勒索病毒肆虐新变种又出现 凸显三大信息安全问题

勒索病毒还没消停。国家计算机病毒应急处理中心与亚信科技(中国)有限公司5月17日18时联合监测发现，一种名为“UIWIX”的勒索病毒新变种在国外出现，提醒国内用户提高警惕。

　　从5月12日起，一款名为“WannaCry”的勒索病毒大规模入侵全球电脑网络，波及近100个国家和地区。包括中国部分高校、加油站等重要信息系统在内的多个用户受到攻击，产生较为严重的网络安全威胁。专家表示，这次勒索病毒事件的警示意义极强，不仅说明公民个人信息安全意识亟待加强，更对国家网络安全敲响了警钟。

　　个人：

　　绷紧信息安全这根弦

　　提起电脑病毒，人们都不会陌生。从本世纪初开始，互联网领域先后出现过借助邮件传播的梅利莎、蠕虫病毒“红色代码”以及能终止大量反病毒软件和防火墙软件进程的“熊猫烧香”等电脑病毒。近年来，随着国内信息安全技术公司的出现，电脑病毒逐渐没了市场，很多人甚至认为装个第三方杀毒软件或电脑安全卫士就万事大吉了。

　　不过，此次勒索病毒来得有些凶猛，防火墙有些招架不住了。简单来说，它是一款蠕虫式勒索软件，通过利用编号为MS17-010的Windows漏洞主动传播感染受害者。除Windows 10系统外，其他未及时安装安全补丁的Windows系统都可能被攻击。有专家表示，由于这种病毒使用的是特殊加密，目前的计算机没有办法解密。

　　虽然看上去来势汹汹，但这起攻击并非没有漏洞预警。今年3月，微软曾发布过相关的安全公告。上海市信息安全行业协会会长、众人科技创始人谈剑峰说：“3月份的安全公告和4月份的攻击工具泄漏并没有引起足够重视。仅仅1个月后，勒索病毒就开始肆虐，严重影响到人们的工作和生活。”

　　另外，公众过分依赖第三方安全助手也是一大原因。谈剑峰说，现在计算机上安装的各种第三方安全助手，综合了多种自动化操作，给用户带来了便捷。但是，“第三方安全助手绝不是最终的安全保障。”

　　病毒肆虐，给网络安全防范意识有所松懈的公众首先敲响了警钟。去年召开的网络安全与信息化工作座谈会提出的：“网络安全的威胁来源和攻击手段不断变化，那种依靠装几个安全设备和安全软件就想永保安全的想法已不合时宜，需要树立动态、综合的防护理念。”专家表示，用户必须注意培养自身的网络安全意识，绷紧信息安全这根弦，例如重视安全更新、对重要文件时常备份等。

　　机构：

　　变“消极防御”为主动防御

　　有数据显示，在国内，已有过万家机构组织的数十万台机器被感染WannaCry(永恒之蓝)，影响范围遍布高校、火车站、自助终端、邮政、加油站和医院以及政府办事处等多个领域，很多机构遭受不同程度损失，给公众生活也造成很大不便。

　　“很多基层单位的信息化和网络安全防范水平亟待提升。”上海社科院互联网研究中心首席研究员李易称，此次大规模网络攻击显示，一些政府部门、高校等，其信息化设施在顶层可能没问题，但在基层却遭遇病毒感染。

　　目前，不少政府机构和国企采用“网络隔离技术”来应对安全威胁，很多人乐观地认为隔离内网是安全的。但事实证明，内部网络的安全漏洞也比较多，容易从内部发起攻击。并且，内网的资产和数据价值更大，被攻击后影响更为严重。

　　应该说，病毒肆虐给所有公共服务部门敲响了警钟。这些部门很多是维持整个社会正常运行的公共服务部门，如果其内部的关键网络遭遇病毒入侵，后果将不堪设想。

　　有专家认为，相关机构当前网络安全的防护重点应该从传统的“消极防御”转向实时动态监测和快速响应，变被动为主动智能安全运营，实现“事前防范、主动应对、智能运营”，把危险御于“大门之外”。

　　政府：

　　把信息安全钥匙握在自己手里

　　中国政府相关部门和国内安全厂商对此次勒索病毒的应对反应十分迅速。首先是国家安全主管部门，包括公安部、工信部等机构响应迅速，进行了全国动员部署。在病毒爆发期间，公安部前后发了3个紧急通报，工信部和国内三大电信运营商也都在第一时间对病毒应对做出部署，使得国内多数电脑用户没有“中招”。另外，国内多个安全厂商也非常给力，提前为用户提供了应急指南和开机指南。由于准备充分，勒索病毒在国内的破坏性有限。

　　不过，这起事件也反映出，中国整体信息安全水平和基础防御能力相对比较低。尽管安全领域的单点能力较强，但却不成体系。因此，如何从大规模的机构安全体系规划层面出发，构建识别、防护和检测、响应以及恢复的整个体系十分重要。

　　公开资料显示，此次勒索病毒来自黑客组织从美国国家安全局旗下“方程式黑客组织”盗窃的一种名叫“永恒之蓝”的网络武器。而这款武器只是这个组织掌握的10款重要网络武器的一种。有消息称，其中任何一款网络武器都可以攻破全球70%的Windows系统漏洞。

　　无论消息真伪如何，其折射的现实是十分清楚的，那就是在互联网普及时代，网络渗透和控制无处不在。目前，国外绝大多数网络系统都有后门和漏洞。从某种程度上讲，依靠国外的网络系统是没有安全可言的，而没有网络安全就没有国家安全。因此，尽快启动研发自主操作系统是避免今后受制于人的治本之策。

　　今年6月1日，《中华人民共和国网络安全法》正式实施。希望这部法律的实施，能够让公众在网络安全意识教育、应急反应机制等方面得到进一步完善和提升，更能推动一些维护网络安全的根本之策的出现。