為監(jiān)控模塊，對于異常加密的性能實現智能檢測，實現了不依賴病毒碼和補丁的情況下，也能抵御勒索軟件攻擊。最后，利用亞信安全OfficeScan產品的病毒爆發(fā)阻止功能，檢測病毒和共享文件夾會話的閾值，在病毒代碼未完成擴散之前，自動對網絡中的病毒傳播途徑進行控制。

在服務器層面，海事局利用亞信安全服務器深度安全防護系統(tǒng)（Deep Security）提供的虛擬補丁(Virtual Patch)功能，對物理和虛擬服務器進行病毒免疫加固，在無需重新啟動系統(tǒng)的前提下，在數分鐘內將這些規(guī)則應用到所有虛擬主機上，避免了黑客利用修補漏洞的“時間差”。值得一提是， Deep Security還自動保護了處于運行狀態(tài)和休眠狀態(tài)的虛擬機，讓數據中心從容有序的完成了“永恒之藍”防御工作。

應急服務十分到位，期待“機器學習”正式入駐

“一帶一路”國際合作高峰論壇在北京召開，除了線下論壇的安全需要保障之外，線上網絡安全也是重中之重。恰逢“永恒之藍”勒索病毒的肆意爆發(fā)，亞信安全連夜應急處理，并協(xié)助海事局對全部服務器和桌面終端進行了安全防護，其技術和服務都贏得了客戶的贊許。

海事局相關領導表示：“一帶一路”戰(zhàn)略的提出，是對“海洋強國”戰(zhàn)略的具體化，使得“海洋強國”戰(zhàn)略能夠付諸實踐。在此次勒索軟件防御工作中，雖然我們以“零事件”的成績完成了“一帶一路”論壇的保障工作，但也發(fā)現了許多不足。未來，我們將進一步在自身安全管理上尋找問題，以更積極主動的安全管理能力去應對未知威脅，還希望借助亞信安全提供的機器學習引擎和人工智能技術，為安保助力。

據悉，在這場勒索病毒“防御戰(zhàn)”的對抗中，除了中國海事局之外，所有亞信安全服務客戶，通過以機器學習技術為核心的安全解決方案，成功抵御住了這次勒索病毒的瘋狂攻擊，成為國內首個、廣泛利用三代安全融合技術抗擊大規(guī)模網絡攻擊的成功案例。

xiesc