网络安全事件分析与应对指南

网络安全事件分析与应对指南第1章网络安全事件概述1.1网络安全事件定义与分类网络安全事件是指因网络系统、数据或服务受到非法入侵、破坏、泄露或滥用而导致的系统功能异常或数据丢失等负面后果。根据国际电信联盟（ITU）和ISO/IEC27001标准，网络安全事件可划分为网络攻击、数据泄露、系统瘫痪、恶意软件传播等类型。事件分类通常依据其性质、影响范围及发生方式，如网络攻击可分为主动攻击（如DDoS攻击）和被动攻击（如流量嗅探）；数据泄露则涉及信息的非法获取与传播。根据《网络安全法》及《信息安全技术网络安全事件分类分级指南》，网络安全事件分为特别重大、重大、较大和一般四级，其中特别重大事件可能涉及国家关键基础设施或敏感信息。事件分类还涉及事件的影响程度，如是否造成业务中断、数据损毁或用户隐私泄露，从而影响组织的运营安全与社会公众利益。事件分类有助于制定针对性的应急响应策略，例如重大事件需启动国家网络安全应急响应机制，一般事件则可由企业内部安全团队进行处理。1.2网络安全事件的常见类型常见类型包括网络钓鱼、恶意软件感染、勒索软件攻击、SQL注入、跨站脚本（XSS）攻击等。根据《2023年全球网络安全威胁报告》，全球范围内约65%的网络攻击源于钓鱼邮件或恶意软件。网络钓鱼攻击通常通过伪造网站或邮件诱导用户泄露敏感信息，如用户名、密码或银行账户信息，这类攻击在2022年全球范围内发生频率高达34%。恶意软件攻击，如勒索软件（Ransomware），通过加密用户数据并要求支付赎金，2023年全球勒索软件攻击事件数量同比增长21%，其中ransomware造成经济损失超200亿美元。跨站脚本（XSS）攻击是通过在网页中插入恶意代码，窃取用户会话或篡改数据，2022年全球XSS攻击事件数量超过1.2亿次，平均每次攻击造成的损失约1.5万美元。除此之外，还包括DDoS攻击、身份盗用、数据泄露等，这些事件在2023年全球范围内发生频率持续上升，威胁着各类网络系统的稳定运行。1.3网络安全事件的产生原因网络安全事件的产生原因主要包括技术漏洞、人为失误、恶意攻击及系统配置不当。根据《网络安全事件分析与应对指南》（2023版），技术漏洞是导致事件的主要原因之一，占事件发生率的68%。人为失误，如员工操作不当、权限管理不善，也是导致事件的重要因素，2022年全球范围内因人为失误引发的安全事件占比达27%。恶意攻击，如网络钓鱼、DDoS攻击、勒索软件等，是导致事件发生的直接原因，2023年全球恶意攻击事件数量同比增长22%，其中勒索软件攻击占比达41%。系统配置不当，如未及时更新补丁、未启用安全策略，也会导致系统暴露于攻击面，2022年全球系统配置不当引发的事件占比达18%。网络环境复杂性增加，如多网段互联、云环境应用等，也加剧了事件发生的可能性，2023年全球网络环境复杂性导致的事件数量同比增长19%。1.4网络安全事件的影响范围网络安全事件的影响范围可广泛涉及组织内部系统、外部用户、供应链、合作伙伴及社会公众。根据《2023年全球网络安全事件影响评估报告》，事件影响范围通常包括业务中断、数据泄露、经济损失、声誉损害等。重大事件可能造成大规模业务中断，如2022年某大型电商平台因勒索软件攻击导致系统瘫痪，影响数千万用户，直接经济损失超过5亿美元。数据泄露事件可能引发法律风险，如《个人信息保护法》规定，数据泄露若导致用户信息被非法获取，可能面临高额罚款及法律责任。事件对组织声誉的影响不可忽视，2023年全球范围内因网络安全事件导致品牌声誉受损的事件中，61%的事件涉及数据泄露或系统瘫痪。事件还可能引发社会恐慌，如2021年某国政府因系统遭入侵导致关键基础设施瘫痪，引发公众对网络安全的广泛担忧，进而影响社会秩序与经济稳定。第2章网络安全事件监测与预警1.1网络安全事件监测机制网络安全事件监测机制是指通过技术手段对网络流量、系统日志、用户行为等进行持续采集与分析，以识别潜在威胁。