勒索病毒全球大爆发公共危机管理相关

　　课 程 论 文

　　公共危机管理课程作业——“比特币勒索病毒”为例

　　学 院: 财税与公共管理学院

　　年 级: 2015级

　　专 业: 行政管理

　　姓 名: 张伟、罗秋雯、鄢丹蕾、陆鸣

　　课程老师: 李胜

　　二〇一七年五月

　　《公共危机管理》课程论文 摘要：此案例是公共危机管理的课程作业，本案例是针对2017年5月12号勒索病毒爆发，运用公共危机管理学的相关知识，对此次事件进一步进行介绍和分析，并参照以往国内外类似事件的处理办法，提出解决此次比特币勒索病毒的方案。 关键词：勒索病毒；高校；网络

　　一、勒索病毒全球大爆发：暴露高校等内网安全意识短板

　　（一）案情介绍：

　　5月12日，一个全球性的勒索病毒惊扰了整个周末，一款名为WannaCry（想哭）的勒索病毒来袭，全世界都陷入了恐慌之中。WannaCry勒索病毒在全球多个国家蔓延，国内多所高校的网络遭受到勒索病毒的攻击，大量学生毕业论文等重要资料被病毒加密，只有支付赎金才能恢复。据了解，受到该病毒影响的不仅仅是校园网，还包括部分企事业单位。受到比特币勒索病毒的影响，部分单位电脑全部瘫痪。三天的时间里，150个国家的超过30万台电脑感染被“勒索”，我国国内共出现29000多个感染勒索病毒的IP。5月14日，国家网络与信息安全信息通报中心紧急通报：监测发现，在全球范围内爆发的WannaCry勒索病毒出现了变种：WannaCry2.0，与之前版本的不同是，这个变种不能通过注册某个域名来关闭变种勒索病毒的传播，该变种传播速度可能会更快。北京市委网信办、北京市公安局、北京市经信委也联合发出《关于WannaCry勒索蠕虫出现变种及处置工作建议的通知》。该通知要求各单位立即组织内网检测，一旦发现中毒机器，立即断网处置，严格禁止使用U盘、移动硬盘等可执行摆渡攻击的设备。欧盟刑警组织下属的欧洲网络犯罪中心5月13日表示，此次勒索病毒攻击的规模之大前所未有，需要通过复杂的国际调查寻找犯罪嫌疑人，欧盟刑警组织已和多国合作对此次攻击展开调查。美联社5月15日报道，在新一周的首个工作日，又有成千上万用户感染病毒，其中大多分布在亚洲地区。勒索病毒在上周五锁定医院、工厂、政府机构、银行等部门的电脑时，亚洲的许多部门已经停止营业。 此次勒索软件的主角“WannaCry”，它会扫描开放445文件共享端口的

　　Windows机器，无需用户任何操作，只要开机上网，不法分子就能在电脑和服务器中植入执行勒索程序、远程控制木马，需要用户使用比特币解锁文件。很多用户产生了恐慌心理。

　　截至新闻记者发稿时，包括英国、意大利、俄罗斯等多个国家感染病毒。在国内，阿里云安全部门发布报告称，我国受灾最严重的属于大量行业企业内网，教育网受损严重，攻击造成了教学系统瘫痪、甚至包括校园一卡通系统。

　　一旦闻到了猎物的血腥味，成群的鲨鱼会围上来。360针对校园网勒索病毒事件的监测数据显示，国内首先出现的是ONION病毒，平均每小时攻击约200次，夜间高峰期达到每小时1000多次；Wncry勒索病毒则是5月12日下午新出

　　2

　　《公共危机管理》课程论文 现的全球性攻击，并在中国的校园网迅速扩散，夜间高峰期每小时攻击约4000次。

　　许多师生的电脑文件被病毒加密，只有支付赎金才能恢复，由于正值高校毕业季，勒索病毒已造成一些应届毕业生的论文被加密篡改，直接影响到毕业答辩。 这次勒索蠕虫事件爆发之后，家庭终端中招者相对较少，因为运营商在网络上限制了对445端口的访问，另外云计算用户也处于相对安全的状态。

