反思wanaCry 6月1日起网络安全将告别旧世界
也许wannaCry自己都有些出乎意料的,这一发布略显仓促,也并不那么严谨的勒索蠕虫就这样引起了轩然大波,并载入了史册。
有意思的是,wannaCry所影响的范围与其实际的获利是不成正比的。截至5月16日,全球约304万个IP地址遭受永恒之蓝漏洞攻击,世界各地都找到了很多明显的被感染案例。可是,有数据显示,如此大范围的攻击之后,全部收到的赎金大约在5万美金左右。
那么,受到攻击的范围和收到赎金之间巨大的落差,是因何产生的呢?
实际上,NSA泄露的网络武器之一的“Eternal Blue”发生于4月,而在此之前的3月,微软就针对这一漏洞发布了MS17-010补丁,在如此长的周期之后,仍然出现了大范围的感染,这不得不引起我们的注意。
我们知道,中国的网络安全法,将于今年6月1日起正式执行,这将是我国首个《网络安全法》,wannaCry在这个节骨眼的出现,像是《网络安全法》发布前的一次长鸣的警钟,告别旧世界,迎来新时代。
反思wanaCry 被唤醒的安全意识
我们反思wannaCry,能够得出的结论是非常显而易见的。
在反病毒一线有十几年经验的瑞星副总裁唐威说,“这一事件背后,折射了两个重要的问题,其一是国内用户安全意识薄弱,缺乏基本的安全防护常识,其二,日常对安全公司的提醒视若罔闻”。
据了解,早在今年4月,瑞星就在其官网上发布了当时最新的安全警示,其中第一条就是对MS17-010补丁的更新说明。前有微软的官方发布,后有瑞星的安全警示,却依然有大量的用户被感染,国内用户的安全意识之差,确实已经到了最危险的时刻。
其实,wannaCry在爆发之后,很多反病毒的专家都对该病毒的发作呲之以鼻,因为从技术上对它的防护简直不值一提,正如唐威所说,“用户只需要第一打开防火墙,第二打补丁就可以做到有效隔离”,所以如果防护措施做到位,wannaCry很难算得上是一个有实际杀伤力的病毒。
我们发现中国香港地区极少发现被wannaCry攻击的案例,因为香港地区的电脑使用比较规范,用户通常养成了及时升级的好习惯,所以在病毒爆发时,没有收到波及。
唐威分析称,目前wannaCry的疫情已经得到很好的控制,第一,并没有真正意义上的变种2.0。虽然有一些新的攻击样本,但只是在原有基础上做了微调。第二,疫情呈快速下降的趋势。可见,wannaCry的扩散已经得到了有效的控制。
但难以抚平的则是用户薄弱的安全意识,这才是在wannaCry事件之后,我们最应该反思的。好在6月1日起,《网络安全法》将正式出台,这将是网络安全管理的一次最系统化的说明,我们要准备迎接新世界了吗?
6月1日,将成为了网络安全分水岭
随着互联网的发展,我国已经是名副其实的网络大国,网民人数全球第一。繁荣之下,也凸显出一些安全隐患,例如网络入侵、网络攻击,网上非法获取、倒卖个人信息,侵犯知识产权等事件时有发生。
但是相比于快速发展的网络世界,我国的立法速度却并不快,而美国和日本等发达国家早就有了《网络安全法》。事实上,有了《网络安全法》,我们就等于在网络安全方面有了统一的管理标准。
以wannaCry病毒为例,《网络安全法》规定,发生网络安全事件,应当立即启动网络安全事件应急预案,对网络安全事件进行调查和评估,要求网络运营者采取技术措施和其他必要措施,消除安全隐患,防止危害扩大,并及时向社会发布与公众有关的警示信息。
显然,如果在《网络安全法》执行后,及时的公示和协同,会让类似的病毒影响面积降到最低。
唐威认为,《网络安全法》作为网络安全的基本法,对网络安全的定位和目标、管理体制机制、监督管理等基本问题作出明确规定。比如谁来负责,主要管理哪些维度,对违法如何处理?
那么,国家网信部门负责统筹协调网络安全工作和相关监督管理工作。国务院电信主管部门、公安部门和其他有关机关依照本法和有关法律、行政法规的规定,在各自职责范围内负责网络安全保护和监督管理工作。
另外,《网络安全法》也提出制定网络安全战略,明确网络空间治理目标,提高了我国网络安全政策的透明度;进一步明确了政府各部门的职责权限,完善了网络安全监管体制;强化了网络运行安全,重点保护关键信息基础设施;完善了网络安全义务和责任,加大了违法惩处力度等等。这些细则,将对网络安全的现状造成哪些影响?