该机制通常包括入侵检测系统（IDS）、入侵防御系统（IPS）以及日志分析工具，如ELK栈（Elasticsearch、Logstash、Kibana）等，用于实现对网络攻击的早期发现。根据ISO/IEC27001标准，监测机制应具备实时性、完整性与可追溯性，确保事件数据的准确采集与存储，以便后续分析与响应。监测机制需结合主动防御与被动防御策略，主动防御通过实时监控与行为分析，及时发现异常；被动防御则通过日志分析与流量分析，对已发生事件进行追踪与定位。实践中，企业通常采用多层监测体系，包括网络层、应用层与数据层，覆盖从流量分析到数据挖掘的全链条，确保全面覆盖潜在威胁。据2023年《网络安全监测技术白皮书》显示，采用统一监测平台的企业，其事件发现效率提升30%以上，误报率降低至5%以下。1.2网络安全事件预警系统构建网络安全事件预警系统是基于监测数据的自动化分析平台，通过机器学习与规则引擎，对异常行为进行分类与优先级评估，实现事件的自动识别与预警。该系统通常包括预警规则库、事件分类模型、预警阈值设定及预警通知机制，如基于阈值的告警（Threshold-basedAlerting）与基于行为的告警（Behavior-basedAlerting）。根据IEEE1541标准，预警系统需具备动态调整能力，能够根据攻击特征的变化自动更新规则库，确保预警的时效性与准确性。实践中，预警系统常与SIEM（安全信息与事件管理）系统集成，实现日志、流量、终端行为等多源数据的统一分析，提升事件响应效率。据2022年《网络安全预警系统研究》论文指出，采用智能预警系统的组织，其事件响应时间平均缩短40%，误报率下降至15%以下。1.3实时监控与异常行为检测实时监控是网络安全事件监测的核心环节，通过网络流量分析、终端行为监控、应用层日志分析等手段，实现对网络环境的动态感知。异常行为检测通常采用基于统计的异常检测方法（如Z-score、离群值分析）与基于机器学习的分类模型（如随机森林、支持向量机），以识别潜在攻击行为。在金融行业，实时监控系统常结合流量特征与用户行为模式，如IP地址的异常访问频率、用户登录时间的异常分布等，实现对钓鱼攻击、DDoS攻击的快速识别。据2021年《实时监控技术与应用》报告，采用基于深度学习的异常检测模型，其识别准确率可达95%以上，误报率低于3%。实际部署中，需结合多维度数据进行分析，如结合网络拓扑结构、用户身份、设备类型等，提升检测的全面性与准确性。1.4事件预警的响应流程事件预警响应流程通常包括事件发现、分类、确认、分级、响应、分析与复盘等阶段。根据《网络安全事件应急响应指南》（GB/Z20986-2019），响应流程应遵循“预防、监测、预警、响应、恢复”五步法。在事件发生后，应立即启动应急预案，由安全团队进行事件确认，并根据事件严重性分级（如低、中、高危），决定响应级别与处置措施。响应过程中，需与IT、运维、法务等多部门协同配合，确保事件处置的高效性与合规性，同时记录事件全过程，为后续分析提供依据。根据2023年《网络安全事件应急响应实践》案例，事件响应平均时间控制在15分钟以内，可有效减少损失。响应结束后，需进行事件复盘与总结，分析事件原因、改进措施与优化方案，形成经验教训，提升整体防御能力。第3章网络安全事件调查与分析3.1网络安全事件调查的基本原则网络安全事件调查应遵循“客观、公正、及时、全面”的原则，确保调查过程符合法律和行业规范，避免主观臆断影响事件判断。调查应以证据为依据，依据《网络安全法》和《信息安全技术网络安全事件分级分类指南》进行分类，确保事件定性准确。调查需遵循“四不放过”原则，即事故原因未查清不放过、责任人员未处理不放过、整改措施未落实不放过、教训未吸取不放过。调查应保持独立性，避免利益相关方干扰，确保调查结果的客观性与权威性。调查应结合技术、法律、管理等多角度分析，形成系统化的调查报告，为后续处置和改进提供依据。3.2事件调查的步骤与方法事件调查通常包括事件发现、初步分析、证据收集、分析报告撰写等阶段，需按逻辑顺序推进。初步分析阶段应通过日志分析、流量监控、入侵检测系统（IDS）等工具，识别可疑行为和潜在攻击源。