应对勒索病毒 等保早有要求

mz-wangjing

5月12日晚8点左右，勒索病毒“WannaCry”肆虐全球，可以说是赚足了公众的眼球，牵动了无数人的神经，也切切实实地为公众上了一堂生动的信息安全意识教育课。按理说一个远程溢出漏洞也不是第一次出现了，为何这次病毒攻击影响范围如此之广？打击面如此之大？为何让大家如此害怕？

笔者的电脑和数据虽然在这波攻击中安然无事，但也实实在在的被攻击事件影响到，为此还专门发了个朋友圈吐槽！

普通用户和个人在忙于断网、打补丁、关端口，杀病毒时，作为信息系统运行使用单位的信息安全管理者是否需要更多些总结和反思？我们也要像他们一样头疼医头、脚痛医脚吗？如果下次还有类似的病毒攻击怎么办，不能每次都这样手忙脚乱吧。

自从2007年等级保护管理办法证实发布以来，等级保护这项工作作为具有法律地位的我国网络空间安全基本制度，有力地推动了各行各业信息安全保障工作的开展。在很多行业都得到了很好的执行和落地，有些行业还有自己的行业基线要求。

但我们也应该看到，依然有部分信息系统运行使用单位对等级保护工作不够重视，甚至存在偏见，认为等保做了一堆没用的工作却见不到立竿见影的成效，甚至还需要常年不懈的努力。这源自于人类的本能，我们人类解决问题分为两个层次，低层次是停留在出现问题解决问题，而高层次是着眼于如何防止问题发生。

等级保护的初衷就是着眼于等级保护对象的重要程度，研究如何防止不同等级的等级保护对象所应对抗的威胁，避免这些威胁造成安全问题。它是一项科学性很强的系统性工作，有着一整套科学的模型和方法提供理论支撑。《等级保护基本要求》梳理了信息安全十大领域的不同威胁，针对每种威胁都有相应的保护目标，又根据保护目标归纳总结成数百条防护能力要求。

其实要应对这次的勒索病毒攻击，并不需要多么高深的“解决方案”、“专用工具”、“救灾专版”，《等级保护基本要求》早就给出了指路明灯，只需要真正落实等级保护制度，根据等级保护国家标准从技术和管理连个方面落实好信息系统的基线安全要求，根据要求做好防护策略和设置，任他什么病毒都会遁于无形。

笔者从2008年就已经发布的GB/T 22239-2008《信息安全技术 信息系统安全等级保护基本要求》中摘抄了重要性等级最低的“第一级系统“的部分安全要求。这些安全要求从技术和管理两个维度，足以应对类似这次的病毒攻击，甚至只要做到其中一条，都是可以避免被病毒攻击造成严重损害，所有中招的系统都是在裸奔！

这仅仅是重要性等级最最最低的系统所要具备的安全防护能力要求！

如果能在日常管理上做到“定期漏洞扫描，发现网络系统安全漏洞及时修补”、“及时更新操作系统补丁”，在技术上做到“最小安装”并“保持系统补丁及时更新”，那么这次病毒利用的漏洞就不存在了。

如果能在日常管理上做到“提高所有用户的防病毒意识，告知及时升级病毒软件”，在技术上做到“及时更新恶意代码软件版本和病毒代码库”，那么病毒就不存在大面积传播的可能了。

如果能做到“重要信息备份”，那么对勒索就无所畏惧了。

我们不要总是在事后才亡羊补牢，才去重视，倘若平时能够合规一点，哪怕只落实一部分，也会降低事件发生的可能，减小事件造成的损失。

所以说等保不仅是信息安全工作的抓手，更是信息安全工作的盾牌。

（作者：公安部信息安全等级保护评估中心 张振峰）