作者：韦国文、王勇、刘强

• 概述

2019年底到2020年初，新冠病毒疫情肆虐中国和全球，截止2月3日24时，累计报告确诊病例已达20471例，疫情之下，国内众多网络安全厂商纷纷捐款捐物并提供免费的网络安全服务和应急保障工作。疫情来袭之后，国家启动一级响应，延长假期和上班时间，我国市场经济受到影响，对中国网络安全行业的发展和网络安全服务的形态都造成了一定的影响，在此次毫无预兆的黑天鹅事件发生后，2020年网络安全行业和网络安全服务如何开展成了众多从业者关注的话题。

• 新冠疫情对网络安全的影响

2.1对网络安全行业的影响

本次疫情之下，世界和中国权威机构均认为影响是阶段性的、暂时性的，不会改变中国经济长期向好的基本面。网络安全行业在中国是朝阳产业，体量小、发展稳定。近几年每年以20%的复合增长；中国向信息化、数字化、智能化发展转型的大背景不变，网络空间安全依然是未来国家安全的重中之重；受疫情影响，很多行业加快互联网化，远程办公、在线学习等平台的投入会引起新的网络安全风险，会增大网络安全需求；网络安全行业由于其特殊性，一般第二~四季度为业务高峰期，第一季度影响有限；从总体看，2020年疫情对网络安全行业影响有限，网络安全行业依然会有较快的增长。

2.2对网络安全服务的影响

从目前各网络安全服务厂商安全服务工作开展反馈来看，疫情对网络安全服务的影响主要在复工情况、服务人员、客户对接和服务方式几个方面体现。由于疫情影响，目前无论安全服务厂商还是客户的复工时间都受到一定影响，部分企事业单位尚未复工或远程办公，及时已复工的企事业单位，目前工作重心也不在网络安全工作中；截止到目前，很多网络安全服务人员由于各地疫情防控要求不同，存在无法及时上岗的情况，网络安全服务人员的服务能力目前存在缺口；客户对接和项目实施方面，目前除了必要的驻场运维和应急处置需要进行现场处置，其他所有需要现场服务的工作均已停止，甲方客户已要求禁止网络安全服务人员进场；在疫情期间，网络安全服务的方式目前更多的是在远程进行。在疫情被控制前，网络安全服务还无法全部正常开展。疫情对网络安全服务的影响还是较大的。

• 新冠疫情环境下的网络安全服务

3.1疫情环境下可能遭受网络安全攻击的重点行业和设施

目前针对这个时期，政府、网络安全监管机构、医疗行业、交通、教育和国计民生相关的各行业信息基础设施遭受攻击的可能性较高，尤其是政府和医疗行业，各地政府的对外宣传网站、疫情通报系统及APP、各地医院和CDC最重要的一些系统包括了对外业务系统，HIS等医院业务系统和疾病预防控制系统可能甚至正在遭受业务中断比如勒索病毒，反动造谣内容，敏感数据泄露或篡改的攻击。因此在疫情环境下的网络安全服务资源应向上述行业和基础设施倾斜，针对上述系统和资产进行防御检测和应急，互联网系统进行云端安全检测防御。不在互联网上的系统加大排查，检测和事后应急工作，重点保障业务运行和数据安全。

3.2疫情环境下的网络安全服务类型

传统的网络安全服务主要以安全服务人员在现场服务为主，远程服务为辅。在疫情环境下，为避免传染交叉感染，网络安全服务应该向远程化、云化、自动化、平台化的方向发展，在疫情环境下，网络安全服务类型主要可以包含如下内容：

1.基于安全运营平台提供远程安全运营服务

安全运营服务将有安全运营中心与安全运营分析平台为客户提供云上 SaaS 服务，异地联合运营 EPaaS 服务，本部署运营服务。安全运营中心整合安全运营技术，采用创新SOAPA 安全运营架构。为客户改善公司安全运营情况，为安全运营市场以及建立安全运营相关标准提供助力。目前定位实现安全服务线下能力线上化，数据化、可视化，并基于大数据分析、机器学习进行运营分析。结合威胁情报/ EDR /安全资产管理等领域完善运营生态。在疫情环境下为客户提供有效的整体安全服务，通过专业的安全运维人员、业务领域专家和安全运营分析团队为客户提供 7*24 小时的安全监测、情报感知、响应处置和运营管理能力，同时结合远程专家服务、远程评估服务等组合，提供体系化一站式安全运营。