　　“勒索病毒”在校园网传播速度之快，影响面之大主要原因是当前大部分学校基本是一个大的内网互通的局域网，不同的业务未划分安全区域。例如：学生管理系统、教务系统等都可以通过任何一台连入的设备访问。同时，实验室、多媒体教室、机器IP分配多为公网IP，如果学校未做相关的权限限制，所有机器直接暴露在外面。

　　这次事件也直接反应出高校在校内网的安全管理上存在漏洞。

　　大连海事大学直接在微博上发文解释病毒成因，并在微博留言中号召学生尽量不要使用校内网。目前受影响的还有山东大学、贺州学院、桂林电子科技大学、桂林航天工业学院以及广西等地区的大学。

　　图1.大学官微呼吁同学们不要使用校园网

　　3

　　《公共危机管理》课程论文 （二）影响范围：

　　北京大学为例，在学校已经发现几起病毒感染事件后，5月13日，北京大学计算中心发布了《关于防范5月12日电脑勒索病毒的紧急通知》。通知除了介绍病毒产生的背景外，提示广大校内网用户注意以下几点：为计算机安装最新的安全补丁，并提示微软已经发布了漏洞补丁；关闭445、135、137、138、139端口、关闭网络共享；定期对电脑中的文件进行备份；强化网络安全意识：不明链接不要点击、不明文件不要下载、不明邮件不要打开。这些措施基本都是起到预防效果，对于那些已经感染病毒的同学，除了重装系统，他们几乎没有特别好的解决办法。

　　而目前教育部官方网站上，还没有任何关于该病毒的风险提示。这次病毒勒索的影响力和影响范围都是“可以载入史册的。”同时，学校医院等企业成为主要的攻击对象，还在于“他们的安全系统薄弱、安全意识滞后，认为内网就是安全的。”阿里云安全部人士向界面新闻记者分析，这次出事的很多都是组织内部的IT环境，一般这些都是组织自己搭建IT构架，或者报给IT方案提供商。 最明显的例证是，很多学校、加油站都还在使用微软停止补丁更新的XP系统，根本没有办法讨论安全问题。

　　这是一起本不该发生的事件，Windows 系统远程共享445端口的漏洞也不是今天才发现的，在安全领域，445远程需要关闭也强调过多次。2017年3月，445端口漏洞就曾被曝光。一个名为“Shadow Brokers” 的黑客组织泄露了机密文档，其中包含了多个对Windows系统的远程漏洞利用工具，可以覆盖70%以上的服务器。微软已经及时发布了该漏洞补丁。

　　有人用“网络大地震”来形容该漏洞发生时的严重程度。考虑到Windows系统 SMB/RDP远程命令执行漏洞的危险性，国内外不少云服务厂商都在4月封掉了445端口。但全球不少个人电脑、IDC物理机房仍存在大量暴露着445端口的机器，这给了黑客可乘之机。黑客在微软补丁发布后、企业个人打补丁前的“时间差”，发动了这次恶意满满的攻击。就是这样一个严重的漏洞，却并没有引起高校内网和网络安全管理人员的重视，至少从这次受损的高校互联网网络来看。有很多个人用户甚至有直接关闭Windows补丁自动更新的电脑使用习惯。

　　阿里云安全人员分析称，因为445是个网络共享端口，一般学校等组织的局域网会开放用于共享文件。尽管理论上，这些组织都是内网，不是直接暴露在公共互联网下。但这个病毒的传播方式是具备传染能力的，所以一旦内网某个机器感染，就会成片扩散。

　　因此也不是说公共互联网就不安全，物理内网就是安全的。关键还是看内网的安全策略，以及内网是不是有“安全守夜人”。而这并不是第一次发生数据库勒索事件了。

　　4

　　《公共危机管理》课程论文 2017年1月，阿里云就曾发布一次MongoDB数据库发起大规模攻击的预警。并给出了预防进攻的方法。卡巴斯基在2016年12月份发布的年度热门事件：加密勒索报告显示，截止到2016年，全球有114个国家受到加密勒索事件的影响，共发现44000多个勒索软件样本。在整个2016年的黑客攻击事件监控中，教育也成为了受到黑客攻击最多的行业：

