网络安全应急预案，势在必行

2017年6月1日，《中华人民共和国网络安全法》正式颁布实施。网络安全从此有法可依，信息安全行业由合规性驱动过渡到合规性和强制性驱动并重。

《网络安全法》在第二十五条和第五十九条明确强调了应急预案的重要性，要求网络运营者制定和落实网络安全事件的应急预案，并采取相应的应急措施。

《网络安全法》

应急预案的现状与问题

在信息安全领域，应急预案还停留在流程设计层面。应急预案着重强调指挥流程和处理流程，在最为核心的技术操作层面并没有触及。当网络出现突发的安全威胁时，问题的发现、问题的分析、以及最终的配置调整等环节还是依赖于人工处理，效率难以保证。

“如何应对突发的网络安全事件？出了什么样的问题，按照什么样的应急计划有针对性的及时处理？” 这是目前应急预案最需要解决的问题。

应急预案的产品落地

谷兰科技的联动平台系统是业内第一款将应急预案实现技术落地的创新型产品。该产品以威胁状态感知、应急预案设计、多品牌联动控制为核心，在安全事件突发时能够对威胁信息实施自动化应急处置。

谷兰联动平台系统具备应急预案设计功能，允许用户根据不同的安全管理需要，针对不同的安全风险关联不同的处置管理动作，从而在威胁爆发的整个生命周期过程中全程监控客户网络的安全状况并有效控制安全风险。

应急处置流程设计

谷兰联动平台系统的应急处置理念是将网络中的安全设备分为两类。一类是威胁发现类设备，该类产品是指对威胁信息具备感知能力的设备（如IDS、VDS、漏洞扫描等产品）；另一类是威胁控制类设备，该类产品是指具备访问控制能力的网关设备，如防火墙、NGFW、具备ACL功能的三层交换机等。

联动平台系统完成应急处置的流程是：多种威胁发现类设备将各自发现的威胁事件传递给联动平台系统。联动平台系统对多品牌设备发送来的威胁信息进行日志信息的重新编码，并做数据提取和关联分析。当威胁事件发生时，联动平台系统依据预置的计划任务规则，通过下发策略指令，有针对性地调整威胁控制类设备的安全策略，从而对威胁源头进行动态的实时控制，自动化的完成应急处置工作。

谷兰联动平台系统能够帮助企业网络实现安全策略规则的自动调整,是信息安全应急处理系统的重要组成部分。通过部署谷兰联动平台，将为企业网络带来如下改变：

防御规则: 动态安全，按需防御

信息安全风险是动态变化的，每天都会有新的病毒、新的漏洞、或新的攻击方式，而信息系统的防御体系是静态的，比如防火墙的策略规则是静态的，被策略放行后的主机即使变为攻击主机，策略依然有效，攻击会被放行。

由此可见，相对于“动态”发生的安全风险，“静态”的防御体系是导致我们网络系统处于被动局面的主要因素。只有实现了动态安全（基于风险状态的策略动态调整能力），企业的信息安全才能有效保障。

通过联动平台的部署和调度，防火墙等安全防护产品的防御规则将会依据网络安全风险进行动态调整,企业网络中的安全防御体系规则由过去的一成不变，转变为按需所变。

防御范围：全民皆兵，全网防御

传统的网关类安全设备，无法对安全域内部之间的威胁流量进行监测和控制。

通过联动平台对多品牌设备的联动控制，企业网络的防御体系将下探到交换机、路由器等基础设备。联动平台系统能够根据威胁攻击信息的变化，动态调整交换机、路由器的ACL规则，从而对威胁源头进行实时控制，实现全民皆兵、全网防御的效果。

防御时效:由延后防御,转变为即时防御

在企业网络内出现攻击事件时，目前需要依赖于专业的信息安全人员花费大量的时间和精力去分析和解决问题。受制于人为因素的影响较多，业务短时间内难以恢复。

通过联动平台的部署，当攻击被发现后，联动平台将依据预定义的计划任务执行联动控制命令，即时的调整相关设备的安全防护策略,该过程无需人工干预，将原来的人工延后防御转变为自动化的即时防御。

应急处置能力:“一键关停”的应急处置能力

谷兰联动平台除具备自动化处置能力外，同时还提供移动处置APP程序。授权用户在登录谷兰移动处置平台后，可获取预置的一键关停任务列表，用户通过手机可以随时随地对风险业务进行一键关停操作。