企業動態

安全是什麼？對於網絡安全從業者來説，是沒有黑客攻擊、病毒入侵；而對於疫情時期的普通大眾來説，安全就是隨身必備的口罩。

2020年2月，全國各地出現新冠疫情，無論是各大電商平台，還是線下藥店，都是“一罩難求”。就在此時，常州市政府在互聯網公眾服務平台“我的常州”上線了“口罩預約”的功能模塊，以便解決常州市民們的燃眉之急。

“當時市民對口罩的需求非常迫切，本着便民優先的原則，我們來不及走完所有的安全流程，僅通過普通安全測試後就上線了。”常州市大數據中心電子政務管理處處長周風波回憶道，“上線後，該功能使用非常火爆，訪問量激增，各類DDoS攻擊、黃牛黨刷票搶號也接踵而來，幾乎讓我們措手不及，更給平台的正常服務帶來了極大挑戰。”

作為常州大數據中心的網絡安全合作伙伴，奇安信第一時間提供了全流量威脅感知設備、安全事件預處置服務等，加固了“我的常州”安全性，同時還通過技術防護手段徹底解決了黃牛搶口罩的問題，確保每個口罩都能送到市民手中。

“如果沒有平時對網絡安全建設的持續重視，很難想象，遇到這種突發情況時該如何應對。”周風波表示。

三個“第一時間” 對安全隱患零容忍

“網絡安全問題，必須第一時間處理，一刻也不能等。”談到電子政務的網絡安全建設，周風波將實時、高效放在了首要位置。

眾所周知，電子政務平台承載着政府核心業務、敏感數據、公眾服務等內容，一旦被攻擊，就可能對社會秩序、公眾利益、政府形象等造成嚴重影響，危害性不可估量。然而近年來，全球針對政府機構的網絡攻擊層出不窮，常見攻擊類型有數據泄露、勒索軟件、DDoS攻擊、APT攻擊、釣魚攻擊以及網頁篡改等。

在國外，2020年12月，俄黑客被指入侵美政府多個機構，超九成500強公司受影響;2020年6月，美國200多個公檢法部門泄露296GB數據文件；2019年5月，俄羅斯政府網站泄露225萬用户隱私；2019年3月，美國聯邦應急管理局泄露230萬災難倖存者個人信息。在國內，2018年5月，重慶涉外黑客入侵700餘個政府機關網站掛黑鏈……

常州，一座有着3200多年曆史的文化古城，經濟總量方面一直穩居全國前30位。在信息化方面，常州市電子政務大數據共享交換平台於2018年立項啓動，2019年建設完畢，目前平台承載着500萬自然人的數據，加上法人、空間、地理、35家單位等，總數據量超過16億條。這些數據屬於高價值、高敏感性信息，一旦泄露，將對企業和公民造成很大的影響。

除了數據泄露的風險之外，挖礦木馬肆虐也是常州電子政務面臨的難題。“捕捉挖礦木馬也是一場警察抓小偷的鬥智鬥勇。”周風波分享了一個故事，“挖礦木馬對顯卡要求高，也會佔用CPU運算資源，因此，政務雲平台對CPU利用率有預警機制。但是有些木馬學壞了，卡着閾值設置值，例如政務雲的機制是資源使用量超過95%觸發報警，那麼這些木馬將CPU資源使用量上限設置在85%以下，極其隱蔽，如果不通過專業的安全管理平台，就無法發現他們，導致政務硬件資源被挖礦者濫用。”

“考慮到電子政務的很多業務系統和數據都和國計民生緊密相關，我們在安全上一直在強調三個‘第一時間’：政務網裏的安全風險，要第一時間知道；對於新型的APT攻擊檢測和應對方案，要第一時間通報下去；一旦有安全事件發生，安全人員要第一時間進行響應和處置。”周風波談到。

首創“1+N”模式實現市區聯動 補齊安全短板

“聰者聽於無聲,明者見於未形。”2016年4月19日，習近平總書記在網絡安全和信息化工作座談會上指出，感知網絡安全態勢是最基本、最基礎的工作，要全面加強網絡安全檢查，摸清家底，認清風險，找出漏洞，通報結果，督促整改。

常州在態勢感知和安全管理建設方面，不僅完成了省級電子政務管理部門的要求，還在2018年底，與國內領先的網絡安全公司奇安信合作，通過部署態勢感知與安全運營平台(NGSOC)，開創性實現了“市+區”聯動的“1+N”安全管理模式，將態勢感知能力覆蓋到區級單位，從多個層面補齊了安全短板，強化整體平台的安全性。