　　图2.黑客攻击的行业排名

　　亚信安全发布的勒索软件风险研究报告显示，近十个月内，全球传播的勒索软件数量增长了15倍，中国勒索软件数量增长更是突破了67倍。

　　从这些有类似特性的勒索案件中，被勒索软件入侵略的受害者基本都有两大共性：关键账号存在弱口令或无认证机制：服务器登录关键账号（root、

　　administrator）密码简单或空密码；数据库（Redis、MongoDB、MySQL、MSsql Server）等相关重要业务服务直接可以无密码登录。业务直接“裸奔”在互联网上：RDP、SSH、Redis、MongoDB、MySQL、MSsql Server等高危服务直接裸奔在互联网上。

　　而学校、加油站、医院等正好属于高危群体。除了提醒学生注意上网安全，各企业单位内网管理者还可以有以下方法考虑提升内网的安全性：

　　专业的事情交给专业的人：企业可以招聘获得专业云计算人才证书，真正懂行的人来做。比如，美国计算机协会推出的CompTIA Cloud Essentials 证书、云安全联盟提供的云安全知识认证（CCSK）、和云计算大厂推出的专业人才认证。、 引入第三方安全团队：以更低的成本解决问题（包括学习、开发、运维等成本），可以引入靠谱的第三方安全团队，协助企业完善安全机制，排查潜在安全风险，防范于未然。选用强安全性产品：不少开源软件的企业版都会特别做安全考虑。如果还是选用开源软件，可以自行配置相应的安全产品。安全补丁对个人用户来说相对简单。只需自学装载，就能完成止血。但是对大型企业or

　　组织机构而言，

　　5

　　WannaCry勒索病毒爆发后，150多个国家、超30万PC中招。传播程度之广泛、危害程度之大，近数十年罕见。也再次让全球所有PC用户意识到，更新补丁，及时修复漏洞的重要性。由于政府、学校加油站单位内网纷纷受到侵害很多人误以为那些还在使用Windows XP系统的电脑被感染最多，因为微软此前早已放弃这一老系统的支持，而且印象中这些单位机构疏于系统更新，而且偏爱XP。根据Net Applications的统计数据，目前全球Windows XP系统份额依然高达7.04%，超过1.4亿台电脑还在使用。但事实情况是，中毒的XP电脑仅占很小一部分比例，微乎其微，Windows 7才是最大受害者。从图表来看，Windows 7 64位系统是此次病毒感染的重灾区，比例高达60.35%，32位系统占比为31.72%。Windows 7家庭版（包括32位/64位）占比为6.28%。也就是说，所有受感染的Windows 7 PC，共计占比达到98.35%。排名第二的是是Windows 2008 R2 Server，Windows 10、Windows XP的感染比例几乎可以忽略不计。

　　二、熊猫烧香案例分析

　　（一）概念解析

　　熊猫烧香是一种恶性的计算机病毒，是一种蠕虫病毒的变种，

　　经过多次变种

　　6

　　《公共危机管理》课程论文 而来的，由于中毒电脑的可执行文件会出现“熊猫烧香”图案，所以也被称为 “熊猫烧香”病毒。但原病毒只会对EXE图标进行替换，并不会对系统本身进行破坏。而大多数是中等病毒变种，用户电脑中毒后可能会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。同时，该病毒的某些变种可以通过局域网进行传播，进而感染局域网内所有计算机系统，最终导致企业局域网瘫痪，无法正常使用，它能感染系统中exe，com，pif，src，html，asp等文件，它还能终止大量的反病毒软件进程并且会删除扩展名为gho的备份文件。被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。

　　除通过网站带毒感染用户之外，此病毒还会在局域网中传播，在极短时间之内就可以感染几千台计算机，严重时可以导致网络瘫痪。中毒电脑上会出现“熊猫烧香”图案，所以也被称为“熊猫烧香”病毒。中毒电脑会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。

