教育部網(wǎng)站：勒索病毒影響被某業(yè)企業(yè)為商業(yè)目的惡意擴(kuò)大

　　備受矚目的勒索病毒網(wǎng)絡(luò)攻擊事件還在繼續(xù)發(fā)酵。從5月12日起，這個(gè)名為“WannaCry /Wcry”的始作俑者不僅讓人們?cè)俅我?jiàn)識(shí)到了網(wǎng)絡(luò)病毒蔓延全球的厲害，也將校園教育網(wǎng)絡(luò)體系推向了輿論的風(fēng)口浪尖。

　　事件爆發(fā)伊始，諸如“中國(guó)此次遭受攻擊的主要是教育網(wǎng)用戶”，“整個(gè)教育行業(yè)損失非常嚴(yán)重”，“大量準(zhǔn)畢業(yè)生的畢業(yè)設(shè)計(jì)，論文材料被加密，導(dǎo)致無(wú)法完成論文答辯”等說(shuō)法頻頻見(jiàn)諸媒體報(bào)道之中。

　　5月15日，作為教育部管理的全國(guó)非營(yíng)利性教育互聯(lián)網(wǎng)主干網(wǎng)，中國(guó)教育和科研計(jì)算機(jī)網(wǎng)刊發(fā)《關(guān)于教育網(wǎng)“大面積感染勒索病毒”不實(shí)報(bào)道的嚴(yán)正聲明》(以下稱(chēng)《聲明》)稱(chēng)，以上這些說(shuō)法是“國(guó)內(nèi)某些安全廠商卻出于自己的商業(yè)目的，連續(xù)發(fā)表不實(shí)言論和所謂技術(shù)報(bào)告，或無(wú)中生有，捏造事實(shí)，或惡意放大該病毒的影響”，“這些失實(shí)的言論已經(jīng)嚴(yán)重誤導(dǎo)輿論，引起部分高校師生的恐慌，影響了正常的教學(xué)和生活秩序。”

　　《聲明》稱(chēng)，截至5月14日中午，根據(jù)中國(guó)教育和科研計(jì)算機(jī)網(wǎng)ERNET網(wǎng)絡(luò)中心對(duì)各高校用戶的不完全統(tǒng)計(jì)，在近1600個(gè)高校用戶中，確認(rèn)感染病毒的高校僅66所，占比4%，僅涉及數(shù)百個(gè)IP地址。由于連接教育網(wǎng)的各高校校園網(wǎng)大多采用多出口模式，在被病毒感染的66所高校中，通過(guò)教育網(wǎng)感染病毒的高校僅有5所，通過(guò)其他運(yùn)營(yíng)商網(wǎng)絡(luò)感染病毒的高校39所，無(wú)法確定感染病毒途徑的高校22所。

　　教育網(wǎng)安全應(yīng)急響應(yīng)組CCERT5月14日對(duì)國(guó)際相關(guān)權(quán)威數(shù)據(jù)的分析(sinkhole 域名查詢(xún)?nèi)罩?。 教育網(wǎng)應(yīng)急響應(yīng)組CCERT 圖

　　在接受中國(guó)青年報(bào)?中青在線記者采訪時(shí)，中國(guó)教育和科研計(jì)算機(jī)網(wǎng)應(yīng)急響應(yīng)組CCER負(fù)責(zé)人、清華大學(xué)網(wǎng)絡(luò)科學(xué)與網(wǎng)絡(luò)空間研究院教授段海新說(shuō)，經(jīng)教育網(wǎng)安全應(yīng)急響應(yīng)組CCERT對(duì)國(guó)際相關(guān)權(quán)威數(shù)據(jù)的分析(sinkhole 域名查詢(xún)?nèi)罩?，教育和科研網(wǎng)上的各高校用戶感染病毒的比例很低，估計(jì)僅占國(guó)內(nèi)感染病毒總量的1%，與其他運(yùn)營(yíng)商相比，這個(gè)數(shù)字遠(yuǎn)談不上重災(zāi)區(qū)。

　　勒索病毒爆發(fā)以來(lái)，有人將部分校園網(wǎng)被感染、被攻擊的原因歸結(jié)于教育網(wǎng)沒(méi)有在主干網(wǎng)封住445端口造成的。對(duì)此《聲明》稱(chēng)，此次感染勒索病毒的最主要原因是“用戶Windows系統(tǒng)沒(méi)有及時(shí)升級(jí)存在漏洞”造成的，而不是由于主干網(wǎng)沒(méi)有封堵445端口造成的。

　　《聲明》提到，按照國(guó)際互聯(lián)網(wǎng)技術(shù)規(guī)范，互聯(lián)網(wǎng)TCP端口應(yīng)為眾多互聯(lián)網(wǎng)應(yīng)用提供開(kāi)放的接口能力，除非緊急情況需要，互聯(lián)網(wǎng)運(yùn)營(yíng)商一般不應(yīng)該、也不會(huì)隨意封堵主干網(wǎng)TCP端口。即便封堵，一般運(yùn)營(yíng)商也不會(huì)在主干網(wǎng)，而是由用戶(如校園網(wǎng)或企業(yè)網(wǎng))根據(jù)自身需要在接入主干網(wǎng)的邊緣采取訪問(wèn)控制措施(例如封堵某些TCP端口)。另外，目前用戶上網(wǎng)具有非常強(qiáng)的移動(dòng)性，指望在運(yùn)營(yíng)商主干網(wǎng)上封堵某個(gè)端口就能保護(hù)用戶計(jì)算機(jī)安全，是不現(xiàn)實(shí)和不專(zhuān)業(yè)的。

　　更為重要的是，在段海新看來(lái)，片面強(qiáng)調(diào)封堵有可能導(dǎo)致更嚴(yán)重的風(fēng)險(xiǎn)：“個(gè)別校園網(wǎng)因片面強(qiáng)調(diào)端口封堵被誤導(dǎo)，因?yàn)榭只盼锢頂嗑W(wǎng)，可能導(dǎo)致更多有漏洞的機(jī)器感染且被加密”，段海新說(shuō)。

　　當(dāng)天發(fā)布的《聲明》還提到：事實(shí)上，目前確有一些高校使用445端口提供網(wǎng)絡(luò)信息服務(wù)，因此教育網(wǎng)盡管沒(méi)有在今年4月后封堵主干網(wǎng)445端口，但是一直在密切監(jiān)測(cè)主干網(wǎng)445端口的流量變化情況。一批連接教育網(wǎng)的高校在今年4月發(fā)現(xiàn)Windows某些版本漏洞后，是在封堵445等端口的同時(shí)迅速組織力量修補(bǔ)Windows某些版本漏洞，確保不被感染。而另一些僅連接運(yùn)營(yíng)商主干網(wǎng)的高校由于沒(méi)有及時(shí)修補(bǔ)Windows某些版本漏洞，還是被感染了勒索病毒。

　　段海新告訴記者，“由此可見(jiàn)，并不是運(yùn)營(yíng)商封堵445端口，而是盡快完成各類(lèi)用戶Windows系統(tǒng)軟件的升級(jí)或修復(fù)漏洞，才是防范勒索病毒的根本措施?！?/p>