黄牛抢口罩的背后 常州如何通过“1+N”模式为公众提供安全感？

安全是什么？对于网络安全从业者来说，是没有黑客攻击、病毒入侵；而对于疫情时期的普通大众来说，安全就是随身必备的口罩。

2020年2月，全国各地出现新冠疫情，无论是各大电商平台，还是线下药店，都是“一罩难求”。就在此时，常州市政府在互联网公众服务平台“我的常州”上线了“口罩预约”的功能模块，以便解决常州市民们的燃眉之急。

“当时市民对口罩的需求非常迫切，本着便民优先的原则，我们来不及走完所有的安全流程，仅通过普通安全测试后就上线了。”常州市大数据中心电子政务管理处处长周风波回忆道，“上线后，该功能使用非常火爆，访问量激增，各类DDoS攻击、黄牛党刷票抢号也接踵而来，几乎让我们措手不及，更给平台的正常服务带来了极大挑战。”

作为常州大数据中心的网络安全合作伙伴，奇安信第一时间提供了全流量威胁感知设备、安全事件预处置服务等，加固了“我的常州”安全性，同时还通过技术防护手段彻底解决了黄牛抢口罩的问题，确保每个口罩都能送到市民手中。

“如果没有平时对网络安全建设的持续重视，很难想象，遇到这种突发情况时该如何应对。”周风波表示。

三个“第一时间” 对安全隐患零容忍

“网络安全问题，必须第一时间处理，一刻也不能等。”谈到电子政务的网络安全建设，周风波将实时、高效放在了首要位置。

众所周知，电子政务平台承载着政府核心业务、敏感数据、公众服务等内容，一旦被攻击，就可能对社会秩序、公众利益、政府形象等造成严重影响，危害性不可估量。然而近年来，全球针对政府机构的网络攻击层出不穷，常见攻击类型有数据泄露、勒索软件、DDoS攻击、APT攻击、钓鱼攻击以及网页篡改等。

在国外，2020年12月，俄黑客被指入侵美政府多个机构，超九成500强公司受影响;2020年6月，美国200多个公检法部门泄露296GB数据文件；2019年5月，俄罗斯政府网站泄露225万用户隐私；2019年3月，美国联邦应急管理局泄露230万灾难幸存者个人信息。在国内，2018年5月，重庆涉外黑客入侵700余个政府机关网站挂黑链……

常州，一座有着3200多年历史的文化古城，经济总量方面一直稳居全国前30位。在信息化方面，常州市电子政务大数据共享交换平台于2018年立项启动，2019年建设完毕，目前平台承载着500万自然人的数据，加上法人、空间、地理、35家单位等，总数据量超过16亿条。这些数据属于高价值、高敏感性信息，一旦泄露，将对企业和公民造成很大的影响。

除了数据泄露的风险之外，挖矿木马肆虐也是常州电子政务面临的难题。“捕捉挖矿木马也是一场警察抓小偷的斗智斗勇。”周风波分享了一个故事，“挖矿木马对显卡要求高，也会占用CPU运算资源，因此，政务云平台对CPU利用率有预警机制。但是有些木马学坏了，卡着阈值设置值，例如政务云的机制是资源使用量超过95%触发报警，那么这些木马将CPU资源使用量上限设置在85%以下，极其隐蔽，如果不通过专业的安全管理平台，就无法发现他们，导致政务硬件资源被挖矿者滥用。” 

“考虑到电子政务的很多业务系统和数据都和国计民生紧密相关，我们在安全上一直在强调三个‘第一时间’：政务网里的安全风险，要第一时间知道；对于新型的APT攻击检测和应对方案，要第一时间通报下去；一旦有安全事件发生，安全人员要第一时间进行响应和处置。”周风波谈到。

首创“1+N”模式实现市区联动  补齐安全短板

“聪者听于无声,明者见于未形。”2016年4月19日，习近平总书记在网络安全和信息化工作座谈会上指出，感知网络安全态势是最基本、最基础的工作，要全面加强网络安全检查，摸清家底，认清风险，找出漏洞，通报结果，督促整改。

常州在态势感知和安全管理建设方面，不仅完成了省级电子政务管理部门的要求，还在2018年底，与国内领先的网络安全公司奇安信合作，通过部署态势感知与安全运营平台(NGSOC)，开创性实现了“市+区”联动的“1+N”安全管理模式，将态势感知能力覆盖到区级单位，从多个层面补齐了安全短板，强化整体平台的安全性。