　　（二）基本案情

　　被告人李俊于 2003 年开始自学计算机编程技术，并经常向自己的好朋友、也是本案被 告人之一的雷磊请教。2006 年 10 月，被告人李俊从武汉某软件技术开发培训学校毕业后， 便将自己以前在国外某网站下载的计算机病毒源代码调出来进行研究、修改，在对此病毒进 行修改的基础上完成了“熊猫烧香”电脑病毒的制作，并采取将该病毒非法挂在别人网站上 及赠送给网友等方式在互联网上传播。“熊猫烧香”病毒具有本机感染功能、局域网感染功 能及 u 盘感染功能，并能中止许多反病毒软件和防火墙的运行，中了该病毒的电脑会自动链 接访问指定的网站、下载恶意程序等。其后，李俊请雷磊对该病毒提修改建议。雷磊认为该 病毒存在两个问题，一是改变被感染文件的图标，二是没有隐藏病毒进程。电脑感染了该病 毒后，很容易被电脑用户发现，建议李俊从这两个方面对“熊猫烧香”病毒进行修改，但没 有告诉李俊具体的修改方法。2006 年 11 月中旬，李俊在互联网上叫卖该病毒，同时也请被 告人王磊及其他网友帮助出售该病毒。王磊、李俊及其网友一共卖出了约三十个“熊猫烧香” 病毒。其中，王磊帮李俊卖出了三个“熊猫烧香”病毒，并先后三次共汇款给李俊人民币 1450 元。此外，李俊还赠送给其他网友约十个“熊猫烧香”病毒。随着病毒的出售和赠送 给网友，“熊猫烧香”病毒迅速在互联网上传播，导致自动链接访问李俊个人网站的流量大 幅上升。王磊得知此情形后，提出为李俊卖“流量”，并联系被告人张顺购买李俊网站的“流 量”，所得收入由王磊和李俊平分。为了提高访问李俊网站的速度，减少网络拥堵，王磊和 李俊商量后，由王磊化名董磊为李俊的网站在南昌锋讯网络科技有限公司租了一个 2G 内存、 百兆独享线路的服务器，租金由李俊、王磊每月各负担 800 元。张顺购买李俊网站的流量后， 先后将九个游戏木马（也就是盗号木马）通过互联网发给王磊，王磊将这九个游戏木

　　7

　　《公共危机管理》课程论文 马转发 给李俊，然后由李俊将这九个游戏木马挂在其个人网站上，盗取自动链接访问其网站的游戏 玩家的“游戏信封（即含有游戏账号和密码的电子邮件）”，游戏木马将盗取的“游戏信封” 自动地发给张顺，张顺则将盗取的“游戏信封”进行拆封、转卖，从而获取利益。 2006 年 12 月初，李俊按照雷磊的建议修改“熊猫烧香”病毒，由于技术方面的原因， 修改后的病毒虽然可以不改变别人的图标，但会使别人的图标变花、变模糊，并且隐藏病毒进程问题也没解决。尽管没有完全解决雷磊提出的两个问题，李俊还是将修改后的病毒挂在 其个人网站上，但修改后的病毒没有卖给别人，也没有赠送给他人。 2007 年 1 月下旬，被告人雷磊得知网警在抓“熊猫烧香”病毒的制作者，便通过电话 和网络联系李俊，但没有联系上。2007 年 1 月 24 日，雷磊到李俊的租住屋将此消息告诉李， 并和李一起离开租住屋住进武汉市逸宝宾馆。在宾馆里，雷与其在新疆的同学联系准备带李 到新疆去避风，但因故没有成行（关于这一情节，检察院起诉书没有指控）。尔后，二人又 从逸宝宾馆转至房价相对较低的武汉市京都宾馆。在京都宾馆，雷磊亲自在手提电脑上对李 俊修改后的“熊猫烧香”病毒再进行修改，也没能解决图标变花及隐藏病毒进程问题。 从 2006 年 12 月至 2007 年 2 月，通过“熊猫烧香”病毒的传播，李俊获利 145149 元， 王磊获利 80000 元，张顺获利 12000 元。“熊猫烧香”病毒的传播，导致北京、上海、天津、 山西、河北、辽宁、广东、湖北等省市众多单位和个人的计算机不能正常运行。2007 年 2 月 2 日，李俊将其网站关闭，之后再未开启该网站。 公诉机关认为，被告人李俊、王磊、张顺、雷磊故意制作、传播计算机病毒，影响计算 机系统的正常运行，后果严重，其行为均已构成破坏计算机信息系统罪。

