网络安全需求不足

影响如此巨大的病毒究竟从何而来?

据奇虎360给出的报告，在2016年6月之后某些时间，美国国家安全局(NSA)武器库中针对Windows系统的MS17-010漏洞制造的网络武器永恒之蓝被黑客组织窃取。

2017年4月14日，黑客组织“影子经纪人”公开放出永恒之蓝攻击程序。此次全球爆发的“想哭”勒索病毒正是在永恒之蓝的基础上加入了蠕虫的特性，得以让病毒在校园、企业和政府机构的内网迅速蔓延。这次勒索蠕虫事件，是NSA网络军火民用化的全球第一例。至于病毒的作者，目前还不得而知。

而勒索病毒肆虐的背后，也暴露出了我国企业和民众在网络安全建设方面的短板。

“企业的安全理念还是很落后的。很多企业认为内网隔离就高枕无忧了。事实上，内网的安全防护能力可能比连接互联网的电脑还差。”周鸿祎说，“很多企业认为自己只要买了某单位的防火墙和安全软件，只要网络安全检查合规了，就能交代了，而没有认真的考虑自己的单位是否能够真正经受网络攻击。”

“所以，我恰恰认为今天中国最关键的是政府以及很多企事业单位的网络。存在这个薄弱点。”周鸿祎还认为，大众对病毒的意识同样也要提高。“过去大家对病毒的理解，是认为病毒需要运行一个软件，只要不运行软件，能传递文档就没有问题。这个想法是彻底错误的。”

安全意识不足也让人意识到：“网络安全产业当前的核心矛盾不在于‘落后产能’之类的问题，而是‘需求不足’。”潘柱廷说，“加强攻击性监测应该成为常态下的对抗检验，这样当真正的攻击来临时，已经完成了多轮的防备。信息安全产业的价值来自于需求和攻击，尽早模拟出需求能够有效保证‘供给侧’做出合理的调整。”

但企事业单位采购网络安全服务和产品却面临高昂的成本。“如果企业的设备价值100万元，而建设网络安全系统却要花费200万元，这显然是不合理的。”沪东中华造船集团有限公司潘东伟说。根据360提供的数据，目前我国在网络安全上的投入占IT投入的比重不足2%，与发达国家的9%相去甚远。

幕后黑产

肆虐的勒索病毒为何选定比特币作为赎金?比特币是否真是民众眼中的“黑色产业”。

据悉，比特币是基于区块链技术而形成的P2P形式的数字货币。2008年，一个叫中本聪的网络ID设计了区块链。在这种网络环境下，任何人都可以打包单位时间内的数据，加入总链，形成财富记录。打包数据人会得到一定数量的比特币作为回报，这就是比特币产生的过程，从业者称其为“挖矿”，挖矿产生的比特币可以用于交易。

在这个过程中，所有人都可以参与一轮一轮的“挖矿”，但每一轮挖矿只会奖励一个矿工。奖励的标准是要求矿工寻找一个随机数，根据比特币采用的算法，加入游戏的人越多，找到随机数的难度就越大。因此，要想找到这个随机数，只能不断加大计算机在单位时间内的计算能力，这个计算能力被称为“算力”。根据中本聪最初的设计，比特币的总量为2100万枚。

一位从事比特币工作的人士告诉记者，当前除了在交易市场上购买比特币，挖矿仍然是得到比特币最直接的方式。“目前比特币越来越难挖了，挖矿者越来越多、电费开支、显卡、芯片等开支也随着比特币价格的上涨水涨船高。”

“现在比特币公司都是用台积电16nm的芯片，台积电北方最大的客户都是比特币企业。”该人士透露，与普通的电脑芯片相比，矿机芯片的功耗极大，需24小时维持运转。而在挖矿的各项成本中，电费占六至七成，租金、人力等成本占两至三成。中国目前称得上大规模的矿场耗电都在每小时1万到5万度，所以拥有便宜电力资源的人成为比特币产业中重要的一环。而为了降低挖矿成本，一些比特币公司不得不在每年5月，即电费成本上涨之时进行搬迁，到冬天再搬回原址。

挖矿产生的比特币可以用于交易。“从事比特币工作至今已经有6年，我们已经累计获取几十万比特币。1p算力100台机器，平均一天只能挖0.47个比特币。现在挖矿挖到的比特币大部分都出售了。”前述人士续称。

交易时，任何一台连接互联网的电脑都可以进行点对点比特币转账，资金的流动只依赖于网络，不需要通过第三方机构如银行等。“在这个过程中，只需要等待P2P网络确认交易后，资金就可以汇给对方。整个交易过程不经过任何管制机构，所以也不会留下任何交易记录。根本就无法监管，银行也就没办法收手续费，也不会有所谓的额度限制。”郑文彬称，“也正因如此，比特币难追踪、价值又高且流通性好等特性成为黑客选择的主要原因。”

“这次的勒索病毒使得民众对比特币有不少偏见和误解，认为比特币是黑色产业。比特币的价格还因此跌了一波。”前述比特币从业人士谈及此事颇为无奈。“政府相关部门表示要对比特币进行监管和反洗钱。但事实上，比特币洗钱成本高，还不如钱庄洗钱经济。”