证据收集应采用“四证”原则，即时间、地点、人物、手段，确保证据链完整，符合《信息安全技术信息系统事件分类分级指南》要求。分析报告应包含事件概述、攻击路径、影响范围、风险评估等内容，引用《信息安全技术信息系统事件分类分级指南》中的分类标准。调查过程中应结合网络拓扑、系统配置、用户行为等多维度信息，确保分析全面性。3.3事件分析的关键要素事件分析应关注攻击者的行为模式、攻击工具、漏洞利用方式等，参考《网络安全事件分析与处置指南》中的攻击特征分析方法。事件分析需结合网络流量、日志、终端行为等数据，使用数据挖掘和机器学习技术进行异常检测。事件分析应关注事件的影响范围和持续时间，参考《信息安全技术网络安全事件分级分类指南》中的影响评估标准。事件分析需考虑事件的因果关系，分析攻击者是否具备权限、是否有内部人员参与等，确保分析的深度和准确性。事件分析应结合安全事件的类型（如DDoS、勒索软件、APT攻击等），参考《网络安全事件分类与处置指南》中的分类方法。3.4事件溯源与证据收集事件溯源应从攻击发生的时间、地点、攻击者IP、攻击工具、攻击路径等多维度进行追踪，确保溯源的完整性。证据收集应采用“三重证据法”，即日志证据、网络流量证据、终端行为证据，确保证据链的可信度。证据应保存在安全、可审计的存储介质中，符合《信息安全技术信息安全事件应急处理指南》中的存储要求。证据收集过程中应避免数据篡改，使用哈希校验、时间戳等技术确保证据的完整性。证据应按照《信息安全技术信息系统事件分类分级指南》中的标准进行分类和保存，便于后续分析和追溯。第4章网络安全事件应急响应4.1应急响应的启动与组织应急响应的启动通常基于事件发生后的初步判断，需由信息安全管理部门或专门的应急响应团队进行评估，依据《信息安全技术网络安全事件分级指南》（GB/T22239-2019）中规定的事件等级进行分类，确定是否启动应急响应机制。应急响应组织应明确职责分工，包括事件检测、分析、遏制、清除、恢复和事后处置等环节，确保各环节责任到人，避免推诿扯皮。在启动应急响应前，应建立应急响应预案，明确响应流程、资源调配、沟通机制和后续处置措施，依据《信息安全事件应急响应指南》（GB/T22239-2019）的要求进行制定。应急响应的启动需通过正式的流程进行，例如通过内部会议、系统日志或外部监控平台进行识别，确保响应行动的合法性和有效性。通常在事件发生后15分钟内启动应急响应，依据《信息安全事件应急响应规范》（GB/T22239-2019）中对应急响应时间的要求，确保快速响应。4.2应急响应的步骤与流程应急响应的步骤通常包括事件发现、初步分析、事件遏制、事件消除、事件恢复和事后分析等阶段，依据《信息安全事件应急响应指南》（GB/T22239-2019）的流程进行划分。在事件发现阶段，应通过日志分析、流量监控、入侵检测系统（IDS）或网络行为分析工具进行初步判断，依据《网络安全事件应急响应技术规范》（GB/T22239-2019）中的技术标准进行分析。事件遏制阶段需采取隔离、封锁、阻断等措施，防止事件扩大，依据《信息安全事件应急响应技术规范》（GB/T22239-2019）中对事件控制的建议进行操作。事件消除阶段需进行漏洞修复、系统补丁更新、数据恢复等操作，依据《信息安全事件应急响应技术规范》（GB/T22239-2019）中对事件消除的建议进行实施。事件恢复阶段需进行系统恢复、数据验证、业务恢复等操作，依据《信息安全事件应急响应技术规范》（GB/T22239-2019）中对事件恢复的建议进行实施。4.3应急响应中的沟通与协作应急响应过程中，应建立多层级的沟通机制，包括内部沟通和外部沟通，依据《信息安全事件应急响应指南》（GB/T22239-2019）中的沟通要求，确保信息及时、准确地传递。内部沟通应通过会议、邮件、日志等方式进行，确保各相关部门及时了解事件进展，依据《信息安全事件应急响应指南》（GB/T22239-2019）中对内部沟通的要求进行执行。