舉世矚目的第41屆世界博覽會于2010年5月1日至10月31日在中國上海舉辦,。從開園到結(jié)束,,整體運行平穩(wěn)有序,各類場館的服務(wù)保障工作運轉(zhuǎn)良好,。在整個園區(qū)運行安全,、平穩(wěn)有序的背后,有“電子圍欄”,、寬帶無線通信技術(shù),、智能化神經(jīng)網(wǎng)絡(luò)監(jiān)控等一批擁有自主知識產(chǎn)權(quán)的信息新技術(shù)首度應(yīng)用于上海世博會,節(jié)省了大量安保警力資源,。
由于世博的安保安全保障任務(wù)要求高,,除了大量應(yīng)用新的安全保障系統(tǒng)以外,還需要有一支專業(yè)的,、訓練有數(shù)的,、安全運維保障人員,,來管理、協(xié)調(diào)處理各類安全監(jiān)控突發(fā)事件,,為上海世博會提供全程網(wǎng)絡(luò)安全" title="網(wǎng)絡(luò)安全">網(wǎng)絡(luò)安全監(jiān)控保障服務(wù),,確保上海世博會期間的網(wǎng)絡(luò)暢通及業(yè)務(wù)安全。
為此2010年4月,,上海世博會天融信安全運維小組全面進駐世博會,,提供“集中化、精細化,、標準化”安全運維服務(wù),。為保障整個世博會各類信息網(wǎng)絡(luò)系統(tǒng)安全、穩(wěn)定運行,,保證業(yè)務(wù)流程高效,、順暢流轉(zhuǎn),以天融信為首的安全監(jiān)控運維團隊積極探索創(chuàng)新運維手段,,從強化規(guī)范化建設(shè),、構(gòu)建運維分析系統(tǒng)、引入標準運維體系三方面著手,,有力地支持世博會運維工作。截止世博會閉館前,,安全運維小組已經(jīng)通過多種方式為票務(wù),、預約、培訓平臺,、終端等業(yè)務(wù)提供了不同級別的安全服務(wù)支持,,是一支行動快速、技術(shù)過硬,、敢于挑戰(zhàn)的團隊,。尤其是2010年9月的一次應(yīng)急響應(yīng)服務(wù),更加證明了安全運維世博小組有能力保障世博會信息化業(yè)務(wù)系統(tǒng)的安全,。
安全運維團隊通過架設(shè)在世博安全監(jiān)控中心的安全監(jiān)控平臺實現(xiàn),,對整個世博網(wǎng)絡(luò)及業(yè)務(wù)系統(tǒng)的7x24小時監(jiān)控,該系統(tǒng)由四個部分組成:數(shù)據(jù)采集子系統(tǒng),、安全監(jiān)控平臺子系統(tǒng),、應(yīng)急響應(yīng)子系統(tǒng)、專家團隊子系統(tǒng),。
圖1 安全監(jiān)控平臺
(一) 數(shù)據(jù)采集子系統(tǒng)部署在用戶網(wǎng)絡(luò)端,,負責從世博網(wǎng)絡(luò)的安全監(jiān)控對象上采集日志數(shù)據(jù),并將預處理后的數(shù)據(jù)信息以加密方式發(fā)送至“安全監(jiān)控”平臺進行分析,。
(二) 安全監(jiān)控核心平臺子系統(tǒng)部署在世博安全監(jiān)控中心機房,,對采集到的日志信息進行智能分析,,以安全風險管理為核心,實現(xiàn)安全對象管理,、安全事件管理,、系統(tǒng)脆弱性管理,將發(fā)現(xiàn)的高危安全事件生成預警信息通知到應(yīng)急響應(yīng)子系統(tǒng),。
