360发布教育行业勒索蠕虫态势：超10万台电脑感染

　　5月12日开始，WannaCrypt(永恒之蓝)勒索蠕虫在全球范围内进行了大规模攻击，影响波及了全球近百个国家，上演了一场世界大勒索。国内教育机构是此次勒索蠕虫感染的重灾区，被感染设备可能超过10万台。

　　360威胁情报中心发布的最新WannaCrypt(永恒之蓝)勒索蠕虫态势显示，在短短一天多的时间，全球近百个国家的超过10万家组织和机构被攻陷，其中包括1600家美国组织，11200家俄罗斯组织。国内已经有29372家机构组织的数十万台机器感染WannaCrypt(永恒之蓝)，被感染的组织和机构已经覆盖了几乎所有地区，影响范围遍布高校、火车站、自助终端、邮政、加油站、医院、政府办事终端等多个领域，被感染的电脑数字还在不断增长中。

　　教育机构成为勒索蠕虫感染重灾区

　　从行业分布来看，教育科研机构成为最大的重灾区。共有4316个教育机构IP被发现感染永恒之蓝勒索蠕虫，占比为14.7%;其次是生活服务类机构，3302个，占比11.2%;商业中心(办公楼、写字楼、购物中心等)3014个，占比10.3%，交通运输2686个，占比9.1%。另有1053个政府、事业单位及社会团体，706个医疗卫生机构、422个企业，以及85个宗教设施的IP都被发现感染了永恒之蓝勒索蠕虫。

　　作为永恒之蓝勒索蠕虫感染的最大重灾区，截止2017年5月13日下午20:00，360威胁情报中心共截获国内教育机构感染该蠕虫病毒的IP地址4316个。按照最保守的估计，全国教育机构感染“永恒之蓝勒索蠕虫”的设备数量不会少于5万台，很可能会超过10万台。

　　从教育机构的类型来看，受灾最为严重的是高等教育机构。统计显示，全国各大学监测到的感染IP多达2325个，在所有教育机构中占比53.9%，超过一半;排在第二位的职业技术学校，共发现598个感染IP，占比13.9%;让人颇感意外的是，幼儿园的感染IP数量超过了中学和小学，排名第三，共382个，占比为8.9%;此外，还有381个中学，302个小学75个科研机构和52个培训机构的IP都被发现感染了永恒之蓝勒索蠕虫。

　　教育行业亟待完善网络安全建设

　　教育机构，特别是大学，之所以会成为“永恒之蓝勒索蠕虫”感染的重灾区，主要是由于以下几方面的原因：

　　首先，相比于一般的政企机构，教育网相对更加开放，几乎是直接与互联网相连。这就使得蠕虫病毒的攻击路径更短，中间遇到的防御阻碍更少。

　　第二，教育机构的内部系统，特别是终端设备，普遍缺乏有效的统一管理。很多学校因为经费原因，没有采购可以进行集中安全管控的终端安全软件，同时由于使用人员流动性大，角色众多，办公电脑、教学电脑缺乏安全维护，甚至长期裸奔或不打补丁的情况也非常普遍。

　　第三，绝大多数学校对于学生群体的电脑使用，采取安全管控措施较少，学生群体电脑使用的这种自由性，在一般机构中是不存在。

　　第四，教育机构使用盗版操作系统的情况也比较常见，教师和学生的电脑经常使用盗版操作系统，而且长期不进行更新，这进一步加剧了教育机构在应对此类高级蠕虫病毒攻击时的脆弱性。

　　第五，教育机构，特别是高校的办公电脑普遍存在移动存储设备交叉感染的巨大风险，即不论是教师的办公电脑，教室里的教学电脑，还是学生们使用的个人电脑，都有可能大量接触到带毒U盘或其他带毒的移动存储设备。

　　第六，教育机构对网络系统的综合管理水平普遍较低，缺乏专职安全管理人员，服务器系统漏洞长期无人修补，防火墙、网关等边界网络设备运维不善，形同虚设，应急响应反应迟缓等问题，一直长期存在。

　　综上，此次“永恒之蓝勒索蠕虫”事件，可以说使中国教育机构的各路安全短板，各种安全隐患暴露无遗。教育机构网络安全建设需要解决的问题，也可能较其他各类政企机构要复杂多，困难得多。