日前,工業(yè)和信息化部印發(fā)了《公共互聯(lián)網(wǎng)網(wǎng)絡(luò)安全突發(fā)事件應(yīng)急預(yù)案》,從體制和機(jī)制兩個(gè)層面,建立了網(wǎng)絡(luò)安全突發(fā)事件從監(jiān)測(cè)預(yù)警、應(yīng)急處置、事后總結(jié)、預(yù)防與應(yīng)急準(zhǔn)備到保障措施的全流程規(guī)范和措施,預(yù)案將成為基礎(chǔ)電信企業(yè)、域名注冊(cè)管理和服務(wù)機(jī)構(gòu)、互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)安全事件處置過程中體系化的指導(dǎo)性文件。
需要“小時(shí)化”應(yīng)急體系
發(fā)布該《預(yù)案》的目標(biāo)是建立健全公共互聯(lián)網(wǎng)網(wǎng)絡(luò)安全突發(fā)事件應(yīng)急組織體系和工作機(jī)制,提高公共互聯(lián)網(wǎng)網(wǎng)絡(luò)安全突發(fā)事件綜合應(yīng)對(duì)能力,確保及時(shí)有效地控制、減輕和消除公共互聯(lián)網(wǎng)網(wǎng)絡(luò)安全突發(fā)事件造成的社會(huì)危害和損失,保證公共互聯(lián)網(wǎng)持續(xù)穩(wěn)定運(yùn)行和數(shù)據(jù)安全,維護(hù)國(guó)家網(wǎng)絡(luò)空間安全,保障經(jīng)濟(jì)運(yùn)行和社會(huì)秩序。
《預(yù)案》所稱網(wǎng)絡(luò)安全突發(fā)事件,是指突然發(fā)生的,由網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)入侵、惡意程序等導(dǎo)致的,造成或可能造成嚴(yán)重社會(huì)危害或影響,需要電信主管部門組織采取應(yīng)急處置措施予以應(yīng)對(duì)的網(wǎng)絡(luò)中斷(擁塞)、系統(tǒng)癱瘓(異常)、數(shù)據(jù)泄露(丟失)、病毒傳播等事件。
而早在今年的6月27日,中央網(wǎng)信辦就印發(fā)了《國(guó)家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》,提出中央網(wǎng)信辦統(tǒng)籌協(xié)調(diào)組織國(guó)家網(wǎng)絡(luò)安全事件應(yīng)對(duì)工作,建立健全跨部門聯(lián)動(dòng)處置機(jī)制,工信部、公安部、國(guó)家保密局等相關(guān)部門按照職責(zé)分工負(fù)責(zé)相關(guān)網(wǎng)絡(luò)安全事件應(yīng)對(duì)工作。必要時(shí)成立國(guó)家網(wǎng)絡(luò)安全事件應(yīng)急指揮部,負(fù)責(zé)特別重大網(wǎng)絡(luò)安全事件處置的組織指揮和協(xié)調(diào)。工信部印發(fā)的《預(yù)案》是在《國(guó)家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》框架下的具體落實(shí)和補(bǔ)充。
伴隨著互聯(lián)網(wǎng)應(yīng)用的普及和深入,當(dāng)今世界線上線下正深度融合,互聯(lián)網(wǎng)成為像水、電和空氣一樣的基礎(chǔ)設(shè)施,網(wǎng)絡(luò)攻擊將會(huì)穿透虛擬空間,直接映射到現(xiàn)實(shí)世界,網(wǎng)絡(luò)安全已經(jīng)成為國(guó)家安全、經(jīng)濟(jì)發(fā)展和社會(huì)穩(wěn)定的重要組成部分。網(wǎng)絡(luò)安全事件的發(fā)生會(huì)直接影響業(yè)務(wù)運(yùn)營(yíng),造成業(yè)務(wù)系統(tǒng)重大故障影響社會(huì)穩(wěn)定和人民生活時(shí),事件應(yīng)急就要跟時(shí)間賽跑,實(shí)現(xiàn)“小時(shí)化”。
