此次针对COVID-19的行动体现了我国强大的突发公共卫生事件应急响应能力。对比当前全球疫情形势,我们可以看到,我国的应对策略非常正确,有效遏制了疫情蔓延,取得了阶段性胜利。当前,国内疫情已由“防扩散”转变为“外防输入、内防反弹”。新冠疫情是对中国公共卫生和医疗应急体系的一次难得考验。作为一名网络安全从业者,审视这次疫情的发展和应对过程,我收获颇丰。近年来,全球地缘政治冲突不断升级,国家间的冲突往往先于网络空间,关键信息基础设施成为首要目标。重大网络安全事件的发生,轻则导致政府机构职能受阻,重则造成社会经济混乱,甚至严重威胁国家安全。从国家有效应对疫情中,我们可以深刻体会到强大应急能力的重要性。本文结合此次疫情应急响应中的经验和体会,探讨对网络安全防御工作的启示,希望能为业界提供借鉴。1、“早发现、早隔离”也是网络安全应遵循的基本理念钟南山院士表示,患者早发现、早隔离是最关键的,甚至比治疗过程更重要。应对网络安全事件,“早发现、早隔离”的思路也是适用的。在保证业务正常运行的基础上,快速评估事件影响范围,快速隔离受影响资产,是从网络安全角度保证业务连续性的关键。近年来,许多网络攻击方法可以轻松绕过网络边界安全防护措施。一旦进入内网,就如入无人之境,会带来极大的安全隐患。“零信任”是近年来比较被认可的网络安全概念,即不再区分内网和外网,不再信任任何网络实体和用户身份,假设黑客已经进入了内网环境。首先,内网必须严格执行最小权限原则。可以根据身份、终端环境、网络环境等因素判断是否可以提权,进行细粒度的权限控制。一旦策略引擎判断某台主机的访问请求异常,需要及时对其进行阻断、降权甚至隔离排查。如果您需要访问,您需要从初始身份验证阶段申请权限升级,或联系您的IT管理员。安全事件的分析和病毒的研究一样,需要大量的时间,所以往往有一定的滞后性。零信任理念强调的实时、动态的认证授权机制,可以有效提高应急响应的时效性,在一定程度上有助于达到早发现、早隔离的目的,最大程度隔离威胁,保护用户安全。整个网络的安全性。2、威胁的发展和人才的匮乏呼唤网络安全运营自动化水平的提升。目前,我国医疗卫生系统建立了多套信息系统,包括传染病直报系统。这些信息系统的支撑作用有限,专家组难以及时把握疫情发展趋势,做出准确判断。这些信息系统在一定程度上需要进一步提高标准化运行水平和辅助决策能力。网络安全防御体系建设也存在同样的不足。网络安全人才的匮乏和人才培养速度的不足,使得提高网络安全防御系统对威胁的自动响应能力显得尤为重要。发现网络安全事件后,对受害主机进行告警和自动隔离,有效缩短威胁响应时间。windows,有效节省安全运营人力资源。保证网络安全操作系统的自动化、高效运行非常重要。为实现这一目标,必须通过常规测试手段验证安全运维自动化的有效性,验证探针安全监控功能的有效性,验证信息能否顺利到达分析平台,验证安全监控规则等。分析平台为了验证预警和处置手段的有效性,我们甚至需要使用红蓝对抗的方法来测试安全操作系统的有效性。网络安全运营平台对海量告警信息的处理应遵循合理的优先级策略。重点抓取故障事件和影响业务连续性的事件,减少对不会造成故障的攻击流量的关注。美国的国家网络安全保护系统(NCPS)重点关注可溯源到国家的APT攻击,这也体现了美国对网络安全威胁的清醒认识。3.网络安全运营体系中监管机构、运营商、服务提供商的有效融合,是提升网络安全整体防御能力的重要途径。2003年“非典”后,国家投入大量资源,构建覆盖全国、直达乡镇卫生院的传染病防疫体系。疫情报告制度。据悉,该系统可以让从国家卫健委到乡镇卫生院的各级监管部门同步了解各地上报的疫情信息。重大网络安全事件对国计民生的影响可能不亚于疫情。因此,这种“直报”的理念也值得网络安全行业思考和借鉴,有效应对重大突发事件。网络安全防御体系的建设和运行,会涉及到监管、运营、安全服务等相关方。