如果把信息系統(tǒng)比作一個(gè)別墅，那么漏洞就好像墻上的裂縫，知道這個(gè)裂縫的人，就能鉆進(jìn)去偷東西搞破壞，不是別墅的主人勝似別墅的主人。

一位業(yè)內(nèi)人士曾告訴雷峰網(wǎng)“行業(yè)內(nèi)出的漏洞80%是補(bǔ)不了，因?yàn)槁┒刺嗔烁狙a(bǔ)不過來?！?/p>

在網(wǎng)絡(luò)安全中，漏洞、漏洞利用和威脅之間存在差異。要先防患于未然，理清高、中、低危漏洞，企業(yè)才能避免更大的損失。

很多企業(yè)信息化管理人員花了大量的時(shí)間打補(bǔ)丁，但是漏洞永遠(yuǎn)補(bǔ)不完。這也是讓南京公路發(fā)展集團(tuán)信息中心副主任陳慶頭疼的問題，交通行業(yè)在安全人員資源配置上和金融行業(yè)相比更是存在不足。 

要破除漏洞魔咒，就要剖析漏洞的本質(zhì)，只有能夠被利用的漏洞才能夠?qū)ζ髽I(yè)帶來實(shí)質(zhì)性的威脅。

“市場(chǎng)上眾多的漏洞管理方案讓很多客戶忘記‘修復(fù)漏洞’的本質(zhì)，是使得漏洞無法在被惡意利用，失去利用價(jià)值?！鼻嗵僭瓢踩髁慨a(chǎn)品事業(yè)部總經(jīng)理焦東輝談到。

近日，以“漏洞無效·安全有道”為主題的“青藤云幕·漏洞無效化新品發(fā)布會(huì)”上，雷峰網(wǎng)就青藤云幕在交通領(lǐng)域的應(yīng)用情況以及產(chǎn)品效果與南京公路發(fā)展集團(tuán)信息中心副主任陳慶進(jìn)行了深入的交流。

一、理念：網(wǎng)絡(luò)安全領(lǐng)域“100-1=0”

在陳慶看來網(wǎng)絡(luò)安全領(lǐng)域，100減1并不等于99，而是0。 

在行業(yè)內(nèi)大家都有一個(gè)共識(shí)，就是網(wǎng)絡(luò)安全運(yùn)維難做，因?yàn)楹诳凸?00次，只要有一次成功他就勝利了，而作為網(wǎng)絡(luò)安全運(yùn)維人員，防守住99次的攻擊，只要有一次失誤，那就等于白干。

“網(wǎng)絡(luò)安全已經(jīng)提升到和生產(chǎn)安全一樣的高度，”陳慶如是說。在公路集團(tuán)，除了生產(chǎn)安全是考核的對(duì)象，網(wǎng)絡(luò)安全也成為考核的重要內(nèi)容。

網(wǎng)絡(luò)安全是一個(gè)投入很難見效益的項(xiàng)目，這也導(dǎo)致很多企業(yè)不重視或者投入少。在一些企業(yè)看來，每年在安全上的投入如此多，卻看不見任何收益，也沒有被攻擊，殊不知沒有問題就是最大安全和收益。 

在信息化安全建設(shè)的第一個(gè)階段是知道但不重視，比較被動(dòng)，用一些免費(fèi)的殺毒軟件；第二個(gè)階段是意識(shí)到重要，逐步購買一些網(wǎng)絡(luò)安全產(chǎn)品、正版的軟件；第三個(gè)階段就是有法可依了，《網(wǎng)絡(luò)安全法》相關(guān)的法律頒布把網(wǎng)絡(luò)安全提升到國家層面。陳慶告訴雷峰網(wǎng)，公路信息化安全的建設(shè)，也逐步按照規(guī)定開展了網(wǎng)絡(luò)安全相關(guān)的一些標(biāo)準(zhǔn)化建設(shè)，進(jìn)行相關(guān)的費(fèi)用投入、人員的配置。

陳慶于2014年從金融行業(yè)加入交通行業(yè)，就職于到南京公路發(fā)展集團(tuán)負(fù)責(zé)信息化建設(shè)，著手從0到1搭建公路集團(tuán)交通信息化規(guī)劃建設(shè)、網(wǎng)絡(luò)安全等方面的工作。

在陳慶的主導(dǎo)下南京公路集團(tuán)高速公路信息化建設(shè)，完成全國首個(gè)信創(chuàng)收費(fèi)站，《全國產(chǎn)化高速公路收費(fèi)平臺(tái)解決方案》成功入選省工信廳、省委網(wǎng)信辦、省黨信辦信創(chuàng)優(yōu)秀解決方案，另外還有智慧高速移動(dòng)支付系統(tǒng)全面支持?jǐn)?shù)字人民幣、主持開發(fā)建設(shè)智慧高速異常事件檢測(cè)系統(tǒng)項(xiàng)目。

