不管怎么说，病毒疫情爆发了，这个时候我们在纠结过去的预防、准备措施意义不大，当务之急是做好应急响应和管控工作。

1、武汉肺炎疫情出现后，应第一时间进行大规模资产排查，重点关注有多少资产，领用和流动情况如何。而非以舆情替代疫情，把预警当做维稳处理。

几十年的工作经验告诉我一个事实，资产管理是所有企业都认为重要，但又没有任何部门重视的一个工作，一般来说，各部门都有自己的资产列表，却又都不全。一般来说，只要你开始使用资产来完成工作，就会发现企业的资产管理真是一团糟，有可能过了许久才明白，有500W终端资产不知去向；

经过排查筛选出感染资产和受影响的系统，应第一时间下线，进行修复，做到所有感染人群全部收治，做好隔离。

2、要预防病毒蔓延到其他系统，在关键节点进行安全监控，此时应该发挥骨干网（高速出入口，机场，火车站等）防火墙、NIDS等系统作用，形成全网人员流动趋势跟踪，疑似人员大盘情况供决策参考。

3、根据疫情情况下发检测能力到网络各探针节点（小区出入口，商场，企业等），因为检测基数巨大，在资源有限情况下暂以37.3摄氏度体温为检测条件，筛查脆弱资产清单，然后辅助以CT影像扫描和核酸分析等特征匹配手段检测确诊，所有确诊人群全部收治，做好隔离。

4、向全球发布病毒预警公告，提供用户可操作的预防措施，要求所有终端安装防火墙，做好端口（口、鼻）隔离工作，没有安装防火墙的终端禁止入网。

5、关注官方补丁，一般来说官方补丁均会滞后，各地机构应群策群力，研究提供缓解措施，比如可建立同名互斥体误导病毒已存在宿主体内。因到目前为止依然没有官方补丁疫苗出现，现有的缓解措施有明确兼容性风险。一般业务系统可进行重启尝试，但终端人体重启风险极高，需要避免重启，关注缓解措施实施后目标系统负荷情况，避免进程死锁和CPU等资源耗尽（免疫风暴）情况。

6、部分敏感业务如祖国的花朵们必须进行断网，一些社会基础保障的业务采用权限最小化运行，可采用零信任无接触服务，部分系统要评估潜在带毒运行风险，轻伤不下火线，但需要做好运行监控和备份工作，确保运行轨迹可查可控。

快速完成初步应急工作后，要进一步细化管控，避免系统性风险，同时尽快恢复业务运营：

1、逐步以省、市、社区为单位进行安全域划分，采取白名单机制，要求强制身份认证。出入小区可以采用双因素认证，动态口令、健康码等办法，结合实际情况做到便民和管控有机结合。在小区内部以每户为单位进行微隔离；

2、各地政府机关应根据关口流量和访问日志，进行二次排查漏网之鱼，各机关业务系统平时收集的终端日志应采用共享措施，集中到SOC平台统一分析，避免全网找人全靠喊的尴尬局面；

3、因病毒存在进化、变形风险，需尽快联动全球科学家，拉群共享研究成果，分享研究进展，借助优势科研机构能力有序分工，避免重复工作，充分信息同步，争取第一时间攻克病毒检测和治疗的难题，把论文写在祖国大地上。

4、启用可信评价机制，对于个人瞒报，终端不安装准入组件流串作案等不诚信行为要有登记机制，对于机构瞒报、拖沓等行为要有评价机制，对于各软件仓库的响应能力、各方媒体信息的置信度要有打分评价机制。

5、长期关注被治愈的目标，完美修复样本是我们的目标，但大部分病毒感染后只要做灭活处理即可，目标资产感染修复后一般存在遗留特征，容易引起其他机构误报。文件个体本身也存在节空隙被填充，功能调用流程被修改的情况，需要长期跟踪，被感染资产往往是脆弱资产，需要做好脆弱性评估，给予人文关怀。

事故复盘，如何做好疫情防治

1、重视情报系统建设，不仅要有覆盖各省市的安全终端主动上报系统的机制外，还要对全网多个疫情源做好信息监控、信息分类分拣分析工作。关注第三方入侵检测系统，比如针对谣言系统，要请专业人员进行人工分析排查工作，不能简单粗暴训诫了事。除正常系统建设运维人力外，人工分析是重中之重，安全投入要有所侧重。

2、平时可经常邀请第三方、其他地区友商来进行红蓝演练，不能自己在家闭门冥想式安全演习，演练应以实战为基础，模拟推演为辅助进行，充分验证防御系统有效性。

3、做好安全规划工作，在疫情发生时，哪些基础物资必须有所储备，存量如何，生产能力如何，如何运输，所有环节是否有灾备能力。能否进行更大的安全区域划分，比如长三角、珠三角等等工作需要进行深度思考。有序做好安全科普教育工作，能正确识别双黄蛋的药用价值。进行全员安全意识培训，提升用户安全健康意识，了解基础的安全常识，比如如何正确的带口罩，否则丢脸事小，感染事大。

4、做好安全管理工作，要求有明确的安全规范和工作目标，编码准则、运维规范、操作流程等均简洁有效，能有效评估动员、协作能力，对于操作不清晰，流程不清楚的管理人员及时裁撤，对于物资管理混乱，平时无所事事，出事到处甩锅的部门评估其必要性，及时裁撤。做好信息系统建设工作和信息系统的安全工作，做好个人隐私保护工作，及时销毁不需要的冗余信息，避免疫情结束，各机构重复登记的个人信息流入黑产市场。

就这样吧，希望再次疫情出现。我们真有自信对外宣布：

近年来，我方大规模监测预警和防治能力不断提升，防治技术属于世界领先水平，防疫药械储备比较充足，疫情大面积暴发风险很低，危害可防可控。