這次抗擊新冠疫情的行動(dòng)體現(xiàn)了我們國(guó)家對(duì)公共衛(wèi)生突發(fā)事件強(qiáng)大的應(yīng)急響應(yīng)能力。對(duì)比當(dāng)前的全球疫情形勢(shì)，可以看出我們國(guó)家的應(yīng)對(duì)策略非常正確，有效地遏制了疫情的蔓延，已經(jīng)取得了階段性的勝利。目前，國(guó)內(nèi)的疫情已由“防擴(kuò)散”轉(zhuǎn)為“外防輸入、內(nèi)防反彈”。新冠疫情是少有的對(duì)中國(guó)公共衛(wèi)生醫(yī)療應(yīng)急體系的一場(chǎng)大考，作為一名網(wǎng)絡(luò)安全從業(yè)者，通過審視這次疫情發(fā)展和應(yīng)對(duì)的過程，也有諸多感悟。

[[322686]]

近年來(lái)全球地緣政治沖突不斷升級(jí)，國(guó)家間的沖突往往在網(wǎng)絡(luò)空間先行，關(guān)鍵信息基礎(chǔ)設(shè)施成為首要目標(biāo)。重大網(wǎng)絡(luò)安全事件的發(fā)生，輕則造成政府機(jī)構(gòu)職能受阻，重則引發(fā)社會(huì)、經(jīng)濟(jì)秩序混亂，甚至嚴(yán)重威脅國(guó)家安全。

從此次國(guó)家對(duì)疫情的有效應(yīng)對(duì)中，我們能夠深刻體會(huì)到強(qiáng)大的應(yīng)急響應(yīng)能力的重要性。本文結(jié)合疫情應(yīng)急響應(yīng)中的經(jīng)驗(yàn)體會(huì)，探討對(duì)網(wǎng)絡(luò)安全防御工作的啟示，希望能為業(yè)界拋磚引玉，提供參考。

一、“早發(fā)現(xiàn)、早隔離”同樣是網(wǎng)絡(luò)安全應(yīng)遵循的基本理念

鐘南山院士表示，對(duì)患者的早發(fā)現(xiàn)、早隔離最為關(guān)鍵，甚至比治療過程都重要。在網(wǎng)絡(luò)安全事件的響應(yīng)上，“早發(fā)現(xiàn)、早隔離”的思路同樣適用。在保證業(yè)務(wù)正常運(yùn)行的基礎(chǔ)上，快速研判事件影響的范圍并對(duì)受影響資產(chǎn)進(jìn)行快速隔離，是從網(wǎng)絡(luò)安全角度保障業(yè)務(wù)連續(xù)性的關(guān)鍵。

近年來(lái)，很多網(wǎng)絡(luò)攻擊手段可以輕松地繞過網(wǎng)絡(luò)邊界安全防護(hù)措施，一旦進(jìn)入內(nèi)網(wǎng)就會(huì)如入無(wú)人之境，帶來(lái)很大的安全隱患。“零信任”是近年來(lái)比較受認(rèn)可的網(wǎng)絡(luò)安全理念，即不再區(qū)分網(wǎng)內(nèi)網(wǎng)外，不再信任任何的網(wǎng)絡(luò)實(shí)體和用戶身份，假設(shè)黑客已經(jīng)進(jìn)入了內(nèi)網(wǎng)環(huán)境。首先，內(nèi)網(wǎng)要嚴(yán)格執(zhí)行最小權(quán)限原則?；谏矸?、終端環(huán)境、網(wǎng)絡(luò)環(huán)境等因素判斷是否可以提權(quán)，進(jìn)行細(xì)粒度的權(quán)限控制。一旦策略引擎判斷某臺(tái)主機(jī)的訪問請(qǐng)求存在異常，需要及時(shí)阻斷，降低其權(quán)限，甚至將其隔離調(diào)查。如需訪問，要從最初始的身份認(rèn)證階段再進(jìn)行提權(quán)申請(qǐng)，或者聯(lián)系 IT 管理員。