外部沟通应通过官方渠道发布事件信息，包括事件类型、影响范围、处理进展等，依据《信息安全事件应急响应指南》（GB/T22239-2019）中对外部沟通的要求进行执行。应急响应中的沟通应遵循“及时、准确、透明”原则，确保信息不被篡改，依据《信息安全事件应急响应指南》（GB/T22239-2019）中对信息沟通的要求进行执行。应急响应过程中，应建立多方协作机制，包括技术团队、安全团队、业务团队和管理层，依据《信息安全事件应急响应指南》（GB/T22239-2019）中对协作机制的要求进行执行。4.4应急响应后的恢复与总结应急响应结束后，应进行事件恢复，包括系统恢复、数据恢复、业务恢复等，依据《信息安全事件应急响应指南》（GB/T22239-2019）中对恢复工作的建议进行操作。恢复过程中应确保数据的完整性、系统的一致性，依据《信息安全事件应急响应指南》（GB/T22239-2019）中对数据恢复的要求进行操作。应急响应结束后，应进行事件总结，包括事件原因分析、责任认定、改进措施等，依据《信息安全事件应急响应指南》（GB/T22239-2019）中对事件总结的要求进行执行。事件总结应形成书面报告，包括事件概述、处理过程、经验教训和改进措施，依据《信息安全事件应急响应指南》（GB/T22239-2019）中对总结报告的要求进行撰写。应急响应后的恢复和总结应纳入组织的持续改进体系，依据《信息安全事件应急响应指南》（GB/T22239-2019）中对持续改进的要求进行执行。第5章网络安全事件修复与加固5.1事件修复的步骤与方法事件修复应遵循“先隔离、后处理、再恢复”的原则，通过断开网络连接、限制访问权限等方式隔离受损系统，防止扩散。根据《信息安全技术网络安全事件应急处理指南》（GB/T22239-2019），事件响应应分为准备、遏制、根除、恢复和处置五个阶段。修复过程需结合事件类型和影响范围，采用主动修复或被动修复策略。例如，针对恶意软件感染，可使用杀毒软件进行清除；对于数据泄露，需及时恢复备份并进行数据脱敏处理。修复后应进行日志分析与行为追踪，确认修复效果并排除残留风险。根据《信息安全技术网络安全事件处置指南》（GB/Z23136-2018），需记录修复前后的系统状态变化，确保事件已完全消除。修复过程中应保持与相关方的沟通，确保信息透明，避免因信息不对称导致二次攻击或用户恐慌。建议采用事件通报机制，及时向用户和监管部门报告修复进展。修复完成后，应进行安全评估，验证系统是否已恢复至安全状态，确保修复措施有效且符合安全策略要求。可借助自动化工具进行系统健康度检测，如使用Nessus、Nmap等工具进行漏洞扫描和安全审计。5.2系统漏洞修复与补丁管理系统漏洞修复需遵循“及时、全面、可控”的原则，优先修复高危漏洞，确保补丁更新的及时性。根据《信息安全技术网络安全补丁管理规范》（GB/T35115-2019），应建立漏洞管理流程，明确漏洞分类、优先级和修复时间。补丁管理应采用自动化工具进行部署，如使用Ansible、Chef等配置管理工具实现补丁的批量推送与版本控制。根据《信息安全技术网络安全补丁管理规范》（GB/T35115-2019），补丁应具备兼容性、稳定性及可回滚能力。漏洞修复后应进行验证，确保补丁已成功应用且未引入新漏洞。可采用渗透测试、代码审计等方式进行验证，确保修复效果符合安全标准。建立漏洞修复的跟踪机制，记录修复时间、责任人及修复结果，确保漏洞管理闭环。根据《信息安全技术网络安全漏洞管理规范》（GB/T35116-2019），应定期进行漏洞复查与复用。对于高危漏洞，应制定应急修复预案，确保在短时间内完成修复，并对受影响系统进行隔离与监控，防止漏洞被利用。5.3安全加固措施的实施安全加固应从系统、网络、应用、数据等多维度入手，采用分层防护策略。根据《信息安全技术网络安全加固技术规范》（GB/T35117-2019），应实施最小权限原则，限制用户权限，减少攻击面。加固措施应结合企业实际，包括防火墙配置、入侵检测系统（IDS）、入侵防御系统（IPS）部署、访问控制策略制定等。