舉世矚目的第41屆世界博覽會(huì)于2010年5月1日至10月31日在中國上海舉辦。從開園到結(jié)束,整體運(yùn)行平穩(wěn)有序,各類場館的服務(wù)保障工作運(yùn)轉(zhuǎn)良好。在整個(gè)園區(qū)運(yùn)行安全、平穩(wěn)有序的背后,有“電子圍欄”、寬帶無線通信技術(shù)、智能化神經(jīng)網(wǎng)絡(luò)監(jiān)控等一批擁有自主知識(shí)產(chǎn)權(quán)的信息新技術(shù)首度應(yīng)用于上海世博會(huì),節(jié)省了大量安保警力資源。
由于世博的安保安全保障任務(wù)要求高,除了大量應(yīng)用新的安全保障系統(tǒng)以外,還需要有一支專業(yè)的、訓(xùn)練有數(shù)的、安全運(yùn)維保障人員,來管理、協(xié)調(diào)處理各類安全監(jiān)控突發(fā)事件,為上海世博會(huì)提供全程網(wǎng)絡(luò)安全" title="網(wǎng)絡(luò)安全">網(wǎng)絡(luò)安全監(jiān)控保障服務(wù),確保上海世博會(huì)期間的網(wǎng)絡(luò)暢通及業(yè)務(wù)安全。
為此2010年4月,上海世博會(huì)天融信安全運(yùn)維小組全面進(jìn)駐世博會(huì),提供“集中化、精細(xì)化、標(biāo)準(zhǔn)化”安全運(yùn)維服務(wù)。為保障整個(gè)世博會(huì)各類信息網(wǎng)絡(luò)系統(tǒng)安全、穩(wěn)定運(yùn)行,保證業(yè)務(wù)流程高效、順暢流轉(zhuǎn),以天融信為首的安全監(jiān)控運(yùn)維團(tuán)隊(duì)積極探索創(chuàng)新運(yùn)維手段,從強(qiáng)化規(guī)范化建設(shè)、構(gòu)建運(yùn)維分析系統(tǒng)、引入標(biāo)準(zhǔn)運(yùn)維體系三方面著手,有力地支持世博會(huì)運(yùn)維工作。截止世博會(huì)閉館前,安全運(yùn)維小組已經(jīng)通過多種方式為票務(wù)、預(yù)約、培訓(xùn)平臺(tái)、終端等業(yè)務(wù)提供了不同級(jí)別的安全服務(wù)支持,是一支行動(dòng)快速、技術(shù)過硬、敢于挑戰(zhàn)的團(tuán)隊(duì)。尤其是2010年9月的一次應(yīng)急響應(yīng)服務(wù),更加證明了安全運(yùn)維世博小組有能力保障世博會(huì)信息化業(yè)務(wù)系統(tǒng)的安全。
安全運(yùn)維團(tuán)隊(duì)通過架設(shè)在世博安全監(jiān)控中心的安全監(jiān)控平臺(tái)實(shí)現(xiàn),對(duì)整個(gè)世博網(wǎng)絡(luò)及業(yè)務(wù)系統(tǒng)的7x24小時(shí)監(jiān)控,該系統(tǒng)由四個(gè)部分組成:數(shù)據(jù)采集子系統(tǒng)、安全監(jiān)控平臺(tái)子系統(tǒng)、應(yīng)急響應(yīng)子系統(tǒng)、專家團(tuán)隊(duì)子系統(tǒng)。
圖1 安全監(jiān)控平臺(tái)
(一) 數(shù)據(jù)采集子系統(tǒng)部署在用戶網(wǎng)絡(luò)端,負(fù)責(zé)從世博網(wǎng)絡(luò)的安全監(jiān)控對(duì)象上采集日志數(shù)據(jù),并將預(yù)處理后的數(shù)據(jù)信息以加密方式發(fā)送至“安全監(jiān)控”平臺(tái)進(jìn)行分析。
