行业专家共话“勒索病毒”：电子政务如何构筑护城河？

数字政府已应用到我们的生活环境中，电子政务也跟人们的生活息息相关。一旦政务安全破防，公众的信息数据遭遇丢失或窃取，带来的灾难和影响将呈几何倍增长。

由《中国信息安全》杂志、腾讯安全、腾讯研究院共同发起的勒索病毒系列沙龙第二场，我们邀请到PCSA行业云安全联盟首席专家、太极股份首席安全官郭峰，中国科学院计算机网络信息中心研究员肖彪，腾讯研究院高级研究员宋扬三位网络安全领域的专家，共同探讨如何共筑电子政务网络空间护城河！

勒索软件面面观

Q：对于勒索软件的认识、发展现状和带来的危害，各位专家有什么样的看法？

肖彪：伴随计算机出现的计算机病毒已经存在很多年，勒索软件是一个计算机病毒，能够利用漏洞、邮件或者U盘撕开第一道互联网的防护体系。根本来说勒索软件还是一个蠕虫，不仅能够对计算机系统进行破坏、窃取，还能够进行自动的传播，自动的复制。最出名的一个勒索软件是WannaCry，它之所以在全球大面积爆发，核心原因就是利用了2016年CIA泄露的永恒之蓝病毒，把永恒之蓝的漏洞跟蠕虫勒索相结合。

宋扬：勒索病毒逐渐呈现SaaS化。病毒的制作者，传播者以及获取收益，会有不同的人来完成，发起攻击的这个人他可能不懂一些技术细节，不懂编程，但是拿到病毒后他就能发起攻击。

Q：专家们在日常工作中有碰到过、看到过或处理过勒索病毒的案例吗？能否介绍一些勒索软件的高级处理方法？

郭峰：我接触过最严重的情况是如果今天晚上不解决，明天这个城市将停水、停电。当时紧急处理了三件事，首先是派专家和相应的安全能力者去现场，第二就是做了应急处置的预案，再就是和公安及当地网信机构做了处置。

肖彪：大到各个行业，小到一些企业都面临勒索软件的攻击，有对文件加密的，有对数据库加密的，手段很多种。我们觉得第一个方面是要尽可能减少漏洞，第二个方面就是数据备份。

宋扬：在17年、18年的时候发现了大规模勒索软件的攻击。公有云上有工具基本上是没有大规模的损害，但像一些私有云或者一些中小企业受到攻击的话，也会求助于腾讯安全来做数据的恢复。我的理解是对于经验不足的中小企业，逐渐上云可以降低一些勒索攻击的危害。

电子政务“云”蜕变

Q：电子政务有着怎样的发展历程和特点？

郭峰：电子政务历程大概分为3~4个阶段，最早是从无纸化办公到电子化办公，第二轮主要是应用和信息共享，第三轮是应用在互联网加政务服务，接下来可以看得到数字政府已经是应用在我们生活环境当中，以大数据、大平台、大系统的方式呈现。

宋扬：电子政务在发展过程中呈现以下几个特点，第一个特点是电子政务它所承载的数据越来越多，同时也是越来越重要。这上面不仅有公务的信息，政务的信息，还有大量公众的个人信息。第二是它的一些结构或者平台更加复杂，那么暴露到公网的一些触点也会越来越多。

Q：在数字中国、网络强国的这个大趋势下，如何加固数字化底座？电子政务下一步的发展趋势将如何？

肖彪：现在大量的信息化系统上云，然后集约化建设，集约化运营，但是网络安全工作还是分散化的，很不扎实。传统的网络安全需要更加细化，甚至涉及到每一个细粒度的权限管控等。

宋扬：第一是更加平台化，之前可能是烟囱式的建设，第二个特点是它的应用在不断的下沉。从安全角度来看可以借助一些前沿的技术和理念，从技术角度来说可以做一些城市安全大脑或者说城市安全运营中心，防患于未然。对可以上云的系统，我们建议可以用一些云原生安全的理念来进行安全的防护。

