这个周末，微软蓝屏全球IT行业“很忙”。暴露

　　由于网络安全公司CrowdStrike技术更新中的安全“bug”，导致“微软蓝屏”并引发了全球宕机事故，风险多地基础设施、隐患服务业遭到严重影响——数千航班被取消、微软蓝屏部分金融交易被中断、暴露多个城市医疗服务延迟、安全特斯拉等大型企业生产线停工……

　　或许是风险因为万物互联时代“牵一发而动全身”，抑或是隐患微软拥有庞大的客户群体，业界将此事形容为“史上最大规模IT宕机”，微软蓝屏甚至堪称“千年虫事件”的暴露加强版。为什么CrowdStrike能凭“一己之力”造成如此大规模影响？此事暴露了哪些安全风险隐患？给互联网行业发展带来哪些启示？

　　“可与WannaCry蠕虫事件相提并论”

　　从北京时间2024年7月19日（周五）下午2点多开始，安全全球大量Windows用户出现电脑崩溃、风险蓝屏死机、隐患无法重启等情况。事发后，网络安全公司CrowdStrike称，收到大量关于Windows电脑出现蓝屏报告，公司工程部已确定该问题与“内容部署”有关。

　　7月21日凌晨，CrowdStrike就全球IT故障发布最新声明称，已了解问题是如何发生的，正在进行彻底的根源分析，以确定逻辑缺陷是如何出现的。CrowdStrike的首席执行官乔治·库尔茨也在社交媒体上表示，此事并非安全事件或网络攻击。

　　据央视新闻报道，该事件已致美国超2000架次航班停飞。美国联合包裹运送服务公司和联邦快递也表示，尽管其航空公司在正常运营，但由于电脑系统故障，快递仍有可能会出现延误。

　　此外，伦敦等地几家主要石油、天然气交易部门因网络故障难以执行交易；澳大利亚的国民银行、电信公司Telstra等都出现了无法登录或交易情况；特斯拉、星巴克、埃克森美孚等企业均表示受到影响。

　　据了解，CrowdStrike公司成立于2011年，是全球知名的下一代终端安全厂商。在世界500强企业中，有271家是CrowdStrike的客户，包括微软、亚马逊等，以及美国不少政府机构都使用其软件。此事也给CrowdStrike的股价带来了重创，当地时间7月19日，其美股收跌11%，市值一夜蒸发近百亿美元，创下2022年以来最差单日表现。

　　“此事发生时，亚太地区是白天，欧美地区是夜晚，最初社交媒体上的反馈主要是日本、澳大利亚等地，但后面大批欧美用户也出现了服务中断反馈，很多受影响的企业不得不‘提前放假’。”奇安信安全专家汪列军说。

　　“从给全球带来的影响看，这次可以‘直追’2017年的‘WannaCry’勒索蠕虫事件，也暴露出了全球安全领域存在因软件更新机制不规范，导致业务停滞等系统性风险。”安恒信息研究院院长王欣这样说。

　　汪列军也认为，本次IT系统中断事件的影响，一定会被记入“史册”，可以与“WannaCry”勒索蠕虫事件“相提并论”。

　　本次安全事故对中国影响不大

　　“技术越进步，社会越发展，可能衍生的风险越大。‘一行代码’导致的重大损失事件历史上时有发生。”数世咨询创始人、中国网络空间安全协会专家李少鹏表示，在数字化转型过程中，互联网普及率越来越高，伴生安全相关事件的几率也会随之增长。

　　事实上，蓝屏事件在微软曾多次出现：在1998年发布Windows 98测试版时，就发生过蓝屏事件；后续随着Windows XP系统发布，蓝屏情况更加频繁；2015年Windows 10发布之初，部分用户也有报告过蓝屏情况。相比之下，以往情况更加“局部”“小范围”，且产生的影响也不能和本次同日而语。

