公司

首頁 > 關于我們 > 安恒動態(tài) > 2022 > 正文

這些口述故事，讓我們看到了安恒信息重保的成長

閱讀量：次

國家重大活動網(wǎng)絡安保服務均具有任務重、要求高、影響大的特點。從2008年北京奧運會開始，安恒信息憑借豐富的經(jīng)驗和一支融合專業(yè)技術精、素質(zhì)高、有經(jīng)驗、能打持久戰(zhàn)、能打勝仗的網(wǎng)絡安保隊伍，和國內(nèi)各個大型活動、賽事結下了不解之緣。一次次重保工作圓滿完成的歷程，也是安恒信息十五年成長的歷程。

作為資深安全服務人，老袁可以說是身經(jīng)百戰(zhàn)，讓我們來聽聽他和安恒信息的重保實戰(zhàn)故事。

世界互聯(lián)網(wǎng)大會

重保服務逐漸形成體系

從第一屆世界互聯(lián)網(wǎng)大會開始，主管單位對網(wǎng)絡安全提出更高要求，我們的重保服務也是從那個時候開始形成體系，可以說我們一次很好的練兵。到第二屆的時候，網(wǎng)絡安全受重視程度更甚。

通過親歷歷屆世界互聯(lián)網(wǎng)大會，我們總結了重保期間攻擊手段的發(fā)展，比如簡單來講，第一屆的攻擊較零散；從第二屆開始，就有專業(yè)人士開始針對性攻擊；第三屆就開始出現(xiàn)比如DDOS攻擊、洪水攻擊；第四屆有針對聯(lián)網(wǎng)的攝像頭、公共自行車、充電樁等IoT設備的攻擊，發(fā)現(xiàn)了許多攻擊痕跡……攻擊手段不斷迭代更新，我們也錘煉自己安保服務能力，確保萬無一失。

某重大安保場景案例

重保服務獲得里程碑式發(fā)展

這一次，國家正式把網(wǎng)絡安全列入到了整體安保體系，對重保提出了最高級別的要求——萬無一失。當時網(wǎng)絡安全尚未形成規(guī)范化的打法和標準，也沒有太多可借鑒的經(jīng)驗。我們的董事長范總帶著大家一起開會討論，抱著勢必圓滿完成任務的決心，開始了緊張有序的籌備?；I備工作大概持續(xù)了有兩年時間，包括官方網(wǎng)站、各式各樣的系統(tǒng)陸續(xù)上線。

小故事一

●

這次大會開幕當天，我們接到消息，有黑客組織向高校的系統(tǒng)發(fā)起攻擊并在網(wǎng)上傳播已成功攻破高校系統(tǒng)的圖片。

當天下午我們組織八人小組趕赴現(xiàn)場，從下午3點到次日早7點，我們對所有訪問過該高校網(wǎng)站的日志進行了審核，篩選出所有IP，我們通過手寫的一套程序去分析哪些IP是境外的。那個黑客組織活躍地是在加拿大，我們就把加拿大的IP挑出來。這個事情影響較大，因為當時涉及到的郵箱系統(tǒng)是全國范圍的，一旦被入侵，就意味著當晚可能全國所有的這些系統(tǒng)都會被黑客入侵。

當時，問詢電話一個一個打過來問分析的結果，但是我們看不到任何癥狀，看不到任何攻擊痕跡。但誰都不敢百分之百保證說沒攻進來。最終半夜3點多我們查到1條訪問記錄是來自加拿大的，訪問時間是在某媒體平臺上發(fā)出照片的前三分鐘。之后我們聯(lián)合公安來對圖片真?zhèn)渭右哉鐒e，發(fā)現(xiàn)圖片是經(jīng)過PS的，其實他們并沒有入侵成功。

原來，這是一次5W美金境外懸賞行動，這個黑客之前是有在高校網(wǎng)站中留了后門，但因為我們已經(jīng)對全省特別是當?shù)叵嚓P的系統(tǒng)，教育、政府機關單位以及其他的各式各樣的平臺，花了將近半年時間在各條線監(jiān)管機構的指導下做了一個排雷行動，把所有可能存在木馬的網(wǎng)站徹查了3-4遍，已經(jīng)把很多雷都排掉了。所以，黑客忽然發(fā)現(xiàn)后門沒有，為了賞金他就做了PS這么一件事，最終聽說只拿到了很小額的賞金。

小故事二

●

這次大會整體的防護體系框架，我們設置得非常嚴格。我們當時是反復做了6輪檢測。

針對一套核心系統(tǒng)我們做了強隔離的措施，所有的數(shù)據(jù)就只能發(fā)進到這臺服務器上，而且有各式各樣的網(wǎng)閘也好，操作審計也好，每一個變化都會有非常強的監(jiān)控和反篡改的措施。進來的數(shù)據(jù)均需通過無數(shù)道防護設備，而且所有機器無法連接互聯(lián)網(wǎng)，只能接收數(shù)據(jù)。

