日前，工業(yè)和信息化部印發(fā)了《公共互聯(lián)網(wǎng)網(wǎng)絡(luò)安全突發(fā)事件應(yīng)急預(yù)案》，從體制和機(jī)制兩個(gè)層面，建立了網(wǎng)絡(luò)安全突發(fā)事件從監(jiān)測(cè)預(yù)警、應(yīng)急處置、事后總結(jié)、預(yù)防與應(yīng)急準(zhǔn)備到保障措施的全流程規(guī)范和措施，預(yù)案將成為基礎(chǔ)電信企業(yè)、域名注冊(cè)管理和服務(wù)機(jī)構(gòu)、互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)安全事件處置過(guò)程中體系化的指導(dǎo)性文件。

需要“小時(shí)化”應(yīng)急體系

發(fā)布該《預(yù)案》的目標(biāo)是建立健全公共互聯(lián)網(wǎng)網(wǎng)絡(luò)安全突發(fā)事件應(yīng)急組織體系和工作機(jī)制，提高公共互聯(lián)網(wǎng)網(wǎng)絡(luò)安全突發(fā)事件綜合應(yīng)對(duì)能力，確保及時(shí)有效地控制、減輕和消除公共互聯(lián)網(wǎng)網(wǎng)絡(luò)安全突發(fā)事件造成的社會(huì)危害和損失，保證公共互聯(lián)網(wǎng)持續(xù)穩(wěn)定運(yùn)行和數(shù)據(jù)安全，維護(hù)國(guó)家網(wǎng)絡(luò)空間安全，保障經(jīng)濟(jì)運(yùn)行和社會(huì)秩序。

《預(yù)案》所稱網(wǎng)絡(luò)安全突發(fā)事件，是指突然發(fā)生的，由網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)入侵、惡意程序等導(dǎo)致的，造成或可能造成嚴(yán)重社會(huì)危害或影響，需要電信主管部門組織采取應(yīng)急處置措施予以應(yīng)對(duì)的網(wǎng)絡(luò)中斷(擁塞)、系統(tǒng)癱瘓(異常)、數(shù)據(jù)泄露(丟失)、病毒傳播等事件。

而早在今年的6月27日，中央網(wǎng)信辦就印發(fā)了《國(guó)家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》，提出中央網(wǎng)信辦統(tǒng)籌協(xié)調(diào)組織國(guó)家網(wǎng)絡(luò)安全事件應(yīng)對(duì)工作，建立健全跨部門聯(lián)動(dòng)處置機(jī)制，工信部、公安部、國(guó)家保密局等相關(guān)部門按照職責(zé)分工負(fù)責(zé)相關(guān)網(wǎng)絡(luò)安全事件應(yīng)對(duì)工作。必要時(shí)成立國(guó)家網(wǎng)絡(luò)安全事件應(yīng)急指揮部，負(fù)責(zé)特別重大網(wǎng)絡(luò)安全事件處置的組織指揮和協(xié)調(diào)。工信部印發(fā)的《預(yù)案》是在《國(guó)家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》框架下的具體落實(shí)和補(bǔ)充。

伴隨著互聯(lián)網(wǎng)應(yīng)用的普及和深入，當(dāng)今世界線上線下正深度融合，互聯(lián)網(wǎng)成為像水、電和空氣一樣的基礎(chǔ)設(shè)施，網(wǎng)絡(luò)攻擊將會(huì)穿透虛擬空間，直接映射到現(xiàn)實(shí)世界，網(wǎng)絡(luò)安全已經(jīng)成為國(guó)家安全、經(jīng)濟(jì)發(fā)展和社會(huì)穩(wěn)定的重要組成部分。網(wǎng)絡(luò)安全事件的發(fā)生會(huì)直接影響業(yè)務(wù)運(yùn)營(yíng)，造成業(yè)務(wù)系統(tǒng)重大故障影響社會(huì)穩(wěn)定和人民生活時(shí)，事件應(yīng)急就要跟時(shí)間賽跑，實(shí)現(xiàn)“小時(shí)化”。

今年以來(lái)，全球范圍內(nèi)網(wǎng)絡(luò)安全事件頻發(fā)，5月12日全球范圍內(nèi)爆發(fā)的“永恒之藍(lán)”(WannaCry)勒索病毒攻擊事件，病毒利用NSA被泄漏出來(lái)的MS17-010漏洞進(jìn)行傳播，加密勒索被感染的電腦和服務(wù)器，造成至少150個(gè)國(guó)家受到網(wǎng)絡(luò)攻擊，影響到金融、能源、醫(yī)療、交通和公共管理等行業(yè)和部門的業(yè)務(wù)運(yùn)行，造成業(yè)務(wù)和服務(wù)中斷，直接造成了全球數(shù)十億美元的經(jīng)濟(jì)損失。

