“永恆之藍“的啟示：態勢感知保障電子政務安全

網絡安全蠕蟲經濟政治中國新聞網 2017-05-27

中新網5月23日電 5月23日，由國家信息中心網絡安全部主辦的“落實網絡安全法保障電子政務安全高峰論壇”在北京萬壽賓館舉行，來自政府部門、行業主管機構、科研院所、企事業單位以及各省市信息中心的400多位信息化和網絡安全主管參加了此次會議，360企業安全集團左英男副總裁應邀作了題為“網絡安全態勢感知保障電子政務安全“的主題演講。

圖：360企業安全集團副總裁左英男

“永恆之藍“事件對電子政務安全的啟示

在演講中，左英男結合上週發生的“永恆之藍”勒索蠕蟲攻擊事件的處置和響應，介紹瞭如何建立安全態勢感知系統保障電子政務安全。

從5月12日開始爆發的“永恆之藍”勒索蠕蟲全球攻擊事件，不法分子利用“永恆之藍“攻擊程序通過對電腦和服務器中的文檔和數據的加密鎖定，直接造成全球眾多醫院、加油站和很多政務部門業務不能正常運行，對經濟、社會和個人生活都產生了直接的影響。這次事件是不法分子利用NSA(美國國家安全局)之前洩露的數字攻擊武器實施的一次攻擊，而“永恆之藍”只是NSA黑客數字武器庫中的其中一個，同樣的武器還包括：永恆王者、永恆浪漫、永恆協作、翡翠纖維等二十餘個,誰也不能保證其他武器不被不法分子用於下一次大範圍攻擊。

電子政務信息系統是關係國家政治、經濟、社會的各個方面的關鍵信息基礎設施，如果不法分子利用類似“永恆之藍”這樣的攻擊武器悄悄潛入電子政務系統的電腦中，獲取數據或者伺機進行破壞，其造成的後果會比“永恆之藍”更加嚴重。

我國正在大力推動互聯網+的政務服務，這意味著電子政務系統會面臨更大的安全威脅，在攻擊對手面前會暴露更多的攻擊面，所以電子政務系統的安全形勢非常嚴峻。

左英男稱，“永恆之藍“事件也暴露了包括電子政務系統安全在內的網絡安全工作還存在諸多問題：1)類似終端安全管理和補丁漏洞的安全運維看起來是很簡單的工作，其實複雜度非常高；2)隔離內網不能一隔了之，還需要建立縱深防禦體系；3)網絡安全的運營檢測和預警、分析處置缺乏有效的技術手段；4)需要建立態勢感知能力，更加宏觀的對整個病毒傳播態勢深入瞭解，對正確的決策是非常有價值的；5)安全意識淡薄，安全防禦觀念落後，缺乏體制化的安全應急響應機制。

安全態勢感知保障電子政務安全

“永恆之藍”勒索蠕蟲事件爆發後，360全球威脅態勢感知系統在第一時間上線了針對勒索蠕蟲傳播的專項態勢感知，監測國內各地區、各行業的勒索蠕蟲傳播態勢，為政府和行業的網絡安全主管機構的應急指揮和決策行動提供了重要支撐和助力。據左英男介紹，在應對永恆之藍事件的過程中，已經安裝部署使用了360態勢感知系統的行業主管部門都從中獲益，他們能夠對勒索蠕蟲傳播有一個宏觀的態勢把握，對整個事件全局進行全面瞭解，可以做出更加針對性、有效的行動決策。

“永恆之藍”事件再次驗證了“世界上沒有攻不破的網絡，也沒有不存在漏洞的系統”。這是一種常態，事實證明傳統的圍牆式的防禦思維，沒有辦法應對新的安全形勢的，必須在傳統的安全防禦能力之上，疊加上新的基於持續檢測和及時的響應處置的安全能力，也就是態勢感知的能力，才能有效的應對新時代的新的網絡安全威脅。

左英男認為，電子政務信息系統的態勢感知建設有幾個關鍵的需求：1)應對關鍵外部威脅；2)可以幫助政務系統解決內部違規、內部威脅，當發生安全事件之後，提升分析研判和響應處置的能力；3)幫助電子政務這樣的關鍵信息基礎設施建設和運營者履行行業監管職責和合規要求，通過態勢感知系統和外部的監管機構及時共享威脅情報，幫助電子政務信息網絡的安全運維者對自身系統和外部的威脅形勢有更好的判斷。

圖：360專項態勢感知：永恆之藍傳播態勢

態勢感知三要素：數據、處置和人

態勢感知是一種安全能力，是對安全事件、對安全威脅的發現、識別、分析、研判和響應處置，是在落地層指導政企機構做出響應處置的行動的能力，它是一種安全能力的落地，也是進一步改善防禦措施的基礎。

左英男稱，態勢感知系統要真正幫助政企機構解決安全問題，真正幫助機構構建安全能力，需要關鍵的三個要素。

1、數據是基礎。態勢數據是全要素數據的採集，區別依賴於傳統SOC和SIEM去做安全運維，態勢感知系統依靠的分析核心關鍵數據不是日誌本身，日誌可以起到一些線索和輔助的作用，更關鍵是來自於終端的行維數據和網絡流量的行為數據，這是對做出分析研判和追蹤溯源非常有價值的數據，如果這些數據無法採集上來，分析和處置就會大大折扣。

2、處置是關鍵。態勢感知系統能不能和終端安全管理系統、和基於網絡的檢測系統提供聯動，自動化的處置更多的閉環，對於在事件響應中的作用非常關鍵。

3、人員是保障。態勢感知的核心是幫助完成安全運營，安全運營離不開人的參與。一些企業機構，雖然建立了基於SOC或者SIEM的安全運營平臺，甚至建立了關於基於態勢感知系統的安全運營平臺，仍然沒有辦法很好的運維好，就是缺少人員是保障。

左英男建議電子政務的信息網絡運維者，可以和360這樣具有安全攻防能力的廠商合作，將其作為技術後盾，同時也要想辦法提升自身安全運維人員的能力和水平，從而協同聯動，更好地保障電子政務網絡信息系統的平臺安全。