5月12日開始，勒索病毒相繼攻擊了全球100多個(gè)國(guó)家和地區(qū)。

5月18日，勒索病毒肆掠一周后，國(guó)家電網(wǎng)公司對(duì)外發(fā)布了一則消息：截至目前，公司信息系統(tǒng)運(yùn)轉(zhuǎn)正常，未發(fā)生重要數(shù)據(jù)資產(chǎn)被加密勒索、業(yè)務(wù)中斷等安全事件，有力支撐了“一帶一路”國(guó)際合作高峰論壇的保電工作。

對(duì)于一個(gè)高度集成了控制技術(shù)和信息通信技術(shù)的大型企業(yè)來(lái)說(shuō)，高度的智能化就意味著遭受網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)會(huì)成倍增加。在許多大企業(yè)，從事網(wǎng)絡(luò)信息安全的部門更像是一支“神秘部隊(duì)”，那么，在這場(chǎng)勒索病毒的“阻擊戰(zhàn)”中，國(guó)家電網(wǎng)公司的“神秘部隊(duì)”又做了些什么？

國(guó)網(wǎng)甘肅省電力公司成功“阻擊”勒索病毒的故事，不僅在國(guó)家電網(wǎng)系統(tǒng)頗具代表性，對(duì)國(guó)內(nèi)眾多大企業(yè)而言也不乏借鑒意義。

截至5月22日，國(guó)內(nèi)多家著名網(wǎng)絡(luò)公司發(fā)布了針對(duì)此次勒索病毒的安全“補(bǔ)丁”和修復(fù)工具，風(fēng)險(xiǎn)得到有效控制。

“最好的‘補(bǔ)丁’和修復(fù)工具都只能亡羊補(bǔ)牢。” 在勒索病毒爆發(fā)后，國(guó)網(wǎng)甘肅電力科技信通部信息處副處長(zhǎng)閆曉斌曾和同事們一起連續(xù)鏖戰(zhàn)了40多個(gè)小時(shí)，在他看來(lái)，嚴(yán)密的安防體系才是最好的“補(bǔ)丁”，最好的網(wǎng)絡(luò)安全就是千方百計(jì)避免損失。

國(guó)網(wǎng)甘肅電力有5萬(wàn)多臺(tái)終端設(shè)備，此次勒索病毒有著不斷掃描、自行復(fù)制的特點(diǎn)，只要入侵其中的1臺(tái)，就會(huì)在企業(yè)的內(nèi)網(wǎng)不間斷重復(fù)感染。

5月15日周一上班時(shí)，在病毒入侵和擴(kuò)散的關(guān)鍵時(shí)間節(jié)點(diǎn)，當(dāng)全省近3萬(wàn)名電力職工打開電腦后未發(fā)現(xiàn)異常時(shí)，他們或許不知道，在此前的50多個(gè)小時(shí)內(nèi)，由國(guó)網(wǎng)甘肅省電力公司下屬單位100多人組成的“網(wǎng)絡(luò)與信息安全部隊(duì)”利用兩天的休息日，持續(xù)在服務(wù)器、網(wǎng)絡(luò)通道、終端三方面果斷采取措施，加強(qiáng)監(jiān)控、升級(jí)系統(tǒng)、防堵漏洞。

“阻擊病毒入侵靠的是應(yīng)急預(yù)案，而有效實(shí)施預(yù)案，靠的是常規(guī)、嚴(yán)密的安防體系。”在技術(shù)方面，他們依靠?jī)?nèi)外網(wǎng)物理隔離措施，確保互聯(lián)網(wǎng)與電網(wǎng)核心業(yè)務(wù)的隔離；在服務(wù)器、網(wǎng)絡(luò)通道、終端設(shè)備建立全覆蓋的防護(hù)手段，一旦監(jiān)測(cè)到可疑程序自動(dòng)啟動(dòng)防護(hù)措施，任何一個(gè)可疑郵件、可疑U盤，都會(huì)被成功攔截。在安監(jiān)、檢修、營(yíng)銷、調(diào)控和信通五大專業(yè)領(lǐng)域和省、市、縣三級(jí)機(jī)構(gòu)，都有專人24小時(shí)負(fù)責(zé)網(wǎng)絡(luò)安全。

病毒緣于“黑客”，企業(yè)也必須有“反黑客”的組織體系。國(guó)網(wǎng)甘肅電力有個(gè)網(wǎng)絡(luò)安全專家小組，適時(shí)緊盯各類病毒動(dòng)向，隨時(shí)制定預(yù)警、應(yīng)急的處置方案。隨著眾多新業(yè)務(wù)的接入，電網(wǎng)安全邊界和隱患風(fēng)險(xiǎn)成倍增加。據(jù)統(tǒng)計(jì)，國(guó)網(wǎng)甘肅電力在2016年監(jiān)測(cè)并攔截的高風(fēng)險(xiǎn)病毒攻擊就達(dá)到了百萬(wàn)次規(guī)模，高峰時(shí)間的網(wǎng)絡(luò)攻擊頻次甚至按“秒”來(lái)統(tǒng)計(jì)。

面對(duì)各類網(wǎng)絡(luò)病毒，企業(yè)的網(wǎng)絡(luò)安全“警察部隊(duì)”隨時(shí)處于應(yīng)戰(zhàn)狀態(tài)。

5月10日，甘肅舉行省電力信息通信運(yùn)行安全技能大賽，國(guó)網(wǎng)甘肅電力派出了參賽選手。當(dāng)天，來(lái)自省總工會(huì)、人社廳、科技廳、工信委和國(guó)資委等部門的領(lǐng)導(dǎo)目睹了一場(chǎng)特殊的網(wǎng)絡(luò)攻防戰(zhàn)。

比賽按照紅、藍(lán)雙方分組編隊(duì)，其中的紅隊(duì)不斷對(duì)藍(lán)隊(duì)的電腦程序發(fā)起攻擊，只見LED大屏上，全屏的代碼中不斷被插入一行、一段的蠕蟲病毒代碼，但隨之又被“秒殺”。國(guó)網(wǎng)甘肅電力科技信通部副主任段軍紅解釋說(shuō)，“紅隊(duì)模擬黑客進(jìn)行安全滲透，而藍(lán)隊(duì)必須進(jìn)行適時(shí)的攔截。”

據(jù)了解，國(guó)網(wǎng)甘肅電力很早就在企業(yè)內(nèi)部組建了“紅藍(lán)隊(duì)組織”，紅隊(duì)的使命就是持續(xù)追蹤并模擬各類黑客的惡意攻擊，向電網(wǎng)運(yùn)行發(fā)起高風(fēng)險(xiǎn)的滲透測(cè)試；而藍(lán)隊(duì)的使命，就是辨認(rèn)、攔截、刪除、反滲透、一鍵秒殺。

巧的是，大賽結(jié)束后的第二天晚上，勒索病毒開始席卷全球，國(guó)網(wǎng)甘肅電力參加了大賽的職工告別賽場(chǎng)就成為企業(yè)阻擊病毒的主力，得到了實(shí)戰(zhàn)檢驗(yàn)。