新一轮勒索病毒再袭 中国搭建多层次预警应对体系

【安防在线 www.anfang.cn】Petya变种勒索病毒目前在国内影响有限，目前主要集中在国际贸易等跨国交流比较密切的行业中，但只有零星传播，并没有出现大面积扩散情况。

继WannaCry勒索蠕虫病毒之后，6月底，新的Petya变种勒索病毒在全球的爆发，让防控网络安全风险的神经再次紧绷。

勒索病毒爆发，也让以往不为社会关注的网络安全事件的预警和响应受到重视。截至目前，北京市、黑龙江省、天津滨海新区等各地多级网信办均已发布Petya预警。

国家网信办6月27日印发《国家网络安全事件应急预案》（下称《预案》），包括勒索病毒在内的有害程序事件被明确为网络安全事件的种类之一，针对事件的监测预警、应急处置、调查评估均设置了具体机制。

建立顺畅的信息共享机制对于网络安全预警及响应格外重要。“应该整合建立强有力的 执行机构，并完善行政主管部门与涉及网络安全事件的市场主体，尤其是私主体的信息共享机制。” 中国法学会法治研究所副研究员刘金瑞说。

事后反应转向事前监测预防

现如今，网络安全绝不仅仅只是在小圈子里面的流行词汇：一次又一次的病毒爆发提醒我们，它已经关系到每个人的切身利益。

公开报道显示，WannaCry勒索病毒席卷全球至少150个国家，受影响用户超30万，损失高达80亿美元，而这起网络攻击的发起者至今未被查获。

不过，Petya变种勒索病毒目前在国内影响有限。360公司向21世纪经济报道记者介绍，从病毒攻击的目标来看，目前主要集中在国际贸易等跨国交流比较密切的行业中，但只有零星传播，并没有出现大面积扩散情况。

腾讯电脑管家提供的数据也显示，国内感染者主要是外资企业国内分支机构，分布在上海、深圳、天津、北京、广州等各城市。电脑管家截至目前共发现并拦截185例Peyta病毒攻击行为。

勒索病毒的危害降低，除了与杀毒软件均已提前进行了漏洞修复有关，还与各部门单位对网络安全风险管理制度的重视有关。国家网信办6月27日公布《国家网络安全事件应急预案》，其中显示《预案》在今年1月10日就已向省级网信小组、中央和国家机关各部委、各人民团体印发。

“这说明WannaCry勒索病毒爆发时，预案就已经实行并发挥了作用。”一名网络安全业内人士称。

此外，在WannaCry病毒逐渐平息之后，国家互联网应急中心就在5月28日发布近期蠕虫病毒传播趋势上升的风险提示。随着6月27日Petya勒索病毒袭击欧洲，国家互联网应急中心于6月28日发布了Petya勒索病毒的预警通报，其中包括具体的处置建议。

就在6月28日当天，北京市网信办等三部门也联合发布了防范和遏制新型病毒攻击指南，其中包括安装系统补丁、关闭端口、关闭网络文件共享等措施。

据21世纪经济报道记者了解，加强对网络安全事件的预警监测和响应处置，已成各国网络安全防控的共同课题。2016年12月，美国国土安全部代表联邦政府发布了最新版《国家网络应急响应计划》。

中国信息通信研究院政策与经济研究所工程师沈玲认为，美国新版《计划》摒弃了网络应急响应一贯的程序化事后反应机制，转变为资产响应、威胁响应、情报支持和受影响实体自救等四条主线。

沈玲认为，这种新思路的好处在于，应急响应与前端的态势感知和后端的锁定和打击网络威胁分子相结合，化被动为主动，事中与事前事后相结合，使得网络应急响应更好融入网络安全保障体系。

“我国的《预案》也采取了类似的思路。”刘金瑞说，“这种机制能否实现较好的操作性，关键在于是否有强有力的执行机构作为支撑。”

各主体间信息应顺畅共享

据了解，《预案》确定了在中央网信领导小组领导下，中央网信办、工信部、公安部、国家保密局等部门分工负责的领导机制，必要时成立国家网络安全事件应急指挥部。

《预案》对办事机构及其职责的规定更为详细，规定国家网络安全应急办公室设在中央网信办，具体工作由中央网信办网络安全协调局承担。有关部门派负责相关工作的司局级同志为联络员，联络应急办工作。此外，《预案》还规定了中央和国家机关各部门、各省级网信部门的职责。

刘金瑞认为，广泛存在于政府部门之间、政府部门和私营主体之间的网络安全信息共享，需要强有力的行政体制机制作为保障。在行政机关之下，还需要强有力的技术部门作为支持。

刘金瑞认为，应授权国家网信部门建立专门的国家网络安全信息共享中心。目前，我国已建立了国家网络与信息安全信息通报中心、国家互联网应急中心等网络安全事件监测、通报和处置机构，但力量比较分散，缺乏协调整合，与企业和行业组织的联系还不够充分。

《预案》提出了“谁主管谁负责、谁运行谁负责”的工作原则，以充分发挥各方面力量。

“网络安全风险管理不再只是IT部门的责任，而是有管理层、业务部门、法律部门和人事部门共同参与，并通过员工守则和一定的奖惩政策实施。”一名中央企业行政部门人士告诉记者。

“在共享和交流方面，公司要求各子公司应与信息安全相关协会、本地国家互联网应急中心和外部专业厂商加强协同。”他说。

360反病毒专家安扬告诉记者，当发生重大突发网络安全事件时，作为国家级应急服务支撑单位，360公司在国家互联网应急中心的统一指导协调下提供公益性的应急处理服务。

这些服务包括提供技术支持，及时上报网络安全最新动态信息，全面配合开展漏洞信息报送与处置、恶意代码信息共享与分析、网络安全专项等工作。

另外需要解决的问题是，当风险出现时，一些互联网市场主体，尤其是私营机构不愿意与政府部门共享其掌握的网络安全信息。

“一方面可以规定部分私主体有信息共享义务，以强制其参与共享；另一方面可以规定私主体的责任豁免，以激励其参与共享。”刘金瑞说。