首先，“1+N”模式实现的市区联动，让分布在五个区、40多个委办局的安全能力真正实现了拉齐。

“尽管常州下辖的区数量不多，但发展差异很大。例如武进区经济能力很强，信息化程度高，也有专业的安全团队，其他很多区的信息化水平和安全建设就比较薄弱，没有统筹考虑，只有简单的防病毒等终端安全措施。假如不采取‘1+N’模式，一旦常州发生安全事件时，对威胁的发现和响应就会很滞后。同时在区一级单独建安全项目比较难操作，成本也较高。”

图：功能架构

通过“1+N”的模式部署奇安信NGSOC，很好解决了这些难题。将各区安全响应能力拉齐，弥合和各区之间安全水平参差不齐的差距。尤其是NGSOC具有很强的兼容性，能够和运维软件实现兼容，进而对全市政务网安全态势了如指掌。

其次，市区联动的态势感知方案，强化了威胁分析和溯源功能，为定责提供充分依据。周风波回忆，在过去，当出现安全事故的时候，找不到具体的责任品牌，很多安全事件、很多安全设备都有关联，很难定责。部署了NGSOC之后，通过溯源分析可以及时有效定位问题发生点。

值得一提的是，NGSOC在攻击回溯和调查取证方面具有领先业界的创新。例如奇安信在业界率先提出了冷热数据的概念，对于最近时间发生的高频查询数据，通过热数据模式存储，整体的数据搜索方面会支持百亿级的数据秒级检索，业界遥遥领先。而在调查取证方面，通过人、数据和工具组成的一个三维的协同联动，可以深入、多角度研判威胁，并还原整个威胁事件。

第三，“1+N”模式的市区无缝联动，大大提升了重大安全事件的响应速度。常州市电子政务中心通过NGSOC安全管理平台，及时向各级单位下发安全风险通告函，包括相应问题的解决方案。

周风波举了一个例子，在钟楼区某终端对MSSQL数据库服务器执行了恶意代码，将会导致获取到服务器权限，导致数据遭到破坏、更改和泄露。通过NGSOC安全管理平台，安全运营人员及时下发了安全风险告知函，修复了数据库的恶意代码，将安全隐患消弭于无形。

最后是，NGSOC和奇安信天擎的联动，使得高危漏洞的修复效率获得显著提升。据周风波回忆，在项目实施过程中，通过NGSOC挖掘出的高危漏洞有1500多个，分散在各区各地，如果用传统的修复手段，无疑是一个浩大的工程。通过天擎终端安全管理系统，就可以统一管理，统一升级，统一打补丁，快速完成漏洞修复。加上奇安信驻场人员提供的专业安全运营服务，此类问题处理比预期快了很多。

图：外部威胁态势

此外，NGSOC的可视化展示能力，也让常州电子政务客户记忆深刻。NGSOC可提供11个展示内网态势感知的大屏视图：全网脆弱性态势、资产态势、威胁预警态势、攻击者态势、综合安全态势、安全运营态势、外部威胁态势、内网威胁态势、资产风险态势视、业务资产外连态势、攻防演练态势，分别从不同的安全运营角度对网络安全态势进行呈现。如此丰富的维度，让客户对从市到区的电子政务外网安全态势具有全局把控。

图：内网威胁情况

实战攻防验证安全水平 未来有望向全省推广

“没有网络安全就没有国家安全,就没有经济社会稳定运行,广大人民群众利益也难以得到保障。”政府的核心业务平台需要平稳运行，企业和公众的重要数据需要多重防护，在以NGSOC为主的安全管理方案助力之下，常州电子政务的网络安全水平处于全省领先地位。

据介绍，在2020年针对关键信息基础设施进行实战攻防演练的工作中，NGSOC安全管理平台作为防守方，结合驻场安全运营的人员，成功监测及防护住了各种攻击行为，发现并处理了3000余条高危告警。

而且，凭借NGSOC优异的安全能力表现，常州电子政务平台在2019年等保1.0的三级标准得到89.77分，2020年等保2.0的标准89.38分，真正实现了花小钱办大事的效果。

对于未来，周风波表示，常州市“1+N”市区联动模式有望向江苏省全省推广，为建立“省-市-区”三级联动安全管理平台，提供很好的示范样板。