開會前的三四天，我們又做了一次測試，在這個真空的環(huán)境下面，我們突然發(fā)現(xiàn)出現(xiàn)了境外特別著名的一個攻擊組織的一個木馬特征的樣本在里面。當時就一下子很緊張，就趕緊去查，也正是因為我們做了強隔離措施，木馬雖然在里邊，但它出不去，無法往外傳播內(nèi)容。這樣可以把風險降到最低。

后來我們排查原因，所有廠家都知道這些服務器很重要，他們在把設備搬到現(xiàn)場的時候，也是擔心機器損壞，或者補丁沒打好，所以他們在運送進來之前插了U盤想把該打補丁都打上。問題就出現(xiàn)在這里，其中有一個U盤里邊就帶了這個木馬病毒，導致那一臺機器在內(nèi)網(wǎng)里邊有個病毒一直嘗試往外連，一直連不出去。但是那個流量包特征被抓到了。

如果沒有做強隔離措施，木馬會不會往外傳什么東西是完全不確定的。因此把嚴格的流程制度定好，經(jīng)過反復七輪檢查，不存有任何僥幸心理，把所有的可能性都要考慮到，做到極致，才避免了這次意外。

優(yōu)勢凸顯

重保需求找上門

做了這么多年重保，我們將所經(jīng)歷的風險事件的處理方式，匯總成全新方案，建立起應急處置機制。隨著經(jīng)驗的不斷傳遞，我們建立了同行無可比擬的經(jīng)驗優(yōu)勢。

經(jīng)歷著這次的重大安保場景，一系列重要賽事主辦機構開始主動找我們，因此我們陸續(xù)參與到諸如金磚國家峰會、進博會、上合組織峰會、聯(lián)合國世界地理信息大會，世界軍人運動會等賽事活動的安全保障中去。這些賽事里邊最核心的重要系統(tǒng)，包括場館、官方網(wǎng)站、注冊網(wǎng)站等等，最重要安保項目基本上都是由我們承接。

不斷進化

從托管運營服務到打造網(wǎng)絡安全共同體

從第二屆世界互聯(lián)網(wǎng)大會開始，某市當時大半個城市，所有的政府網(wǎng)站，我們都放到了玄武盾去集中防護，這就不需要每個地方放一臺設備，放一個人了，只要有一個云端的防護，然后幾百家、上千家的政府單位都在我們一個指揮中心，就可以整體幫他們防護，去做分析研判。投入重保的產(chǎn)品，基本上囊括全線產(chǎn)品，部分產(chǎn)品需還做了專門的定制化匹配。

今年我們計劃推出托管運營服務，嘗試去推整個城市的保護計劃。但是我們在面臨更多更復雜的攻擊場景下，把整個城市核心需要防護的陣線納入到統(tǒng)一平臺去進行防御監(jiān)測、監(jiān)測預警、通知響應，推出一整套的城市級的集中防護平臺。

我們針對亞運會的口號是“打造網(wǎng)絡安全的共同體”，讓整個城市能有一套共同防御平臺，除了安全產(chǎn)品外，還包括我們和政府各部門如何快速協(xié)同、能力共享、集中防護的平臺化機制。這其中，還有一些其他企業(yè)的安全人員也愿意為亞運會、大運會去輸出自己的經(jīng)驗，我們就需要把這些人整合起來，集中力量幫助我們?nèi)ヅ挪楹桶l(fā)現(xiàn)更多問題。同時，通過一套平臺連通監(jiān)管部門的情報、處置能力，讓每個板塊的安全能力都能為整個城市賦能。涉及人才培養(yǎng)，我們通過整套防護體系完成人才能力提升，通過建立一套持續(xù)成長的人才培養(yǎng)梯隊機制進行集中培訓，把一些實戰(zhàn)場景、先進安全知識進行定向輸送，讓人才在一線能更快速地提高自身能力。包括整個城市的CIO層面，組織定期技能分享，對新出臺的網(wǎng)絡安全相關法律法規(guī)、標準進行宣貫。

如果沒有重保，

會是什么結果？

在重大活動中攻擊者可能有這三類。

一類是國家行動黑客攻擊者，它是帶著政治目的，這是影響最大的。其次是為了獲取利潤的職業(yè)黑客。還有一類可能這就是湊熱鬧蹭熱度，證明自己厲害的業(yè)余黑客。

國家行動黑客攻擊者是有政府背景的，他們設法黑掉水利、工控、電力等，危害這些關鍵基礎設施。很多境外黑客最想干的事情是在一個特定吸引眼球的時間，能去證明他們的摧毀實力，或者進而達到一些其他目的訴求。之前烏克蘭的電站，還有一些太陽能公司、水利公司都出現(xiàn)過類似事情。雖然這類事件可能一年全世界就那么幾例，但一旦發(fā)生，對整個國家、整個社會民生都會產(chǎn)生很大影響。因此，重保不可或缺，且會越來越受到重視。

關閉

AI+安全>

數(shù)據(jù)安全>

數(shù)據(jù)基礎設施>

態(tài)勢感知>

云安全>

基礎安全>

終端安全>

商用密碼>

軟件供應鏈安全>

網(wǎng)絡空間靶場>

工業(yè)互聯(lián)網(wǎng)安全>