压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

“微軟藍屏”事件引發全球范圍信息系統運營與服務的大災難，凸顯了關鍵軟硬件已經成為國家甚至全球關鍵基礎設施的重要性。因此，需要與時俱進，提升國家網絡安全能力，應對數字時代的新挑戰。

一、“微軟藍屏”事件分析與歷史比較

2024 年 7 月 19 日，全球 20 多個國家的機場、醫院、銀行、商業中心、辦公室的電腦出現藍屏，業務受到影響甚至中斷，運行在云端的基于 Windows 的服務器也未能幸免于難。

（一）“微軟藍屏”事件分析

此次事故的原因是微軟 Windows 系統上運行的美國電腦安全技術公司“眾擊”（CrowdStrike）的 Falcon 軟件更新包由于配置錯誤，導致操作系統內核故障。

“眾擊”公司的 Falcon 軟件是一款反惡意軟件工具，同時也是一個應用程序分析工具，安裝在計算機、服務器和移動設備等“端點”上，是一款非常先進且典型的端點檢測與響應（EDR）產品。Falcon 包含一個內核驅動程序，具有在 Windows 操作系統內核運行的特權，這使得 Falcon 能夠從有利的位置監控系統上各類應用程序的行為，從而實現對惡意軟件的早期發現、預警和處置。正是由于它處于操作系統的“心腹”位置，反而成了操作系統的“心腹大患”。

由于“眾擊”公司需要不斷向系統添加檢測功能以防御新出現和不斷演變的威脅，因此，Falcon需要獲得權限以自動和定期更新。根據“眾擊”公司的說法，此次更新源于一項“管道文件”（channel file），盡管更新文件使用的是“.sys”擴展名，但它本身并不是內核驅動程序，而是與 Falcon 傳感器中的其他組件進行通信，這些組件與 Windows 內核運行在同一空間中。由于代碼編寫錯誤，從而引發內存讀取越界，即訪問未經授權或未分配的內存位置，觸發了操作系統異常。這是一種內存安全管理機制，如果程序試圖訪問或讀取超出分配給它（或它合法范圍內）的內存區域的行為，可能會破壞其他內存區域，導致程序崩潰或產生不正確的結果。后續“眾擊”和微軟發布的分析報告均證實了這一點，即崩潰是由眾擊的 CSagent.sys 驅動程序中的越界內存安全錯誤引發。

（二）歷史上其他大規模宕機事件

在歷史上，如此大規模的網絡事故并不多見，但每次發生都昭示著安全威脅進入了新階段，需要新的安全技術和機制來應對。

20 世紀 80 年代，互聯網的擴展逐漸觸及全球科研系統，隨著聯網節點的顯著增加，新型攻擊方式例如拒絕服務攻擊（DoS）開始出現，這促使了對網絡事故應急響應機制的需求。1988 年 11 月，美國康奈爾大學的研究生羅伯特·塔潘·莫里斯（Robert Tappan Morris），出于探索互聯網的規模和連接設備數量的目的，編寫了一個具有自我復制能力的程序。該程序設計上能夠在計算機之間傳播，并要求每個被感染的機器向一個控制服務器發送信號以便進行計數。然而，該程序的傳播速度遠超預期，導致約 10% 的互聯網計算機被感染，并迅速演變為一場大規模的拒絕服務攻擊。這場攻擊使得大量使用 Unix 操作系統的計算機陷入癱瘓或半癱瘓狀態，給全球造成了約 6000 萬美元的經濟損失，即“莫里斯蠕蟲”事件。普渡大學和伯克利大學的研究人員經過 72 個小時的努力才成功阻止了該病毒的傳播。此次事件不僅使互聯網專家們意識到了拒絕服務攻擊這一全新的攻擊方式，還促使卡內基梅隆大學建立了世界上第一個計算機應急響應小組（CERT）。隨后，美國聯邦政府以及多數國家相繼建立了類似的組織，應急響應成為應對大規模網絡安全事故的基礎性機制。