今年以來,全球范圍內(nèi)網(wǎng)絡(luò)安全事件頻發(fā),5月12日全球范圍內(nèi)爆發(fā)的“永恒之藍(lán)”(WannaCry)勒索病毒攻擊事件,病毒利用NSA被泄漏出來的MS17-010漏洞進(jìn)行傳播,加密勒索被感染的電腦和服務(wù)器,造成至少150個(gè)國(guó)家受到網(wǎng)絡(luò)攻擊,影響到金融、能源、醫(yī)療、交通和公共管理等行業(yè)和部門的業(yè)務(wù)運(yùn)行,造成業(yè)務(wù)和服務(wù)中斷,直接造成了全球數(shù)十億美元的經(jīng)濟(jì)損失。
相關(guān)專家表示,兩個(gè)《預(yù)案》的發(fā)布將有助于在類似“永恒之藍(lán)”這樣的突發(fā)安全事件發(fā)生時(shí),有效調(diào)動(dòng)組織力量,及時(shí)進(jìn)行應(yīng)急處置,降低事件造成的危害和損失,這也是國(guó)家和行業(yè)網(wǎng)絡(luò)安全能力提升的必要措施之一。
機(jī)制和技術(shù)并重
安全事件的應(yīng)急需要通過《預(yù)案》來建立合理的機(jī)制,同時(shí)也需要有效的技術(shù)手段和技術(shù)支撐。
5月份發(fā)生的“永恒之藍(lán)”事件,是對(duì)突發(fā)安全事件響應(yīng)處置機(jī)制的一次考驗(yàn)。作為“永恒之藍(lán)”事件應(yīng)急的總指揮,360企業(yè)安全集團(tuán)總裁吳云坤對(duì)此認(rèn)識(shí)深刻。他認(rèn)為,該事件反映出,針對(duì)重大突發(fā)網(wǎng)絡(luò)安全事件,我們沒有應(yīng)急手段和技術(shù)——沒有態(tài)勢(shì)感知,研判分析不能精確到點(diǎn);沒有統(tǒng)一的網(wǎng)絡(luò)和終端管控;沒有基于大數(shù)據(jù)的安全聯(lián)動(dòng)機(jī)制,各自為戰(zhàn)。
在“永恒之藍(lán)”事件爆發(fā)后,360利用自己在安全大數(shù)據(jù)和態(tài)勢(shì)感知領(lǐng)域的優(yōu)勢(shì),很快推出了“永恒之藍(lán)”勒索蠕蟲傳播專項(xiàng)態(tài)勢(shì)感知,并以此為基礎(chǔ)建立了應(yīng)急響應(yīng)體系,同時(shí)將態(tài)勢(shì)感知系統(tǒng)推送給了相關(guān)主管部門、行業(yè)和大型企業(yè),幫助他們及時(shí)了解把握蠕蟲傳播態(tài)勢(shì),從而做出有效處置和響應(yīng)行動(dòng),有效扼制了蠕蟲的進(jìn)一步傳播。在國(guó)家72小時(shí)抗擊勒索會(huì)戰(zhàn)中,360推出的“永恒之藍(lán)”勒索蠕蟲專項(xiàng)態(tài)勢(shì)感知系統(tǒng)作為“指揮中心”,發(fā)揮了重要作用。
“永恒之藍(lán)”專項(xiàng)態(tài)勢(shì)感知,來源于其數(shù)據(jù)能力,來源于有層次、有目標(biāo)的全面數(shù)據(jù)采集與監(jiān)測(cè),這些數(shù)據(jù)來源于基礎(chǔ)設(shè)施,來源于被動(dòng)防御的邊界和終端防御設(shè)備的日志,來源于網(wǎng)絡(luò)流量。360正在與相關(guān)機(jī)構(gòu)合作,積極推進(jìn)態(tài)勢(shì)感知系統(tǒng)的技術(shù)研究和系統(tǒng)建設(shè),已經(jīng)承建了網(wǎng)信辦、國(guó)稅總局等多個(gè)部委,北京、上海、天津、重慶、福建、海南、貴陽、南寧、青島、蘇州等多個(gè)省市的網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)建設(shè)。
吳云坤認(rèn)為,態(tài)勢(shì)感知的關(guān)鍵是處置,比如“永恒之藍(lán)”事件的處置中,360先后派出超過2000位安全應(yīng)急響應(yīng)人員,為超過1700家政企機(jī)構(gòu)提供了現(xiàn)場(chǎng)支持,為超過2000家機(jī)構(gòu)提供了電話支持, 制作了5000多個(gè)工具U盤和光盤,發(fā)布了9個(gè)版本安全預(yù)警通告、7個(gè)安全修復(fù)指南文檔,推出了6個(gè)修補(bǔ)工具軟件。
吳云坤認(rèn)為,從“永恒之藍(lán)”事件的應(yīng)急看,提升網(wǎng)絡(luò)安全突發(fā)事件的應(yīng)急能力,需要有完善的機(jī)制建設(shè),也必須有有效的手段和技術(shù)支撐,沒有技術(shù)保障的機(jī)制和措施一定會(huì)失效。