信息化觀察網(wǎng)

面對(duì)新冠肺炎的巨大危機(jī)，迄今為止擁有絕對(duì)流量、話語權(quán)和數(shù)據(jù)規(guī)模的互聯(lián)網(wǎng)和2C科技企業(yè)似乎并未（能）充分發(fā)揮價(jià)值。事實(shí)表明，面對(duì)緊急公共安全事件，靠2C流量、影響力、自組織、自媒體和大數(shù)據(jù)是遠(yuǎn)遠(yuǎn)不夠的，高效的公共安全事件管理，離不開風(fēng)險(xiǎn)治理軸心——高效的數(shù)字化應(yīng)急響應(yīng)中心體系。

急控失能

作為安全媒體，安全牛之前報(bào)道過企業(yè)安全運(yùn)維中心“SOC已經(jīng)進(jìn)入疲勞期和更年期，亟需變革”，SOC的失能不僅意味著大筆網(wǎng)絡(luò)安全投資的失效，而且在“黑天鵝“事件中會(huì)讓企業(yè)蒙受巨大的經(jīng)濟(jì)損失。與wWannaCcry病毒讓全球大量SOC顏面掃地類似，新型肺炎也暴露了公眾應(yīng)急響應(yīng)和指揮系統(tǒng)（例如CDC之類的EOC應(yīng)急響應(yīng)管理控制中心）普遍的種種不足存在的一些問題。

在新型肺炎開始爆發(fā)之前，公共安全領(lǐng)域的焦點(diǎn)是澳洲大火，吃瓜群眾最津津樂道的就是澳洲政府在澳洲大火應(yīng)急響應(yīng)和指揮中表現(xiàn)出的各種低效率、誤判和官僚。然而誰也沒想到一場(chǎng)肺炎成了試金石，我們的表現(xiàn)，似乎比澳洲更糟糕：疫情瞞報(bào)遲報(bào)、信息孤島、物資供應(yīng)紊亂、信息不對(duì)稱、公眾和企業(yè)獲取的可行動(dòng)疫情信息缺乏一致性和準(zhǔn)確性、跨部門協(xié)同遲滯、社會(huì)經(jīng)濟(jì)很多領(lǐng)域難以獲取與疫情相關(guān)的實(shí)時(shí)準(zhǔn)確的可行動(dòng)協(xié)同信息…

過去一年中，安全圈最熱的話題莫過于從被動(dòng)的合規(guī)驅(qū)動(dòng)到主動(dòng)的能力驅(qū)動(dòng)，而所謂能力驅(qū)動(dòng)，說白了就是提高安全工具和安全管理（在風(fēng)險(xiǎn)管理的大框架下）的有效性，例如應(yīng)對(duì)“護(hù)網(wǎng)行動(dòng)”、突發(fā)重大“灰犀牛”“黑天鵝”這樣的真刀真槍的事件時(shí)，SOC（含CSIRT）安全運(yùn)營中心的響應(yīng)和處置能力。而面向公共安全和災(zāi)難救援的EOC（應(yīng)急管理控制中心），也面臨幾乎同樣的問題。

舉個(gè)例子：當(dāng)下的疫情中，除了各互聯(lián)網(wǎng)公司千篇一律的疫情地圖外（承載的功能和信息非常有限），公眾甚至有關(guān)管理部門都沒有一個(gè)肉眼可見的，、與跨部門災(zāi)難應(yīng)急綜合協(xié)調(diào)指揮系統(tǒng)（MACC）直聯(lián)的數(shù)據(jù)分析和分享渠道，盡管類似EOC（應(yīng)急響應(yīng)中心）、DOC（部門級(jí)運(yùn)營中心）和MOC（包含CDC疾控中心）在多部門多級(jí)別政府機(jī)構(gòu)中存在，但是顯然，這些系統(tǒng)與MACC（或者上級(jí)疾控中心）沒有形成有效協(xié)同，也并未發(fā)揮預(yù)期的效力。例如此次新型冠狀病毒疫情中，2003年SARS之后國家重金打造的四級(jí)疾控中心體系和覆蓋全國直達(dá)鄉(xiāng)鎮(zhèn)衛(wèi)生院的傳染病與突發(fā)公共衛(wèi)生事件監(jiān)測(cè)信息系統(tǒng)（簡稱網(wǎng)絡(luò)直報(bào)系統(tǒng)）并未發(fā)揮出預(yù)期的作用，最后變成了“養(yǎng)兵千日、用兵現(xiàn)抓”。

