▲ 圖1 安全監(jiān)控平臺
(一) 數(shù)據(jù)采集子系統(tǒng)部署在用戶網(wǎng)絡(luò)端��,負(fù)責(zé)從世博網(wǎng)絡(luò)的安全監(jiān)控對象上采集日志數(shù)據(jù),并將預(yù)處理后的數(shù)據(jù)信息以加密方式發(fā)送至“安全監(jiān)控”平臺進(jìn)行分析�。
(二) 安全監(jiān)控核心平臺子系統(tǒng)部署在世博安全監(jiān)控中心機房�,對采集到的日志信息進(jìn)行智能分析����,以安全風(fēng)險管理為核心,實現(xiàn)安全對象管理�、安全事件管理、系統(tǒng)脆弱性管理��,將發(fā)現(xiàn)的高危安全事件生成預(yù)警信息通知到應(yīng)急響應(yīng)子系統(tǒng)����。
(三)應(yīng)急響應(yīng)子系統(tǒng)定期向用戶報送安全報表和安全通告,在發(fā)生高危安全事件時向用戶提供預(yù)警��,為用戶提供專家級的安全解決方案和安全響應(yīng)�����、安全咨詢服務(wù)��。
(四) 安全專家團隊子系統(tǒng)包括安全運維人員�、安全分析人員、安全專家組���、現(xiàn)場服務(wù)人員����。安全專家團隊負(fù)責(zé)對安全事件進(jìn)行實時監(jiān)控與分析,幫助用戶發(fā)現(xiàn)真正有威脅的安全事件����。
2010年9月,上海世博會某在線業(yè)務(wù)平臺持續(xù)遭受sql注入����、web掃描、應(yīng)用跨站�、DDOS等組合攻擊,影響范圍包括其業(yè)務(wù)網(wǎng)站和后臺數(shù)據(jù)庫服務(wù)器�����。安全運維小組通過對安全監(jiān)控平臺的持續(xù)監(jiān)控第一時間發(fā)現(xiàn)該類攻擊事件����,立即通知了相關(guān)領(lǐng)導(dǎo)和業(yè)務(wù)部門,同時趕到用戶現(xiàn)場��,在與用戶充分溝通后��,按照事先制定的預(yù)案�����,迅速啟動應(yīng)急方案和工作流程���。并為用戶提供了一套合理而完整的應(yīng)急保障服務(wù)��,降低對世博網(wǎng)絡(luò)造成的影響�����,主要工作如下:
事件監(jiān)控
安全監(jiān)控子系統(tǒng)實時收集日志信息進(jìn)行存儲與分析���,當(dāng)發(fā)現(xiàn)高危安全事件時,采用聲�、光、短信的方式在管理員界面中呈現(xiàn)給安全監(jiān)控人員���,安全監(jiān)控人員對安全事件的級別和影響進(jìn)行評估��,判斷為嚴(yán)重事件時則啟動工單系統(tǒng)通知客服人員���,由客服人員向客戶發(fā)送預(yù)警信息;若事件未達(dá)到預(yù)警級別,則安全監(jiān)控人員創(chuàng)建工單����,通知安全分析人員做處理����。
安全分析
安全分析人員對非預(yù)警安全事件進(jìn)行分析�����,排除誤警虛警信息���,嘗試解決可處理安全事件�。判斷為不能處理的安全事件和經(jīng)嘗試不能解決的安全事件����,提交運維經(jīng)理,請經(jīng)理協(xié)調(diào)各方資源協(xié)助解決�。如資源難以協(xié)調(diào)則繼續(xù)向上一級主管領(lǐng)導(dǎo)發(fā)起協(xié)調(diào)資源請求,直至問題解決��。
