终端安全软件更新惹祸，微软蓝屏风暴席卷全球 华为HiSec Endpoint提供更可靠更安全的终端防护能力

7月19日，“微软蓝屏”事件突然登上全球各大社交媒体热搜，引发广泛关注和讨论。据了解，Windows电脑的“蓝屏死机”问题在全球范围内多地爆发，数百万Windows用户遭遇这一困扰。“蓝屏死机”问题对全球众多领域造成了严重影响，众多企业正经历业务中断的困境，涉及的行业包括航空、银行、铁路、电信、媒体、医疗健康、旅游与酒店业等。

在航空，印度、捷克、泰国等众多航空公司被迫取消航班，影响数千架次航班。美国联合航空公司表示，本公司受第三方软件故障影响，所有飞机已经停飞。在医疗，英国国家医疗服务体系表示多数医疗系统处于离线状态，造成患者无法预约就医。在金融，全球多家银行、证券交易所和金融机构因微软系统故障而无法正常提供服务。运营伦敦证券交易所的LSEG集团表示其新闻和数据平台遭遇宕机，影响了全球用户金融交易。在铁路，日本旅客铁道公司列车行驶位置信息因Windows系统故障导致无法获取。

“微软蓝屏”风暴溯源，内核模式运行的驱动程序出现兼容问题

微软公司发言人证实，此次Windows设备大面积蓝屏是　CrowdStrike　终端安全软件发布更新造成的。CrowdStrike　终端安全软件的驱动文件CSAgent．sys存在兼容性问题，升级后，导致许多Windows主机无法正常运行，致使大面积的业务中断和系统崩溃。

CrowdStrike含内核模式运行的CSAgent．sys等驱动程序，用于监控系统活动。内核驱动程序可以访问和使用所有包括存储和外设等关键的系统资源。普通应用程序出现异常还有机会修复，内核模式加载运行的驱动程序出现异常，将无法进行错误恢复，最后操作系统不得不以蓝屏的方式停止工作，防止计算机中的资源或者硬件受到不可恢复的破坏。

内核驱动程序相当于在人体的大脑或心脏中植入一块特定功能，人的肢体在受损后可以自动恢复或断臂求生，但大脑或心脏在受到植入功能的故障影响时，将很难自愈，同时影响更不可控。

CrowdStrike　采用SaaS服务模式，此次事件暴露了SaaS（软件即服务）升级上存在的疏漏。在服务面向最终用户推送升级前，需要采用严格的上线测试验证、租户级小批量灰度发布，再逐步推开的一个过程，才能避免大规模部署时可能出现的风险。

对于企业自身来讲，重要应用的产品升级、补丁等需要依据自身的业务环境来评估。不同行业IT环境和应用复杂性高，需要管理员基于应用分级制定策略，进行全面的测试验证，灰度发布，再小批量逐步部署。为业务的稳定运行兜底，在策略上做好区隔，而不是完全交给SaaS厂商统一自动升级。不同安全、应用、基础设施、服务提供厂商，以及客户守好各自职责分界，做好自己的课题。

此次微软蓝屏事件无疑对国家安全发出了强烈的警示。在数字化、智能化时代背景下，网络安全已经成为国家安全的基石，其重要性不言而喻——没有网络安全，就没有国家安全。尽管此次微软蓝屏事件是一次意外的技术事故，但它所暴露出的潜在风险却让人无法忽视。我们必须清醒地认识到，如果未来发生有组织、有目的的故意攻击事件，其影响将远远超出技术范畴，对关键基础设施、社会乃至国家都将构成巨大威胁。因此，我们必须加强网络空间安全的建设，提升防范能力，强化措施机制，特别是网络安全产品在自主、安全以及全流程可信的能力，以应对日益复杂的国际网络安全环境。

华为HiSec　Endpoint终端安全防护系统：自主、安全、可靠

此次大规模中断事件为业界与用户敲响警钟，凸显了网络安全产品自身问题的重要性。安全软件旨在保护用户数据免受恶意软件、病毒、黑客等威胁，但若其存在漏洞或不稳定，将危及用户数据安全，损害系统稳定性，增加安全风险。网络安全是数字经济、信息安全发展的基础，提升网络空间安全技术的自主研发能力，保障国家信息安全势在必行。这次事件也在提示企业在选择合作的网络安全厂商时，需要考虑企业的综合能力、技术自主研发和创新实力、管理能力、应急处置能力等多方面因素。企业应谨慎选择，确保采纳稳定可靠的终端安全防护软件，以保障系统的稳定性和业务的连续性。

华为在2023年发布全面自主研发的HiSec　Endpoint智能终端安全系统，集成了下一代AV引擎，业界首创的内存实时威胁图、深度内存防御无文件攻击，以及AI威胁分析，联动安全网关、HiSec　Insight　NDR等产品进行形成系统性防御方案，实现全局关联、多跳溯源和联动响应。构建从初始入侵、执行、横移＆破坏防御，到最终研判的四层防御和闭环体系。在通用恶意软件上检出率达99.96％，勒索软件100％检出（赛可达测试报告数据）。对于勒索加密文件，可以实现一键自动还原，确保数据近零丢失。目前已经应用在多个行业中。

为了使产品稳定运行，华为HiSec　Endpoint智能终端安全系统在设计上采用业务和框架分层模型，隔离软件故障域。通过压力测试、极端测试工具、本地测试覆盖等对容易造成问题的组件构建了一套严密的防护网，能在内部提前发现问题；特性严格采用灰度发布，持续运营，验证后逐步批量推送，降低稳定性风险；对于特性级故障，可通过管理侧逃生开关实现应急处置，　快速恢复业务运行。产品推出以来，没有造成过类似影响的严重事件。

华为HiSec　Endpoint　三大系统性措施保障内核稳定

此次蓝屏事件主要源于产品驱动问题，内核安全驱动较普通应用程序具备更高的运行权限，可以访问更多的系统资源，但这也像守卫获得了利刃，使用稍有不当或存在小的错误，都可能使被保护的对象成为受害者，导致系统崩溃。华为HiSec　Endpoint针对重要服务器，提供用户态轻量级监控方案。针对高风险终端，按需提供内核态驱动深度监控方案，并通过三大系统性措施确保产品高稳定性。

第一，领先的架构设计：采用业务和框架分离策略，不同功能模块组件化可独立测试、发布、加载、可开关，高内聚，弱耦合，减少软件故障影响。依托专业的系统安全和软件专家团队，在OS兼容性、API调用规范性等方面，保持敬畏，将业务稳定性作为最高看护目标。

第二，完善的测试防护网：华为Hisec　Endpoint构建了完善的系统蓝屏防护网，梳理全量故障码，构建蓝屏故障模式库，测试专家通过故障注入、长稳、压测等多种方式全面覆盖可能出现的场景，实现模块级、组件级、特性级、产品级、生产环境级多层防护网，持续守护产品质量。

第三，细粒度逃生通道：在运维过程中，借助按需降级的特性开关机制，所有基于框架的特性均可通过运维控制的方式，执行开关，实现故障场景可快速逃生、问题可排查与可降级。（作者：华欣）

（编辑：旦增尼玛）