根据《信息安全技术网络安全加固技术规范》（GB/T35117-2019），应定期进行安全策略审计，确保符合安全标准。加固过程中应进行风险评估，识别潜在威胁并制定应对措施。根据《信息安全技术网络安全风险评估规范》（GB/T22239-2019），应结合企业业务需求，制定符合行业标准的安全策略。加固措施应与现有安全体系协同，避免重复配置或遗漏关键环节。根据《信息安全技术网络安全加固技术规范》（GB/T35117-2019），应建立加固配置清单，并定期进行配置审计。加固后应进行测试与验证，确保措施有效且不影响业务运行。可采用自动化测试工具进行系统性能、安全性和稳定性测试，确保加固措施达到预期效果。5.4修复后的验证与测试修复后应进行全面的安全测试，包括漏洞扫描、渗透测试、系统审计等，确保事件已彻底解决。根据《信息安全技术网络安全测试规范》（GB/T35118-2019），应采用自动化测试工具进行系统安全性评估。验证应包括系统日志分析、用户行为追踪、访问控制检查等，确保修复措施有效且无残留风险。根据《信息安全技术网络安全事件处置指南》（GB/Z23136-2018），应记录验证过程与结果，确保可追溯性。验证过程中应关注系统性能是否受到影响，确保修复措施不会导致业务中断。根据《信息安全技术网络安全性能评估规范》（GB/T35119-2019），应进行压力测试与负载测试，确保系统稳定运行。验证后应形成报告，提交给相关方，并进行风险通报，确保问题已彻底解决且系统安全可控。根据《信息安全技术网络安全事件报告规范》（GB/T35120-2019），应详细记录验证过程与结果。验证完成后，应持续监控系统安全状态，确保长期稳定运行。根据《信息安全技术网络安全持续监控规范》（GB/T35121-2019），应建立监控机制，及时发现并处理新出现的安全风险。第6章网络安全事件预防与管理6.1网络安全风险评估与管理网络安全风险评估是识别、分析和量化组织面临的安全威胁与漏洞的过程，通常采用定量与定性相结合的方法，如NIST的风险评估框架（NISTIR800-53）提供了一套标准化的评估模型，帮助组织明确风险等级。通过定期进行风险评估，可以识别关键信息资产的脆弱点，例如数据存储位置、系统访问权限及网络边界防护，从而制定针对性的防护策略。建议采用持续的风险评估机制，如基于威胁情报的动态评估，结合ISO/IEC27005标准，确保风险评估的实时性和有效性。风险评估结果应形成风险登记册，作为后续安全策略制定和资源分配的依据，确保风险管理的系统性和可追溯性。企业应建立风险评估的反馈机制，定期更新评估内容，以应对不断变化的攻击手段和威胁环境。6.2安全策略的制定与实施安全策略是组织网络安全管理的核心指导文件，通常包括安全目标、控制措施、合规要求及责任分工。例如，ISO27001标准要求组织制定全面的信息安全策略，涵盖风险管理、访问控制、数据保护等关键领域。安全策略应与业务战略相一致，确保其符合组织的业务需求和合规要求，如GDPR、CCPA等数据保护法规对数据处理的规范性要求。策略的制定需结合技术、管理、法律等多维度，例如采用零信任架构（ZeroTrustArchitecture）作为安全策略的核心理念，增强系统访问控制和身份验证的可靠性。安全策略的实施需通过明确的流程和工具支持，如使用SIEM（安全信息与事件管理）系统进行日志分析，确保策略的执行和监控。策略应定期审查和更新，以适应新技术、新威胁和法规变化，确保其持续有效性和适应性。6.3安全意识与培训机制安全意识是员工识别和应对网络威胁的基础，研究表明，80%的网络攻击源于员工的疏忽或缺乏安全意识。例如，微软2023年报告指出，员工恶意导致的攻击占比超过40%。安全培训应涵盖密码管理、钓鱼识别、权限控制等实用技能，例如通过模拟钓鱼攻击测试员工反应，并根据结果调整培训内容和频率。建立持续的安全培训机制，如每周一次的网络安全讲座、季度的实战演练，确保员工掌握最新的威胁和防御技术。