日前,工业和信息化部印发了《公共互联网网络安全突发事件应急预案》(以下简称《预案》),从体制和机制两个层面,建立了网络安全突发事件从监测预警、应急处置、事后总结、预防与应急准备到保障措施的全流程规范和措施,预案将成为基础电信企业、域名注册管理和服务机构、互联网企业网络安全事件处置过程中体系化的指导性文件。
需要“小时化”应急体系
发布该《预案》的目标是建立健全公共互联网网络安全突发事件应急组织体系和工作机制,提高公共互联网网络安全突发事件综合应对能力,确保及时有效地控制、减轻和消除公共互联网网络安全突发事件造成的社会危害和损失,保证公共互联网持续稳定运行和数据安全,维护国家网络空间安全,保障经济运行和社会秩序。
《预案》所称网络安全突发事件,是指突然发生的,由网络攻击、网络入侵、恶意程序等导致的,造成或可能造成严重社会危害或影响,需要电信主管部门组织采取应急处置措施予以应对的网络中断(拥塞)、系统瘫痪(异常)、数据泄露(丢失)、病毒传播等事件。
而早在今年的6月27日,中央网信办就印发了《国家网络安全事件应急预案》,提出中央网信办统筹协调组织国家网络安全事件应对工作,建立健全跨部门联动处置机制,工信部、公安部、国家保密局等相关部门按照职责分工负责相关网络安全事件应对工作。必要时成立国家网络安全事件应急指挥部,负责特别重大网络安全事件处置的组织指挥和协调。工信部印发的《预案》是在《国家网络安全事件应急预案》框架下的具体落实和补充。
伴随着互联网应用的普及和深入,当今世界线上线下正深度融合,互联网成为像水、电和空气一样的基础设施,网络攻击将会穿透虚拟空间,直接映射到现实世界,网络安全已经成为国家安全、经济发展和社会稳定的重要组成部分。网络安全事件的发生会直接影响业务运营,造成业务系统重大故障影响社会稳定和人民生活时,事件应急就要跟时间赛跑,实现“小时化”。
今年以来,全球范围内网络安全事件频发,5月12日全球范围内爆发的“永恒之蓝”(WannaCry)勒索病毒攻击事件,病毒利用NSA被泄漏出来的MS17-010漏洞进行传播,加密勒索被感染的电脑和服务器,造成至少150个国家受到网络攻击,影响到金融、能源、医疗、交通和公共管理等行业和部门的业务运行,造成业务和服务中断,直接造成了全球数十亿美元的经济损失。
相关专家表示,两个《预案》的发布将有助于在类似“永恒之蓝”这样的突发安全事件发生时,有效调动组织力量,及时进行应急处置,降低事件造成的危害和损失,这也是国家和行业网络安全能力提升的必要措施之一。
机制和技术并重
安全事件的应急需要通过《预案》来建立合理的机制,同时也需要有效的技术手段和技术支撑。
5月份发生的“永恒之蓝”事件,是对突发安全事件响应处置机制的一次考验。作为“永恒之蓝”事件应急的总指挥,360企业安全集团总裁吴云坤对此认识深刻。他认为,该事件反映出,针对重大突发网络安全事件,我们没有应急手段和技术——没有态势感知,研判分析不能精确到点;没有统一的网络和终端管控;没有基于大数据的安全联动机制,各自为战。
在“永恒之蓝”事件爆发后,360利用自己在安全大数据和态势感知领域的优势,很快推出了“永恒之蓝”勒索蠕虫传播专项态势感知,并以此为基础建立了应急响应体系,同时将态势感知系统推送给了相关主管部门、行业和大型企业,帮助他们及时了解把握蠕虫传播态势,从而做出有效处置和响应行动,有效扼制了蠕虫的进一步传播。在国家72小时抗击勒索会战中,360推出的“永恒之蓝”勒索蠕虫专项态势感知系统作为“指挥中心”,发挥了重要作用。
“永恒之蓝”专项态势感知,来源于其数据能力,来源于有层次、有目标的全面数据采集与监测,这些数据来源于基础设施,来源于被动防御的边界和终端防御设备的日志,来源于网络流量。360正在与相关机构合作,积极推进态势感知系统的技术研究和系统建设,已经承建了网信办、国税总局等多个部委,北京、上海、天津、重庆、福建、海南、贵阳、南宁、青岛、苏州等多个省市的网络安全态势感知系统建设。
吴云坤认为,态势感知的关键是处置,比如“永恒之蓝”事件的处置中,360先后派出超过2000位安全应急响应人员,为超过1700家政企机构提供了现场支持,为超过2000家机构提供了电话支持,制作了5000多个工具U盘和光盘,发布了9个版本安全预警通告、7个安全修复指南文档,推出了6个修补工具软件。
吴云坤认为,从“永恒之蓝”事件的应急看,提升网络安全突发事件的应急能力,需要有完善的机制建设,也必须有有效的手段和技术支撑,没有技术保障的机制和措施一定会失效。