“永恒之蓝“的启示：态势感知保障电子政务安全

　　中新网5月23日电  5月23日，由国家信息中心网络安全部主办的“落实网络安全法保障电子政务安全高峰论坛”在北京万寿宾馆举行，来自政府部门、行业主管机构、科研院所、企事业单位以及各省市信息中心的400多位信息化和网络安全主管参加了此次会议，360企业安全集团左英男副总裁应邀作了题为“网络安全态势感知保障电子政务安全“的主题演讲。

　　“永恒之蓝“事件对电子政务安全的启示

　　在演讲中，左英男结合上周发生的“永恒之蓝”勒索蠕虫攻击事件的处置和响应，介绍了如何建立安全态势感知系统保障电子政务安全。

　　从5月12日开始爆发的“永恒之蓝”勒索蠕虫全球攻击事件，不法分子利用“永恒之蓝“攻击程序通过对电脑和服务器中的文档和数据的加密锁定，直接造成全球众多医院、加油站和很多政务部门业务不能正常运行，对经济、社会和个人生活都产生了直接的影响。这次事件是不法分子利用NSA(美国国家安全局)之前泄露的数字攻击武器实施的一次攻击，而“永恒之蓝”只是NSA黑客数字武器库中的其中一个，同样的武器还包括：永恒王者、永恒浪漫、永恒协作、翡翠纤维等二十余个,谁也不能保证其他武器不被不法分子用于下一次大范围攻击。

　　电子政务信息系统是关系国家政治、经济、社会的各个方面的关键信息基础设施，如果不法分子利用类似“永恒之蓝”这样的攻击武器悄悄潜入电子政务系统的电脑中，获取数据或者伺机进行破坏，其造成的后果会比“永恒之蓝”更加严重。

　　我国正在大力推动互联网+的政务服务，这意味着电子政务系统会面临更大的安全威胁，在攻击对手面前会暴露更多的攻击面，所以电子政务系统的安全形势非常严峻。

　　左英男称，“永恒之蓝“事件也暴露了包括电子政务系统安全在内的网络安全工作还存在诸多问题：1)类似终端安全管理和补丁漏洞的安全运维看起来是很简单的工作，其实复杂度非常高；2)隔离内网不能一隔了之，还需要建立纵深防御体系；3)网络安全的运营检测和预警、分析处置缺乏有效的技术手段；4)需要建立态势感知能力，更加宏观的对整个病毒传播态势深入了解，对正确的决策是非常有价值的；5)安全意识淡薄，安全防御观念落后，缺乏体制化的安全应急响应机制。

　　安全态势感知保障电子政务安全

　　“永恒之蓝”勒索蠕虫事件爆发后，360全球威胁态势感知系统在第一时间上线了针对勒索蠕虫传播的专项态势感知，监测国内各地区、各行业的勒索蠕虫传播态势，为政府和行业的网络安全主管机构的应急指挥和决策行动提供了重要支撑和助力。据左英男介绍，在应对永恒之蓝事件的过程中，已经安装部署使用了360态势感知系统的行业主管部门都从中获益，他们能够对勒索蠕虫传播有一个宏观的态势把握，对整个事件全局进行全面了解，可以做出更加针对性、有效的行动决策。

　　“永恒之蓝”事件再次验证了“世界上没有攻不破的网络，也没有不存在漏洞的系统”。这是一种常态，事实证明传统的围墙式的防御思维，没有办法应对新的安全形势的，必须在传统的安全防御能力之上，叠加上新的基于持续检测和及时的响应处置的安全能力，也就是态势感知的能力，才能有效的应对新时代的新的网络安全威胁。

　　左英男认为，电子政务信息系统的态势感知建设有几个关键的需求：1)应对关键外部威胁；2)可以帮助政务系统解决内部违规、内部威胁，当发生安全事件之后，提升分析研判和响应处置的能力；3)帮助电子政务这样的关键信息基础设施建设和运营者履行行业监管职责和合规要求，通过态势感知系统和外部的监管机构及时共享威胁情报，帮助电子政务信息网络的安全运维者对自身系统和外部的威胁形势有更好的判断。

　　态势感知三要素：数据、处置和人

　　态势感知是一种安全能力，是对安全事件、对安全威胁的发现、识别、分析、研判和响应处置，是在落地层指导政企机构做出响应处置的行动的能力，它是一种安全能力的落地，也是进一步改善防御措施的基础。

　　左英男称，态势感知系统要真正帮助政企机构解决安全问题，真正帮助机构构建安全能力，需要关键的三个要素。

　　1、数据是基础。态势数据是全要素数据的采集，区别依赖于传统SOC和SIEM去做安全运维，态势感知系统依靠的分析核心关键数据不是日志本身，日志可以起到一些线索和辅助的作用，更关键是来自于终端的行维数据和网络流量的行为数据，这是对做出分析研判和追踪溯源非常有价值的数据，如果这些数据无法采集上来，分析和处置就会大大折扣。

　　2、处置是关键。态势感知系统能不能和终端安全管理系统、和基于网络的检测系统提供联动，自动化的处置更多的闭环，对于在事件响应中的作用非常关键。

　　3、人员是保障。态势感知的核心是帮助完成安全运营，安全运营离不开人的参与。一些企业机构，虽然建立了基于SOC或者SIEM的安全运营平台，甚至建立了关于基于态势感知系统的安全运营平台，仍然没有办法很好的运维好，就是缺少人员是保障。

　　左英男建议电子政务的信息网络运维者，可以和360这样具有安全攻防能力的厂商合作，将其作为技术后盾，同时也要想办法提升自身安全运维人员的能力和水平，从而协同联动，更好地保障电子政务网络信息系统的平台安全。