奇安信戰“疫”日記九 白皓文：和“病毒”賽跑

中新網2月17日電 新型肺炎疫情發展迅猛，超乎了很多人的想象，也擾亂了很多人假期的安靜生活。

1月27日8時，農歷大年初三，我還在睡夢中，就接到了star(汪列軍)的通知：組建抗擊疫情的情報團。由於頭天晚上照顧生病的小孩兒，在接到電話的那刻，感覺頭腦還在發懵，在聽到是疫情相關的緊急任務後，我立即清醒過來。

疫情似火,刻不容緩!根據我13年的從業經驗，可以判斷，非常時期，網絡安全形勢嚴峻。保障關鍵業務系統的安全穩定運行及敏感信息安全、重要網站的正常運轉和內容不被篡改，成為我們網絡安全從業者義不容辭的責任。尤其是國家衛健委、疾控中心等部門，是我國抗疫的關鍵節點的安全防範。

我們必須跟攻擊者賽跑。Star等同事在26日深夜就已經開展了相關工作。

27日上午8時30分，我也參與到了情報團的任務討論和工作計劃制定中，明確了負責的任務與目標：從威脅情報側、惡意樣本側、天擎雲查殺日誌側發現利用疫情熱點的安防事件。

9:00，我們團隊開電話會，與劉爽、何治秋等同事仔細商討應對方案。攻擊發現與防範的形勢緊迫，但越是緊迫越不能倉促應對，以防忽略微小的可能形式。

12：00，我們最終確定了多個發現疫情相關攻擊事件的發現流程方案，並與Star等人溝通，得到認可。

團隊同事立即投入到開發工作中。在家中遠程辦公有個“好處”：十分利於沒日沒夜……劉爽、何治秋等團隊成員承擔了所有相關代碼的開發工作，持續到深夜。

接近0點，開發工作終於完成，並穩定投入使用，上線了所有監控流程。

一天時間，從領到任務進行開發，到投入使用，我們真的是在與時間、與攻擊者賽跑。

監控上線之後，新的挑戰來了：在海量級的數據裡發現和疫情相關安全威脅事件猶如大海撈針。最初我們需要每4個小時才能輸出一次攻擊監測結果，這樣顯然不能滿足需求。考慮到效率，我們不斷進行改進，最終實現了接近於實時的攻擊監控。

伴著新冠肺炎確診及疑似病例數據的攀升，有關疫情內容訪問不斷飆升，“疫情”百度指數達到了80萬以上。在這種情況下，保證醫療、疾控、衛生、警察等部門，在非常時期網站可用、正常運轉，就變得非常重要。特別是，如果這些網站被篡改，正常內容被替換成謠言，後果不堪設想。

安域團隊大年初一就成立專班，投入到了戰鬥中。強哥他們針對疫情，迅速提供了基於優質帶寬的多節點DDoS防護、DNS防護和網站加速功能，保證醫療機構相關網站在被大量、集中訪問時依然快速、可用；針對網頁篡改，上線Web應用攻擊防護、重保隻讀等功能，還成立了特別支持組，對衛健委等機構接入的網站防護提供高優先級、快速處理通道，保證衛健委等相關職能部門發布的政府公告及其他權威信息不被惡意篡改。

我看情報團的工作簡報統計，疫情期間，近30個疫情防控相關部門的網站、近200個域名免費接入了奇安信的“安域系統”，攔截Web應用攻擊超過150萬次、CC攻擊超過了3億次。

我們還必須和網絡黑產賽跑。

聽劉浩鵬說，他也是26日深夜11點多接到的電話，當時正在跟家人聊天，他領到的任務是：通過白澤實時監測發起攻擊的威脅者或組織，找到威脅程度高、活動頻繁、定向醫療衛生站點的威脅者或組織。

白澤是公司目前在做的產品，能夠從各個產品線的告警信息中，通過各種緯度，把不同IP關聯成個人組織一類。

我很少看見劉浩鵬焦慮：這個任務確實挺有挑戰性，差不多一天要出四份不同的報告，每一份報告還需要大量的調研、統計等工作。四份報告都很重要，容不得一絲敷衍，關鍵時刻，他只能緊急聯繫團隊裡的戴帆濤等小夥伴。在了解抗疫的需求後，戴帆濤毫不猶豫分擔起了任務。

持續到27日凌晨3點，架構搭建工作完成，開始對疫期活躍的黑產團夥進行了有效的監測，並每天輸出相關報告。