20 世紀 90 年代，互聯網逐漸走出“象牙塔”，進入大眾生活，與此同時，計算機病毒成為網絡空間中普遍存在的問題。隨著 21 世紀的到來，互聯網展現出巨大的商業潛力和價值，網絡攻擊的動機也由最初的“極客炫技”轉變為主轉變為實現政治、經濟和社會目標，安全事件的影響范圍和造成的經濟損失隨之呈指數級增長。2000 年爆發的愛蟲病毒（Vbs.loveletter），通過 Windows 郵件系統傳播，感染了全球超過 100 萬臺計算機，約占當時全球聯網計算機的 10%，造成超過 100 億美元的經濟損失。這一事件標志著微軟犧牲安全性以追求新功能和便利性的時代結束，全球開始嚴肅對待 Windows 操作系統及其加載軟件的安全問題，同時意識到通過電子郵件進行社會工程攻擊的破壞性。此外，由于愛蟲病毒疑似由一位菲律賓黑客制造，這進一步凸顯了網絡犯罪的國際性，促使美國推動歐洲委員會成員國于 2001 年簽署《網絡犯罪公約》。

2001 年爆發的“紅色代碼”（Code Red）蠕蟲病毒，利用了微軟網絡服務器軟件中的漏洞進行傳播，導致大范圍的網絡訪問速度減慢甚至中斷，給全球造成了高達 107 億美元的經濟損失?！凹t色代碼”蠕蟲的出現標志著蠕蟲技術上的一種“進步”：它是首個不以文件形式存在，而是直接在內存中傳播的蠕蟲，無需用戶點擊即可感染其他計算機，從而極大地提高了傳播速度。這一事件向網絡安全行業發出了警示，即安全補丁的更新速度必須加快，并且需要開發自動安裝更新的工具。此外，由于該病毒使用 HTTP 協議作為傳播通道，這給響應部門實施安全阻斷與隔離帶來了挑戰，因此，要求國家網絡安全應急響應機制進行調整。除了建立國家級的 CERT 外，還需要將互聯網運營商納入應急響應合作體系，以共同應對此類網絡安全事件。

2003 年 1 月，SQL Slammer 蠕蟲病毒爆發。它利用了 Microsoft SQL Server 2000 中的緩沖區溢出漏洞進行傳播，在幾分鐘內迅速感染了超過 75000 臺機器，并在全球范圍影響了超過 25 萬臺機器，成為迄今為止傳播速度最快的病毒之一。在韓國，這一蠕蟲病毒導致 2700 萬人的互聯網和手機網絡服務中斷；在美國，約 13000 臺自動取款機（ATM）暫時無法提供服務。雖然 Slammer 并非零日漏洞，但其迅猛的傳播速度和廣泛的影響再次提醒全世界，修補系統漏洞必須迅速且及時。隨著 2010 年后零日漏洞概念的提出，對漏洞修復和快速響應機制提出了新的、更高的要求。

2010 年，安全軟件公司麥卡菲（McAfee）向運行 Windows XP 操作系統的 PC 提供了一份存在缺陷的病毒定義（DAT）文件。該文件錯誤地將一個關鍵的 Windows 系統文件 Svchost.exe 識別為病毒并予以刪除，導致受影響的系統陷入重啟循環并不能連接到網絡。該事故導致包括英特爾在內的多家財富 500 強企業以及全球機構受到影響，凸顯了安全軟件公司的錯誤更新可能造成的全球性安全問題。

2017 年 6 月，冒充勒索軟件的 NotPetya 爆發。該軟件利用了 Windows 服務器消息塊（SMB）協議中的一個漏洞，先是感染了烏克蘭 80 多家公司，隨后迅速擴散到全球范圍內的金融、交通、能源、商業設施和醫療保健等多個組織的計算機系統，造成了超過 100 億美元的經濟損失，被稱為“有史以來最具經濟破壞性的網絡攻擊”。僅僅五周后，勒索軟件 WannaCry 席卷全球，標志著勒索軟件危機時代的開始。這兩款軟件都利用了美國國家安全局（NSA）開發的漏洞利用工具“永恒之藍”（Eternal Blue），使得勒索軟件不再只是一種網絡犯罪形式，而是對國家安全的嚴重威脅，同時也揭示了美國網絡武器擴散帶來的全球性風險。

