5月12日开始,勒索病毒相继攻击了全球100多个国家和地区。
5月18日,勒索病毒肆掠一周后,国家电网公司对外发布了一则消息:截至目前,公司信息系统运转正常,未发生重要数据资产被加密勒索、业务中断等安全事件,有力支撑了“一带一路”国际合作高峰论坛的保电工作。
对于一个高度集成了控制技术和信息通信技术的大型企业来说,高度的智能化就意味着遭受网络攻击的风险会成倍增加。在许多大企业,从事网络信息安全的部门更像是一支“神秘部队”,那么,在这场勒索病毒的“阻击战”中,国家电网公司的“神秘部队”又做了些什么?
国网甘肃省电力公司成功“阻击”勒索病毒的故事,不仅在国家电网系统颇具代表性,对国内众多大企业而言也不乏借鉴意义。
截至5月22日,国内多家著名网络公司发布了针对此次勒索病毒的安全“补丁”和修复工具,风险得到有效控制。
“最好的‘补丁’和修复工具都只能亡羊补牢。” 在勒索病毒爆发后,国网甘肃电力科技信通部信息处副处长闫晓斌曾和同事们一起连续鏖战了40多个小时,在他看来,严密的安防体系才是最好的“补丁”,最好的网络安全就是千方百计避免损失。
国网甘肃电力有5万多台终端设备,此次勒索病毒有着不断扫描、自行复制的特点,只要入侵其中的1台,就会在企业的内网不间断重复感染。
5月15日周一上班时,在病毒入侵和扩散的关键时间节点,当全省近3万名电力职工打开电脑后未发现异常时,他们或许不知道,在此前的50多个小时内,由国网甘肃省电力公司下属单位100多人组成的“网络与信息安全部队”利用两天的休息日,持续在服务器、网络通道、终端三方面果断采取措施,加强监控、升级系统、防堵漏洞。
“阻击病毒入侵靠的是应急预案,而有效实施预案,靠的是常规、严密的安防体系。”在技术方面,他们依靠内外网物理隔离措施,确保互联网与电网核心业务的隔离;在服务器、网络通道、终端设备建立全覆盖的防护手段,一旦监测到可疑程序自动启动防护措施,任何一个可疑邮件、可疑U盘,都会被成功拦截。在安监、检修、营销、调控和信通五大专业领域和省、市、县三级机构,都有专人24小时负责网络安全。
病毒缘于“黑客”,企业也必须有“反黑客”的组织体系。国网甘肃电力有个网络安全专家小组,适时紧盯各类病毒动向,随时制定预警、应急的处置方案。随着众多新业务的接入,电网安全边界和隐患风险成倍增加。据统计,国网甘肃电力在2016年监测并拦截的高风险病毒攻击就达到了百万次规模,高峰时间的网络攻击频次甚至按“秒”来统计。
面对各类网络病毒,企业的网络安全“警察部队”随时处于应战状态。
5月10日,甘肃举行省电力信息通信运行安全技能大赛,国网甘肃电力派出了参赛选手。当天,来自省总工会、人社厅、科技厅、工信委和国资委等部门的领导目睹了一场特殊的网络攻防战。
比赛按照红、蓝双方分组编队,其中的红队不断对蓝队的电脑程序发起攻击,只见LED大屏上,全屏的代码中不断被插入一行、一段的蠕虫病毒代码,但随之又被“秒杀”。国网甘肃电力科技信通部副主任段军红解释说,“红队模拟黑客进行安全渗透,而蓝队必须进行适时的拦截。”
据了解,国网甘肃电力很早就在企业内部组建了“红蓝队组织”,红队的使命就是持续追踪并模拟各类黑客的恶意攻击,向电网运行发起高风险的渗透测试;而蓝队的使命,就是辨认、拦截、删除、反渗透、一键秒杀。
巧的是,大赛结束后的第二天晚上,勒索病毒开始席卷全球,国网甘肃电力参加了大赛的职工告别赛场就成为企业阻击病毒的主力,得到了实战检验。
本文转自d1net(转载)