科技日?qǐng)?bào)記者 雍黎

5月7日，科技日?qǐng)?bào)記者來(lái)到國(guó)網(wǎng)重慶市電力公司電力科學(xué)研究院，韓世海正在首席專家工作室里，和創(chuàng)新研發(fā)團(tuán)隊(duì)成員一起開展新的研究。

中央企業(yè)勞動(dòng)模范、國(guó)家電網(wǎng)首席專家、大國(guó)工匠培育對(duì)象……韓世海的履歷上寫滿榮譽(yù)。然而，這位國(guó)網(wǎng)重慶電科院網(wǎng)絡(luò)安全首席督查師最引人矚目的成就，莫過(guò)于他在勒索病毒攻防戰(zhàn)中的突破性貢獻(xiàn)。面對(duì)全球網(wǎng)絡(luò)安全領(lǐng)域的“頭號(hào)公敵”，韓世海帶領(lǐng)團(tuán)隊(duì)從被動(dòng)修復(fù)轉(zhuǎn)向主動(dòng)防御，研發(fā)“疫苗”破解了勒索病毒的“數(shù)字枷鎖”，確保數(shù)據(jù)安全。

勒索病毒橫行 研發(fā)關(guān)鍵技術(shù)解鎖

近年來(lái)，勒索病毒肆虐全球，悄然侵襲著網(wǎng)絡(luò)空間，全球部分政府、能源企業(yè)、金融機(jī)構(gòu)、醫(yī)療機(jī)構(gòu)等相繼遭受其害。相關(guān)數(shù)據(jù)顯示，2023年勒索攻擊激增67%，已成為網(wǎng)絡(luò)安全主要威脅之一。

所謂勒索病毒，是指采取加密或竊取用戶數(shù)據(jù)，并借此向用戶索取勒索金的惡意軟件。這種病毒利用各種加密算法對(duì)文件進(jìn)行加密，被感染者一般無(wú)法解密，必須拿到解密的私鑰才有可能破解。

與傳統(tǒng)病毒相比，勒索病毒入侵的途徑多，釣魚郵件、系統(tǒng)漏洞、網(wǎng)頁(yè)掛馬、程序木馬都是它的載體；而且隱蔽性強(qiáng)、匿名性高、算法難、變種多，主流超700余種。且其背后的網(wǎng)絡(luò)犯罪組織之間已經(jīng)建立了密切的“攻守同盟”，主要針對(duì)科技、能源、金融等眾多行業(yè)進(jìn)行攻擊，每年勒索金額在25億美元以上。

面對(duì)這一世界難題，韓世海沒(méi)有退縮，反而迎難直上。

他帶領(lǐng)團(tuán)隊(duì)深入研究勒索病毒的感染機(jī)制，對(duì)磁盤內(nèi)文件系統(tǒng)和被加密文件的文件結(jié)構(gòu)底層進(jìn)行了細(xì)致的剖析。經(jīng)過(guò)無(wú)數(shù)次的試驗(yàn)與失敗，他首次提出文件結(jié)構(gòu)逆向修復(fù)技術(shù)，首創(chuàng)“存儲(chǔ)數(shù)據(jù)高可靠救援關(guān)鍵技術(shù)及裝置”，不僅攻克了99%的勒索病毒修復(fù)難題，還實(shí)現(xiàn)惡意攻擊、存儲(chǔ)介質(zhì)質(zhì)量缺陷等各類復(fù)雜環(huán)境下存儲(chǔ)數(shù)據(jù)高可靠現(xiàn)場(chǎng)一站式救援。

“我們側(cè)重于硬件本身的修復(fù)，就像外科醫(yī)生，通過(guò)給硬盤動(dòng)手術(shù)，解決病毒損害。”韓世海這樣形容他們的修復(fù)技術(shù)，對(duì)此他們還獨(dú)創(chuàng)了氦氣硬盤開盤方法，從而使氦氣硬盤的修復(fù)從不可能變?yōu)榱丝赡堋?/p>

首創(chuàng)“疫苗” 主動(dòng)防御避免勒索

2023年底，我國(guó)兩家大型國(guó)有企業(yè)遭受勒索病毒攻擊，讓韓世海意識(shí)到，數(shù)據(jù)安全應(yīng)急救援的技術(shù)雖然重要，但它總是滯后于病毒的攻擊，無(wú)法從根本上解決問(wèn)題。

“勒索病毒防治有兩大痛點(diǎn)：主流技術(shù)防不住、解密破解不可能。”韓世海說(shuō)，目前存儲(chǔ)核心技術(shù)受美日韓三國(guó)把持，主流技術(shù)均是從勒索病毒網(wǎng)絡(luò)傳播路徑進(jìn)行阻斷，傳統(tǒng)殺毒軟件防不住、邊界設(shè)備防不住、安全漏洞防不住。相比以往的病毒，勒索病毒隱蔽性高、匿名性高、算法難，采用混合復(fù)雜加密，如果暴力破解理論需要上百年。

如何能徹底解決勒索病毒的威脅？韓世海團(tuán)隊(duì)提出了數(shù)據(jù)安全主動(dòng)防御技術(shù)路線。實(shí)驗(yàn)室里，持續(xù)數(shù)月與勒索病毒較量，防御、感染、恢復(fù)、防御、再感染、再恢復(fù)……經(jīng)過(guò)無(wú)數(shù)次的試驗(yàn)與改進(jìn)，韓世海帶領(lǐng)團(tuán)隊(duì)顛覆傳統(tǒng)網(wǎng)絡(luò)防護(hù)路線，突破存儲(chǔ)技術(shù)封鎖，成功防御了勒索病毒，并研發(fā)出勒索病毒主動(dòng)防御系統(tǒng)。