　　（三）危害及影响

　　此次熊猫烧香病毒的包发以及造成了实际的危害性，最后到对被告定罪量刑，不仅暴露出计算机信息系统的缺陷，更解释出国家防御体制的落后和漏洞，应对日趋庞大的计算机病毒产业链，不仅是计算机开发者的任务，更是行政人员和法律工作者义不容辞的责任。

　　（四）解决办法

　　1.立法机关找准计算机病毒和木马程序的法律定位

　　本案判决暴露出的一大问题是，目前我国计算机病毒方面的规定落后于实践，根据现行的法律法规，窃取用户计算机系统内数据的木马程序目前不算是一种病毒。国务院颁布的《中华人民共和国计算机信息系统安全保护条例》以及公安部第51号令规定的《计算机病毒防治管理办法》都对计算机病毒进行了定义，但是整个定义显然过时了，现在留校的病毒侧重点并不在于破坏计算机功能或者毁坏数据，而是在于盗取计算机存储的数据，或者强制安装某些软件达到商业目的。

　　2.执法机关与网络公司强强联手

　　8

　　《公共危机管理》课程论文 在立法机关明确了计算机病毒和木马程序的法律定为后，离对犯罪嫌疑人给出准确的定罪量刑还有一段距离。因为执法机关在对虚拟世界犯罪的操作上还是有很大困难，包括收集证据，赔偿的标准和计算方法等。

　　由于自身的限制，执法机关无法全面了解真实情况，无法客观全面搜集证据，而各大软件公司和网络游戏公司拥有自身先进的技术优势和信息资源直接掌握的有事。所以，各大公司应该提高自己的社会觉悟，本着对社会负责对自己消费者负责的觉悟，把自己掌握的资源积极和执法机关分享，在执法机关调查取证时，尽量开“绿灯”，以并完成对涉及虚拟世界案件的调查取证，从而准确定罪 工具软件安装。至5月14日中午，对该中心全部近800台内外网计算机都进行了加固防护处理。

　　同时，该中心信息部为保障全省各级交易中心与省公共服务平台、省公共服务平台与国家平台的正常数据传输，于5月14日关闭所有数据传输通道，要求并指导各级交易中心在5月15日完成对自身应用系统的安全加固并书面上报加固情况后，逐步更新与各交易中心的数据传输通道，并在全过程中与国家信息中心保持信息通畅，及时了解国家平台工作进度，截止5月15日夜间，贵州省共向全国公共资源交易平台传输数据1034条，数据及时率100%，合格率100%。 5月16、17日 ，该中心继续跟踪勒索病毒动态，及时根据最新发布的各类安全工具应对病毒2.0相关事宜。

　　5月18日，在完成了各类信息化设备的安全加固工作后，该中心召开针对本次病毒事件的工作会议，总结经验并安排部署此后针对此类事件的防范与应对手段，强调要以如履薄冰、如临深渊的心态抓好网络安全工作，进一步提升安全意识和管理意识，增强网络安全的防范意识，切实履行好信息化建设的保驾护航作用。

　　三、比特币勒索病毒出现后各行业各部门的处理办法

　　（一）安装安全卫士软件

　　勒索病毒自袭击以来，各大安全卫士软件纷纷亮出看家本领，拿出解决办法。

　　1.腾讯反病毒实验室—如何应对wannacry勒索病毒

　　马劲松表示，腾讯安全反病毒实验室也在跟进研究，同时呼吁行业在捕获确切证据之前，不要过度渲染新病毒变种的危害，以免给用户造成不必要的恐慌。 对于这些勒索病毒，事前的预防远比事后的补救来得重要。用户需要养成良好的安全意识，不随意打开不明来源的附件或链接，也不要随意下载运行小网站和网盘上分享的电脑软件或手机应用。日常生活中，建议使用腾讯电脑管家、腾讯手机管家等安全类产品，实时保护电脑和手机的安全。遇到不确定的文件，也可以上传到哈勃分析系统检查是否安全。