(二) 安全監(jiān)控核心平臺(tái)子系統(tǒng)部署在世博安全監(jiān)控中心機(jī)房,對(duì)采集到的日志信息進(jìn)行智能分析,以安全風(fēng)險(xiǎn)管理為核心,實(shí)現(xiàn)安全對(duì)象管理、安全事件管理、系統(tǒng)脆弱性管理,將發(fā)現(xiàn)的高危安全事件生成預(yù)警信息通知到應(yīng)急響應(yīng)子系統(tǒng)。
(三)應(yīng)急響應(yīng)子系統(tǒng)定期向用戶報(bào)送安全報(bào)表和安全通告,在發(fā)生高危安全事件時(shí)向用戶提供預(yù)警,為用戶提供專家級(jí)的安全解決方案和安全響應(yīng)、安全咨詢服務(wù)。
(四) 安全專家團(tuán)隊(duì)子系統(tǒng)包括安全運(yùn)維人員、安全分析人員、安全專家組、現(xiàn)場服務(wù)人員。安全專家團(tuán)隊(duì)負(fù)責(zé)對(duì)安全事件進(jìn)行實(shí)時(shí)監(jiān)控與分析,幫助用戶發(fā)現(xiàn)真正有威脅的安全事件。
2010年9月,上海世博會(huì)某在線業(yè)務(wù)平臺(tái)持續(xù)遭受sql注入、web掃描、應(yīng)用跨站、DDOS等組合攻擊,影響范圍包括其業(yè)務(wù)網(wǎng)站和后臺(tái)數(shù)據(jù)庫服務(wù)器。安全運(yùn)維小組通過對(duì)安全監(jiān)控平臺(tái)的持續(xù)監(jiān)控第一時(shí)間發(fā)現(xiàn)該類攻擊事件,立即通知了相關(guān)領(lǐng)導(dǎo)和業(yè)務(wù)部門,同時(shí)趕到用戶現(xiàn)場,在與用戶充分溝通后,按照事先制定的預(yù)案,迅速啟動(dòng)應(yīng)急方案和工作流程。并為用戶提供了一套合理而完整的應(yīng)急保障服務(wù),降低對(duì)世博網(wǎng)絡(luò)造成的影響,主要工作如下:
事件監(jiān)控
安全監(jiān)控子系統(tǒng)實(shí)時(shí)收集日志信息進(jìn)行存儲(chǔ)與分析,當(dāng)發(fā)現(xiàn)高危安全事件時(shí),采用聲、光、短信的方式在管理員界面中呈現(xiàn)給安全監(jiān)控人員,安全監(jiān)控人員對(duì)安全事件的級(jí)別和影響進(jìn)行評(píng)估,判斷為嚴(yán)重事件時(shí)則啟動(dòng)工單系統(tǒng)通知客服人員,由客服人員向客戶發(fā)送預(yù)警信息;若事件未達(dá)到預(yù)警級(jí)別,則安全監(jiān)控人員創(chuàng)建工單,通知安全分析人員做處理。
安全分析
安全分析人員對(duì)非預(yù)警安全事件進(jìn)行分析,排除誤警虛警信息,嘗試解決可處理安全事件。判斷為不能處理的安全事件和經(jīng)嘗試不能解決的安全事件,提交運(yùn)維經(jīng)理,請(qǐng)經(jīng)理協(xié)調(diào)各方資源協(xié)助解決。如資源難以協(xié)調(diào)則繼續(xù)向上一級(jí)主管領(lǐng)導(dǎo)發(fā)起協(xié)調(diào)資源請(qǐng)求,直至問題解決。
經(jīng)過安全分析人員對(duì)攻擊數(shù)據(jù)包進(jìn)行分析,迅速判斷出此次攻擊主要針對(duì)80端口的Ddos攻擊,遭受攻擊的網(wǎng)站由于資源消耗過大而無法再給用戶提供正常的頁面訪問。由于世博業(yè)務(wù)可持續(xù)性運(yùn)行的重要性,于是決定本著“先搶通后修復(fù)”的原則,先利用防火墻、UTM制定相應(yīng)的安全策略協(xié)助該單位恢復(fù)系統(tǒng)正常工作。
