交了“勒索”学费之后,我们应该记住些什么?

来源:新华社
2017-06-02 08:15:00

新华社北京6月1日电(记者令伟家)网络勒索病毒WannaCry爆发半个多月后,《中华人民共和国网络安全法》于6月1日如期实施。WannaCry的脚步渐行渐远,但留给人们的思考并未停止:一场本不该如此损失惨重的攻防战,因为用户把防守的“盾”遗忘在了门后,只能“裸”对病毒“矛”的勒索。

前事不忘,后事之师。设计严密的安防体系,为什么会重蹈“马其诺防线”的命运?举手之劳即可拒敌千里的用户,为什么要面临“城下之盟”的勒索?网络安全法实施之际,交了“勒索”学费的我们,应该长些什么记性,又该记住哪些教训呢?

一场没有“盾”的“矛”刺“盾”

2017年5月12日,中国第九个“防灾减灾日”。当日晚8时左右,一款名叫“WannaCry”的网络蠕虫勒索病毒率先在欧洲暴发,并迅速向全球蔓延。

国家互联网应急中心的数据显示,截至5月17日16时,全球近356.3万个IP地址遭受WannaCry攻击,其中位于我国境内的IP地址接近12.5万个,对我国互联网造成严重的安全威胁。

中国科学院信息工程研究所副研究员张棪说,WannaCry无需用户进行任何操作,便可自行扫描Windows系统漏洞。只要开机联网,就能在电脑和服务器中植入一系列恶意程序,自动加密用户文件并锁定用户桌面,在弹窗上列出勒索要求。

张棪说,这次WannaCry盯上的主要是windows系统的445文件共享端口漏洞。正是这个端口便利的“共享”特质,入侵者就能轻松入侵用户硬盘,并借此感染扫描到的其他计算机。

目前常用的windows7等比较新的正版系统,在自动升级功能打开的情况下,都不会受到此漏洞威胁。而windowsXP等老旧系统,自身无法修复这个端口漏洞,因此成为勒索病毒攻击的重点。

“如果不及时下载补丁软件,面对WannaCry的勒索,windows老旧系统用户就等于不带盾牌,赤身迎战长矛的攻击。”张棪说,“这是一场没有防线的攻防战,没有‘盾’的‘矛’刺‘盾’。”

勒索病毒WannaCry利用Windows操作系统445端口存在的漏洞进行传播,并具有自我复制、主动传播的特性。

防守的“盾”去哪儿了?

其实,防守并未缺席。你用,或者不用,“盾”就在那儿。

早在今年3月,微软就针对这一漏洞发布了MS17-010补丁,国内多家网络安全公司也都在第一时间发布了漏洞补丁公告。

瑞星副总裁唐威说,利用445文件共享端口实施破坏的蠕虫病毒,曾多次在国内爆发。相对于木马病毒和灰色软件病毒,WannaCry所属的蠕虫病毒并不高发,病毒本身也并不那么严谨。

“运营商很早就针对个人用户将445端口封闭,但是一些没有及时下载补丁的windows老旧用户,仍然存在大量开放的445端口。”唐威说,“445端口并不常用,非专业用户对它的警惕性很低。”

“技术上对WannaCry的防护不值一提。用户只需要两步就能做到有效隔离:一是打开防火墙,二是打补丁。”唐威说,“如果防护措施到位,wannaCry很难算得上是一个有杀伤力的病毒。”

“盾牌”不算孱弱,“长矛”也并不锋利。但就是这样一款感染量不大、关注度不高的蠕虫病毒,却在补丁发布两个月之后,仍然出现了大范围感染,这让许多网络安全专家大跌眼镜。

“坚固的‘盾牌’早就有了,但是很多用户把它忘在了门后。”唐威说,“如果用户稍加留意,及时关注安全厂商3月份发布的公告,可能就不会有这次‘勒索’事件了。”

用“法律”筑牢安全防火墙

相对于并不那么“穷凶极恶”的勒索病毒,安全厂商提供的补丁可谓“固若金汤”,但为什么依然会重蹈“马其诺防线”的覆辙呢?

长期在反病毒一线工作的唐威认为,这反映出部分国内用户的三个“软肋”:一是安全意识薄弱,不关注安全公司的提醒;二是安全习惯较差,不用正规安全软件、不打补丁、不设安全防火墙、不备份文件;三是设备系统普遍老旧,容易受到病毒攻击。

全国人大常委会法工委有关负责人介绍,6月1日开始实施的网络安全法,明确了网络产品和服务提供者的安全义务,明确了网络运营者的安全义务,建立了关键信息基础设施安全保护制度。这些规定,有望改变互联网企业有“盾”不用、有设无“防”的“意识漏洞”,从法律的角度为网络安全再筑一道防火墙。

“过去许多互联网企业重体验轻安全,网络安全法明确了企业的安全责任和义务,企业再不能忽视安全,必须要做到位。”唐威说,网络安全法规定,网络运营者应当按照网络安全等级保护制度的要求,履行安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。

而张棪认为,网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求,由具备资格的机构安全认证合格或者安全检测符合要求后,方可销售或者提供。“这是在法律层面上,对企业网络安全作出的硬性规定。”