　　9

　　《公共危机管理》课程论文 2.针对网络勒索攻击，360安全卫士紧急为全国用户提供应急措施，能够一键扫描修复NSA黑客武器攻击的漏洞，关闭XP等无补丁系统的高危端口，并全面拦截勒索病毒。

　　自从互联网上出现比特币勒索病毒以来，360安全卫士在过去三年间深耕勒索病毒防护技术，云安全主动防御体系持续升级拦截机制，创新推出文档保护功能、反勒索服务等一系列安全措施，为用户全面防御勒索病毒。

　　目前勒索病毒仍在持续攻击，存在漏洞的机器如果开机联网，会面临着资料被强行加密锁死的危险。请您转告亲朋好友，及时为电脑安装360安全卫士，自动免疫勒索病毒的远程攻击，以免个人数据遭遇损失。

　　360安全卫士离线救灾版：https://http://www.wendangwang.com/setup_jiuzai.exe 360企业安全发布紧急处置方案

　　目前勒索蠕虫病毒已经严重影响教育、医疗、交通等多个重要行业和政府机构，360企业安全现已发布紧急安全处置方案。

　　（二）购买绑架险

　　保险公司指出，类似WannaCry这样的勒索病毒让企业蒙受损失，为了挽回损失，一些没有购买网络险的企业重启购买政策，保险内容覆盖绑架、勒索和敲诈。购买网络险费用很高，在美国之外并不是特别流行，保险公司之前曾透露说，购买数据泄露保险服务时，投资10万美元可以获得100万美元赔偿。企业用绑赎险应对一些企业想都没有想过购买此类保险，因为它们认为自己不会成为攻击目标。

　　绑架险（又叫作KR coverage，即绑赎险）一般被跨国企业使用，它们用绑赎险保护某些地区的员工，这些地区石油和采矿业发达，暴力事件很多，比如非洲和拉美一些地区。

　　如果遭到WannaCry攻击，企业也可以用绑赎险挽回损失。WannaCry攻击用恶意软件（也就是勒索病毒）锁定20多万台计算机，波及150多个国家，黑客要求计算机用户支付赎金才能解锁。

　　保险公司认为，与传统网络险相比，如果遭到勒索攻击用绑赎险挽回损失，获赔的资金可能低一些，政策也没有那么匹配。

　　尽管如此，绑赎险可能只是权宜之计，因为它不是针对勒索软件设计的。保险公司指出，企业可以再购买营业中断险，不过赔付的最高额度一般比网络险低。 经纪商还说，提供绑赎险的保险公司已经修改政策，为勒索软件受害者支付赔偿金，一些保险公司甚至为客户设立比特币帐户，加快赎金的支付速度。不过保险公司已经开始重视自身风险。Willis Towers Watson PLC全球网络风险主管戴高斯提诺说，一些企业增加了免赔额。AIG也对政策做出调整，如果购买绑赎险中的营业中断类别，遭遇网络敲诈勒索事件最高只能赔100万美元，金额下

　　10

　　《公共危机管理》课程论文 调。AIG网络安全保险全球主管特蕾西格雷拉(Tracie Grella)说：“保险公司没有料到勒索软件如此猖獗。”

　　（三）公共部门的应对

　　1.满洲里财政局的应对方法

　　为保证我市财政数据及办公网络的安全，网络中心主动出击，积极防御勒索病毒。

　　由于部分终端用户没有及时修补漏洞的习惯，以及财政内网计算机不能连接互联网，不能及时修复最新漏洞，加上部分用户仍在使用已经停止更新服务的WindowsXP系统，无法获得补丁。因此，本次网络蠕虫类的勒索病毒对这些终端造成重大威胁！为此，网络中心全员出动，迅速进行了多项防范措施：