基于web技術(shù)的開放式EOC跨平臺(tái)多終端信息共享模式

公眾和企業(yè)獲得疫情信息和資源的渠道，更多是來自社交媒體、朋友圈、媒體公眾號(hào)和一些碎片化的隨機(jī)渠道。這些信息的準(zhǔn)確性、及時(shí)性、一致性和完整性并無保障，同時(shí)也滋生了謠言、詐騙和和不必要的恐慌，進(jìn)一步增加了災(zāi)難響應(yīng)的資源管理和協(xié)調(diào)難度（例如捐助的防護(hù)物資分配紊亂、一線醫(yī)療機(jī)構(gòu)物資供應(yīng)短缺、大量企業(yè)生產(chǎn)經(jīng)營活動(dòng)因“一刀切”的粗粒度管理而蒙受額外損失）。

傳統(tǒng)EOC與SOC的共痛點(diǎn)：

1. 低質(zhì)量警報(bào)和情報(bào)導(dǎo)致的告警疏漏和告警疲勞

2. 工具和流程過于碎片化，自動(dòng)化程度低，事件檢測(cè)和響應(yīng)周期過長

3. 數(shù)據(jù)量過大導(dǎo)致的數(shù)據(jù)管理成本升高、分析處理效率低下

4. 跨部門跨企業(yè)跨行業(yè)的情報(bào)分享機(jī)制不暢

5. 并非開放平臺(tái)，難以對(duì)接公共資源（第三方供應(yīng)商、自由開發(fā)志愿者、第三方應(yīng)用和數(shù)據(jù)API），導(dǎo)致EOC和SOC在開放性事件中檢測(cè)和響應(yīng)、資源管理調(diào)度與綜合指揮部署能力低下。

6. 數(shù)據(jù)透明化和可視化程度低、不能很好處理隱私和大數(shù)據(jù)分析和治理的關(guān)系

7. 人才短缺

鑒于網(wǎng)絡(luò)空間和物理空間的安全威脅的復(fù)雜性不斷增加，同時(shí)二者的技術(shù)堆棧、應(yīng)急響應(yīng)處置框架和方法又有頗多相似之處，安全牛給今后EOC和SOC建設(shè)者和決策者提幾點(diǎn)建議：

1. 決策者必須應(yīng)基于長期、前瞻和全面的策略來建設(shè)和完善EOC和SOC，提高運(yùn)營效率并支持新的業(yè)務(wù)目標(biāo)，僅僅從戰(zhàn)術(shù)上縫縫補(bǔ)補(bǔ)，刻舟求劍是行不通的，能處置非典的EOC，應(yīng)對(duì)不了新型肺炎，同理，能夠應(yīng)對(duì)新型肺炎的EOC，未必能夠應(yīng)對(duì)新時(shí)期的公共安全威脅。

2. 大型組織應(yīng)該意識(shí)到，安全分析和運(yùn)營管理的本質(zhì)是大數(shù)據(jù)應(yīng)用，這要求EOC和SOC的安全團(tuán)隊(duì)具備相當(dāng)?shù)臄?shù)據(jù)管理技能，能夠大規(guī)模構(gòu)建和運(yùn)營安全數(shù)據(jù)管道。

3. EOC和SOC需要進(jìn)行云遷移，構(gòu)建能夠跨IT架構(gòu)的預(yù)防、檢測(cè)和響應(yīng)平臺(tái)。

4. 開發(fā)和維護(hù)高效EOC的關(guān)鍵是供應(yīng)商管理，而不是閉門造車。

5. EOC建設(shè)需要關(guān)注擁有豐富SOC系統(tǒng)和行業(yè)經(jīng)驗(yàn)的供應(yīng)商，而不是缺乏2B基因的互聯(lián)網(wǎng)企業(yè)。

那么在危及廣大人民群眾健康、財(cái)產(chǎn)的重大公共安全事件中，一個(gè)應(yīng)急響應(yīng)指揮中心（EOC）應(yīng)該具備哪些功能和效能？有沒有可參考的合理框架和模型？以下，安全牛從網(wǎng)絡(luò)安全媒體的角度出發(fā)，將EOC與網(wǎng)絡(luò)安全管理運(yùn)維中心SOC（涵蓋應(yīng)急響應(yīng)中心）進(jìn)行關(guān)聯(lián)對(duì)比，以期能夠拋磚引玉，對(duì)當(dāng)下和未來的危機(jī)響應(yīng)中心EOC的建設(shè)和改進(jìn)能夠提供一些有價(jià)值的參考信息：