“我們叫它勒索病毒‘疫苗’，預(yù)防一共有三針。”韓世海說(shuō)，這三針就是他們的三個(gè)首創(chuàng)技術(shù)。第一針是首創(chuàng)序列化文件關(guān)鍵代碼技術(shù)，比對(duì)識(shí)別攻擊行為，序列化原文件關(guān)鍵代碼，偽裝病毒母體“白名單”，使病毒無(wú)法正確識(shí)別、加密。

第二針是首創(chuàng)目錄表加密重構(gòu)技術(shù)，文件系統(tǒng)目錄表底層代碼進(jìn)行部分關(guān)鍵字節(jié)加密重構(gòu)，建立專用目錄表，讓勒索病毒無(wú)法訪問(wèn)及建立待攻擊文件目錄表。

第三針則是首創(chuàng)固件虛擬化加載技術(shù)，建立文件頭、文件系統(tǒng)關(guān)鍵扇區(qū)模板庫(kù)，一旦監(jiān)控到勒索病毒攻擊引起的對(duì)應(yīng)關(guān)系異常，可直接虛擬加載固件驅(qū)動(dòng)磁盤進(jìn)入只讀甚至離線模式。

這三項(xiàng)主動(dòng)防御技術(shù)均獨(dú)立研發(fā)，自主可控，可有效防御99%的勒索病毒，并申請(qǐng)了6項(xiàng)發(fā)明專利。

近年來(lái)，韓世海帶領(lǐng)團(tuán)隊(duì)成員應(yīng)用存儲(chǔ)數(shù)據(jù)高可靠救援關(guān)鍵技術(shù)及裝置，先后為重慶市能源大數(shù)據(jù)中心、重慶市衛(wèi)健委等單位恢復(fù)大量重要數(shù)據(jù)，累計(jì)開展數(shù)據(jù)安全應(yīng)急救援服務(wù)600余次，勒索病毒主動(dòng)防御技術(shù)已在我國(guó)某裝備集團(tuán)、某公有云平臺(tái)等開展試點(diǎn)應(yīng)用。

傾囊相授 悉心培養(yǎng)網(wǎng)安人才

在無(wú)數(shù)個(gè)日夜中，韓世海隱身在虛擬的網(wǎng)絡(luò)世界，排查漏洞隱患，守護(hù)信息網(wǎng)絡(luò)安全“護(hù)城河”。國(guó)網(wǎng)重慶電科院也成立了以韓世海為領(lǐng)頭人的首席專家工作室及創(chuàng)新研發(fā)團(tuán)隊(duì)。多年來(lái)，韓世海充分發(fā)揮“傳幫帶”作用，把技藝毫無(wú)保留地傳授給團(tuán)隊(duì)成員。

在2023年的第二屆全國(guó)工業(yè)和信息化技術(shù)技能大賽工業(yè)互聯(lián)網(wǎng)競(jìng)賽中，韓世海帶領(lǐng)團(tuán)隊(duì)主力隊(duì)員高爽、楊峰首次代表重慶市參賽就獲得競(jìng)賽團(tuán)體三等獎(jiǎng)。高爽說(shuō)：“韓老師平時(shí)少言寡語(yǔ)，但在傳授技藝時(shí)卻滔滔不絕，傾囊相授，希望大家全部掌握并傳承下去。”

依托國(guó)網(wǎng)首席專家（韓世海）工作室平臺(tái)，韓世海探索實(shí)施“平臺(tái)培養(yǎng)”“輪訓(xùn)鍛煉”“實(shí)戰(zhàn)練兵”三種培養(yǎng)方式，集中力量打造網(wǎng)絡(luò)安全專業(yè)中堅(jiān)人才。目前，他已培育出國(guó)家電網(wǎng)公司技術(shù)能手、公安部數(shù)據(jù)取證專家、巴渝青年技能之星等專家人才10名。

韓世海還通過(guò)現(xiàn)場(chǎng)培訓(xùn)、論壇分享、線上宣講等多種方式，撰寫并出版了《隱形戰(zhàn)場(chǎng)網(wǎng)絡(luò)安全防御之道》，將自己在網(wǎng)絡(luò)安全領(lǐng)域積累的技能知識(shí)進(jìn)行公開傳授，累計(jì)培訓(xùn)3000余人次。他先后獲得了2022年全國(guó)數(shù)據(jù)安全競(jìng)賽優(yōu)秀指導(dǎo)教練、2023“網(wǎng)鼎杯”網(wǎng)絡(luò)安全大賽優(yōu)秀領(lǐng)隊(duì)等獎(jiǎng)項(xiàng)，并被廈門大學(xué)聘請(qǐng)為工程碩博士聯(lián)合培養(yǎng)項(xiàng)目企業(yè)導(dǎo)師，為企業(yè)和社會(huì)網(wǎng)絡(luò)安全人才培養(yǎng)做出了巨大貢獻(xiàn)。

從默默無(wú)聞的技術(shù)小白成長(zhǎng)為網(wǎng)絡(luò)信息安全帶頭人、引領(lǐng)者。今年44歲的韓世海用“熱愛(ài)”“責(zé)任”兩個(gè)詞概括自己20多年堅(jiān)持。

“現(xiàn)在勒索病毒攻擊從過(guò)去個(gè)人、單點(diǎn)黑客行為向組織化、系統(tǒng)化、專業(yè)化方向蔓延。”韓世海說(shuō)，勒索病毒的防御需求量還很大，他將和團(tuán)隊(duì)一起努力，不斷創(chuàng)新防御技術(shù)，保證數(shù)據(jù)安全。