ISC 2017：应急响应从事后走向事前

　　近年来，随着互联网的快速发展，网络安全威胁和风险也日益突出，对国家安全、社会稳定和人民群众切身利益带来严重影响。9月12日，主题为“万物皆变，人是安全的尺度”的第五届中国互联网安全大会(ISC2017)在京召开，第二天下午举办的主题应急响应论坛引起了业内人士的普遍关注。

　　论坛主题为“政企网络安全应急响应的创新与实践”，邀请到国家互联网应急中心运行部主任严寒冰、FIRST董事，日本JPCERT / CC副主任Koichiro Sparky Komiyama、中国信息安全测评中心资质评估处处长位华、贵阳市大数据发展管理委员会主任唐振江、国家工业信息安全发展研究中心应急响应处处长张洪、石化盈科云中心及安全部总监李超、360企业安全集团观星实验室总监龚玉山等嘉宾围绕应急响应前移、网络攻防演练、安全大数据等话题展开讨论。

　　应急响应从事后走向事前

　　面对日益严峻的网络安全形势，当前的应急响应工作事后处理、容易错过最佳处理时间的弊端也更加凸显。更多的应急响应组织尝试将应急响应工作前移，以应对日益严峻的安全形势。前移的应急响应大部分工作应该是对各种可能发生的安全事件制定应急预案，并通过多种形式的应急演练，不断提高应急预案的实际可操作性。

　　具有大数据威胁情报资源的应急响应组织是实现应急响应工作前移的必要条件。通过大数据威胁情报可以做到对安全事件的提前感知，那么应急响应组织则可提前准备如下的工作：基于精准的威胁情报建立安全保障措施;建立应急响应预案，并进行对应的应急演练;为安全事件应急响应准备足够的资源和人员;建立支持事件响应活动管理体系。

　　通过上述工作能够帮助客户更加从容的面对各种安全事件，做到了应急响应工作的前移，同时也解决了应急响应组织面对大规模突发安全事件，人员不足的问题。所以说安全应急响应工作的前移，可能是应对未来大规模网络安全突发事件的最佳解决方案。

　　实战攻防是提升应急响应能力的关键

　　现实中，实战演练是提升军队战斗力的不二法宝，这一法则在网络安全中同样适用。贵阳市大数据发展管理委员会唐振江主任在论坛中提出了“应急响应前移的必要性”这一论点，他认为大数据网络攻防演练是提升应急响应能力的关键所在。

　　唐振江指出，贵阳市政府希望通过攻防演练这个活动找到隐藏在网络空间的应急管理、风险防控等问题。方便于安全从业者从风险管理趋势，风险管理分析，风险管理目的进行再梳理，再认识，再提高，从而真正做好风险管理工作。

　　据了解，贵阳已经举办过多次针对城市重点网络安全区域的网络攻防战，整体上看起到了不错的效果。唐振江认为，找出并解决问题最好的方法，就是真刀真枪的进行攻防演练。针对攻防案例进行分析，评估其影响，以及可能造成的安全隐患。因此，他得出一个结论，应急相应工作要集中前移到事前，在事前进行充分准备，完善安全防护制定应急预案，并定期演练，24小时监测预警，24小时监测预警，培养应急响应人才，组建应急队伍。这也从另一个角度印证了本次大会主题“人是安全的尺度”。

　　安全大数据在应急响应中扮演着重要角色

　　大数据现在已经在各行各业的应用场景中凸显出重要性，而在网络安全中，大数据同样扮演着重要的角色。对于安全厂商来说，具有数据驱动力的企业在行业中具备更强的竞争力;对于企业来说，只有具备多维度的安全大数据，才能让应急响应不再是一句空话。

　　360企业安全集团观星实验室总监龚玉山在演讲中谈到，应急响应要分为两部分来看，分别是外部威胁和内部威胁，外部威胁就是新的威胁环境，APT攻击，各种免杀型木马;内部威胁往往来源于企业内部设备存在安全隐患、内部数据泄露等复杂情况。对于企业曾经和现在受到的安全威胁，需要有多维度的数据来体现，应急响应事从事前到事后的延续性工作，如果没有数据支撑，将极大增加安全企业对事件的判断难度。

　　只有数据和人的结合，才能最大程度上发挥应急响应的功效。安全数据会说话，能提供很多隐蔽而关键的信息，而人作为安全的尺度，使用得当的话将不再是安全的隐患，反而能极大增加网络安全的上限。