　　虽然这两天“蓝屏”登上国内社交媒体热搜榜，并成为全网热议的话题。但从目前情况来看，中国所受的影响并不大。

　　汪列军透露，从奇安信的应急响应情况及数据来看，中国CrowdStrike软件装机量在十万级到百万级之间，用户主要集中在北京、上海、广州、深圳等一线城市。受影响的主要是外企或外企在中国的分支机构，对于中国的政府部门、央国企以及大部分的大型民企影响不大。

　　“CrowdStrike的EDR/XDR工具能力很不错，但其在中国没有可以给客户交付服务的能力，因此很难在中国发展客户。”亚信安全首席研发官吴湘宁解释说，中国国内的软件环境与国外大不相同，操作系统方面有很多是国产化系统。此外，在应用软件层面，类似WPS、企业微信、钉钉等企业推出的软件也与国外不同，CrowdStrike等海外安全产品对中国企业应用没有很深入理解，很难给中国客户提供有效解决方案。

　　7月19日，在墨西哥首都墨西哥城的贝尼托·华雷斯国际机场，许多航班被延误或取消，大量旅客在机场等待。新华社发（弗朗西斯科·卡涅多摄）

　　核心驱动“惹祸”导致系统性风险

　　事发后的第二天，汪列军所在研究团队很快推出了一份详实的《CrowdStrike导致全球性IT基础设施中断事件分析报告》。文中指出，导致本次事故的“祸首”是CrowdStrike公司的核心产品——Falcon平台核心组件驱动程序部分功能。

　　Falcon平台是完全基于云端部署的SaaS模型。平台通过一个轻量级的代理架构，实现快速且可扩展的部署，并提供高级别的保护和性能。此外，Falcon平台还集成了多种功能，比如，文件完整性监控、云安全、身份保护等。

　　“从Falcon软件的安装量初步估计，已导致难以计数的Windows系统不可用，电脑只要启动就会蓝屏，且没有自动化措施可以执行批量集中修复，只能一台台的手工操作解决问题。所以，恢复过程会很消耗时间，预计完全恢复需要以周来计。”汪列军说。

　　吴湘宁也提到，“蓝屏”恢复过程中，面临着不少挑战——受攻击设备需要逐一手动修复，不但效率低下，而且有些场景恢复需要特殊密钥，这个过程更加复杂；此外，一些受影响的设备直接关联了关键性行业和基础设施，比如，政府部门、银行、医疗机构等，后续衍生、连带了不少问题。

　　以上汪列军、吴湘宁的分析，一定程度上也解释了这个“忙碌周末”的缘故。在突如其来的危机中，CrowdStrike内核驱动问题暴露了在安全解决方案选择上的潜在风险。

　　“在网络安全领域，内核驱动方案一旦出现问题，后果可能是灾难性的！我们必须选择经过严格测试、拥有高可靠性的安全解决方案。” 全国信息安全标准化技术委员会专家、青藤云安全COO程度介绍，此次事件主要是CrowdStrike的驱动程序和Windows操作系统出现了冲突导致的问题，背后原因可能是因为不兼容、驱动程序之间有冲突、驱动程序可能触发内核“bug”等。

　　除了关注驱动的“bug”，汪列军认为，还要重视产品的测试发布流程。此事件在发布测试流程上也存在很大问题，其一次性全部更新到用户设备上，就直接导致了“蓝屏”。

　　7月19日，在加拿大多伦多比利·毕晓普机场，一名波特航空公司的工作人员用手机显示因技术故障取消航班的网络通知。新华社发（邹峥摄）

　　“安全！安全！安全！必须是重中之重”

　　看似是因为技术故障引发的一场“全球混乱”，实际却突显了现代社会对于信息技术的依赖性及其相应的脆弱性。“因此，在操作系统层面，应该设计得更加健壮，以便可以更好应对此类问题。”王欣说。

　　“一定要明确，安全是重中之重！网络安全是每个组织不可或缺的一部分，尤其数字时代，安全不仅仅是一个技术问题，更是一个业务问题。” 程度认为，选择正确的技术解决方案，是确保安全的第一步。

