齐向东：基于“四个假设”构建网络安全防护体系

　　中新网9月6日电  在9月5日下午召开的2016年度保密科技奖励大会暨2017年保密科学技术交流大会上，360企业安全集团董事长齐向东表示，信息安全防卫工作需要在两大“失效定律”和 “四个假设”的前提下，建立全新的网络空间安全防护体系。

　　今年5月份以来，勒索病毒连续两个月席卷全球，造成了严重的危机。随着病毒攻击日益常态化、复杂化，信息安全防卫工作也面临着前所未有的挑战。

　　两大“失效定律”

　　齐向东表示，在信息安全保密的实际工作中，一切违背人性的管理手段都会失效，一切没有技术手段作为保障的管理措施都会失效。

　　齐向东说，在处理“永恒之蓝”勒索病毒事件的过程中，360发现了多起员工私建网络，最后导致隔离网设备中招的行为。此前，他们还发现过有员工为了图方便，用个人U盘保存核心数据，最后导致勘探地质数据不幸遭到泄漏的事件。

　　齐向东认为，没有强有力的技术手段作为保障，信息安全保密工作的管理措施也会失效。

　　“很多公司都出现过密码泄露的事件，因此360要求，每个员工的电脑密码必须是十五位高级密码，并且每三个月就需要换一次。”齐向东举例说，为了防止员工嫌麻烦不遵守规定，360信息安全部每天都会用弱密码库来不断碰撞员工的电脑，一旦出现不符合要求的情况，员工的电脑就会无法开机。此外，他们还开发出了移动终端生物指纹认证，可以省去输入密码的环节。

　　“四个假设”

　　除了两大“失效定律”，齐向东认为，构建全新的网络安全防护体系还需要建立在“四个假设”的基础上。

　　第一个假设，系统一定有未被发现的漏洞。齐向东表示，现在，很多电子政务内网和涉密网都成了APT攻击重灾区，但是传统的安全设备无法检测APT，因此需要采用新的方法，比如360“APT分析仪”临机介入24小时可以智能查漏洞，“网络众测平台”引入白帽子攻防专家可以对系统进行攻击型漏洞检测等。

　　第二个假设，一定有已发现但仍未修补的漏洞。齐向东以5月爆发的勒索病毒举例说，虽然微软在3月份发布了关于“永恒之蓝”漏洞的安全补丁，但很多单位都没有及时安装更新，这些单位都成了病毒“重灾区”。

　　“结合涉密网来说，需要结合威胁情报，及时做到状态判定、损失评估和追踪溯源。”齐向东认为，以威胁情报为核心安全运营模式，能够更好的为涉密网建设提供支撑。

　　第三个假设，系统已经被渗透。“出现这种情况，我们应该快速地定位问题，但是很多单位受人员和资金的限制，安全人员的技术、经验和工具都比较薄弱。”齐向东表示，建立网络安全态势感知系统，通过在本地的安全大数据中心，结合智能分析模型和专业攻防技术服务，可以自动告知预警，减少损失。

　　第四个假设，员工不可靠。世界通信技术行业巨头威瑞森公司(Verizon)发布的《2017年数据泄露调查报告》显示，近四分之一的数据泄露，是由于企业内部人员造成的，内部威胁逐渐成为数据泄露的主要原因之一。

　　对此，齐向东认为，企业可以结合业务安全网关(SSG)和用户实体行为分析(UEBA)两种安全产品，及时阻止不可靠员工的异常操作。具体来说，SSG好比“数据探针”，可以识别出人的违规或恶意操作，UEBA则是用大数据分析发现“内鬼”，避免数据遭到泄露或篡改等安全事件的发生。