2024 年上半年，全球各地頻繁發生了局部斷網事件，這些斷網事件背后的原因多種多樣，包括伴隨軍事沖突和地緣政治危機的網絡破壞、政府為控制國家內部群體性事件下令關閉網絡、黑客團體發起的網絡攻擊、技術維護和停電造成的網絡中斷，以及多起海底電纜切斷事件。根據互聯網監測平臺 NetBlocks 的測算，全球斷網一天的經濟損失高達 430 億美元。其中，美國和中國是受影響最嚴重的兩個國家，斷網一天的損失分別達到 110 億美元和 100 億美元。

由上述重大全球宕機事件可以看出，導致大規模宕機事件的網絡安全原因通常具有傳播速度快、影響范圍廣和連鎖效應強等特點，這些事件容易造成社會運行障礙、巨大的經濟損失和公眾恐慌等負面后果，同時也極大地影響了公眾對服務提供商的信任。然而，這些大規模的宕機事件也迫使安全技術和機制得到改進，完善了相關法律法規和監管措施，并增強了公眾的安全意識。

在眾多的網絡宕機事件中，這次“微軟藍屏”事件的影響和損失超過了以往的任何一次。但與以往不同的是，它并非由黑客攻擊引發，而是軟件質量問題所致。這再次警示我們，關鍵軟硬件已成為國家乃至全球關鍵基礎設施的重要組成部分。隨著世界穩定運行日益依賴于數字基礎設施，其安全問題已不再僅限于網絡安全，而是包括信息安全、網絡安全、IT 安全、運營（OT）安全、物聯網安全、物理/環境安全等多個領域，構成了一個更為廣泛的安全概念。傳統的網絡安全理念和手段已無法滿足日益復雜的安全需求，迫切需要建立一個內生的、更具韌性、敏捷和協同的網絡安全防御體系。

二、“微軟藍屏”事件對做好我國網絡安全保障的啟示

當前，我國正處于數字化轉型的關鍵階段，“上云用數賦智”加快推進，建強數字安全屏障成為當務之急。

（一）軟件與軟件供應鏈安全仍是安全的源點

隨著全球數字化轉型的加速演進，數字世界與虛擬世界日益融合，建立在數字基礎設施之上的現代社會正在加快形成，因而，數字“地基”的牢固性成為一切的前提。在數字世界的“倒金字塔”結構中，軟件操作系統及其安防體系構成了金字塔的基石，它們是網絡安全的關鍵，更是數字基礎設施的核心部分。

此次“微軟藍屏”事件中，一個第三方公司發布的帶有缺陷的小更新包擊中了微軟操作系統“開放內核”機制的弱點，導致了整個 Windows 主機系統的大規模崩潰。事實上，在“微軟藍屏”事件發生前的一個月，“眾擊”公司已經經歷一次軟件更新危機。當時，該公司發布了一個針對 Falcon 傳感器的檢測邏輯更新，但很快發現該更新可能會導致 Falcon 傳感器完全占用 Windows 主機的 CPU 資源。公司迅速采取了回滾措施，受影響的客戶通過重啟設備恢復了正常操作。然而，好運并沒有再次降臨。由此我們看到，軟件質量的重要性不容忽視。無論是軟件缺陷、代碼安全問題，還是軟件更新與維護，任何一個環節出現失誤，都可能引發連鎖反應，導致安全體系崩潰。因此，我們必須從軟件工程師的基礎教育層面推廣“設計安全”和“默認安全”的理念，采用內存安全的編程語言和內存安全的芯片架構，在產品的設計和默認設置中嵌入安全性，以減少潛在的安全漏洞，從而提高系統的整體安全性。

此次事件也再次凸顯了軟件供應鏈安全的重要性，尤其是安全軟件的供應鏈安全，包括供應商依賴性、軟件間的適配性、軟件更新管理的安全性、軟件信任與認證體系以及產品的自主可控等。隨著數字系統所涉及的軟硬件產品和部件的日益復雜化，供應鏈產品已經深入應用到國家關鍵基礎設施和重要機構的信息系統/工業控制系統中。根據 Cybersecurity Ventures 的預測，到 2031 年，軟件供應鏈攻擊對全球企業造成的成本損失將達到接近 1380 億美元。

我國是全球最大的軟件市場之一，但許多供應鏈企業由于安全意識不足或缺乏充分的安全投入，導致安全測試不充分，這成為網絡安全鏈條中的薄弱環節。為了系統性地提升我國軟件供應鏈的安全性，必須進行供應鏈網絡安全能力成熟度的檢測、評估和認證等工作，以提高診斷和衡量軟件安全性的能力。此外，構建高質量的網絡安全產業生態，并加強人才培養，完善相關的標準法規建設等也是不容忽視的工作。