2.基于平台的在线网络教育和培训服务

1）培训服务

为应对疫情防控，公司快速响应国家防控疫情的号召，坚决贯彻政府部门相关政策，开展远程办公和网络安全在线教育培训课程。安恒信息网络空间学院基于X平台面向全国所有人员提供在线视频+在线直播的学习服务，能够在防控疫情关键时期提升客户和网络安全从业人员的安全意识、安全技术能力。安恒信息将提供在线教育和安全资质认证教学服务，课程涵盖：安全攻防、安全保障、等保2.0，基于HW的漏洞挖掘、安全攻防和应急支撑等课程，认证服务涵盖注册信息安全人员、大数据安全分析、Web安全、云安全、工控安全、应急响应等。

2）线上竞赛服务

通过在线视频+在线公司基于

直播的学习赋能平台定向学习，安恒信息可提供攻防对抗安全竞赛平台可以形成各类安全竞赛模式，为所有人员提供一个具有超大规模的真实业务系统攻防场景。SaaS化的安全竞赛，可检验人员的各个领域安全知识及技能掌握情况，包括安全挑战赛、安全运维管理赛、安全加固赛、安全攻击赛等。

3.SaaS化云端安全监测和防护服务

最近，利用新型冠状病毒爆发事件展开的网络攻击活动频出，攻击者主要基于新型冠状病毒的恶意电子邮件流量和社交媒体成为高频的攻击途径。在此疫情之下，各行各业需要有更强的判断和更坚定的决心，众志成城打赢病毒战，在网络安全上同样要守好关，在特殊时期安恒信息可提供云端安全监测和防护服务，对互联网系统进行远程安全监测和防护。

安恒信息通过玄武盾对国内外互联网上最新网络安全威胁情报的实时监控，能第一时间获取最新安全威胁，形成专有的基础指纹信息库。当互联网上有重大安全事件或者0day漏洞爆发时，根据指纹匹配对用户进行快速的初步预警，然后根据精确的检测策略，对用户进行精确的预警并且提供0day预警报告。

4.基于安恒云的公有云安全防护和安全服务

针对打算租用阿里公有云部署云上系统的客户，安恒信息通过安恒云为客户提供云+安全+运维的公有云一体化解决方案，包括计算资源、安全资源和安全运营服务，不用现场交流，不用害怕交叉感染，一站式解决系统部署、安全合规。

5.远程安全评估服务

安恒信息通过线上安全平台提供在线网站漏洞扫描服务、在线主机漏洞扫描服务、远程渗透服务、互联网资产发现、红蓝对抗服务和众测服务等，通过远程安全评估最大限度的减少客户被攻击的可能。

6.应急响应服务

病毒疫情特殊时期，当客户网络发生突发网络攻击事件后，安恒信息可提供安全专家紧急响应服务，包括远程应急响应和现场应急响应，安全专家将尽快的赶到现场，使用应急工具恢复网络的正常工作，并协助检查入侵来源，提供事故分析报告和安全建议及服务，为用户提供及时、全面的安全问题解决方案。

远程支持安全服务方式可以分为以下几种：

• 7*24小时电话支持服务；
• E－MAIL支持服务；
• 远程视频支撑服务；

安恒信息在疫情环境下，优先提供远程支持，当远程支持无法解决问题时，将派遣专业的紧急响应服务人员在第一时间到达客户所在地提供现场支持服务。

7.堡垒机+VPN提供常规安全服务

在正常的网络安全服务中，进行非互联网资产的漏洞扫描、配置核查、日志分析等常规服务工作需要到达客户现场。在疫情环境下，非互联网系统提供安全服务需要客户提供堡垒机、VPN或其他方式，接入客户环境为客户提供服务。服务过程需要保障客户信息的保密性。

8.远程安全咨询专家服务

安恒信息的安全顾问拥有电信、金融、政府等各行业背景的安全专家，熟悉各行业的安全特点，熟悉各行业的安全需求。通过深入分析用户业务的安全性，对用户的业务安全现状进行客观的评价，结合用户需求，制定风险控制方案，指导组织进行安全建设；远程安全咨询专家服务可提供远程三年规划/方案评审/等保咨询/体系建设咨询服务。

• 新冠病毒防控引起的网络安全思考

新冠病毒与网络安全攻击尤其是勒索病毒有一定的相似性，新冠病毒的检测、预防、控制、隔离、治疗方式和手段与网络安全防治思路也大体趋同，因此也有一定的借鉴意义和警示作用，安恒信息通过将新冠病毒和网络安全进行对比分析，引出对网络安全重点工作的思考。