　　比如，在安全产品技术路线选择上，通常软件开发包括内核态和用户态，前者拥有更高的系统权限，可以直接访问硬件，但劣势在于错误的驱动可能危及整个系统的稳定性、安全性。从目前情况来看，CrowdStrike应该是在内核态下导致的问题，如果采用非内核态的形式，出现这类问题的概率会低很多。

　　“即使是非常成熟的技术平台，也可能遭遇意外故障。由此可见，业务稳定和网络安全既是技术问题，更是管理、战略问题，需全面综合考虑各种因素。”汪列军提到了行业里那句老话——“能力越大，责任也越大”。

　　对于安全厂商而言，涉及系统稳定性的软件厂商需要对产品有更严格的质量管理；还要做好升级策略，在升级过程中要控制影响范围，俗称“爆炸半径”，掌控好升级策略，确保“灰度升级”，控制放量节奏。

　　对于安全产品使用者而言，要选择有实力、有信用的安全厂商；在部署终端安全软件过程中，要对资产做好分类、分级，对于关键资产设置单独的管理单元，并设置“灰度”或延迟更新的策略。

　　李少鹏表示，我们要一起做好一件事——“风险认知前移”。也就是说，不能等到事情发生后再亡羊补牢，应该对数字风险有一定的认知，做到未雨绸缪，从而当风险变成现实威胁时，才能更好地响应。

　　在这个周末里，有人忙着修复电脑，有人在推进追责，有人在分析反思。随着这次技术问题得到逐步解决，蓝屏等情况也在慢慢缓解。一个小小“bug”，竟能让这么多全球业务停摆，深刻说明了数字时代的脆弱与风险，也再次提醒了我们安全的重要性。

 

撰文：李政葳 李飞 曾震宇

编辑/排版：李汶键

光明网出品

 

更多内容欢迎扫码关注光明网数字化频道

[ 责编：雷渺鑫 ] 阅读剩余全文（）

相关阅读

您此时的心情

新闻表情排行 日/周

• 开心   0
• 难过   0
• 点赞   0
• 飘过   0

视觉焦点

• 酷炫“中国智造” 绽放巴黎奥运

• 福建：台风过后救灾忙

最热文章

• 巴黎奥运会开幕式，这些瞬间令人难忘！ 1
• 中国两自然遗产申遗成功 世界自然遗产总数居全球第一 2
• 支付便利性明显提升 上半年超500万入境人员用移动支付 3
• 帮你整理好了！这届奥运会中国队这些看点值得关注 4
• 冲击首金！巴黎奥运会今日比赛看点 5
• 写在第七届中国国际进口博览会倒计时100天之际 6
• 拉萨南北山绿化工程：绿动高原，绘就生态新画卷 7
• 在改革的浪潮中追光前行 习近平诠释"奥林匹克精神" 8
• 持续深化国防和军队改革 全力攻坚建军一百年奋斗目标 9
• 暑期票房突破65亿元，文化消费“叫好”又“叫座” 10

