吳雲坤：關鍵信息基礎設施安全防護管理平台建設的五個要點

6月29日，2018年度國家網路與信息安全信息通報工作交流研討會在安徽合肥舉行。來自公安部的領導、以及超過200名部委、央企、金融機構的網路安全負責人參與了此次研討會。本次研討會是為了貫徹黨中央對網路安全工作的新指示新要求，有效應對當前網路安全面臨的新威脅新挑戰，提升國家關鍵信息基礎設施安全防護能力和水平。

360企業安全集團總裁吳雲坤受邀發表了《關鍵信息基礎設施安全防護管理平台建設經驗》的主題演講，向與會成員單位介紹了360企業安全在態勢感知平台建設上的成功經驗。以下是演講內容摘錄。

360對態勢感知平台的理解，經歷了不斷的變化：從最早的態勢感知到現在的關鍵信息基礎設施安全防護管理平台，態勢感知平台的戰略定位已經發生了很大的變化。

態勢感知平台不單單是技術問題，而是把組織流程、技術手段綜合在一起，把組織中的能力聚合在一起。此外，態勢感知平台要重視平戰結合，要保證國家與地方、公安跟企業，以及部委間的連通性，最終形成國家大的體系。

360企業安全在態勢感知平台建設有下面一些經驗：

要點一

業務導向、安全閉環

任何企業、機構和部委建設態勢感知平台，一定要形成安全閉環。技術是支撐，而管理是根本。通報機制、評估檢查、教育培訓等都是在態勢感知平台上發展出來的管理場景。平台系統不是技術系統，技術是藏在其中的，這是整個建設過程當中非常重要的要點，這個要點就是堅持業務為導向的過程。每個企業、部委和機構，包括公安部的業務場景都不一樣，每個機構都有自己的職責，因此在安全管理、組織設計、業務流程、管理制度上都是不一樣的。每個系統都是圍繞業務系統做定製，這是整個系統建設中最基本的要點。

要點二

關口前移、系統規劃

任何機構做安全防護，都要遵照網路安全滑動標尺模型。最左邊是基礎架構安全；第二部分是被動防禦。態勢感知是在第三部分的積極防禦和第四部分的威脅情報。

關口前移不是技術問題，過去在整個安全建設思路上，更多的是查缺補漏，我們平常做的掃描、評估，整個建設思路就是查缺補漏，是在信息化建設完成之後我們做更多的工作。我們現在的信息系統規劃思路，是在早期做三同步：同步規劃、同步建設、同步運營。尤其這三年中，出現了很多新興的信息技術應用浪潮，我們可以在早期的建設過程中把態勢感知考慮進去。

態勢感知需要全要素數據採集，從硬體、安全設備到基礎服務，甚至終端、網路、業務系統有很多數據採集。如果建設態勢感知系統時沒有這些數據，態勢感知的能力是非常薄弱的。拿到這些數據不是安全問題，而是信息化的問題。

要點三

純正的大數據基因

三年前我們講「數據驅動安全」時一般會講兩點：一是我們擁有大量的數據，二是這個數據能產生出很多威脅情報，幫助用戶發現未知威脅，這其實是我們大數據基因的結果，這是一種外在的能力。

所謂純正大數據基因就是全開放的數據採集，即全要素數據，這裡面有人的數據、資產數據、身份數據、認證數據，金融行業還有很多交易數據。系統建設初期不考慮開放採集的話，未來數據就進不來。數據治理是整個態勢感知中最重要的工作，而數據治理將是持續運營的過程。

我們過去做的所有安全一般是在低位做網路防護、終端防護。態勢感知是典型的中高位能力體現，利用互聯網數據能讓中位能力得到最大的發揮。在設備採集數據和處置響應的基礎上，態勢感知系統在中位和高位中體現出價值，這一點是數據驅動安全的核心能力。

要點四

人為核心、運營驅動

安全運營驅動的一個中心點就是為人服務，這裡的人包括很多人，比如值班人員、研判分析人員。這不僅存在於建成之後，還在建設過程當中，它是持續開發的過程，從技術、運營到制度這一套體系，包括數據治理也是運營的，雲端也是運營的。

這種運營是以人為核心的運營設計，比如集團領導、安全服務人員，要做的事情都不一樣，全局決策則要依靠領導。要圍繞這些人的能力和角色設計運營流程。

要點五

攻防兼備是前提

我們公司一直講「因知攻、故善防」。態勢感知中怎麼體現這一點呢？實際上，得到威脅情報過程就是攻防兼備的過程。如果沒有攻防體現，很難實現威脅情報的提供。比如，高級威脅檢測能力與攻防的關係，還有去年的「5.12」勒索病毒攻擊事件，需要在很短的時間內，把問題搞清楚，給所有單位提供應急處理工具。所以我們認為攻防是整個態勢感知的關鍵點。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！