中国国家互联网应急中心（CNCERT）日前发布的《2020年上半年我国互联网网络安全监测数据分析报告》显示，中国遭受来自境外的网络攻击持续增加，其中位于境外的约2.5万个计算机恶意程序控制服务器控制我国境内约303万台主机，其中美国是针对中国网络攻击的最大来源国。

一、关键信息基础设施成为安全核心战场

关键信息基础设施关系着国计民生，是经济社会运行的神经中枢，是网络安全的重中之重。随着经济社会对网络的依赖程度不断加深，关键信息基础设施安全防护更加紧迫。网络空间军事化、网络武器平民化、网络攻击常态化的态势日趋明显，关键信息基础设施已成为网络攻击的主要目标。

基于以下五点，是提升关键信息基础设施安全保护水平的重要措施。

第一，严格贯彻实施相关法律法规。关键信息基础设施关涉国家安全和人民生产生活，是国之重器。实践中，要严格遵守《网络安全法》，贯彻落实好关键信息基础设施安全的各项规章制度，努力提升关键信息基础设施网络安全保护水平。

第二，建立全面的网络安全防护体系。要从物理、网络、主机、应用、数据等层面加强关键信息基础设施的安全防护，综合利用监控平台、运维管理平台、网络管理平台、安全管理平台、态势感知平台等，有效加强系统运行过程实时监测，实现网络安全风险的全生命周期管理。

第三，完善关键信息基础设施安全保护应急机制。针对关键信息基础设施，制定并完善专项网络安全应急处置预案，加强关键信息基础设施的风险管理，组织开展网络安全大检查，加强通报预警、应急演练、灾难备份、数据防护等重点工作，在实践中不断完善网络安全应急机制。

第四，通过网络攻防演练提升实战能力。安全演练不仅能增强演练组织单位、参与单位和人员等对应急流程的熟悉程度，提高应急处置能力，还能检查各个单位对突发事件所需应急队伍、物资、装备、技术等方面的准备情况，发现应急预案中存在的问题。

第五，加强网络安全人才队伍培养。首先，大力培养网络安全技术人才。其次，加强网络安全基础理论学习，聚焦云计算、物联网、大数据等新技术发展，对相关人员定期进行技术更新培训。最后，加大网络安全保护宣传力度，普及网络安全基本知识和技能。

 二、“主机安全”是保护关键信息基础设施的最后一道防线

主机作为IT基础设施核心组成部分，其稳定、安全地运行是业务正常运转的前提保障。一方面，由于主机上运行着各种各样的业务，会存在着各类漏洞及安全问题。另一方面，主机上承载的数据和服务价值巨大，因而成为黑客最喜欢的攻击目标。所以，以主机安全为核心IT关键基础设施的安全建设，目前已刻不容缓。主机安全与否，将关系到云计算、5G等新基建能否顺利、安全地推进。

攻击方从突破边界到攻陷靶标，主机安全是防御对抗最后一道防线，如何从主机层面减少资产“暴露面”，包括暴露面动态监测、常态化自评估、实时加固等，是减少攻击前提条件。此外，强“区域控制”，包括资产探测、安全加固、事件取证、病毒木马查杀、漏洞检测修补、异常监控、深度检测等，这将关系安全最后一道防线是否可靠。

1、“摸清家底”，减少主机资产的暴露面

资产是安全防护前提，安全人员只有知道自己要保护什么，才有可能把安全做好。在实际对抗中，“摸清家底”是减少资产暴露面关键。以主机资产为例，要能做到以下几点：

①全自动化的资产梳理。实时同步最新资产，减轻安全人员复杂的管理操作。

②让保护对象清晰可见。通过超细粒度识别，外到操作系统，中到应用框架，小到代码组件都能精准发现。

③安全不再落后于运维。部署青藤产品之后，安全部门手里的资产信息是整个公司最全和最准确的。

④尽量减少不必要资产。非业务需要、可有可无、归属不明确、废弃老旧资产等认真梳理及处理。

_{切片式的资产层次}

应用场景示例：新漏洞出现时快速定位受影响的资产

当新漏洞爆发时，青藤资产清点可快速定位受影响的资产。比如当WordPress爆发出新漏洞时，可能既没有漏洞POC也没有漏洞编号。在这种情况下如何快速定位受影响资产呢？通过青藤资产清点可快速查找WordPress资产分布在哪些业务组件里，这些业务组件是谁负责的，就能知道这个漏洞影响范围，也能迅速进行处置。

2、“认清风险”，提高攻击方的攻击门槛

在实际对抗中，守方最重要事就是比攻方更快、更准发现自身环境中潜在风险，通过快速定位、解决问题，就能提高攻击门槛，有效缩减90%攻击面。青藤的风险发现，能够提供详细的资产信息、风险信息以供分析和响应，能提供以下三大核心价值：

①准确的风险识别，白盒视角的风险发现比黑盒更准确。

基于Agent的漏洞扫描，在准确性上拥有天然优势。传统漏扫产品对资产覆盖的深度和广度不足，导致检测准确率不高。

②极大提升扫描效率，在复杂环境下依然能达到极高的效率。

传统漏扫产品效率低，而基于Agent方式可快速完成全部扫描。因此，一旦出现新的漏洞可在在很短时间内完成检测工作。

③自动关联资产数据，定位相关负责人以及属于何种业务。

在查到某机器上存在某个漏洞之后，可迅速知道谁负责这台机器。

应用场景示例：高危漏洞的补丁识别和关联

当一个漏洞被精准定位后，青藤风险发现产品能够关联分析这个漏洞相关的补丁。例如，风险发现产品通过CVE编号确认所有资产中有13台机器上存在Shellshock漏洞。青藤产品不仅提供详细补丁情况，还能够检测补丁修复后是否会影响其它业务。青藤通过识别应用，加载SO和进程本身确认是否被其它业务组件调用，来判断补丁修复是否会影响其它业务。因此，在高危漏洞爆发后，青藤产品能快速帮助客户进行补丁识别和关联，并确认打补丁后是否存在风险等。

_{高危漏洞的补丁识别与关联}

3、“持续监控”，及时检测响应攻击行为

当前安全攻防对抗日趋激烈，单纯指望通过防范和阻止的策略已行不通，必须更加注重检测与响应。企业组织要在已遭受攻击的假定前提下，构建集防御、检测、响应和预防于一体的全新安全防护体系。

青藤入侵检测，重新定义了检测引擎，通过生成很多内在指标，并且对这些指标进行持续的监控和分析，那无论黑客使用了什么漏洞、工具和方法，都会引起这些指标的变化从而被检测出来。

①实时发现失陷主机：检测“成功的入侵”，抓住重点，提高效率

相比传统IDS，青藤产品报警准确率高，能够让安全的人抓住重点，解决最核心的问题。

②检测未知手段的入侵：通过关系，行为特征透过表象抓住本质

以业务关系为例，一旦黑客入侵就会破坏这些关系，比如A到B之间从来没有连接，但是黑客在内网可能就从A连接到B，这一点就能暴露这个黑客。

③快速的应急响应能力：能够快速收集数据和实时调查，并进行有效处置

通过Agent从机器中获取数据，然后进行持续分析处理数据，将响应时间缩短到最小。