在當(dang)今網絡空間世(shi)界(jie)，勒(le)索病(bing)(bing)毒已(yi)是最(zui)猖(chang)獗和最(zui)具破(po)壞力的(de)病(bing)(bing)毒。信息安全界(jie)各專業人士在研究如何徹底(di)剿滅此類病(bing)(bing)毒時，也曾推(tui)出各種防勒(le)索方案(an)，但(dan)實際上我們仍然(ran)可以頻頻聽到勒(le)索病(bing)(bing)毒攻擊事件，其中不乏知名大公司大企業，而且被勒(le)索的(de)金額通常巨大。

關于勒索(suo)病毒最(zui)(zui)近最(zui)(zui)熱的新聞莫(mo)過(guo)于今年2月英國政府剛宣布控制了Lockbit組織，而一周(zhou)后(hou)該組織官宣復活，并且提出會針(zhen)對(dui)政府進行(xing)報復，勒索(suo)病毒的猖(chang)獗程(cheng)度和杜絕(jue)難度可見一斑。

網絡(luo)(luo)空(kong)間(jian)戰一直(zhi)以來(lai)被(bei)冠以“沒有硝煙的戰爭”，但由于網絡(luo)(luo)空(kong)間(jian)屬于虛擬世(shi)界，在(zai)探討(tao)網絡(luo)(luo)空(kong)間(jian)的問題時(shi)總是讓人感(gan)覺缺乏實在(zai)感(gan)，仿佛蒙(meng)上了(le)一層面紗，很難窺探其真實面貌。通過對照現(xian)實物理世(shi)界，我們嘗試撥開迷霧。

2023年剛剛過去的(de)(de)新冠抗(kang)疫(yi)就是發(fa)生在物(wu)理世(shi)界的(de)(de)一次真實(shi)的(de)(de)、沒有(you)硝煙的(de)(de)戰爭。中(zhong)(zhong)國政(zheng)府在抗(kang)疫(yi)過程中(zhong)(zhong)走出了中(zhong)(zhong)國抗(kang)疫(yi)模式，保(bao)證(zheng)中(zhong)(zhong)國經濟和社會秩序井(jing)然，展示了強大的(de)(de)應對能力(li)和組織執行力(li)，在全世(shi)界抗(kang)疫(yi)中(zhong)(zhong)交出來高(gao)水平的(de)(de)答(da)卷(juan)，贏得了世(shi)衛組織的(de)(de)高(gao)度認(ren)可(ke)。我們依據時間線來梳理一下這(zhe)次抗(kang)疫(yi)中(zhong)(zhong)的(de)(de)關鍵事件。

1.“吹哨人”在重災區武漢率先拉響警報，該病毒會危害人類健康導致死亡；

2.人類對該病毒基本屬于未知，暫無特效藥物，武漢選擇火速率先封城，切斷人員進出流動，避免擴散全國；

3.由于沒有被第一時間檢測和發現，封城之前實際上病毒攜帶人已經流出和逃逸，各地相繼出現病例，各地相繼宣布封城；

4.隨著感染案例持續擴散，各地開始停工停產，居家隔離，基于樓棟進行隔離，控制人員流動和擴散，并上門排查上報健康狀況，手動排查行程（是否有流動過或到過疫區），將癥狀者拉到專門的區域進行隔離；

5.科研機構開始緊急研究病毒，試圖了解病毒，搞清病毒源頭，病毒特征，治療方法和特效藥物等；

6.基于已有的知識開始上防護措施，要求戴口罩，洗手，酒精消毒，全社會教育推廣，旨在減少傳播；

7.監測各地新增病例以及治愈數據，開始逐步解封，復產復工；

8.科技手段核酸檢測和行程碼，健康碼等出現，大幅提升檢測效率，大大降低漏報、瞞報和繞過物理關卡導致的病毒流動可能性；

9.國外大規模爆發，各地封鎖海關，加強入境健康排查和隔離觀察；

10.防疫政策開始改變，不再大面積封城，只封鎖發現病例附近區域，清零后解封，最大保證社會經濟生活正常；

11.疫苗出現，全民開始推行接種，但由于病毒變種較多，也無法保證能免疫所有病毒，未知變種仍有感染的可能性（后續也驗證了）；

12.隨著病毒毒性減弱，全員放開，抗疫結束；

13.至今仍無產生新冠特效藥。

勒索(suo)病毒作(zuo)為虛擬世界的(de)病毒，除了(le)病毒的(de)載體和物理(li)世界的(de)新冠不同(tong)，其它基本(ben)上有相(xiang)當程度(du)的(de)相(xiang)似性：

1.都有極高的破壞性(xing)。新冠危(wei)害人的健康(kang)和生命，勒索病毒破壞數據的可用性(xing)和保密性(xing)；

2.都會出(chu)現(xian)大規(gui)模爆發的可(ke)能性。新冠危害(hai)社會安(an)全(quan)和經濟，勒索病(bing)毒(du)導致企業業務中斷；

3.都具有很強的(de)傳播(bo)能力。勒索病毒(du)甚至有很多是主動傳播(bo)；

4.都(dou)有大量的(de)未知(zhi)和(he)變種(zhong)，同(tong)時無法找到源(yuan)頭和(he)清理源(yuan)頭。

聯軟科技基于對勒索病(bing)毒特(te)點和市面上現(xian)有(you)解決方(fang)案的分(fen)析(xi)，我們發(fa)現(xian)如(ru)下問題：