交通行業(yè)經(jīng)常會(huì)受到國內(nèi)外的攻擊，南京公路發(fā)展集團(tuán)對(duì)于安全的需求一方面是，對(duì)內(nèi)能夠理清資產(chǎn)和漏洞，及時(shí)發(fā)現(xiàn)問題自己內(nèi)部解決安全問題；另一方面是對(duì)外能夠滿足合規(guī)需求的同時(shí)減少漏洞被利用的風(fēng)險(xiǎn)。

另外國有企業(yè)的信息化安全建設(shè)已經(jīng)實(shí)行責(zé)任制。這場(chǎng)關(guān)于網(wǎng)絡(luò)安全建設(shè)的大仗已經(jīng)到了非打不可的程度。

二、選擇：聚焦細(xì)分安全領(lǐng)域前列的廠家

智慧交通領(lǐng)域面臨的網(wǎng)絡(luò)環(huán)境復(fù)雜、設(shè)備種類多、管理平臺(tái)多等安全挑戰(zhàn)，是包裹在各種隱藏漏洞上的“外衣”。

在加入南京公路發(fā)展集團(tuán)后開展信息化系統(tǒng)和網(wǎng)絡(luò)架構(gòu)的調(diào)研，發(fā)現(xiàn)辦公網(wǎng)絡(luò)信息化和網(wǎng)絡(luò)安全方面的建設(shè)還亟待加強(qiáng)?！标悜c對(duì)雷峰網(wǎng)(公眾號(hào)：雷峰網(wǎng))如是說。

“公路行業(yè)最多的問題就是各類終端設(shè)備接入，而接口并沒有有效的網(wǎng)絡(luò)安全防護(hù)，一些釣魚郵件、勒索病毒很容易入侵，導(dǎo)致數(shù)據(jù)被鎖定。”他發(fā)現(xiàn)公司下面的三個(gè)分段都管轄著不同的收費(fèi)站，都有獨(dú)立的外網(wǎng)接入，而且沒有進(jìn)行任何防控管理。

之后基于在金融行業(yè)積累的多年信息化建設(shè)以及網(wǎng)絡(luò)安全運(yùn)維經(jīng)驗(yàn)，陳慶進(jìn)行了基于網(wǎng)絡(luò)安全方面的改革，統(tǒng)一外網(wǎng)出口集中管理，同時(shí)在統(tǒng)一外網(wǎng)入口加了下一代防火墻、上網(wǎng)行為管理、實(shí)名制認(rèn)證、強(qiáng)制安裝網(wǎng)絡(luò)版殺毒軟件、封堵端口配置等措施，確保辦公網(wǎng)絡(luò)的安全。

眾所周知，金融行業(yè)信息化程度高，業(yè)務(wù)系統(tǒng)數(shù)據(jù)集中度高、資金流轉(zhuǎn)數(shù)目巨大，金融網(wǎng)絡(luò)安全事件甚至可能引發(fā)系統(tǒng)性金融風(fēng)險(xiǎn)，可謂關(guān)乎國計(jì)民生。因此，金融網(wǎng)絡(luò)安全具有更高更嚴(yán)的監(jiān)管合規(guī)要求，運(yùn)營單位重視程度也相對(duì)較高，金融網(wǎng)絡(luò)安全發(fā)展進(jìn)而較其他行業(yè)整體處于領(lǐng)先水平。

也正是金融行業(yè)的從業(yè)經(jīng)歷，讓他了解了青藤的主機(jī)防護(hù)產(chǎn)品。在金融行業(yè)，青藤的云主機(jī)安全防護(hù)平臺(tái)部署非常多。而陳慶在交通行業(yè)引入云主機(jī)防護(hù)是省里的先例。

陳慶此前就做過調(diào)研，在云主機(jī)防護(hù)領(lǐng)域青藤是走在前列的，而他選擇廠商標(biāo)準(zhǔn)的一方面就是在細(xì)分領(lǐng)域一定要做的很好。

青藤萬相·主機(jī)自適應(yīng)安全平臺(tái)，采?自適應(yīng)安全架構(gòu)，有效解決傳統(tǒng)專注防御手段的被動(dòng)處境，為系統(tǒng)添加強(qiáng)大的實(shí)時(shí)監(jiān)控和響應(yīng)能?，幫助企業(yè)有效預(yù)測(cè)風(fēng)險(xiǎn)，精準(zhǔn)感知威脅，提升響應(yīng)效率，保障企業(yè)安全的最后?公?。