独家策划

• 学习贯彻党的二十届三中全会精神

  第二十届中国（深圳）国际文化产业博览交易会

• 庆祝中国共产党
  成立103周年

  党纪学习教育

• 第30届北京国际图书博览会

  高质量发展调研行

推荐阅读 内蒙古鄂尔多斯：棒垒球邀请赛开赛 奔跑吧·少年2024年内蒙古自治区棒垒球邀请赛在鄂尔多斯市康巴什区开赛。 2024-04-20 17:03 巴南高铁进入联调联试阶段 4月2日，随着57652次检测车从南充北站5道缓缓驶出，标志着新建汉中至巴中至南充铁路南充至巴中段（以下称"巴南高铁"）启动联调联试，进入工程验收关键阶段，为全线早日开通奠定了坚实基础 2024-04-03 15:11 巡山防火 守护安全 为切实织密森林“防火网”各地组织人员巡查防火。 2024-04-03 15:11 湖北孝感:2024赏花活动启幕 2024年3月31日，“知音湖北 遇见浪漫孝感”春赏花活动在湖北省孝感市金卉庄园景区启动。金卉庄园花团锦簇，五彩斑斓花卉竞相绽放。人们穿梭在花海之间，享受明媚春光。 2024-04-02 15:40 2024秋冬中国国际时装周开幕 2024年3月23日，由中国服装设计师协会主办的2024秋冬中国国际时装周在北京开幕。 2024-03-26 21:07 2024秋冬系列时装发布会在北京举行 3月17日，原创独立设计师品牌SHANG1 BY SHANGYI 2024秋冬系列时装发布会在北京举行。 2024-03-18 16:39 新疆博斯腾湖现“推冰”奇观 2024年2月28日，新疆维吾尔自治区巴音郭楞蒙古自治州博湖县境内的博斯腾湖出现推冰景观。 2024-02-29 18:59 花海迎春翻金浪 云南省曲靖市罗平县马街镇钻天坡，盛开的油菜花梯田在初升太阳映照下，勾勒出一幅田园春景图 2024-02-23 10:59 美丽的三亚湾 美丽的三亚湾 2024-01-20 17:42 江西吉州：生态公园景色宜人 2024年1月12日，江西省吉安市吉州区庐陵文化生态园层林尽染，色彩斑斓，市民徜徉其间，尽享生态之乐。 2024-01-13 19:43 云南元阳：万亩梯田樱花开 2023年12月26日，在云南省红河哈尼族彝族自治州元阳县新街镇黄草岭村附近，游客在冬樱花与梯田边游览。 2023-12-26 15:39 新疆巴里坤举办第十九届冰雪文化旅游节 2023年12月12日，新疆哈密市巴里坤县第十九届冰雪文化旅游节采冰仪式在高家湖二渠水库进行。仪式主要展示了"头冰"的开采上岸过程。开幕式上还举行迎风旗、祈福词、喝出征酒等仪式。 2023-12-13 16:08 正定古城裹银装 2023年12月13日，河北省正定古城迎来降雪，古城内外银装素裹，犹如一幅淡雅的水墨画，美如画卷。 2023-12-13 15:59 城市湿地冬景如画 2023年11月28日，贵州省六盘水市明湖国家湿地公园层林尽染，景色迷人。 2023-11-29 15:42 剪纸进校园 传统文化润童心 2023年11月28日，江西吉安长塘镇中心小学，老师指导学生剪纸。 2023-11-29 15:42 倚山傍海赏梅芳 三角梅原产于巴西，现主要分布在中国、秘鲁、阿根廷、日本、赞比亚等国家和地区。其中，以海南三角梅最为出名。 2023-11-29 11:13 湖北秭归：三峡绝壁公路加装防护网 2023年11月23日清晨，朝霞初现，三峡库区湖北省宜昌市秭归县沿江公路G348国道的绝壁岩体上，工人们正在铺设防护网，以防止岩崩和落石。 2023-11-24 15:15 黑龙江哈尔滨：护航旅客降雪天安全出行 2023年11月23日，黑龙江哈尔滨，哈尔滨站工作人员正在清理站台积雪。 2023-11-23 16:02 “敦煌号”铁海联运班列首发 2023年11月21日，甘肃敦煌，首趟"敦煌号"铁海联运国际货运班列装载1000吨石棉驶出，经天津港通过铁海联运发往泰国曼谷。 2023-11-21 16:55 城市公园晨雾缭绕美如画 2023年11月21日，江苏省如皋市龙游河生态公园，色彩斑斓的树木与一河碧水相应成趣。 2023-11-21 16:55 加载更多 光明网版权所有

• 光明日报社概况
• 关于光明网
• 报网动态
• 联系我们
• 法律声明
• 光明网邮箱
• 网站地图