电子政务领域的勒索病毒及应对措施

Q：电子政务领域的勒索病毒呈现怎样的特点？2016年到2018年是勒索软件高发期，现在呈现下降趋势的核心原因是什么？

宋扬：勒索攻击或者勒索病毒有两个特点和电子政务是关系比较紧密的：

▪︎ 第一个特点是勒索攻击的攻击者，更加想攻击一些有数据价值的基础设施，电子政务平台和系统是其重要的潜在目标之一；

▪︎ 第二个是勒索病毒逐渐呈现SaaS化，所谓的SaaS化就是更加流程化，分工更加明确，由于电子政务的触点在增加，那么相应的被攻击的面也在增加。

Q：在万种场景、万物互联、万云时代的趋势下，如何有效防护勒索软件在电子政务领域造成的危害？

肖彪：

▪︎ 第一，我认为传统的网络安全手段依旧有效；

▪︎ 第二，是有了防御手段后一定要有监测手段，形成一个纵深监测的概念；

▪︎ 第三，网络安全工作要从以前粗犷式的、基于端模式的这种安全，变成应用的安全；

▪︎ 第四，相关的单位比如说电子政务单位，需要把网络安全攻防演习实战化常态化；

▪︎ 第五，就是网络安全的意识培训。

郭峰：现在PCSA联盟提出的观点叫全维全域的深度监控。面对地方政务系统集中上云的趋势，在新的场景下，新的技术、新的监测手段、新的体系化建设、新的情报源，需要在等级保护的基础上，再往下一层延展到供应链安全。

宋扬：我们的经验是第一要做好传统意义上网络安全的一些产品或者理念，第二我们更希望引进一些先进的、创新的一些理念和技术，比如说零信任安全，是这两年新兴的安全理念，也是腾讯一直在尝试的事情。

零信任无边界访问控制系统（Zero Trust Access Control system，ZTAC）是腾讯结合自身丰富的网络安全管理实践经验与“零信任”理念，推出的网络边界访问管控整体解决方案。以身份安全 、终端安全和链路安全三大核心能力，为企业内网安全和应用上云打造统一、安全和高效的访问入口，构建全方位、一站式的零信任安全体系。

法律法规及技术层面对关键信息基础设施的探讨

Q：随着网络安全法，数据安全法，关键信息基础设施安全保护条例的发布，专家们对关键性基础设施有何看法？

肖彪：我做过一个数据分析，2020年全年发现攻击我们国家电子政务外网中央级节点的挖矿或勒索软件，攻击IP大概是15000多个，2021年1月份到9月是13000多个。这些攻击IP大部分是来自于中国，但是攻击者下载恶意木马和恶意样本的行为，99%以上都是在境外，不管是勒索还是挖矿都要要依赖一些基础设施才能够正常的运行。

郭峰：网络攻击行为的演变越来越从娱乐性型商业化型变成静默型。越来越高级别的机构参与进来，原来可能是黑客分子，然后变成敌对势力，未来就变成霸权国家，这三个层次所组织的人力、物力、财力相差很大。

Q：勒索软件把能源电力、医疗卫生等公共基础设施造成大面积的瘫痪，让经济社会运行的神经中枢不能运行。专家们对关键性基础设施的安全防范有没有更好的建议？

郭峰：总的来说，网络安全要做到“上工治未病之病、中工治欲病之病、下工治已病之病”，整个网络安全建设的趋势，尽量把事前做得更好，做到能看管监控一体化，平战结合一体化。

肖彪：

▪︎ 第一，从国家层面来讲要加强防范；

▪︎ 第二，要在网络安全层面开展一些国际合作；

▪︎ 第三，还需加强对虚拟货币的研究；

▪︎ 第四，我们需要有一个统一的政策和好的处理方式来面对勒索和挖矿；

▪︎ 第五，是网络安全溯源，这一块薄弱项目需像腾讯一样的国内顶级的网络安全公司来参与研究。

宋扬：从安全角度来说：

▪︎ 第一，最重要的是防患于未然，所以我们提出了安全前置；

▪︎ 第二，是比较落地的一点，是要加强运维建设人员的安全意识；

▪︎ 第三，我们在实战中发现，做等保也是非常好的一个手段；

▪︎ 第四，有效针对勒索病毒的方式，是加强对云上或者异地的数据备份。