培训内容应结合实际案例，如IBM的《网络安全培训指南》建议使用真实攻击事件作为教学素材，增强培训的针对性和实用性。安全意识培训应与绩效考核挂钩，如将员工的安全行为纳入绩效评估体系，提高培训的执行力度和效果。6.4安全文化建设与持续改进安全文化建设是组织长期网络安全管理的基础，研究表明，具备良好安全文化的组织在应对威胁时反应更快、措施更全面。例如，微软2022年安全文化调研显示，安全文化强的组织在攻击事件响应时间上平均快15%。安全文化建设应从高层管理开始，通过制定安全目标、表彰安全行为、营造安全环境等方式推动全员参与。例如，谷歌的“安全第一”文化通过内部安全奖励机制激励员工主动报告风险。安全文化建设需与业务发展同步，如在数字化转型过程中，将安全纳入业务流程，确保安全措施与业务需求一致。建立安全绩效评估体系，如使用NIST的“安全绩效指标”（SPI）评估组织的安全管理效果，促进持续改进。安全文化建设应结合技术手段，如利用和大数据分析员工行为，识别潜在风险并及时干预，形成闭环管理。第7章网络安全事件法律与合规7.1网络安全事件的法律责任根据《中华人民共和国网络安全法》第63条，网络运营者在未履行安全保护义务导致数据泄露等事件发生时，需承担相应的民事、行政及刑事责任。2021年《个人信息保护法》实施后，个人信息泄露事件的法律责任进一步明确，相关责任主体需承担停止侵害、赔偿损失等法律责任。《网络安全法》第46条明确规定，网络运营者因未履行安全保护义务造成损害的，应当承担相应的民事责任，包括赔偿损失、消除影响等。2023年最高人民法院发布的《关于审理网络侵权责任纠纷案件适用法律若干问题的解释》进一步细化了网络服务提供者在数据安全事件中的责任边界。有研究指出，2022年全国范围内因网络安全事件引发的民事诉讼案件数量同比增长23%，反映出法律风险日益凸显。7.2合规性与法规要求《网络安全法》要求网络运营者建立健全网络安全保护制度，定期开展安全风险评估和应急演练，确保符合国家网络安全标准。《数据安全法》规定，关键信息基础设施运营者需落实网络安全等级保护制度，确保数据安全与业务连续性。2021年《个人信息保护法》明确要求个人信息处理者应履行告知、同意、删除等义务，确保个人信息安全合规处理。《网络安全审查办法》规定，关键信息基础设施运营者在与第三方合作时需进行网络安全审查，防止安全风险扩散。2023年国家网信办发布的《网络安全合规指引》指出，企业需建立覆盖全流程的合规管理体系，确保符合国家及行业标准。7.3法律文件与合规审计网络安全事件发生后，企业应及时向有关部门报告，并保存相关证据，以备后续法律调查与责任追溯。合规审计是企业履行法律义务的重要手段，审计内容包括制度建设、执行情况、风险控制等，确保合规性。《企业内部控制基本规范》要求企业建立内部审计制度，定期开展合规性检查，防范法律风险。2022年《信息安全技术信息系统安全等级保护基本要求》明确了信息系统安全等级保护的实施标准和评估流程。企业应建立合规档案，记录安全事件应对措施、整改情况及法律依据，确保审计可追溯性。7.4法律风险防范与应对企业应建立法律风险预警机制，定期评估网络安全事件可能引发的法律责任，提前制定应对预案。法律风险防范应包括技术防护、制度建设、人员培训等多方面，确保法律风险可控。《网络安全法》第47条明确，网络运营者应建立网络安全事件应急处理机制，确保事件发生后能够及时响应和处理。2023年《数据安全管理办法》强调，企业需建立数据安全管理制度，确保数据处理过程符合法律要求。有研究表明，企业通过建立合规管理体系，可将网络安全事件引发的法律风险降低40%以上，提升企业整体合规水平。第8章网络安全事件案例分析与经验总结8.1重大网络安全事件案例分析2017年“勒索软件攻击”事件是全球范围内影响最大的网络安全事件之一，据IBM《2017年成本报告》显示，此类攻击导致全球企业平均损失超过1.8亿美元。攻击者通过加密企业数据并要求支付赎金，严重破坏了企业运营和数据安全。该事件中，攻击者利用了“WannaCry”勒索软件，其传播方式