油田网络安全预防工作措施

摘要：勒索病毒的爆发，再一次引起人们对油田网络安全的关注和思考。玉门油田一方面及时部署总公司的桌面安全管理系统2.0，一方面培养员工建立网络安全意识，养成良好的网络安全习惯，保证油田网络的安全。

关键词：勒索病毒；桌面安全管理系统；网络安全

一、事件背景介绍

2017年5月12日，WannaCry蠕虫病毒通过WindowsMS17-010漏洞在全球范围大规模爆发，感染了大量的计算机，随后会向计算机中植入敲诈勒索病毒，导致电脑大量文件被加密。受害者电脑被黑客锁定后，病毒会提示支付价值相当于300美元（约合人民币2069元）的比特币才可解锁。很快，WannaCry勒索病毒出现了变种：WannaCry2.0，与之前版本的不同是，这个变种取消了KillSwitch，即不能通过注册某个域名来关闭变种勒索病毒的传播，该变种传播速度更快。攻击特点：WannaCry利用Windows操作系统445端口存在的漏洞进行传播，并具有自我复制、主动传播的特性。WannaCry主要利用了微软“视窗”系统的漏洞，以获得自动传播的能力，能够在数小时内感染一个系统内的全部电脑。勒索病毒被漏洞远程执行后，会从资源文件夹下释放一个压缩包，此压缩包会在内存中通过密码：WNcry@2ol7解密并释放文件。这些文件包含了后续弹出勒索框的exe，桌面背景图片的bmp，包含各国语言的勒索字体，还有辅助攻击的两个exe文件。这些文件会释放到了本地目录，并设置为隐藏。“永恒之蓝”是NSA泄露的漏洞利用工具的名称，并不是该病毒的名称。“永恒之蓝”是指NSA泄露的危险漏洞“EternalBlue”。

二、油田现阶段网络结构分析

油田网络属于小型局域网，能够实现文件管理、应用软件共享、打印机共享、工作组内的日程安排、电子邮件和传真通信服务等功能。拓扑结构采用星型和树型混合结构。采取这种拓扑结构具有传输速度快、网络构形简单、建网容易、便于控制和管理的优点。因此，局内基本上所有电脑都在使用文件共享和打印机共享，必然会开放139、445等端口，这就为此次蠕虫病毒攻击打开了通道。经分析，总结出以下在平时网络使用中可能引发的网络安全问题：1.未能定时更新安全程序。单位所使用的操作系统多数为Windows操作系统。每隔一段时间微软都会新的安全更新程序，用来修补系统所存在的安全漏洞。但是，很多人认为安装更新程序耗时长，并且会造成系统运行卡顿，占用内存，因此，基本不会主动更新安全程序，甚至会关闭系统自动更新程序开关，来阻止系统进行安全程序更新。2.未能定时查杀病毒。病毒传播的途径有很多，比如：U盘传播、邮件传播、光盘传播和网络传播等。由于局内采用的是局域网，并且多台主机之间实现文件共享，这就容易发生一台主机瘫痪，其余主机跟着瘫痪的不可控局面。这也是此次蠕虫病毒的主要攻击特点。3.安全意识不强。很多人存在侥幸心理，认为病毒的传播没有那么快，补丁象征性的安装一些就行了，没有必要完全安装，需要查杀病毒的时候查杀一下，不需要的时候干脆不去理会，这样的行为就会有很大的安全风险，在病毒爆发的时候，由于没有及时安装安全更新程序或者查杀病毒，很容易发生意想不到的局面。4.没有定期备份文件的习惯。由于单位的计算机主要用于办公，有很多办公需要的资料，一次性备份需要花费较长的时间，而且往往没有如此大内存的存储设备来备份重要文件，员工多将资料直接存储于电脑中，即使发生资料变更也不进行备份，这就给资料的安全性带来了风险，一旦计算机中毒，文件受损，将带来不可挽回的局面。