高效EOC與SOC的相同之處

過去一個(gè)月的事態(tài)發(fā)展幾乎完美再現(xiàn)了一個(gè)教科書級(jí)別的公共治理受挫案例。雖然新型肺炎并非網(wǎng)絡(luò)空間的勒索軟件或者蠕蟲病毒，但面對(duì)新的“未知威脅”，在預(yù)防、檢測(cè)、分析和響應(yīng)幾個(gè)關(guān)鍵環(huán)節(jié)上，二者戰(zhàn)術(shù)、技術(shù)堆棧與策略上有著極高的相似度。因此，對(duì)網(wǎng)絡(luò)安全領(lǐng)域和公共事業(yè)管理部門來說，EOC完全可以借鑒SOC的經(jīng)驗(yàn)，我們必須盡快識(shí)別并吸取教訓(xùn)。以下是下一代SOC和EOC的共同訴求：

• 主動(dòng)化（感知預(yù)測(cè)）

• 可視化（決策支持）

• 實(shí)時(shí)化（檢測(cè)響應(yīng)）

• 自動(dòng)化（緩解措施）

主動(dòng)化的關(guān)鍵：大數(shù)據(jù)和AI驅(qū)動(dòng)的態(tài)勢(shì)感知（Situation Awareness）

態(tài)勢(shì)感知這個(gè)專有詞匯，最初來自戰(zhàn)場(chǎng)指揮系統(tǒng)，因此并非SOC專屬，而是大多數(shù)應(yīng)急綜合管理指揮系統(tǒng)的能力訴求，重要性不言而喻。

網(wǎng)絡(luò)安全和公共安全態(tài)勢(shì)感知的共同目標(biāo)類似：從漏洞（病毒、災(zāi)害）、資產(chǎn)（基礎(chǔ)設(shè)施、數(shù)據(jù)、人員、供應(yīng)物資、等等）感知，到行為感知（病毒感染途徑和方式），到自適應(yīng)防御（自動(dòng)編排流程或者給出交通、隔離、物資調(diào)配等方面的策略規(guī)則和可行動(dòng)量化分析結(jié)果，例如防火墻規(guī)則、特權(quán)賬戶規(guī)則、資源配置、政策調(diào)整等等）和威脅預(yù)測(cè)（大數(shù)據(jù)人工智能分析）。

對(duì)于SOC來說，態(tài)勢(shì)感知的“感”可以是內(nèi)部和外部威脅情報(bào)（例如IoC），端點(diǎn)安全、防火墻、流量分析、用戶行為分析等工具產(chǎn)生的日志、告警等有價(jià)值數(shù)據(jù)，“知”則強(qiáng)調(diào)數(shù)據(jù)處理深度和可行動(dòng)分析結(jié)果。對(duì)于重大公共安全事件，政府需要一個(gè)最高等級(jí)的MACC（跨部門聯(lián)合指揮中心），關(guān)聯(lián)協(xié)調(diào)多個(gè)部門多級(jí)政府的EOC、DOC、MOC分支，協(xié)同作戰(zhàn)，最高指揮決策必須根據(jù)中央儀表盤進(jìn)行基于態(tài)勢(shì)感知的，、數(shù)據(jù)驅(qū)動(dòng)的高效決策，這就對(duì)下一代EOC和SOC提出的共同核心訴求。

在本次新冠肺炎疫情中，“態(tài)勢(shì)感知”的重要性得以凸顯。據(jù)奇安信官方微信透露，春節(jié)期間，為更好控制新型冠狀病毒疫情的傳播速度，某部委及全國多個(gè)省市的下屬機(jī)關(guān)作為此次疫情防控的重要支撐單位，第一時(shí)間向奇安信集團(tuán)發(fā)出數(shù)據(jù)分析技術(shù)的請(qǐng)求，希望利用大數(shù)據(jù)技術(shù)分析轄區(qū)內(nèi)的疫情擴(kuò)散情況，為精準(zhǔn)防控提供數(shù)據(jù)支撐。