安全事件的分析和病毒的研究一樣都需要耗費(fèi)大量的時(shí)間，所以往往具備一定滯后性。零信任理念強(qiáng)調(diào)的實(shí)時(shí)、動(dòng)態(tài)認(rèn)證和授權(quán)機(jī)制，可以有效地提高應(yīng)急響應(yīng)的時(shí)效性，一定程度上幫助實(shí)現(xiàn)早發(fā)現(xiàn)、早隔離的目的，最大程度的隔離威脅，保護(hù)整體網(wǎng)絡(luò)的安全。

二、威脅發(fā)展和人才缺乏呼喚網(wǎng)絡(luò)安全運(yùn)營(yíng)自動(dòng)化水平的提高

目前我國(guó)醫(yī)療衛(wèi)生體系建設(shè)了包括傳染病疫情直報(bào)系統(tǒng)等多套信息系統(tǒng)，但從披露的信息看，這些系統(tǒng)在本次疫情初期發(fā)揮的支撐作用有限，專家組難以及時(shí)掌握疫情發(fā)展態(tài)勢(shì)并做出準(zhǔn)確的判斷，一定程度上說(shuō)明，這些信息系統(tǒng)需要進(jìn)一步提高規(guī)范化運(yùn)營(yíng)水平和輔助決策能力。

網(wǎng)絡(luò)安全防御體系的建設(shè)也有同樣的短板。網(wǎng)絡(luò)安全人才的缺乏和人才培養(yǎng)速度的不足，使得提高網(wǎng)絡(luò)安全防御體系對(duì)威脅的自動(dòng)化應(yīng)對(duì)能力極為重要，在發(fā)現(xiàn)網(wǎng)絡(luò)安全事件后，告警的同時(shí)自動(dòng)化的隔離失陷主機(jī)，可以有效縮減威脅響應(yīng)的時(shí)間窗，有效節(jié)省安全運(yùn)營(yíng)的人力資源。

確保網(wǎng)絡(luò)安全運(yùn)營(yíng)體系的自動(dòng)化高效運(yùn)行至關(guān)重要。為達(dá)此目的，我們必須通過經(jīng)常性的的檢測(cè)手段來(lái)驗(yàn)證安全運(yùn)營(yíng)自動(dòng)化的有效性，驗(yàn)證探針的安全監(jiān)測(cè)功能的有效性，驗(yàn)證信息是否能順利到達(dá)分析平臺(tái)，驗(yàn)證分析平臺(tái)的安全監(jiān)測(cè)規(guī)則的有效性，驗(yàn)證告警和處置方式是否得當(dāng)，甚至我們還需要通過紅藍(lán)對(duì)抗的方式來(lái)實(shí)戰(zhàn)檢驗(yàn)安全運(yùn)營(yíng)體系的有效性。

網(wǎng)絡(luò)安全運(yùn)營(yíng)平臺(tái)對(duì)海量告警信息的處理應(yīng)遵循合理的優(yōu)先級(jí)策略。聚焦對(duì)失陷事件、影響業(yè)務(wù)連續(xù)性事件的捕捉，減少對(duì)沒有造成失陷的攻擊流量的關(guān)注。美國(guó)的全國(guó)網(wǎng)絡(luò)安全保護(hù)系統(tǒng)(NCPS)聚焦于能夠追溯到國(guó)家攻擊行為的APT攻擊事件，這也體現(xiàn)了美國(guó)對(duì)網(wǎng)絡(luò)安全威脅清晰的認(rèn)知。

三、監(jiān)管方、運(yùn)營(yíng)方、服務(wù)方在網(wǎng)絡(luò)安全運(yùn)營(yíng)體系中的有效融合是提高網(wǎng)絡(luò)安全整體防御能力的重要途徑

2003年SARS過后，國(guó)家投入大量資源建設(shè)了直達(dá)鄉(xiāng)鎮(zhèn)衛(wèi)生院的全國(guó)性的傳染病疫情直報(bào)系統(tǒng)。據(jù)悉，該系統(tǒng)可以讓上至國(guó)家衛(wèi)健委，下至鄉(xiāng)鎮(zhèn)衛(wèi)生院，各個(gè)層級(jí)的監(jiān)管部門都能同時(shí)獲知各地上報(bào)的疫情信息。

重大網(wǎng)絡(luò)安全事件對(duì)國(guó)計(jì)民生的影響可能不亞于疫情，所以，這種“直報(bào)”的理念，也值得網(wǎng)絡(luò)安全行業(yè)考慮、借鑒，以有效應(yīng)對(duì)突發(fā)的重大事件。