如果网络安全态势感知系统能够在第一时间将真实坠落事件通知相关方,各方通力合作,不仅可以大大提高对安全事件的响应效率,还可以避免诸如向机制隐瞒不报。疫情隐匿性是影响疫情防控的重大风险。在网络安全领域,为了一时逃避责任,隐瞒坠落事件时有发生。现有的解决方案,无论是监管者还是运营商,单方面构建收集和监测威胁的态势感知系统,都难以取得令人满意的效果。这意味着我们需要认真思考如何建立一个理想的架构和运营体系,让网络安全运营体系中的所有参与者在一个平台系统中共享信息,以最高效率协调和应对网络威胁。这就是传染病疫情报告系统给网络安全工作带来的启示。5G等新技术的应用,更复杂的安全威胁,更广泛的攻击面,使得监管机构、运营商、服务提供商在网络安全防御体系中的有效融合成为关键。当然,要做到这一点,还需要有效的法律保障和三方之间充分的信任。虽然这些看起来很难,但并不妨碍我们迈出第一步,因为这是所有网络安全从业者的责任和使命。4、从安全理念和系统架构两方面深刻理解“移门前移”。应对新冠疫情重在隔离和预防。如果武汉封城能提前一天进行,接下来的疫情发展可能就完全不一样了。在网信工作会议上,习主席多次强调,网络安全“要向前推进,建立防患于未然的安全体系”。近年的威胁形势证明,城门外的敌人很难完全防御。在传统安全防御理念失效的今天,安全工作的底线在哪里?大门在哪里?一份2016年的FireEye报告指出,企业从妥协到发现(MTTD)的平均时间为146天。毫无疑问,如果MTTD时间超过了企业的最大容忍限度,那就意味着失败,这也是安全的底线。反过来说,这也是保安工作的意义和价值所在。以MTTD作为重要的安全工作指标,态势感知系统的监控预警能力和企业安全运营的自动化水平和有效性,包括威胁对威胁和自身情况。据了解,提出了更高的要求。应急响应是网络安全防御的重要关口。我们可以看到,一旦漏洞暴露,服务商就会更新安全设备特征库。用户呼叫发生安全事件后,服务提供商可在数小时内到达现场。但是实际的威胁情况呢?到发布漏洞补丁时,该漏洞利用工具可能已经从战略对手的网络武器库中移除,因为对他们来说,该武器几个月前就已经达到了目的。价值——突破目标系统,虽然这种情况不代表所有现实,但这种现实是完全可以想象的。在这种情况下,如果这样的快速响应也被视为网络安全工作的门槛,那么守住这个门槛又有多大的意义和价值呢?应急响应的任务更重要的是尽可能缩短MTTD,如果能够缩短到分钟级别,攻击者可能在他们做更多的破坏和渗透之前被我们隔离和清除。这也是近两年零信任概念火爆的重要原因。5、恪守职业道德,具有家国情怀是对网络安全从业人员的基本要求。回归到人,在抗击新冠疫情的斗争中,涌现出许多英姿飒爽的个人和团体。全国各地的医护人员纷纷挺身而出。不少企业和个人捐款捐物的场面感人至深。20多年来,在我国无数次网络安全事件的应急响应中,众多优秀的网络安全企业始终在该领域展现专业水准,勇于担当,想用户之所想,急客户之所急很着急。在维护国家网络空间安全的事业中得到了客户的广泛赞誉。网络安全事件与公共卫生安全事件有很多相似之处。网络安全公司保护国家网络空间的安全。当发生重大安全事件时,网络安全企业和个人必须不计较得失冲在第一线,自觉担当起维护国家网络空间安全的重任。无论是哪个行业,职业道德的坚守和忧国忧民的家国情怀都是基本要求。俗话说“先忧天下之忧,后享天下之乐”。商业公司的价值也需要体现在这上面。从长远来看,有专业能力和职业道德、有家国情怀的企业,必将获得市场的关注和肯定。六、总结与展望中华民族是一个在苦难中成长起来的民族。我们可以从每一次痛苦的经历和教训中吸取教训。我们有很强的能力来应对任何困难。党和政府有坚强的领导,人民群众有强大的凝聚力,是这次疫情成功控制的重要前提。在网络空间,我们也需要这种能力。网络威胁日新月异,层出不穷,因此我们需要更多的专业能力,不仅要有“看到”威胁的能力,还要有“想象”前瞻性未知威胁的能力。只有保持这些能力,不断审视自己,创新地提出更有效的解决方案和对策,才能让网络空间更加安全。