4.1新冠病毒与网络安全攻击的对比分析

在对新冠病毒与永恒之蓝勒索病毒的传播途径、传染路线、感染对象等方面的对比分析可以发现，新冠病毒传播和爆发与网络安全攻击预备一定的相似性：

新冠病毒在防控过程中，进行了大概五步工作，与网络安全保障工作中以安全体系为依托，以大数据态势感知为决策支撑，建立事前防护监测、事中响应处置、事后回溯优化的思路一致：

第一步：国家启动应急预案，对环境实体采取分区分域隔离尽可量的破坏基本传染路径。

第二步：通过对病理分析，辅助城市人口流动统计、社区人口流动统计、学校学生健康统计、疫区人员流动统计，感染人员上报数据等进行大数据统计分析和态势感知分析构建破坏树。

第三步：启动应急响应，寻找更多的破坏源，降低网状链路传播。

第四步：延长社交周期，让潜伏破坏源自我暴露。沙箱。

第五步：过程中打通最后一公里，安全意识宣贯传导，感染病例居家隔离。

4.2新冠病毒防控引起的网络安全思考

通过对新冠病毒爆发防控与网络安全攻击治理的对比分析，引出已下几点思考：

思考1：安全体系的重要性

无论是网络安全还是疫情防控，是人、管理、技术的结合体，是体系化。安全组织体系、安全技术体系、安全管理体系、安全运营体系的横纵建立和有效运行是疫情防控和网络安全保障成败的关键。

中国建立了国家、省市、县级纵深的CDC防控体系，和医院、研究所、一线专家组组成的一线团队，并具备完善的公共事件应急响应机制。因此在疫情爆发后，能够快速启动一级响应机制，封城、封村、封路等一系列手段。

网络安全也需要建立网络安全组织体系、纵深防御体系、管理体系、运营体系、应急体系，用体系保障网络安全工作的顺利开展。

思考2：大数据态势感知对决策的支撑作用

今年新冠病毒疫情的防控，大数据和态势感知起到了决定性作用，对各省疫情数据的统计、分析、跟踪、以及相关的流行病学分析，均对领导层的决策、防控手段的使用起到了强大的支撑作用。

网络安全也同样如此，未来网络安全在打破信息孤岛和数据化、集约化之后，海量网络安全数据需要网络安全大数据和态势感知对整体网络安全态势进行研判、分析、对决策和及时响应起到支撑。

思考3：事前防护检测要重视

无论疫情防控和网络安全，事前防护检测，避免发生疫情发生和网络安全事件发生是最好的方式，但很多人、企事业单位还是对疫情防控和网络安全工作持无所谓态度，不愿意投入，不发生疫情或网络安全事件就觉得事前防护工作和投入没有用，而真正发生时又恐慌和混乱。

网络安全的事前防护检查，要建立纵深防御的安全防护产品，并通过资产排查、安全评估、安全加固、安全运营等手段保证安全防护检查无死角，识别资产、威胁、脆弱性和风险并有效监控。

思考4：事中处置要及时快速

网络安全和疫情防控，在发生确诊病例和网络安全攻击时，要及时快速响应，通过抑制、根治、恢复等方式，快速处理事件，将损失缩小到最小程度。并通过重保、HW、24小时值守工作，严密监视疫情或网络安全事件的发展和态势，及时调整策略和手段应对。

思考5：事后反思优化要落实

2003年非典之后，我国进行总结优化，疾病预防控制体系逐步建立和完善，并在本次新冠病毒疫情下起到非常大的作用。网络安全工作也应如此，在网络安全事件处置完成后，要及时总结、反思，找出不足和短板，不断优化，并将工作落到实位。

4.3黑天鹅事件的快速处理和应对

本次新冠疫情是典型的黑天鹅事件，因此湖北和武汉在疫情初期应对不足。在网络安全领域的黑天鹅事件也并不少见，典型的案例如永恒之蓝勒索病毒。应对网络安全黑天鹅事件除了平时加强网络安全体系建设，做好事前的网络安全防护外，建立网络安全态势感知，对网络安全态势及时掌控是防患于未然的手段，同时建立全生命周期的安全运营体系，通过PDCA的戴明环模型理念不断提升安全水平，建立安全应急体系，加强应急演练和培训，提升人员意识和能力，都是应对黑天鹅事件的有效方法。