同時(shí)運(yùn)維人員根據(jù)安全事件對(duì)該風(fēng)險(xiǎn)進(jìn)行評(píng)估,確定攻擊類型、波及范圍及造成的影響,并制定都詳細(xì)的加固解決方案。
安全預(yù)警
安全監(jiān)控平臺(tái)發(fā)現(xiàn)客戶網(wǎng)絡(luò)出現(xiàn)高危安全事件時(shí),安全專家團(tuán)隊(duì)子系統(tǒng)的安全分析人員,根據(jù)事件信息確定預(yù)警級(jí)別,通過工單系統(tǒng)向網(wǎng)絡(luò)管理員提交預(yù)警信息。若預(yù)警級(jí)別較高,則通報(bào)給相關(guān)主管領(lǐng)導(dǎo)、同時(shí)發(fā)起預(yù)警,同時(shí)派遣專業(yè)人員協(xié)助處理安全事件。
事件分析報(bào)告
安全運(yùn)維小組事后向用戶提交了一份詳細(xì)的事件分析報(bào)告,其中包括工程記錄文檔和安全策略建議,建議中提到還存在安全技術(shù)手段使用不足的問題,雖然采用了防火墻和防毒系統(tǒng),但是卻沒有充分利用好保護(hù)網(wǎng)絡(luò)安全的工具和資源。報(bào)告的目的是讓用戶知道怎么出的問題、問題出在哪里、怎么解決的問題、今后該注意什么?
加固測(cè)試
根據(jù)安全評(píng)估報(bào)告協(xié)助用戶對(duì)系統(tǒng)自身的安全漏洞進(jìn)行修補(bǔ),并對(duì)加固后的系統(tǒng),進(jìn)行模擬測(cè)試。安全專家模擬黑客攻擊的方式對(duì)用戶指定的IP地址采用工具和人工檢查相結(jié)合的辦法進(jìn)行遠(yuǎn)程安全測(cè)試,評(píng)估加固后的系統(tǒng)是否達(dá)到安全要求。
防火墻策略生效之后,攻擊逐漸減弱,通過外網(wǎng)訪問web服務(wù)器,速度正常。至此初步判斷,由于防火墻、UMT的防護(hù)和安全監(jiān)控平臺(tái)監(jiān)測(cè),已經(jīng)令惡意攻擊者知難而退,暫時(shí)停止實(shí)施攻擊。經(jīng)過現(xiàn)場一段時(shí)間的觀察客戶網(wǎng)絡(luò)正常運(yùn)行,后期運(yùn)維小組重點(diǎn)對(duì)該網(wǎng)絡(luò)進(jìn)行遠(yuǎn)程監(jiān)控跟蹤。
形成知識(shí)庫
將此次安全事件發(fā)現(xiàn)、分析、解決的過程以知識(shí)庫的形式保存,以便下次同類問題的快速處理及客戶人員的自學(xué)習(xí)。
世博會(huì)已經(jīng)結(jié)束,一改以往被動(dòng)響應(yīng)的安全運(yùn)維服務(wù)模式,安全運(yùn)維小組通過智能化神經(jīng)安全監(jiān)控平臺(tái)幫助用戶迅速、全面、細(xì)致的提前感知和掌控到網(wǎng)絡(luò)安全運(yùn)行情況,及時(shí)解決各類出現(xiàn)的網(wǎng)絡(luò)安全問題。與此同時(shí)安全運(yùn)維小組始終堅(jiān)持全過程流程化安全服務(wù)理念,全程提供安全監(jiān)控、網(wǎng)絡(luò)評(píng)估、安全處理、安全培訓(xùn)和安全咨詢服務(wù),真正做到由被動(dòng)響應(yīng)到主動(dòng)服務(wù),讓眾多的世博系統(tǒng)供應(yīng)商得到專業(yè)的安全趨勢(shì)分析與建議,對(duì)于安全事件有據(jù)可查,做到安全工作有的放矢,協(xié)助世博組委會(huì)全面奪取了世博會(huì)的網(wǎng)絡(luò)安全保障任務(wù)。