相比其他領(lǐng)域的IT企業(yè)，網(wǎng)絡(luò)安全企業(yè)在威脅“態(tài)勢(shì)感知”和“基于大數(shù)據(jù)分析的事件響應(yīng)”方面，在技術(shù)堆棧和產(chǎn)品經(jīng)驗(yàn)有著明顯的優(yōu)勢(shì)，。例如2017年在全球范圍爆發(fā)，導(dǎo)致至少150個(gè)國家、30萬名用戶中招，造成損失達(dá)80億美元的“WwannaCcry勒索病毒”（下圖），比新冠病毒傳播速度快得多的。

網(wǎng)絡(luò)安全行業(yè)“養(yǎng)兵千日”的積蓄的能力和價(jià)值，就是為了應(yīng)對(duì)網(wǎng)絡(luò)空間“超級(jí)病毒”的爆發(fā)，而這種戰(zhàn)斗力，也完全可以轉(zhuǎn)換用于對(duì)抗現(xiàn)實(shí)中的疫情，這也是為什么疾控管理部門會(huì)第一時(shí)間求助網(wǎng)絡(luò)安全企業(yè)的原因。

除了事后的監(jiān)測(cè)和應(yīng)急響應(yīng)，大數(shù)據(jù)和人工智能未來還將在事件預(yù)測(cè)方面發(fā)揮重大作用。

下圖是加拿大人工智能公司Bluedot的人工智能疫情監(jiān)控產(chǎn)品，該公司使用自然語言處理和機(jī)器學(xué)習(xí)技術(shù)，通過全球的新聞報(bào)道、航空數(shù)據(jù)，以及動(dòng)物疾病爆發(fā)的報(bào)告進(jìn)行篩選。流行病學(xué)家可以查看自動(dòng)化分析結(jié)果，一旦確認(rèn)，該公司就會(huì)向其公共和私營部門的客戶發(fā)送警報(bào)。特別值得注意的是，早在2019年12月31日，該公司就向其公共衛(wèi)生部門客戶發(fā)出了武漢肺炎疫情爆發(fā)警報(bào)。

此外，Bluedot還在官網(wǎng)上宣稱，該公司的AI產(chǎn)品還成功在佛羅里達(dá)州塞卡病毒爆發(fā)前六個(gè)月就發(fā)出了警報(bào)。

通過數(shù)據(jù)驅(qū)動(dòng)的分析和預(yù)測(cè)，Bluedot能以超過疾病傳播的速度追蹤和傳播疫情信息，并正確預(yù)測(cè)了武漢病毒在初次出現(xiàn)后將在中國大陸以外初次出現(xiàn)的地方—曼谷，首爾，臺(tái)北，東京。

可視化管理：一切圍繞儀表盤

對(duì)于SOC來說，可視化有很多層面的含義，包括數(shù)據(jù)和身份權(quán)限在網(wǎng)絡(luò)中的“東西流向”，以及安全信息的可視化管理，例如儀表盤。對(duì)于EOC來說，最為重要的一個(gè)可視化應(yīng)用也是儀表盤——基于GIS的儀表盤，例如下面這個(gè)美國國家公共安全GIS聯(lián)盟（NAPSG）基金會(huì)為休斯頓的常規(guī)搜救任務(wù)建立的模型資源管理儀表板：

這個(gè)Web模型儀表板托管在Esri ArcGIS Online。用戶可以在模擬的“實(shí)時(shí)”資源管理儀表板環(huán)境中與地圖和數(shù)據(jù)進(jìn)行交互。交互地圖提供有關(guān)救援請(qǐng)求，、救援完成，、救援人員的狀況以及醫(yī)院和庇護(hù)所的狀況的位置和表格數(shù)據(jù)，這對(duì)于當(dāng)下的新型肺炎治理來說，有著直接的參考意義（例如有新聞報(bào)道部分因封城滯留外地的武漢人被賓館和交通部門拒絕后，由于缺乏公開統(tǒng)一的資源查詢工具，有的去了網(wǎng)吧，有的去了民宿，有的甚至滯留街頭，而出現(xiàn)發(fā)熱癥狀的，也無法根據(jù)醫(yī)院接待能力和優(yōu)先級(jí)來選擇就診）。

由于缺乏官方統(tǒng)一的EOC終端應(yīng)用，民間一些技術(shù)人員自行開發(fā)了一些查詢工具，例如在微信上快速傳播的“新型肺炎確診患者相同行程查詢工具”。隨著這些民間自行開發(fā)的工具增多，相關(guān)的安全性問題也會(huì)凸顯，例如這些無法與EOC對(duì)接的臨時(shí)工具缺少數(shù)據(jù)透明度和可信度以及必要的安全加密和個(gè)人隱私保護(hù)，而且很容易因?yàn)榛烊胍恍阂庹军c(diǎn)而產(chǎn)生新的安全威脅。