經(jīng)過安全分析人員對攻擊數(shù)據(jù)包進(jìn)行分析��,迅速判斷出此次攻擊主要針對80端口的Ddos攻擊����,遭受攻擊的網(wǎng)站由于資源消耗過大而無法再給用戶提供正常的頁面訪問����。由于世博業(yè)務(wù)可持續(xù)性運行的重要性����,于是決定本著“先搶通后修復(fù)”的原則��,先利用防火墻���、UTM制定相應(yīng)的安全策略協(xié)助該單位恢復(fù)系統(tǒng)正常工作��。
同時運維人員根據(jù)安全事件對該風(fēng)險進(jìn)行評估�����,確定攻擊類型�、波及范圍及造成的影響��,并制定都詳細(xì)的加固解決方案����。
安全預(yù)警
安全監(jiān)控平臺發(fā)現(xiàn)客戶網(wǎng)絡(luò)出現(xiàn)高危安全事件時,安全專家團隊子系統(tǒng)的安全分析人員,根據(jù)事件信息確定預(yù)警級別��,通過工單系統(tǒng)向網(wǎng)絡(luò)管理員提交預(yù)警信息���。若預(yù)警級別較高�,則通報給相關(guān)主管領(lǐng)導(dǎo)���、同時發(fā)起預(yù)警���,同時派遣專業(yè)人員協(xié)助處理安全事件。
事件分析報告
安全運維小組事后向用戶提交了一份詳細(xì)的事件分析報告�����,其中包括工程記錄文檔和安全策略建議��,建議中提到還存在安全技術(shù)手段使用不足的問題�,雖然采用了防火墻和防毒系統(tǒng),但是卻沒有充分利用好保護(hù)網(wǎng)絡(luò)安全的工具和資源���。報告的目的是讓用戶知道怎么出的問題���、問題出在哪里、怎么解決的問題、今后該注意什么?
加固測試
根據(jù)安全評估報告協(xié)助用戶對系統(tǒng)自身的安全漏洞進(jìn)行修補�,并對加固后的系統(tǒng),進(jìn)行模擬測試����。安全專家模擬黑客攻擊的方式對用戶指定的IP地址采用工具和人工檢查相結(jié)合的辦法進(jìn)行遠(yuǎn)程安全測試,評估加固后的系統(tǒng)是否達(dá)到安全要求��。
防火墻策略生效之后�,攻擊逐漸減弱,通過外網(wǎng)訪問web服務(wù)器���,速度正常。至此初步判斷����,由于防火墻、UMT的防護(hù)和安全監(jiān)控平臺監(jiān)測���,已經(jīng)令惡意攻擊者知難而退��,暫時停止實施攻擊����。經(jīng)過現(xiàn)場一段時間的觀察客戶網(wǎng)絡(luò)正常運行,后期運維小組重點對該網(wǎng)絡(luò)進(jìn)行遠(yuǎn)程監(jiān)控跟蹤�。
形成知識庫
將此次安全事件發(fā)現(xiàn)、分析����、解決的過程以知識庫的形式保存,以便下次同類問題的快速處理及客戶人員的自學(xué)習(xí)��。
世博會已經(jīng)結(jié)束�����,一改以往被動響應(yīng)的安全運維服務(wù)模式��,安全運維小組通過智能化神經(jīng)安全監(jiān)控平臺幫助用戶迅速���、全面���、細(xì)致的提前感知和掌控到網(wǎng)絡(luò)安全運行情況,及時解決各類出現(xiàn)的網(wǎng)絡(luò)安全問題�。與此同時安全運維小組始終堅持全過程流程化安全服務(wù)理念,全程提供安全監(jiān)控���、網(wǎng)絡(luò)評估����、安全處理、安全培訓(xùn)和安全咨詢服務(wù)����,真正做到由被動響應(yīng)到主動服務(wù),讓眾多的世博系統(tǒng)供應(yīng)商得到專業(yè)的安全趨勢分析與建議�,對于安全事件有據(jù)可查,做到安全工作有的放矢�����,協(xié)助世博組委會全面奪取了世博會的網(wǎng)絡(luò)安全保障任務(wù)�。