解读安全法 这些条款你必须知道
其一,《网络安全法》第二十一条,将等级保护制度上升到了法律高度。其中提到几个重点的信息包括:采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;采取监测、记录网络运行状态、网络安全事件的技术措施,并留存网络日志不少于六个月;采取数据分类、重要数据备份和加密等措施。
实际上,在《信息安全等级保护管理办法》当中划分了五个等级保护的等级。以较为均衡的三级等保为例,当中要求了安全产品必须有国内公司研制,产品核心技术有我国自主知识产权。基本上国有企业和大型企业,都在三级等保或是三级以上等保的范围内,这将是国产安全公司的机会,以瑞星为例,从成立至今始终以技术研发为导向,从产品到技术都是建立在自主知识产权之上。
其二,《网络安全法》第二十三条规定了安全产品要经检测:网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求,由具备资格的机构安全认证合格或者安全检测符合要求后,方可销售或提供。这一条款的含义,就是正规化,对不具备检测要求的厂商基本宣布了死刑。
其三,《网络安全法》第二十三条规定了实名制,要求网络运营者为用户办理网络接入、域名注册服务,办理固定电话、移动电话等入网手续,或者为用户提供信息发布、即时通讯等服务时,应当要求用户提供真实身份信息。
我认为,实名制的好处将会是非常深远的,可溯源的网络让从事网络犯罪的人群始终怀有一颗敬畏之心,让网络环境的净化效率更高。
其四,《网络安全法》第二十七条规定:非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动;不得提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序、工具;明知他人从事危害网络安全的活动的,不得为其提供技术支持、广告推广、支付结算等帮助。
这是一个重要的条款,过去对于一些网络安全的案件很难有一个确切的罪责认定说明,而这一条款的存在,则明确对网络犯罪的范围和罪责进行了界定。
其五,《网络安全法》对关键信息基础设施的运行安全,进行重点保护。关键信息基础设施是指,公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施
前文提到的等级保护与关键信息基础设施之间的关系是相辅相成的,每一个不同的级别对基本的网络安全技术细节也做了说明。不是每一个安全公司,都有能力服务于有等保要求的企业,比如瑞星作为国内唯一能够提供信息安全整体解决方案的厂商,其终端安全、云安全、网关安全三大解决方案就符合网络安全法和等保要求。
总体而言,《网络安全法》让中国的网络安全有了统一的问责标准和管理办法,结合《信息安全等级保护管理办法》,中国的企业将在自有知识产权的维度中,极大程度的实现网络的安全。
新时代的网络安全有何深远影响?
我们将6月1日看作一个分水岭,《网络安全法》的正式落地,将产生何种深远的影响?
那么,首先对于用户来说,在《网络安全法》的管理下,我们可以访问更安全的网络,对隐私信息保护有了更好的进步空间。因为《网络安全法》当中规定:做不好安全防护的企业有可能会吊销营业执照。对于贩卖出售的个人隐私信息也有了完整的法律惩罚条款,例如产生经济收入的除以10-100倍处罚,没有获得经济收入的处以100万以内的罚款等等。
第二,对企业而言,《网络安全法》主要在于明确了责任和义务。过去的互联网企业都是重体验轻安全,现在就不可以了,《网络安全法》规定了企业不能忽视安全,必须做到位。这也是中国IT发展的一个必然,前期为了追赶发达国家放弃了一些东西,现在进行补救为时不晚。
第三,对于安全厂商来说,这明显是一个市场机会。首先,符合要求的安全厂商将面对的市场很大,以瑞星为例,根据IDC的报告显示,瑞星在终端安全软件领域市场占有率国内排名第一。《网络安全法》的颁布将有利于这类企业继续扩大市场领先的份额。
其次,《网络安全法》作为一个管理办法,让安全厂商走到正确的路上。对于责任的认定,并不会因为是否免费而缺失,而是会依据服务的提供来认定。这也是在法规健全方面的进步。
最后,服务于企业级用户的经验将会非常值钱,因为大多数的大企业都会在等级保护的范围内,他们会选择有足够经验的安全厂家进行合作,比如已为中央办公厅、国务院办公厅、中央宣传部、财政部、公安部、国家工商总局、中央军委装备发展部、国税总局、工信部等政府、企事业单位提供过信息安全产品及配套的信息安保服务的瑞星就是其中的佼佼者。
6月1日,《网络安全法》会迎来一个新的网络新时代,有法可依的互联网世界,也将真正走出中国的特色,这将是中国网络安全的大胜利。