　　在5月14日得知该病毒爆发的第一时间，首先掐断了与外部的所有网络连接。在断网状态下，对边界防护设备（内、外网防火墙等）进行了阻断访问445、135、137、138、139端口的安全策略设置。对所有服务器（包括扎区财政），开启防火墙和设置阻断445、135、137、138、139端口访问策略，安装对应的漏洞补丁，利用下发的工具进行检测修复。对服务器的重要数据立即进行备份，同时要求扎区财政网络管理人员和所有WINDOWS终端用户立即备份重要数据，防止被病毒感染后数据无法恢复。

　　该中心（同时指导扎区财政）对接入财政内、外网的所有WINDWOS局域网终端逐一排查，进行和服务器同样的防护操作，同时设法找到了基于XP系统的漏洞补丁并修补。对处于外网的WINDWOS终端，做完上述防护操作，联网后又利用360补丁修复功能进行了修复。与此同时，充分利用预算单位等微信群对能通知到的单位和团体（包括扎区）全部进行了病毒防范通知，将预防措施一并下发，反复强调要特别重视和及时作出相应处理，并特别要求只要不是必要就不要开启计算机。

　　积极协调趋势网络版杀毒软件服务人员进行版本升级等防范工作。

　　在工作时期保证内外网的正常使用，下班期间断开所有网络连接，以确保无人监控时期不会发生病毒入侵事件。

　　大力加强网络安全宣传，强化网络安全意识。强调不明链接不点击、不明文件不下载、不明邮件不打开，不使用计算机时及时关机，下班关闭网络连接。 截至目前，该中心共做手动防御财政专网计算机30余台，办公网络计算机40余台，通知指导进行防护的单位部门约300多家，整个财政网络未发现感染勒索病毒，现财政内、外网均已恢复运行。

　　2.贵州省公共资源交易中心的应对方法

　　我国多家大中型政府机关、事业单位也遭受到此次病毒攻击。贵州省公共资源交易中心在获知病毒蔓延后，要求中心信息部积极应对，主动出击，及时作出

　　11

　　《公共危机管理》课程论文 相应应急防范措施，确保中心各软件平台和网络信息安全不受病毒侵犯。

　　5月13日，该中心信息部在接到通知后，第一时间通知各软件开发商，于5月13日、14日两天完成对该中心省本级交易系统、全省药品集中采购系统、全省公共资源交易公共服务平台、省公共资源交易大数据应用分析平台四大平台的34台各类服务器的安全加固，为该中心各项业务工作的正常开展提供了可靠保障。

　　5月14日上班后，该中心信息部全体工作人员召开紧急会议，安排部署针对勒索病毒的防范与应对工作。首先通过全区广播，要求该中心所有员工在信息部确认前，不要随意打开内外网计算机，严禁使用未经认证的U盘及移动终端，不打开来历不明的邮件等。同时，根据此次病毒相应情况，该中心所有内外网计算机(包括交易大厅、开标区、评标区、谈判区、办公区)安装了360等国内安全服务公司发布的紧急防护工具，进行了相应的深度防护

　　四、关于加强网络信息安全管理的建议

　　近两年，从斯诺登到阿桑奇，一向自诩科技先进的美国在互联网安全上可谓吃了不少苦头。以2016年美国大选为例，选战期间，民主党内部两万多封邮件和数十段音频文件被曝光，黑客甚至直接侵入了希拉里竞选团队的电脑窃密。“维基揭秘”网站创始人阿桑奇直言：“在过去两年里，美国民主党全国委员会的系统被黑了多次，美国民主党和共和党全国委员会的系统在安全方面漏洞百出。 鉴于此，十八大以来，党和政府也将互联网安全提高到前所未有的高度。在最近举行的第四届中国互联网安全大会（ISC 2016）上，工信部网络安全管理局局长赵志国发言表示，“当前网络安全已经成为事关国家安全、事关群众利益，事关企业发展的重大问题。网络上任何一次不明攻击所造成的威胁，都可能波及整个行业，甚至是整个国家。”国家主席习近平更是曾明确指出，“没有网络安全就没有国家安全，没有信息化就没有现代化。建设网络强国，要有自己的技术，有过硬的技术”。从国家层面来说政府部门加强网络信息安全应从以下几个方面入手：

