勒索病毒變身來襲

楊守福+俞飛

WannaCry2.0攻擊已經開始，并且，沒有發現可使其停止的“開關”

勒索病毒WannaCry在包括中國在內的全球一百五十余個國家及地區瘋狂肆虐后，黑客的“自毀開關”網站域名被識別，勒索病毒攻擊被阻止。與此同時，各安全廠商根據截獲的病毒樣本分析升級了各自的特征庫，中國也自主研發出防御軟件，以阻止已知和未知的勒索病毒破壞文件。

一切似乎歸于平靜。但是，危險真的就此消失了嗎？

新一波攻擊蠢蠢欲動

令人遺憾的是，危險并未離去。

國際幾大知名網絡安全實驗室的最新監測發現，新一波的WannaCry2.0攻擊已經開始，并且，沒有發現可使其停止的“開關”。

引爆此次勒索病毒危機的黑客組織“影子經紀人”更是宣稱：將出售更多病毒代碼，用于侵入目前世界上使用最多的計算機、軟件和手機。據說，新的病毒連蘋果電腦也可以侵入。

黑客組織甚至發布了月度計劃：從6月份開始，將每月出售瀏覽器、路由器、手機的攻擊武器。

中國國家計算機病毒應急處理中心監測發現，一種名為“UIWIX”的勒索病毒新變種已在全球出現。而路透社也援引數據稱，勒索病毒的變種正以每小時3600臺電腦的感染速度在迅速擴散，提醒用戶提高警惕，小心防范。

一個令人擔憂的現實是：下一波的攻擊不但無法避免，還將繼續擴散，在接下來的幾周內可能會出現更多的變種。

雖然此次勒索病毒的散播已經引起了大家對系統漏洞的重視，但是仍然有大量存在漏洞的系統能夠輕易地訪問，仍然有許多未知的潛在漏洞會被利用。并且，更新的惡意病毒不只針對計算機，還瞄準了手機、智能設備等。

黑客攻擊的最終目的

此次勒索病毒危機，雖然黑客組織主要目標在于錢（比特幣），但無法確定的是，以后的惡意病毒是否還有其他目的，比如獲取數據。

必須相信， 入侵者一定有能力將數據竊取走，或者已經竊取了。如果真的如此，那后果將不堪設想。

從以往案例來看，竊取數據是絕大多數黑客網絡攻擊的最終目的。畢竟，在電腦系統中，最寶貴的就是所存儲的數據資料，無論是對于個人電腦，還是企業服務器等。

數據泄露在日常生活中并不鮮見。

數據泄露的途徑有很多，按泄露主體來分，主要包括主動泄露及被動泄露兩大類。

所謂主動泄露，是指數據被內部人員有意泄露，主動泄露事件在許多單位、機構等均存在，主要源于管理不當。2017年3月初，京東協助公安部破獲的“50億條公民信息泄露”案件，就是一起典型的主動泄露事件，京東安全部試用期員工鄭某鵬，利用職務之便，監守自盜，以身試法，最終自食其果。

被動泄露是最常見的數據泄露方式，主要指用戶在不知情的情況下，數據被竊取。常見的病毒、木馬、非法入侵者（如間諜）等，都屬于被動泄露范疇。在個人家庭使用計算機環境中，主要以被動泄露為主。

目前所發現的數據泄露事件，有超過90%是由于數據庫引起的。入侵者一旦有機會進入目標機器，首要目標就是數據庫（結構化數據），其次則是重要的文件（非結構化數據）。此次勒索病毒攻擊發起組織“影子經紀人”所掌控的數據，基本都是通過非法途徑竊取所得。

黑客關注什么，就重點防護什么

數據是網絡應用的核心，數據的安全防護，是應對所有網絡攻擊的最后一道防線，同時，也是信息泄露的最后一道防線。

在日常工作生活中，如何確保數據的安全，不被內部人泄露、不被入侵者竊取，確保惡意軟件進不來、進來之后拿不走、拿走之后打不開、泄露之后查得到，顯得尤為重要。

如前所述，有超過90%的數據泄露事件跟數據庫有關，因此，如何保護數據庫安全是保護數據安全的重中之重。

數據庫主要存儲在服務器中，無論是普通企業還是機關單位的數據庫，或存放在單位內部服務器中，或存放在互聯網服務器中，或放在云服務器中，作為組織、存儲和管理數據的角色，數據庫一般都應該放在應用（如網站、App等）之后，對應用提供接口或對管理員提供獨立的訪問方式，不直接對普通用戶開放。

入侵者主要從應用、數據庫、物理存儲設備等三個渠道入手，除此之外，數據也可能由管理員濫用特權賬戶泄露出去。因此，如要全面地保護數據庫安全，就需要從數據庫的使用過程入手。

事前，要對數據庫進行現狀評估，包括風險掃描和狀態監控，發現問題，及時查漏補缺，起到預防作用，狀態監控需要對數據庫起到占用及及時報警作用，確保數據庫實時正常運作，保證入侵者拿不走。

事中，一是設置針對數據庫安全防護的專業防火墻，能夠及時攔截非法造訪，保證非法入侵者進不來;二是根據需要安裝專業的數據庫加解密設備，確保數據庫中關鍵數據無明文，保證數據丟失后竊取者打不開。

事后，需要確保有獨立的數據庫審計系統，能夠追蹤溯源，便于分析原因與界定責任。

通過以上全過程的安全防護，才能實現入侵者進不來、進來后拿不走、拿走后打不開，丟失后可追溯。

保護數據的國家行動

要想徹底維護網絡與信息安全，更離不開對違法犯罪的震懾和打擊。

2017年6月1日起，《中華人民共和國網絡安全法》《最高人民法院 最高人民檢察院 關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》等正式實施。其中，網絡安全法涵蓋了網絡數據安全、網絡信息安全、網絡運行安全、網絡設備設施安全等多方面內容;《解釋》對于侵犯公民個人信息罪的定罪量刑標準、嚴打泄露個人信息“內鬼”等社會關注焦點作了明確規定，對每個公民的個人信息安全保護又增加了一層法律法規的鎧甲，力度之大、范圍之廣前所未有。

作為我國網絡與信息安全領域的重要法規，它們與《刑法》等法律一起構成了一個相對完善的法律保護體系，對進一步保護網絡和個人信息安全具有十分重要的現實意義，注定將成為中國網絡與信息安全的一個里程碑。

互聯網深刻融入和影響著每個人的生活，只有安全的網絡、健全的法律，才能讓每個人在虛擬世界里有安全感。為此，亟需建立起一套完善的網絡與信息安全技術體系和健全的法律體系，為信息安全提供保障，為互聯網發展保駕護航。