在抗擊新冠肺炎疫情傳播中,“零號病人”、“密接”這些詞成為街頭巷尾尋常百姓茶余飯后議論的熱詞。其實人類歷史上的傳染病史,“零號病人”的故事并不傳奇、驚險、刺激,找出零號病人也不是僅憑想象與質(zhì)疑即可為。相反,這是一個漫長而艱辛的過程。
“零號病人”也被叫做“首發(fā)病例”、“標(biāo)識病例”。因為病毒的潛伏期在每個人的身體里因人而異,這個攜帶了病毒的人不一定會發(fā)病,因此還有“一號病人”的說法,意思是標(biāo)記第一個出現(xiàn)癥狀的病人。
尋找和確認“零號病人”,對病毒的溯源以及疫情的防控至關(guān)重要。首先,追蹤他不只是為控制疫情提供流行病學(xué)的指導(dǎo)意義,而是找到病原體演化的生物和基因突變根據(jù),為藥物和疫苗研發(fā)提供線索和依據(jù),指導(dǎo)人類如何與微生物以及其他生物和平共處。其次,找到了“零號病人”,還需要尋找傳播鏈條,這就回到我們熟悉的“密接”排查了。
這種在物質(zhì)世界抗擊病毒傳播行之有效的手段,對我們在虛擬數(shù)字世界追蹤溯源網(wǎng)絡(luò)病毒來源顯然是一個很好的啟發(fā)。如何讓理想照進現(xiàn)實,讓其行之有效呢?讓我們來分解一下新冠病毒追蹤溯源全過程,平移思維并解析到網(wǎng)絡(luò)空間實現(xiàn)同樣的超能力。
我們可以知道,第一位確診病人有很大的隨機性,就像網(wǎng)絡(luò)中某個電腦中毒一樣,用戶突然發(fā)現(xiàn)某個功能不能使用,反復(fù)檢查后發(fā)現(xiàn)中病毒了,也可能在例行的病毒檢查中發(fā)現(xiàn)病毒。新冠病毒的載體是人,病毒通過人與人之間的直接或間接接觸而傳播。網(wǎng)絡(luò)病毒的載體通常是文件,通過文件將病毒傳播到不同的電腦終端或服務(wù)器上。
此外,追蹤新冠病毒的傳播路線就是查詢確診病人在過去的一段時間里(14天)都曾經(jīng)去過哪里,和哪些人有過密切接觸(聚餐、開會、購物等)。這個過程除了病人的自述外,還可以借助手機行程和監(jiān)控攝像等為識別密接人員提供技術(shù)支持。在獲得了所有密接人員信息后,對每個密接者實施隔離并反復(fù)進行核酸檢測,當(dāng)其中一個密接者確診后,再對這個新病人重復(fù)上述流程,直到所有密接者都安全為止。
對于網(wǎng)絡(luò)病毒的清除,則需要對攜帶病毒的文件追蹤溯源。當(dāng)發(fā)現(xiàn)網(wǎng)絡(luò)中一臺電腦中毒時,所有能與該電腦連接的其它終端或服務(wù)器都有可能成為犧牲品。因為網(wǎng)絡(luò)的連接四通八達,即便是企業(yè)內(nèi)網(wǎng)的一臺終端,都有可能有數(shù)百上千臺終端或服務(wù)器與它有網(wǎng)絡(luò)連接。但因為病毒一般通過文件傳播,所以我們需要追蹤受感染電腦的病毒文件。
新冠病毒追蹤的最大特點是病人可以自述密接經(jīng)歷,而網(wǎng)絡(luò)病毒的載體無法做到這一點,只能依靠技術(shù)手段對攜帶病毒的文件追蹤溯源——從時間序列來重現(xiàn)病毒文件的傳播路線,即網(wǎng)絡(luò)中第一次發(fā)現(xiàn)這個文件的時間、地點、傳送或接受文件的設(shè)備、來源或去處(應(yīng)用系統(tǒng)或服務(wù)),以及此后所有對該文件操作的傳輸設(shè)備、接收的客戶端或服務(wù)器等,形成一個完整的文件流動路徑圖,對其進行精準畫像。
在網(wǎng)絡(luò)安全技術(shù)工具中,對文件的管控基本都是在終端完成。網(wǎng)絡(luò)DLP產(chǎn)品雖然能夠處理文件,但更多是基于“圍和堵”的核心策略,對滿足某些特征的文件進行阻斷,它并沒有追蹤溯源的能力。在全網(wǎng)絡(luò)內(nèi)對文件的追蹤實際是需要一個對文件資產(chǎn)實施保護的監(jiān)控“攝像頭”,實現(xiàn)對網(wǎng)絡(luò)中文件流動的監(jiān)控和溯源。
同樣,借鑒疫情防控經(jīng)驗,在數(shù)據(jù)安全監(jiān)控方面,可通過以下步驟實現(xiàn):第一步,基于數(shù)據(jù)發(fā)現(xiàn),分析數(shù)據(jù)流的關(guān)鍵節(jié)點;第二步,對數(shù)據(jù)進行分類分級,業(yè)務(wù)刻畫,識別數(shù)據(jù)流動中關(guān)鍵節(jié)點的敏感數(shù)據(jù)和重要數(shù)據(jù);第三步,在用戶行為數(shù)據(jù)特征基線上,基于機器學(xué)習(xí)進行異常分析,在關(guān)鍵節(jié)點感知高危風(fēng)險時進行實時控制,在低危風(fēng)險時讓數(shù)據(jù)正常流動。這樣不影響流動性又能控制風(fēng)險。最后,就是通過留痕再加一個雙保險,徹底解決遺漏之風(fēng)險。新冠防疫中便是通過我們熟悉的北京健康寶、行程碼等進行掃碼,綠碼標(biāo)識,實現(xiàn)軌跡留痕。
數(shù)據(jù)安全同樣需要做到留痕,記錄敏感數(shù)據(jù)和關(guān)鍵軌跡,一旦產(chǎn)生數(shù)據(jù)風(fēng)險事件,可通過軌跡分析,全證據(jù)鏈回溯5W1H(When、Where、Who、What、Why、How),追責(zé)去責(zé),以及預(yù)警/告警,對防控上的缺陷,進行補救修復(fù)。當(dāng)然,網(wǎng)絡(luò)風(fēng)險與“零號病人”都是動態(tài)的研究課題,沒那么容易一擊即中,需要在尋找、判斷、肯定和自我否定中循序漸進,需要對“病毒”有一個認知過程。