日前，工業(yè)和信息化部印發(fā)了《公共互聯(lián)網(wǎng)網(wǎng)絡(luò)安全突發(fā)事件應(yīng)急預(yù)案》(以下簡稱《預(yù)案》)，從體制和機(jī)制兩個層面，建立了網(wǎng)絡(luò)安全突發(fā)事件從監(jiān)測預(yù)警、應(yīng)急處置、事后總結(jié)、預(yù)防與應(yīng)急準(zhǔn)備到保障措施的全流程規(guī)范和措施，預(yù)案將成為基礎(chǔ)電信企業(yè)、域名注冊管理和服務(wù)機(jī)構(gòu)、互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)安全事件處置過程中體系化的指導(dǎo)性文件。

需要“小時化”應(yīng)急體系

發(fā)布該《預(yù)案》的目標(biāo)是建立健全公共互聯(lián)網(wǎng)網(wǎng)絡(luò)安全突發(fā)事件應(yīng)急組織體系和工作機(jī)制，提高公共互聯(lián)網(wǎng)網(wǎng)絡(luò)安全突發(fā)事件綜合應(yīng)對能力，確保及時有效地控制、減輕和消除公共互聯(lián)網(wǎng)網(wǎng)絡(luò)安全突發(fā)事件造成的社會危害和損失，保證公共互聯(lián)網(wǎng)持續(xù)穩(wěn)定運(yùn)行和數(shù)據(jù)安全，維護(hù)國家網(wǎng)絡(luò)空間安全，保障經(jīng)濟(jì)運(yùn)行和社會秩序。

《預(yù)案》所稱網(wǎng)絡(luò)安全突發(fā)事件，是指突然發(fā)生的，由網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)入侵、惡意程序等導(dǎo)致的，造成或可能造成嚴(yán)重社會危害或影響，需要電信主管部門組織采取應(yīng)急處置措施予以應(yīng)對的網(wǎng)絡(luò)中斷(擁塞)、系統(tǒng)癱瘓(異常)、數(shù)據(jù)泄露(丟失)、病毒傳播等事件。

而早在今年的6月27日，中央網(wǎng)信辦就印發(fā)了《國家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》，提出中央網(wǎng)信辦統(tǒng)籌協(xié)調(diào)組織國家網(wǎng)絡(luò)安全事件應(yīng)對工作，建立健全跨部門聯(lián)動處置機(jī)制，工信部、公安部、國家保密局等相關(guān)部門按照職責(zé)分工負(fù)責(zé)相關(guān)網(wǎng)絡(luò)安全事件應(yīng)對工作。必要時成立國家網(wǎng)絡(luò)安全事件應(yīng)急指揮部，負(fù)責(zé)特別重大網(wǎng)絡(luò)安全事件處置的組織指揮和協(xié)調(diào)。工信部印發(fā)的《預(yù)案》是在《國家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》框架下的具體落實(shí)和補(bǔ)充。

伴隨著互聯(lián)網(wǎng)應(yīng)用的普及和深入，當(dāng)今世界線上線下正深度融合，互聯(lián)網(wǎng)成為像水、電和空氣一樣的基礎(chǔ)設(shè)施，網(wǎng)絡(luò)攻擊將會穿透虛擬空間，直接映射到現(xiàn)實(shí)世界，網(wǎng)絡(luò)安全已經(jīng)成為國家安全、經(jīng)濟(jì)發(fā)展和社會穩(wěn)定的重要組成部分。網(wǎng)絡(luò)安全事件的發(fā)生會直接影響業(yè)務(wù)運(yùn)營，造成業(yè)務(wù)系統(tǒng)重大故障影響社會穩(wěn)定和人民生活時，事件應(yīng)急就要跟時間賽跑，實(shí)現(xiàn)“小時化”。

今年以來，全球范圍內(nèi)網(wǎng)絡(luò)安全事件頻發(fā)，5月12日全球范圍內(nèi)爆發(fā)的“永恒之藍(lán)”(WannaCry)勒索病毒攻擊事件，病毒利用NSA被泄漏出來的MS17-010漏洞進(jìn)行傳播，加密勒索被感染的電腦和服務(wù)器，造成至少150個國家受到網(wǎng)絡(luò)攻擊，影響到金融、能源、醫(yī)療、交通和公共管理等行業(yè)和部門的業(yè)務(wù)運(yùn)行，造成業(yè)務(wù)和服務(wù)中斷，直接造成了全球數(shù)十億美元的經(jīng)濟(jì)損失。