現(xian)有方案基(ji)本都(dou)在強(qiang)調(diao)基(ji)于(yu)病(bing)毒(du)的(de)(de)檢(jian)測(ce)發現(xian)和響應能力(li)以及數(shu)據(ju)備份來(lai)構建方案，例如殺(sha)毒(du)強(qiang)調(diao)病(bing)毒(du)庫(ku)多少，病(bing)毒(du)庫(ku)更新多快，基(ji)于(yu)行為檢(jian)測(ce)的(de)(de)技(ji)術（各種DR，態感等）在強(qiang)調(diao)規則(ze)多，運(yun)算模型強(qiang)大，而數(shu)據(ju)備份也(ye)在強(qiang)調(diao)可以做到按天恢復數(shu)據(ju)。

但實際(ji)上(shang)勒(le)索(suo)病毒最(zui)難防(fang)(fang)范的(de)(de)地(di)方在(zai)于它的(de)(de)不(bu)確定(ding)性。由于其背后是巨大(da)的(de)(de)經(jing)濟(ji)(ji)利益(yi)，勒(le)索(suo)病毒基(ji)本(ben)已(yi)經(jing)形成(cheng)產業(ye)(ye)化，有專門的(de)(de)病毒研究、制造和主動傳播分工合作(zuo)，會針對當前的(de)(de)防(fang)(fang)御體(ti)系和防(fang)(fang)御技術(shu)，專門研究防(fang)(fang)御陣線漏洞和各種突(tu)破防(fang)(fang)御逃脫(tuo)制裁(cai)的(de)(de)方式。而(er)對比單一(yi)企(qi)(qi)業(ye)(ye)與勒(le)索(suo)產業(ye)(ye)團隊在(zai)安全力量(liang)上(shang)的(de)(de)配置，前者基(ji)本(ben)處于力量(liang)失(shi)(shi)衡，大(da)有道高一(yi)尺(chi)，魔高一(yi)丈的(de)(de)態勢。所以，企(qi)(qi)業(ye)(ye)的(de)(de)安全檢測響應防(fang)(fang)御防(fang)(fang)線屢被(bei)攻破，勒(le)索(suo)事件(jian)頻頻發生，不(bu)少企(qi)(qi)業(ye)(ye)經(jing)濟(ji)(ji)損失(shi)(shi)慘重。

其(qi)次(ci)基于數據(ju)備份的恢(hui)復技(ji)術，在遇到業(ye)務系統被(bei)加(jia)密時，即使數據(ju)備份到天(tian)，也難以快速(su)恢(hui)復業(ye)務。

基于以上原因，聯軟(ruan)科技(ji)結(jie)合物理世(shi)界戰(zhan)爭的(de)思維(wei)提出了基于防止企業大面(mian)積中(zhong)勒索病毒的(de)網(wang)絡安(an)全底座方案。

該方案具有如下特點：

1.基于戰爭思維，利(li)用網絡空(kong)間(jian)中的“地利(li)”與“人和(he)”，構(gou)建防御體系，不追(zhui)求(qiu)“零(ling)傷亡(wang)”，保(bao)證(zheng)主(zhu)力(li)部隊不會被殲滅，實現底線安全風險管控。

2.重點(dian)關注(zhu)業務(wu)連續性保護，通常企業由于大(da)規模中(zhong)勒索病(bing)毒導致生產業務(wu)停擺的損失遠(yuan)大(da)于勒索金(jin)額，這一點(dian)在當前很(hen)容易(yi)被忽視。

3.該(gai)方案基于網(wang)(wang)絡(luo)(luo)訪問控(kong)制(zhi)(zhi)技術(shu)，結合(he)軟件定義的(de)(de)策(ce)略(lve)，聯(lian)動網(wang)(wang)絡(luo)(luo)空間(jian)內的(de)(de)網(wang)(wang)絡(luo)(luo)設備（如交換機、防(fang)火墻(qiang)、網(wang)(wang)關等），可隨時(shi)按(an)需構造(zao)一個(ge)(ge)個(ge)(ge)靈活(huo)的(de)(de)隔離空間(jian)，通過(guo)切斷域的(de)(de)網(wang)(wang)絡(luo)(luo)訪問將病(bing)毒(du)(du)控(kong)制(zhi)(zhi)在隔離區(qu)域，控(kong)制(zhi)(zhi)病(bing)毒(du)(du)大規模擴(kuo)散和(he)橫向移動（新冠病(bing)毒(du)(du)的(de)(de)抗疫過(guo)程也(ye)驗證了這種隨時(shi)按(an)需隔離的(de)(de)措施(shi)是(shi)控(kong)制(zhi)(zhi)病(bing)毒(du)(du)擴(kuo)散的(de)(de)唯一有效(xiao)手段(duan)）。

4.通(tong)過重(zhong)要業務系統的備份(fen)域而不是數據(ju)備份(fen)，來保(bao)證主營業務的連續性。

5.在劃分域的基(ji)礎(chu)上，再通過域間訪問策(ce)略和通道(dao)的收斂，來(lai)降(jiang)低管(guan)控的難度，同時(shi)也便(bian)于可視化。

6.通過策略的可視化，來及(ji)時發現人(ren)為的配(pei)置(zhi)錯(cuo)誤(wu)，預測(ce)可能存在(zai)的配(pei)置(zhi)風(feng)險(xian)。

7.在訪問(wen)權限較大的(de)網管域，業務連續性影響較大的(de)備份域，設置(zhi)以主(zhu)(zhu)動欺騙技術為主(zhu)(zhu)的(de)產品，加強對(dui)勒索病毒的(de)發現。