相關(guān)專家表示，兩個(gè)《預(yù)案》的發(fā)布將有助于在類似“永恒之藍(lán)”這樣的突發(fā)安全事件發(fā)生時(shí)，有效調(diào)動(dòng)組織力量，及時(shí)進(jìn)行應(yīng)急處置，降低事件造成的危害和損失，這也是國(guó)家和行業(yè)網(wǎng)絡(luò)安全能力提升的必要措施之一。

機(jī)制和技術(shù)并重

安全事件的應(yīng)急需要通過(guò)《預(yù)案》來(lái)建立合理的機(jī)制，同時(shí)也需要有效的技術(shù)手段和技術(shù)支撐。

5月份發(fā)生的“永恒之藍(lán)”事件，是對(duì)突發(fā)安全事件響應(yīng)處置機(jī)制的一次考驗(yàn)。作為“永恒之藍(lán)”事件應(yīng)急的總指揮，360企業(yè)安全集團(tuán)總裁吳云坤對(duì)此認(rèn)識(shí)深刻。他認(rèn)為，該事件反映出，針對(duì)重大突發(fā)網(wǎng)絡(luò)安全事件，我們沒(méi)有應(yīng)急手段和技術(shù)——沒(méi)有態(tài)勢(shì)感知，研判分析不能精確到點(diǎn);沒(méi)有統(tǒng)一的網(wǎng)絡(luò)和終端管控;沒(méi)有基于大數(shù)據(jù)的安全聯(lián)動(dòng)機(jī)制，各自為戰(zhàn)。

在“永恒之藍(lán)”事件爆發(fā)后，360利用自己在安全大數(shù)據(jù)和態(tài)勢(shì)感知領(lǐng)域的優(yōu)勢(shì)，很快推出了“永恒之藍(lán)”勒索蠕蟲(chóng)傳播專項(xiàng)態(tài)勢(shì)感知，并以此為基礎(chǔ)建立了應(yīng)急響應(yīng)體系，同時(shí)將態(tài)勢(shì)感知系統(tǒng)推送給了相關(guān)主管部門、行業(yè)和大型企業(yè)，幫助他們及時(shí)了解把握蠕蟲(chóng)傳播態(tài)勢(shì)，從而做出有效處置和響應(yīng)行動(dòng)，有效扼制了蠕蟲(chóng)的進(jìn)一步傳播。在國(guó)家72小時(shí)抗擊勒索會(huì)戰(zhàn)中，360推出的“永恒之藍(lán)”勒索蠕蟲(chóng)專項(xiàng)態(tài)勢(shì)感知系統(tǒng)作為“指揮中心”，發(fā)揮了重要作用。

“永恒之藍(lán)”專項(xiàng)態(tài)勢(shì)感知，來(lái)源于其數(shù)據(jù)能力，來(lái)源于有層次、有目標(biāo)的全面數(shù)據(jù)采集與監(jiān)測(cè)，這些數(shù)據(jù)來(lái)源于基礎(chǔ)設(shè)施，來(lái)源于被動(dòng)防御的邊界和終端防御設(shè)備的日志，來(lái)源于網(wǎng)絡(luò)流量。360正在與相關(guān)機(jī)構(gòu)合作，積極推進(jìn)態(tài)勢(shì)感知系統(tǒng)的技術(shù)研究和系統(tǒng)建設(shè)，已經(jīng)承建了網(wǎng)信辦、國(guó)稅總局等多個(gè)部委，北京、上海、天津、重慶、福建、海南、貴陽(yáng)、南寧、青島、蘇州等多個(gè)省市的網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)建設(shè)。

吳云坤認(rèn)為，態(tài)勢(shì)感知的關(guān)鍵是處置，比如“永恒之藍(lán)”事件的處置中，360先后派出超過(guò)2000位安全應(yīng)急響應(yīng)人員，為超過(guò)1700家政企機(jī)構(gòu)提供了現(xiàn)場(chǎng)支持，為超過(guò)2000家機(jī)構(gòu)提供了電話支持， 制作了5000多個(gè)工具U盤和光盤，發(fā)布了9個(gè)版本安全預(yù)警通告、7個(gè)安全修復(fù)指南文檔，推出了6個(gè)修補(bǔ)工具軟件。

吳云坤認(rèn)為，從“永恒之藍(lán)”事件的應(yīng)急看，提升網(wǎng)絡(luò)安全突發(fā)事件的應(yīng)急能力，需要有完善的機(jī)制建設(shè)，也必須有有效的手段和技術(shù)支撐，沒(méi)有技術(shù)保障的機(jī)制和措施一定會(huì)失效。