图片来源@视觉中国

“关于我，很多人觉得应该像黑客帝国的角色，但黑客其实是我的业余工作”。说这句话的是360集团首席安全技术官郑文彬，他曾是国家网络安全应用人才的获奖者，现在工作之余他还会带着一群黑客穿梭在没有硝烟的网络战中对抗网络攻击。

8月9日下午，在钛媒体与ITValue主办的2019全球数字价值峰会·网络安全沙龙上，郑文彬对APT（Advanced Persistent Threat，高级持续性威胁）、网络战的相关介绍成为本场沙龙的爆点。

网络战是360集团董事长兼CEO周鸿祎在本次会议上重点提到的概念，周鸿祎认为，随着信息化的发展，网络战已经成为新时代战争的首选，是国与国网军的较量。

对于网络战，郑文彬也深有体会，据他介绍，360威胁情报中心曾独家破获过的一起针对俄罗斯总统医院的APT行动。

2018年11月25日，俄罗斯乌克兰爆发刻赤海峡冲突事件，4天后，360威胁情报中心全球首家捕获一起针对俄罗斯总统府医院的APT行动，该行动被命名为“毒针”，其目的是为了控制俄罗斯总统府第二医院的内部网络。

当时大多数分析团队认为这是俄罗斯攻击乌克兰的事件，因为这次攻击与刻赤海峡冲突距离太近了。但360威胁情报中心没有止步于“大多数”判断，而是凭借深度溯源追踪能力，在360安全数据海中对样本和攻击路径进行了深度分析，确认攻击者属于哈萨克斯坦APT组织，武器卖家是一家意大利的黑客公司Haking Team。

据郑文彬介绍，在全球范围内像这样的APT威胁并不少见。自2006年APT概念被美国空军提出以来，出现了震网、NSA-方程式、舒适熊等多起APT行动。2010年谷歌退出中国事件在中国互联网圈引起了不小的震荡，但该其实事件的真正导火索是APT组织极光攻陷了谷歌网络。

在网络战中取得主动，需要：做好防护、自查漏洞、自我攻击

面对真实存在的APT攻击，我们应该如何防范？郑文彬在分享时也表示，360安全大脑已经研发出了具有高级安全防护能力的360高级威胁情报平台，包含侦测报警和预警功能，可以检测企业系统被入侵的情况，以及是否存在未知的高级安全威胁。另一方面，企业也要有意识地培养优秀的网络安全人才，以应对各种突发的安全事件。

同时，企业也需要对自身漏洞进行清查并进行网络安全预演。在本届全球数字价值峰会上，周鸿祎也多次强调，网络漏洞已经成为重要的战略资源，APT攻击大部分都是在利用已经预置好的漏洞或者天然漏洞，他表示：“系统是人写代码写出来的，只要是人写的代码，就一定会有漏洞，平均每一千个代码就有3-4个漏洞。”

网络安全预演实际上是邀请一些黑客，用假想敌的方式探底自身系统安全的虚实，进行自我攻击、建立网络安全的靶场。

在这方面需要注意的是，避免在自我攻击的时候“弄假成真”，黑客在这个过程中盗走数据，所以要做好网络安全预演时的攻击行为监测。郑文彬表示，可以从两个方面入手来监测这种行为，一是对黑客的行为数据进行实时分析，由于并不是所有的行为都会在监控中实时察觉，也需要对这些行为轨迹进行留存。360也正在做一个类似的监控平台，基于360的安全知识库，对供应商的行为轨迹做分析和保存。

个人信息安全需要的不是一家企业的努力，而是整个生态的联动

沙龙提问环节，站在用户个体的角度，针对用户数据隐私安全的问题，钛媒体创始人赵何娟也提出疑问：“以C端用户为主的互联网公司，他们的数据很容易被攻击、泄漏，从这个角度，我们应该如何保护数据安全？”

郑文彬认为，大公司的安全问题不是一家厂商能够解决的，比如360更擅长的是终端安全或者整体安全解决方案的交付，要做到全方位的安全，可能还需要搭配数据安全公司等产业链条的相关产品，所以360也投资了很多安全公司，把他们纳入自己的安全生态，一起解决新时代条件下的安全问题。

瀚思科技今年7月刚刚成为360战略投资的生态公司，在沙龙分享环节，瀚思科技产品副总裁周弈也对用户数据安全这一问题做了回应，即如果企业一定要保障数据安全的话，给客户的建议路径是，第一步先做内部，即内部人员的数据围攻+帐户安全监控+检测，因为85%以上的企业数据泄漏事件是与内部人员有关系的。

第二步，是要清楚自己的敏感数据在哪儿，进行有目标的针对性防护。周奕表示，在瀚思的数据安全方案中，有一张企业敏感数据地图，通过地图可以帮助互联网企业梳理出敏感数据的位置，再对这些重要的数据进行访问监控，并判断是否有风险，进行实时的异常告警。

最后，周奕也就企业的信息安全体系做了完整的阐述，他认为常见的信息安全体系建设思路有三种：常规的网络安全成熟度分级建设、数据应用安全建设以及业务安全场景相关的的多阶段场景建设。 同时，他也分享了一些头部客户信息安全体系建设的成功落地案例。演讲中，周奕特别强调，全场景安全架构以及智能安全分析能力是企业信息安全的关键所在。