網(wǎng)絡(luò)安全防御體系的建設(shè)和運(yùn)營(yíng)，會(huì)涉及監(jiān)管、運(yùn)營(yíng)、安全服務(wù)等相關(guān)方，如果網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)能將真實(shí)的失陷事件在第一時(shí)間同時(shí)通報(bào)給相關(guān)方，各方配合行動(dòng)，不僅可以極大程度提高對(duì)安全事件的響應(yīng)效率，也可以從機(jī)制上避免隱瞞不報(bào)等違規(guī)現(xiàn)象。

疫情瞞報(bào)問題是影響疫情防控的重大風(fēng)險(xiǎn)。在網(wǎng)絡(luò)安全領(lǐng)域，部分人員為了一時(shí)逃避責(zé)任，瞞報(bào)失陷事件也時(shí)有發(fā)生。現(xiàn)有的解決思路，無(wú)論是監(jiān)管方還是運(yùn)營(yíng)方，單方獨(dú)立建設(shè)收集、監(jiān)控威脅的態(tài)勢(shì)感知系統(tǒng)都很難達(dá)到令人滿意的效果，這就意味著，我們需要認(rèn)真思考如何建立一套理想的架構(gòu)和運(yùn)營(yíng)體系，讓網(wǎng)絡(luò)安全運(yùn)營(yíng)體系的所有參與方都在一套平臺(tái)系統(tǒng)中共享信息，以最高效率協(xié)同、應(yīng)對(duì)網(wǎng)絡(luò)威脅，這是傳染病疫情直報(bào)系統(tǒng)給網(wǎng)絡(luò)安全工作帶來(lái)的啟示。

5G等新技術(shù)的應(yīng)用，更復(fù)雜的安全威脅，更廣泛的攻擊面，都讓監(jiān)管方、運(yùn)營(yíng)方、服務(wù)方三方在網(wǎng)絡(luò)安全防御體系中的有效融合成為了關(guān)鍵。當(dāng)然，要實(shí)現(xiàn)這點(diǎn)，還需法律層面的有效保障，以及三方之間建立足夠的信任。雖然這些看似困難重重，但不妨礙我們先向前邁出第一步，因?yàn)檫@是所有網(wǎng)絡(luò)安全從業(yè)者的責(zé)任與使命。

四、從安全理念和體系架構(gòu)兩方面深刻理解“關(guān)口前移”

新冠疫情的應(yīng)對(duì)重在隔離與預(yù)防。武漢封城的時(shí)間如果能夠提前一天，疫情后續(xù)的發(fā)展態(tài)勢(shì)可能也會(huì)完全不同。

在網(wǎng)信工作會(huì)議上，習(xí)主席曾多次強(qiáng)調(diào)網(wǎng)絡(luò)安全“要關(guān)口前移，建立防患于未然的安全體系”。近年來(lái)的威脅形勢(shì)已經(jīng)證明，完全御敵于城門之外是難以實(shí)現(xiàn)的，在傳統(tǒng)安全防御理念失效的今天，安全工作的底線在哪里?關(guān)口又在哪里呢?

2016年FireEye公司的報(bào)告稱，企業(yè)從被攻陷到發(fā)現(xiàn)的平均時(shí)間(MTTD)是146天。無(wú)疑，一次MTTD時(shí)長(zhǎng)超過企業(yè)最大容忍的極限就意味著失敗，這也是安全的底線。反過來(lái)講，這也是安全工作的意義和價(jià)值所在，將 MTTD 作為一個(gè)重要安全工作指標(biāo)，對(duì)態(tài)勢(shì)感知系統(tǒng)的監(jiān)測(cè)預(yù)警能力以及企業(yè)安全運(yùn)營(yíng)的自動(dòng)化水平和有效性，包括對(duì)威脅、對(duì)自身態(tài)勢(shì)的理解，都提出了更高的要求。