（二）沒有完美的安全解決方案，只有與時俱進的防護能力

由于我國安裝和使用“眾擊”公司軟件的系統較少，這次大規模宕機事件并未對我國造成直接影響，但這并不意味著我們未來不會遇到類似的事故。這次“微軟藍屏”事件反映了網絡安全面臨的一些傳統困境，例如在主干與多樣性之間、更高的安全性與更高的權限之間、封閉與開放之間尋求平衡等。要破解這些困境，唯一的辦法就是與時俱進地提高安全防護能力。

此次事件也警示我們，數字世界依賴于少數幾個單一技術平臺是非常危險的。正如健康的生態圈需要生物多樣性一樣，數字世界也需要建立在多樣性的基礎之上。然而，數字技術的發展天然傾向于形成“平臺型”的主干系統，而一旦這樣的系統形成，它們很難被打破或替換，替換的時間成本和資源成本也較高，還可能引入新的安全風險。因此，解決辦法不僅需要提升主干系統的安全性，同時也需要減少對單一供應商的依賴。

要實現對系統安全性的全面掌握，并及時甚至提前做出響應，獲取內核訪問權限是當前最高效的方式。然而，這種高權限一旦出現故障或被黑客攻擊，其后果將是災難性的。同樣，如果一個主導型軟件不開放內核權限，可能會引發“壟斷”的質疑。2006 年，微軟嘗試在 Window Visita 上限制第三方軟件訪問其內核，完全依賴自己的安全系統 Windows Defender（WD）來增強內核安全性。但此舉引發了網絡安全廠商的抗議和歐盟“反壟斷”審查，微軟最終做出讓步，允許了 Flacon 軟件的進入。盡管這一決策導致了今天的重大事故，但“眾擊”公司的安全理念與技術領先于傳統網絡安全公司，較好適應了當下的安全需求。

（三）應急不是急應，需要建立敏捷聯動的預警與響應機制

“眾擊”公司在原始更新發布的 78 分鐘內發布了修復程序，但仍然使大約 850 萬臺安裝了微軟 Windows 系統設備受到軟件更新故障的影響，預計損失將達到數十億美元。

隨著全球數字化轉型的加速，萬物互聯使得不同領域的融合日益緊密，網絡系統的復雜性呈指數級增加，應急響應面臨協同調度難、出錯成本高、時間壓力大、不確定性強等多重挑戰。安全事故的級聯性和體系性大大增加，同時也可能產生難以預知的涌現效應，即單點網絡攻擊可能在其他區域造成連鎖甚至雪崩式影響。傳統的樹狀或星形應急響應模式已經不能滿足需求，需要建立更加敏捷、扁平且有利于聯動、更能快速發揮各自專長的新型響應體系。2017 年，WannaCry勒索軟件的高速、大規模感染已經表明，各行各業，甚至每個用戶都需要參與到應急響應中來，形成“群聯群防”體系。

此外，僅僅響應已經不夠，我們還需要將響應“左移”，即從事中、事后響應向事前響應覆蓋，建立一個一體化、智能化的大預警體系，將危機消滅在源頭。值得注意的是，“群聯群防”體系不應是各自為戰的“急應”模式，而需要各級各類組織制定事件響應（IR）計劃和業務連續性手冊，加強備份和恢復機制，做好常態化的安全檢查、更新和演練，以增強全民的網絡安全素養。對于影響社會穩定運行的關鍵系統，應保持適當的安全區隔，特別是在向智能時代轉型的過程中，自動駕駛汽車、飛機等仍需要通過安全區隔來保障核心系統的安全，防止級聯性安全事故。

數字安全挑戰是一個永無止境的全球性課題，在網絡空間日益碎片化的今天，一次又一次的全球性網絡安全事件也提醒我們全球協作的必要性。

（本文刊登于《中國信息安全》雜志2024年第7期）

聲明：本文來自中國信息安全 ，稿件和圖片版權均歸原作者所有。所涉觀點不代表東方安全立場，轉載目的在于傳遞更多信息。如有侵權，請聯系rhliu@skdlabs.com，我們將及時按原作者或權利人的意愿予以更正。