首先，“1+N”模式實現的市區聯動，讓分佈在五個區、40多個委辦局的安全能力真正實現了拉齊。

“儘管常州下轄的區數量不多，但發展差異很大。例如武進區經濟能力很強，信息化程度高，也有專業的安全團隊，其他很多區的信息化水平和安全建設就比較薄弱，沒有統籌考慮，只有簡單的防病毒等終端安全措施。假如不採取‘1+N’模式，一旦常州發生安全事件時，對威脅的發現和響應就會很滯後。同時在區一級單獨建安全項目比較難操作，成本也較高。”

圖：功能架構

通過“1+N”的模式部署奇安信NGSOC，很好解決了這些難題。將各區安全響應能力拉齊，彌合和各區之間安全水平參差不齊的差距。尤其是NGSOC具有很強的兼容性，能夠和運維軟件實現兼容，進而對全市政務網安全態勢瞭如指掌。

其次，市區聯動的態勢感知方案，強化了威脅分析和溯源功能，為定責提供充分依據。周風波回憶，在過去，當出現安全事故的時候，找不到具體的責任品牌，很多安全事件、很多安全設備都有關聯，很難定責。部署了NGSOC之後，通過溯源分析可以及時有效定位問題發生點。

值得一提的是，NGSOC在攻擊回溯和調查取證方面具有領先業界的創新。例如奇安信在業界率先提出了冷熱數據的概念，對於最近時間發生的高頻查詢數據，通過熱數據模式存儲，整體的數據搜索方面會支持百億級的數據秒級檢索，業界遙遙領先。而在調查取證方面，通過人、數據和工具組成的一個三維的協同聯動，可以深入、多角度研判威脅，並還原整個威脅事件。

第三，“1+N”模式的市區無縫聯動，大大提升了重大安全事件的響應速度。常州市電子政務中心通過NGSOC安全管理平台，及時向各級單位下發安全風險通告函，包括相應問題的解決方案。

周風波舉了一個例子，在鐘樓區某終端對MSSQL數據庫服務器執行了惡意代碼，將會導致獲取到服務器權限，導致數據遭到破壞、更改和泄露。通過NGSOC安全管理平台，安全運營人員及時下發了安全風險告知函，修復了數據庫的惡意代碼，將安全隱患消弭於無形。

最後是，NGSOC和奇安信天擎的聯動，使得高危漏洞的修復效率獲得顯著提升。據周風波回憶，在項目實施過程中，通過NGSOC挖掘出的高危漏洞有1500多個，分散在各區各地，如果用傳統的修復手段，無疑是一個浩大的工程。通過天擎終端安全管理系統，就可以統一管理，統一升級，統一打補丁，快速完成漏洞修復。加上奇安信駐場人員提供的專業安全運營服務，此類問題處理比預期快了很多。

圖：外部威脅態勢

此外，NGSOC的可視化展示能力，也讓常州電子政務客户記憶深刻。NGSOC可提供11個展示內網態勢感知的大屏視圖：全網脆弱性態勢、資產態勢、威脅預警態勢、攻擊者態勢、綜合安全態勢、安全運營態勢、外部威脅態勢、內網威脅態勢、資產風險態勢、業務資產外連態勢、攻防演練態勢，分別從不同的安全運營角度對網絡安全態勢進行呈現。如此豐富的維度，讓客户對從市到區的電子政務外網安全態勢具有全局把控。

圖：內網威脅情況

實戰攻防驗證安全水平 未來有望向全省推廣

“沒有網絡安全就沒有國家安全,就沒有經濟社會穩定運行,廣大人民羣眾利益也難以得到保障。”政府的核心業務平台需要平穩運行，企業和公眾的重要數據需要多重防護，在以NGSOC為主的安全管理方案助力之下，常州電子政務的網絡安全水平處於全省領先地位。

據介紹，在2020年針對關鍵信息基礎設施進行實戰攻防演練的工作中，NGSOC安全管理平台作為防守方，結合駐場安全運營的人員，成功監測及防護住了各種攻擊行為，發現並處理了3000餘條高危告警。

而且，憑藉NGSOC優異的安全能力表現，常州電子政務平台在2019年等保1.0的三級標準得到89.77分，2020年等保2.0的標準89.38分，真正實現了花小錢辦大事的效果。

對於未來，周風波表示，常州市“1+N”市區聯動模式有望向江蘇省全省推廣，為建立“省-市-區”三級聯動安全管理平台，提供很好的示範樣板。