相關(guān)專家表示，兩個《預(yù)案》的發(fā)布將有助于在類似“永恒之藍(lán)”這樣的突發(fā)安全事件發(fā)生時，有效調(diào)動組織力量，及時進(jìn)行應(yīng)急處置，降低事件造成的危害和損失，這也是國家和行業(yè)網(wǎng)絡(luò)安全能力提升的必要措施之一。

機(jī)制和技術(shù)并重

安全事件的應(yīng)急需要通過《預(yù)案》來建立合理的機(jī)制，同時也需要有效的技術(shù)手段和技術(shù)支撐。

5月份發(fā)生的“永恒之藍(lán)”事件，是對突發(fā)安全事件響應(yīng)處置機(jī)制的一次考驗(yàn)。作為“永恒之藍(lán)”事件應(yīng)急的總指揮，360企業(yè)安全集團(tuán)總裁吳云坤對此認(rèn)識深刻。他認(rèn)為，該事件反映出，針對重大突發(fā)網(wǎng)絡(luò)安全事件，我們沒有應(yīng)急手段和技術(shù)——沒有態(tài)勢感知，研判分析不能精確到點(diǎn);沒有統(tǒng)一的網(wǎng)絡(luò)和終端管控;沒有基于大數(shù)據(jù)的安全聯(lián)動機(jī)制，各自為戰(zhàn)。

在“永恒之藍(lán)”事件爆發(fā)后，360利用自己在安全大數(shù)據(jù)和態(tài)勢感知領(lǐng)域的優(yōu)勢，很快推出了“永恒之藍(lán)”勒索蠕蟲傳播專項(xiàng)態(tài)勢感知，并以此為基礎(chǔ)建立了應(yīng)急響應(yīng)體系，同時將態(tài)勢感知系統(tǒng)推送給了相關(guān)主管部門、行業(yè)和大型企業(yè)，幫助他們及時了解把握蠕蟲傳播態(tài)勢，從而做出有效處置和響應(yīng)行動，有效扼制了蠕蟲的進(jìn)一步傳播。在國家72小時抗擊勒索會戰(zhàn)中，360推出的“永恒之藍(lán)”勒索蠕蟲專項(xiàng)態(tài)勢感知系統(tǒng)作為“指揮中心”，發(fā)揮了重要作用。

“永恒之藍(lán)”專項(xiàng)態(tài)勢感知，來源于其數(shù)據(jù)能力，來源于有層次、有目標(biāo)的全面數(shù)據(jù)采集與監(jiān)測，這些數(shù)據(jù)來源于基礎(chǔ)設(shè)施，來源于被動防御的邊界和終端防御設(shè)備的日志，來源于網(wǎng)絡(luò)流量。360正在與相關(guān)機(jī)構(gòu)合作，積極推進(jìn)態(tài)勢感知系統(tǒng)的技術(shù)研究和系統(tǒng)建設(shè)，已經(jīng)承建了網(wǎng)信辦、國稅總局等多個部委，北京、上海、天津、重慶、福建、海南、貴陽、南寧、青島、蘇州等多個省市的網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)建設(shè)。

吳云坤認(rèn)為，態(tài)勢感知的關(guān)鍵是處置，比如“永恒之藍(lán)”事件的處置中，360先后派出超過2000位安全應(yīng)急響應(yīng)人員，為超過1700家政企機(jī)構(gòu)提供了現(xiàn)場支持，為超過2000家機(jī)構(gòu)提供了電話支持， 制作了5000多個工具U盤和光盤，發(fā)布了9個版本安全預(yù)警通告、7個安全修復(fù)指南文檔，推出了6個修補(bǔ)工具軟件。

吳云坤認(rèn)為，從“永恒之藍(lán)”事件的應(yīng)急看，提升網(wǎng)絡(luò)安全突發(fā)事件的應(yīng)急能力，需要有完善的機(jī)制建設(shè)，也必須有有效的手段和技術(shù)支撐，沒有技術(shù)保障的機(jī)制和措施一定會失效。