在抗击新冠肺炎疫情传播中,“零号病人”、“密接”这些词成为街头巷尾寻常百姓茶余饭后议论的热词。其实人类历史上的传染病史,“零号病人”的故事并不传奇、惊险、刺激,找出零号病人也不是仅凭想象与质疑即可为。相反,这是一个漫长而艰辛的过程。
“零号病人”也被叫做“首发病例”、“标识病例”。因为病毒的潜伏期在每个人的身体里因人而异,这个携带了病毒的人不一定会发病,因此还有“一号病人”的说法,意思是标记第一个出现症状的病人。
寻找和确认“零号病人”,对病毒的溯源以及疫情的防控至关重要。首先,追踪他不只是为控制疫情提供流行病学的指导意义,而是找到病原体演化的生物和基因突变根据,为药物和疫苗研发提供线索和依据,指导人类如何与微生物以及其他生物和平共处。其次,找到了“零号病人”,还需要寻找传播链条,这就回到我们熟悉的“密接”排查了。
这种在物质世界抗击病毒传播行之有效的手段,对我们在虚拟数字世界追踪溯源网络病毒来源显然是一个很好的启发。如何让理想照进现实,让其行之有效呢?让我们来分解一下新冠病毒追踪溯源全过程,平移思维并解析到网络空间实现同样的超能力。
我们可以知道,第一位确诊病人有很大的随机性,就像网络中某个电脑中毒一样,用户突然发现某个功能不能使用,反复检查后发现中病毒了,也可能在例行的病毒检查中发现病毒。新冠病毒的载体是人,病毒通过人与人之间的直接或间接接触而传播。网络病毒的载体通常是文件,通过文件将病毒传播到不同的电脑终端或服务器上。
此外,追踪新冠病毒的传播路线就是查询确诊病人在过去的一段时间里(14天)都曾经去过哪里,和哪些人有过密切接触(聚餐、开会、购物等)。这个过程除了病人的自述外,还可以借助手机行程和监控摄像等为识别密接人员提供技术支持。在获得了所有密接人员信息后,对每个密接者实施隔离并反复进行核酸检测,当其中一个密接者确诊后,再对这个新病人重复上述流程,直到所有密接者都安全为止。
对于网络病毒的清除,则需要对携带病毒的文件追踪溯源。当发现网络中一台电脑中毒时,所有能与该电脑连接的其它终端或服务器都有可能成为牺牲品。因为网络的连接四通八达,即便是企业内网的一台终端,都有可能有数百上千台终端或服务器与它有网络连接。但因为病毒一般通过文件传播,所以我们需要追踪受感染电脑的病毒文件。
新冠病毒追踪的最大特点是病人可以自述密接经历,而网络病毒的载体无法做到这一点,只能依靠技术手段对携带病毒的文件追踪溯源——从时间序列来重现病毒文件的传播路线,即网络中第一次发现这个文件的时间、地点、传送或接受文件的设备、来源或去处(应用系统或服务),以及此后所有对该文件操作的传输设备、接收的客户端或服务器等,形成一个完整的文件流动路径图,对其进行精准画像。
在网络安全技术工具中,对文件的管控基本都是在终端完成。网络DLP产品虽然能够处理文件,但更多是基于“围和堵”的核心策略,对满足某些特征的文件进行阻断,它并没有追踪溯源的能力。在全网络内对文件的追踪实际是需要一个对文件资产实施保护的监控“摄像头”,实现对网络中文件流动的监控和溯源。
同样,借鉴疫情防控经验,在数据安全监控方面,可通过以下步骤实现:第一步,基于数据发现,分析数据流的关键节点;第二步,对数据进行分类分级,业务刻画,识别数据流动中关键节点的敏感数据和重要数据;第三步,在用户行为数据特征基线上,基于机器学习进行异常分析,在关键节点感知高危风险时进行实时控制,在低危风险时让数据正常流动。这样不影响流动性又能控制风险。最后,就是通过留痕再加一个双保险,彻底解决遗漏之风险。新冠防疫中便是通过我们熟悉的北京健康宝、行程码等进行扫码,绿码标识,实现轨迹留痕。
数据安全同样需要做到留痕,记录敏感数据和关键轨迹,一旦产生数据风险事件,可通过轨迹分析,全证据链回溯5W1H(When、Where、Who、What、Why、How),追责去责,以及预警/告警,对防控上的缺陷,进行补救修复。当然,网络风险与“零号病人”都是动态的研究课题,没那么容易一击即中,需要在寻找、判断、肯定和自我否定中循序渐进,需要对“病毒”有一个认知过程。
