“永恒之蓝“的启示：态势感知保障电子政务安全

本篇文章2031字，读完约5分钟

新华社北京5月23日电由国家信息中心网络安全部主办的“实施网络安全法确保电子政务安全高峰论坛”23日在北京万寿宾馆举行。来自政府部门、行业主管部门、科研院所、企事业单位和各省市信息中心的400多名信息化和网络安全主管参加了会议。360企业安全集团左应南副总裁应邀发表了题为《网络安全态势感知确保电子政务安全》的主题演讲。

照片:360企业安全集团副总裁左英南

“永恒的蓝色”事件对电子政务安全的启示

左应南在讲话中介绍了如何通过上周对“永恒蓝”勒索蠕虫攻击的处理和响应，建立安全态势感知系统，确保电子政务的安全。

5月12日爆发了“永恒之蓝”讹诈蠕虫全球攻击，犯罪分子利用“永恒之蓝”攻击程序对计算机和服务器中的文件和数据进行加密和锁定，直接导致世界上许多医院、加油站和政府部门无法正常运行，对经济、社会和个人生活产生了直接影响。此次事件是犯罪分子利用美国国家安全局(nsa)泄露的数字攻击武器实施的攻击，“永恒的蓝色”(Eleven Blue)只是nsa黑客的数字武器库之一。同样的武器包括20多种:永恒的国王，永恒的浪漫，永恒的合作，翡翠纤维等。没有人能保证其他武器不会被罪犯用于下一次大规模袭击。

电子政务信息系统是关系到国家政治、经济和社会各个方面的关键信息基础设施。如果犯罪分子使用“永恒之蓝”等攻击武器潜入电子政务系统的计算机，获取数据或等待机会将其销毁，后果将比“永恒之蓝”更严重。

我国正在互联网上为政务服务，大力推广，这意味着电子政务系统将面临更大的安全威胁，在攻击对手面前暴露更多的攻击区域，因此电子政务系统的安全形势非常严峻。

左英南表示，“永恒的蓝色”事件也暴露出网络安全工作还存在很多问题，包括电子政务系统安全:1)安全运维类似于终端安全管理和漏洞修补，似乎是一项很简单的工作，但实际上复杂度很高；2)孤立的内部网无法分离，需要建立纵深防御系统；3)缺乏有效的网络安全运行检测、预警、分析和处置技术手段；4)有必要建立态势感知能力，对整个病毒传播态势有更深的了解，这对正确决策非常有价值；5)安全意识薄弱，安全防御观念落后，缺乏制度化的安全应急机制。

安全态势感知保证了电子政务的安全性

“永恒的蓝色”软件事件爆发后，360全球威胁态势感知系统首次推出了针对软件传播的特殊态势感知，监控中国各地区、各行业软件传播态势，为政府和行业网络安全部门的应急指挥和决策行动提供重要支持和帮助。据左应南介绍，在处理“蓝色永恒”事件的过程中，安装和部署360态势感知系统的行业主管部门从中受益匪浅。他们可以掌握ransomware蠕虫传播的宏观情况，充分了解整个事件，并做出更有针对性和更有效的行动决策。

“永恒的蓝色”事件再次验证了“世界上没有牢不可破的网络，没有没有漏洞的系统”。这是一种正常的状态，并且已经证明，传统的像栅栏一样的防御思维不能应付新的安全形势。只有在传统的安全防御能力，即态势感知能力的基础上，叠加新的基于持续检测、及时响应和处置的安全能力，才能有效应对新时代新的网络安全威胁。

左应南认为，电子政务信息系统态势感知建设有几个关键要求:1)应对关键外部威胁；2)帮助政府系统解决内部违规和内部威胁，提高分析、判断、应对和处理安全事件的能力；3)帮助电子政务等关键信息基础设施的建设和运营商履行行业监管职责和合规要求，通过态势感知系统及时与外部监管机构共享威胁信息，帮助电子政务信息网络的安全运营商更好地判断自身系统和外部威胁情况。

图:360特殊情境意识:永恒的蓝色沟通情境

情境意识的三个要素:数据、处置和人

态势感知是一种安全能力，即发现、识别、分析、判断和应对安全事件和威胁的能力，以及引导政府和企业组织在着陆层应对和处理行动的能力。它是登陆的安全能力和进一步完善防御措施的基础。

左英南表示，态势感知系统需要三个关键要素，才能真正帮助政府和企业组织解决安全问题，建立安全能力。

1.数据是基础。态势数据是全要素数据的集合，其差异取决于传统soc和siem的安全操作和维护。态势感知系统的关键数据不是日志本身，而是日志可以发挥一些线索和辅助功能，更重要的是，来自终端的线径数据和网络流量的行为数据是非常有价值的分析、判断和追踪数据。如果无法收集这些数据，分析和处理将大打折扣。

2.处置是关键。态势感知系统能否提供与终端安全管理系统和网络检测系统的联动，并自动处理更多的闭环，对事件响应的作用至关重要。

3.人员是保证。情境意识的核心是帮助完成安全操作，这离不开人的参与。虽然一些企业已经建立了基于soc或siem的安全运营平台，甚至建立了基于态势感知系统的安全运营平台，但是仍然没有办法做好运营维护工作，即人员的缺乏是保证。

左应南建议，电子政务信息网络运营商可以与具有安全攻防能力的厂商360合作，作为技术后盾，同时想方设法提高自身安全运维人员的能力和水平，从而相互配合，更好地保障电子政务网络信息系统的平台安全。

来源：搜狐微门户