陳慶表示，青藤的安全產(chǎn)品可以看到攻擊源從而進(jìn)行有效的封堵，比如可以設(shè)置一個(gè)策略，只要攻擊超過三次就認(rèn)為可疑，自動(dòng)斷掉訪問，大大減少了暴力破解的問題。

對(duì)于高速公路管理運(yùn)營公司來說，選擇網(wǎng)絡(luò)安全服務(wù)企業(yè)，實(shí)力是一方面的考量因素。另一方面還要考慮系統(tǒng)本身的便捷性、實(shí)用性。

• 第一，安全系統(tǒng)要對(duì)公路本身的業(yè)務(wù)系統(tǒng)和應(yīng)用面影響最小，青藤的產(chǎn)品在測(cè)試當(dāng)中對(duì)于服務(wù)器的性能和消耗的資源影響是最小的，因?yàn)楣废到y(tǒng)是24小時(shí)運(yùn)營，一旦影響服務(wù)器運(yùn)行，就會(huì)影響收入造成高速擁堵；

• 第二，產(chǎn)品是否便捷，比如移動(dòng)端的展示分析日志，生成報(bào)表進(jìn)行推送；

• 第三，就是能夠提供咨詢服務(wù)，比如對(duì)于整個(gè)網(wǎng)絡(luò)防護(hù)以及人員安排給出合理化的建議；

• 第四，滿足一些定制化的開發(fā)。

陳慶補(bǔ)充說，定制化開發(fā)不是非常個(gè)性化，而是基于整個(gè)行業(yè)通用的問題提出建議進(jìn)行開發(fā)，比如高速公路應(yīng)急指揮調(diào)度視頻監(jiān)控的需求，防止黑客篡改大屏信息而造成不良意識(shí)形態(tài)的問題，這樣的需求對(duì)于有大屏的單位來說是共性需求，比如醫(yī)院、公交車運(yùn)營等單位都有此類需求。

三、修復(fù)漏洞的本質(zhì)是讓“漏洞無效化”

軟件或系統(tǒng)是不可能做到100%沒有漏洞。

當(dāng)前智慧交通面臨四大風(fēng)險(xiǎn)：一是，鏈路存在的隱患，主要由于管理人員在管理中的疏忽造成的；二是，端口沒有做封閉處理；三是，系統(tǒng)需要連接Internet，產(chǎn)生安全漏洞；四是，應(yīng)用軟件本身存在安全漏洞。 

青藤NPatch首先可以解決老舊系統(tǒng)補(bǔ)丁修復(fù)難題，對(duì)無法修復(fù)的漏洞進(jìn)行智能化分析，針對(duì)性屏蔽老舊系統(tǒng)漏洞；其次規(guī)避漏洞修復(fù)期風(fēng)險(xiǎn)，在最短時(shí)間內(nèi)建立屏蔽措施，規(guī)避因長周期內(nèi)打補(bǔ)丁修復(fù)的空窗期風(fēng)險(xiǎn)；最后，防御漏洞利用型勒索病毒擴(kuò)散，攔截對(duì)漏洞的掃描和攻擊利用行為，阻斷橫向擴(kuò)散途徑；構(gòu)建勒索病毒立體防護(hù)模型，降低被勒索風(fēng)險(xiǎn)。

當(dāng)然目前企業(yè)網(wǎng)絡(luò)安全建設(shè)還有很大一部分原因是合規(guī)驅(qū)動(dòng)，NPatch也可以幫助用戶滿足等保要求，降低因漏洞問題而被通報(bào)的風(fēng)險(xiǎn)。

陳慶告訴雷峰網(wǎng)，在大型攻防演練的時(shí)候，一些新系統(tǒng)還沒有進(jìn)行漏洞掃描，而且現(xiàn)在各種插件也有安全漏洞，另外因?yàn)檐浖姹締栴}的一些漏洞也經(jīng)常會(huì)暴露出來。而青藤NPatch能夠迅速地、精準(zhǔn)地檢測(cè)到網(wǎng)絡(luò)流量中針對(duì)漏洞的一些探測(cè)和攻擊利用行為，并及時(shí)進(jìn)行阻斷處理，讓漏洞無效，從而保障系統(tǒng)安全。

回顧2021年Apache Log4j漏洞的影響至今仍然持續(xù)，專家認(rèn)為影響可能更加持久，我們必須為“與漏洞共存”這個(gè)漫長的過程做好所有的準(zhǔn)備。

漏洞是老問題，但必須要看清本質(zhì)，不斷推陳出新，用新思路、新方法、新技術(shù)來解決問題，才能實(shí)現(xiàn)業(yè)務(wù)發(fā)展的可持續(xù)性。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。