應(yīng)急響應(yīng)是網(wǎng)絡(luò)安全防御的一道重要關(guān)口，我們可以看到的通常情況是，漏洞曝光的第一時(shí)間服務(wù)方更新安全設(shè)備特征庫(kù)。用戶發(fā)生安全事件打來(lái)電話后，服務(wù)方可以在幾小時(shí)內(nèi)到達(dá)現(xiàn)場(chǎng)。但現(xiàn)實(shí)的威脅情況往往又是怎樣的呢?漏洞補(bǔ)丁發(fā)布的時(shí)候，可能漏洞利用工具已經(jīng)從戰(zhàn)略對(duì)手的網(wǎng)絡(luò)武器庫(kù)中下架，因?yàn)閷?duì)于他們而言，數(shù)月之前這個(gè)武器已經(jīng)實(shí)現(xiàn)了它的價(jià)值——突破了目標(biāo)系統(tǒng)，雖然這種情況不能代表所有的現(xiàn)實(shí)，但這種真實(shí)性是完全可以想象的。在這種情況下，如果還將這樣的快速響應(yīng)作為網(wǎng)絡(luò)安全工作的關(guān)口，那么守住這個(gè)關(guān)口的意義和價(jià)值還有多大?應(yīng)急響應(yīng)的任務(wù)更重要的是盡可能縮短MTTD，如果能縮短到分鐘級(jí)，可能攻擊者來(lái)不及做出更多破壞和滲透就被我們隔離、清除，這也是零信任理念近兩年火爆的重要原因所在。

五、堅(jiān)持職業(yè)操守、具備家國(guó)情懷是對(duì)網(wǎng)安從業(yè)者的基本要求

回歸到人，這次新冠抗疫中涌現(xiàn)出了很多可歌可泣的英雄個(gè)人和群體，全國(guó)各地的醫(yī)護(hù)人員前赴后繼，很多公司和個(gè)人捐款捐物，場(chǎng)面令人動(dòng)容。20余年來(lái)，在我國(guó)無(wú)數(shù)次的網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)中，許多優(yōu)秀的網(wǎng)絡(luò)安全公司總能表現(xiàn)出領(lǐng)域的專業(yè)水準(zhǔn)，擔(dān)負(fù)起自己的責(zé)任，想用戶之所想，急客戶之所急，在維護(hù)國(guó)家網(wǎng)絡(luò)空間安全的事業(yè)中受到客戶的廣泛贊譽(yù)。

網(wǎng)絡(luò)安全事件與公共衛(wèi)生安全事件的應(yīng)對(duì)有眾多相似之處。網(wǎng)絡(luò)安全企業(yè)守護(hù)的是國(guó)家網(wǎng)絡(luò)空間的安全，當(dāng)出現(xiàn)重大安全事件時(shí)，網(wǎng)絡(luò)安全企業(yè)和個(gè)人要能不計(jì)得失的沖在第一線，自覺挑起保護(hù)國(guó)家網(wǎng)絡(luò)空間安全的重?fù)?dān)。

無(wú)論哪個(gè)行業(yè)，對(duì)職業(yè)操守的堅(jiān)持、為國(guó)家命運(yùn)擔(dān)憂的家國(guó)情懷都是基本的要求，正所謂“先天下之憂而憂，后天下之樂而樂。”商業(yè)公司的價(jià)值體現(xiàn)也需要在此。從長(zhǎng)遠(yuǎn)角度看，既具有專業(yè)能力和職業(yè)操守，又擁有家國(guó)情懷的公司，一定能獲得市場(chǎng)的關(guān)注和肯定。

六、總結(jié)與展望

中華民族是從苦難中成長(zhǎng)起來(lái)的民族，我們能從每一次苦難中汲取到經(jīng)驗(yàn)和教訓(xùn)，我們具有強(qiáng)大的應(yīng)對(duì)任何困難的能力，黨和政府具有強(qiáng)大的領(lǐng)導(dǎo)力，人民具有強(qiáng)大的凝聚力，這都是此次能夠成功控制住疫情的重要前提。在網(wǎng)絡(luò)空間，我們同樣也需要這種能力。網(wǎng)絡(luò)威脅日新月異，層出不窮，所以我們還需要更多的專業(yè)能力，既要具備“看見”威脅的能力，也要具備對(duì)未知威脅前瞻性的“想象”能力。我們只有在保持這些能力的同時(shí)，不斷審視自身，創(chuàng)新性地提出更多有效的解決方案和應(yīng)對(duì)措施，才能讓我們的網(wǎng)絡(luò)空間更加安全。