　　1.建立信息安全的联席会议制度。切实按照中央要求，在全国和各地建立信息安全联席会议制度，确立意识形态管理的主导权和一票否决权。以制定管理政策、扶持优秀行业发展，搞好宏观调控、解决突出问题为重点，建立联席会议例会制度、联合办公、协同执法制度，使这一机制由虚变实，发挥信息安全建设总阀门和总关口的作用。

　　2.建立“务实型”管理机构。由信息安全主管部门牵头，制定折子工程，每年推进几个专项行动，开展几个专项调研，解决几个突出问题，切实发挥信息安全管理的合力。

　　12

　　《公共危机管理》课程论文 3.是优化信息安全管理体制。要“纵到底，横到边”，把信息安全的触角延伸到地市、区县和相关部门。由中央网络安全和信息化领导小组协调地方，建立广泛的信息安全属地机制、网上突发事件应急处理机制等，从而壮大信息安全的管理力量。

　　4.加强部门合作形成合力。网络时代的核心是分享数据。各部门之间应当加强信息共享，进一步完善各管理部门之间的互动机制，实现监管信息的动态管理。加强联动执法，建立完善联合监管机制，进一步加强管理部门之间的配合，理顺各个监管环节的关系，完善联合执法机制，确保互联网行为的全过程监管，做到监管工作环环相扣、不留缝隙，以良好的管理促进互联网的发展，同时利用互联网的发展进一步推动管理的改进，真正推动互联网的良性可持续发展。

　　5.做好互联网基础构架风险应对预案。我国域名系统已多次出现严重问题，虽然我国目前尚缺乏控制能力，但可以把过往解析记录下来，动态监测，当域名系统出现大批量解析异常时，依次接管解析服务，恢复正常，保证绝大多数网络正常运行。针对目前超过 7 成的有害信息来自境外，内容涵盖涉藏、涉疆、暴恐及非法宗教类信息，可采取境外阻断、境内封锁的做法。一方面对存在涉及传播有害信息的网址屏蔽处理；另一方面可对网站上的有害信息分字段形成关键字并记录在案，便于在各种传播渠道上凭借关键字进行信息屏蔽和删除处理。

　　6.加强国际合作与交流。信息安全的广泛覆盖性，使得其必然是一个全球性问题，任何一个国家都没有能力独立解决，必须依靠国际合作。目前，ICANN(互联网名称与数字分配机构)的决策层中，唯一的华人面孔是持有美国国籍的台湾人，这与中国互联网大国的地位实在差距很大。其他若干个关键国际性互联网管理机构中，中国也没有与网络大国相称的地位。只有参与才有发言权，政府应利用各种机会，参与到国际合作组织中，提高在国际组织中的发言权。

　　五、此次比特币勒索病毒给我们的启示

　　1.过于依赖网络办公，就会造成这次事件的主要源头，虽然网络办公会给我们的工作带来便利，但是还是会有类似的事件发生。所以建议重要的信息要做好纸质备案存档。对于机密性文件，尽量不要使用网络传输。

　　2.使用网络办公时，尽量不要透露太多个人隐私信息，不要用办公室电脑登陆存在安全隐患的网站。

　　3.使用网络办公的组织需要安装360卫士等预防病毒侵害系统，并及时修补补丁，给计算机一个安全的工作环境。

　　4.购买保险，例如绑架险，一些机密性要求高的组织，在使用网络办公时，需要购买保险一旦受到敲诈病毒侵害，可以向保险公司索赔。

　　13

　　《公共危机管理》课程论文

　　小组成员及分工情况：

　　张伟：介绍勒索病毒的事件、影响及对我们的启示并统稿 罗秋雯：撰写各行业部门的处理办法并通稿

　　鄢丹蕾：撰写熊猫烧香案例部分

　　陆鸣：撰写加强网络信息安全管理的建议

　　14