三、预防措施

关于网络安全的管理和预防，一方面，玉门油田遵从总公司的决定进行桌面安全管理系统2.0的部署，另一方面，个人也应培养良好的网络安全意识，形成良好的网络安全预防习惯。1.桌面安全管理系统2.0。桌面安全管理系统2.0是桌面安全管理系统1.0的升级版，新建系统加固及管控平台两个子系统，替换了原有的防病毒、端点准入产品，升级和优化后台管理、补丁分发、电子文档保护三个子系统功能，同时对以上子系统在客户端进行了整合。（1）防病毒子系统。采用“流行病毒本地定义码+云端鉴定文件鉴定”防御方案，有效降低客户端资源占用，同时，构建企业自主控制文件黑白名单能力，实现全网文件样本的快速发现和查杀。（2）端点准入子系统。通过定制端点准入策略、客户端和端点准入设备有效联动，采用旁路部署端点准入设备，对桌面计算机进行合规性检验，为各单位提供有效、易用的管理工具和手段，支持修复页面跳转和非办公计算机例外保护，如IP电话、服务器、网络设备等。（3）后台管理子系统。具有计算机实名制注册、软硬件资产信息收集、策略下发、用户行为审计和违规日志查询的管理功能。通过系统进行基础安全策略的定制，建立桌面计算机安全基础，提供30类扩展安全策略，各单位可根据实际需求进行策略定制，深入完善桌面安全管理。（4）文档保护子系统。与中国石油USBKey相结合，为计算机用户提供登录保护、重要文件处理区、文件输出审计、电子文件销毁等功能，增加基于口令的文档加密功能，扩展文档加密功能适用范围，实现电子文档在创建、存储、使用、销毁等过程的安全保护。（5）补丁分发子系统。对微软补丁进行人工筛选和测试后，通过补丁分发子系统实现全网桌面计算机操作系统安全统一分发和自动安装，及时有效的降低操作系统漏洞带来的安全隐患。此次的勒索病毒WannaCry是利用该漏洞进行传播的，当然还可能有其他病毒也通过“永恒之蓝”这个漏洞传播，因此给系统打补丁是必须的。（6）系统加固子系统。提供安全基线和底层加固两个功能模块，通过统一模板控制、操作系统底层加固，实现集团公司安全基线要求在桌面计算机的强制管控，并且降低操作系统脆弱性带来的安全风险。2.培养个人安全意识。及时更新安全补丁：可以在官网或使用相关安全软件进行系统安全补丁的更新及安装，或者选择自动检查与安装。目的就是为了防止病毒利用系统漏洞进行二次攻击。定时查杀病毒：通过杀毒软件，如360安全卫士，定时进行病毒查杀与电脑安全诊断与防护。学习网络安全知识，培养网络安全意识：单位在安全培训中，适当加入网络安全培训的内容，培养员工的网络安全意识。定期备份重要文档资料：及时整理重要的文件资料，并选取适当的存储设备进行备份，或者将资料存放在不联网的计算机中，以防止文件遭到黑客病毒攻击造成损坏。3.防治蠕虫勒索病毒的步骤（1）关闭445端口等共享文件端口以64位Windows系统为例：在键盘上同时按下“WIN+R”后输入“regedit”图2运行窗口在注册表中按以下路径HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Param-eters添加“SMBDeviceEnable”，并设置键值为“0”=图3注册表编辑器图4键值单击“确定”即可。（2）关闭网络文件与打印机共享（3）安装系统补丁

四、结论

通过分析整个油田局域网的结构和特点，以及员工日常工作使用电脑的习惯，总结出油田局域网所存在的安全隐患，员工安全意识有待提高等相关问题。及时安装桌面安全系统2.0，提高网络安全意识，养成良好的安全上网习惯，将有助于整个油田的网络安全和安全生产运行。

作者:杜懿珊 单位:玉门油田信息中心

参考文献

[1]张红旗.信息网络安全[M].清华大学出版社.

[2]杨树宏,戎如敏,李小兵.玉门油田网络安全管理和防护建设[J].信息系统工程,2011(8):59.