實(shí)時(shí)管理：延誤與損失成正比

SOC對(duì)高級(jí)持續(xù)攻擊的檢測(cè)和響應(yīng)周期越長，黑客病毒在系統(tǒng)內(nèi)或供應(yīng)鏈中“擴(kuò)散”的范圍越大，企業(yè)蒙受的損失越大，疾控和公共安全管理EOC也是如此。在疫情期間，民眾可以從各大社交媒體平臺(tái)等信息源頭獲取疾控中心的實(shí)時(shí)更新疫情圖，這是一個(gè)很大的進(jìn)步，但問題在于這個(gè)疫情圖的信息維度依然太少，實(shí)時(shí)性性，深度和廣度都不夠，還沒有細(xì)化到可行動(dòng)信息的粒度。

說到實(shí)時(shí)性，沒有什么是比地震預(yù)警系統(tǒng)更強(qiáng)調(diào)反應(yīng)速度的了，但是與疫情相比，野火的治理也許更為接近，下面這個(gè)示例是由國際消防長官協(xié)會(huì)（IAFC）提供的“野火狀態(tài)”儀表板。實(shí)時(shí)更新的實(shí)時(shí)儀表板提供了有關(guān)美國野火的最新信息，這些信息是按州，、燃燒的土地和原因組織的。本地和區(qū)域應(yīng)急管理辦公室可以使用該信息來監(jiān)視野火的狀況并制定應(yīng)急計(jì)劃。

這些操作儀表板使應(yīng)急管理人員和其他方可以更好地理解復(fù)雜、，近乎實(shí)時(shí)的數(shù)據(jù)源中的數(shù)據(jù)。這種實(shí)時(shí)的可視化信息展示方式使緊急情況管理人員能夠從數(shù)據(jù)中獲得見解，從而幫助他們?cè)谖C(jī)期間做出更明智的決策，采取及時(shí)精確的行動(dòng)并制定更全面的戰(zhàn)略。

下一代SOC的進(jìn)化方向（EOC可借鑒）

政府、機(jī)構(gòu)和企業(yè)EOC和SOC都處于成熟度模型初級(jí)階段向中高級(jí)階段進(jìn)化的過程中：主要變化表現(xiàn)為：

• 從工具到平臺(tái)化

• 從手工到自動(dòng)化

• 基于內(nèi)部數(shù)據(jù)到基于開放、實(shí)時(shí)的威脅情報(bào)

• 從預(yù)防到預(yù)測(cè)

• 從封閉到開放

• 從本地到云端

詳見下圖：

鑒于EOC與SOC的技術(shù)基因高度相似，都在經(jīng)歷成熟度階段的一次躍遷，安全牛相信在戰(zhàn)勝新型肺炎的戰(zhàn)役后，政府和大型企業(yè)將有更大的熱情和預(yù)算資源投入下一代智能化、數(shù)據(jù)化、平臺(tái)化的EOC和SOC的建設(shè)。

近年來，無論是SOC還是EOC，都正在成為應(yīng)對(duì)網(wǎng)絡(luò)安全和公共安全事件的主流應(yīng)對(duì)方案而進(jìn)入市場(chǎng)爆發(fā)期，根據(jù)安全?！断滦乱淮鶶OC研究報(bào)告》，2020年SOC市場(chǎng)規(guī)模將達(dá)到100億元。

總結(jié)：站在大安全角度看安全，用技術(shù)變革倒逼規(guī)則進(jìn)化

EOC和SOC，這兩個(gè)過去“八竿子打不著”的方案，注定將在大數(shù)據(jù)和人工智能時(shí)代殊途同歸，經(jīng)歷一次從合規(guī)驅(qū)動(dòng)到能力驅(qū)動(dòng)，技術(shù)堆棧和業(yè)務(wù)邏輯趨同的重大變革。而擁有豐富SOC經(jīng)驗(yàn)和理論的網(wǎng)絡(luò)安全企業(yè)，應(yīng)當(dāng)將在網(wǎng)絡(luò)攻擊物理化和公共安全事件響應(yīng)數(shù)字化的“大安全”融合時(shí)代發(fā)揮重要作用，要站在安全（Safty）角度看安全（Security），迎接新的挑戰(zhàn)和市場(chǎng)機(jī)遇。