(三)應(yīng)急響應(yīng)子系統(tǒng)定期向用戶報送安全報表和安全通告,,在發(fā)生高危安全事件時向用戶提供預警,為用戶提供專家級的安全解決方案和安全響應(yīng),、安全咨詢服務(wù),。
(四) 安全專家團隊子系統(tǒng)包括安全運維人員、安全分析人員,、安全專家組,、現(xiàn)場服務(wù)人員。安全專家團隊負責對安全事件進行實時監(jiān)控與分析,,幫助用戶發(fā)現(xiàn)真正有威脅的安全事件,。
2010年9月,上海世博會某在線業(yè)務(wù)平臺持續(xù)遭受sql注入,、web掃描,、應(yīng)用跨站、DDOS等組合攻擊,,影響范圍包括其業(yè)務(wù)網(wǎng)站和后臺數(shù)據(jù)庫服務(wù)器,。安全運維小組通過對安全監(jiān)控平臺的持續(xù)監(jiān)控第一時間發(fā)現(xiàn)該類攻擊事件,立即通知了相關(guān)領(lǐng)導和業(yè)務(wù)部門,,同時趕到用戶現(xiàn)場,,在與用戶充分溝通后,按照事先制定的預案,,迅速啟動應(yīng)急方案和工作流程,。并為用戶提供了一套合理而完整的應(yīng)急保障服務(wù),降低對世博網(wǎng)絡(luò)造成的影響,,主要工作如下:
事件監(jiān)控
安全監(jiān)控子系統(tǒng)實時收集日志信息進行存儲與分析,,當發(fā)現(xiàn)高危安全事件時,采用聲,、光,、短信的方式在管理員界面中呈現(xiàn)給安全監(jiān)控人員,安全監(jiān)控人員對安全事件的級別和影響進行評估,,判斷為嚴重事件時則啟動工單系統(tǒng)通知客服人員,,由客服人員向客戶發(fā)送預警信息;若事件未達到預警級別,則安全監(jiān)控人員創(chuàng)建工單,,通知安全分析人員做處理,。
安全分析
安全分析人員對非預警安全事件進行分析,排除誤警虛警信息,,嘗試解決可處理安全事件,。判斷為不能處理的安全事件和經(jīng)嘗試不能解決的安全事件,提交運維經(jīng)理,,請經(jīng)理協(xié)調(diào)各方資源協(xié)助解決,。如資源難以協(xié)調(diào)則繼續(xù)向上一級主管領(lǐng)導發(fā)起協(xié)調(diào)資源請求,直至問題解決,。
經(jīng)過安全分析人員對攻擊數(shù)據(jù)包進行分析,,迅速判斷出此次攻擊主要針對80端口的Ddos攻擊,遭受攻擊的網(wǎng)站由于資源消耗過大而無法再給用戶提供正常的頁面訪問,。由于世博業(yè)務(wù)可持續(xù)性運行的重要性,,于是決定本著“先搶通后修復”的原則,先利用防火墻,、UTM制定相應(yīng)的安全策略協(xié)助該單位恢復系統(tǒng)正常工作,。
同時運維人員根據(jù)安全事件對該風險進行評估,確定攻擊類型,、波及范圍及造成的影響,,并制定都詳細的加固解決方案。
安全預警
安全監(jiān)控平臺發(fā)現(xiàn)客戶網(wǎng)絡(luò)出現(xiàn)高危安全事件時,,安全專家團隊子系統(tǒng)的安全分析人員,,根據(jù)事件信息確定預警級別,通過工單系統(tǒng)向網(wǎng)絡(luò)管理員提交預警信息,。若預警級別較高,則通報給相關(guān)主管領(lǐng)導,、同時發(fā)起預警,,同時派遣專業(yè)人員協(xié)助處理安全事件。
事件分析報告
安全運維小組事后向用戶提交了一份詳細的事件分析報告,,其中包括工程記錄文檔和安全策略建議,,建議中提到還存在安全技術(shù)手段使用不足的問題,雖然采用了防火墻和防毒系統(tǒng),,但是卻沒有充分利用好保護網(wǎng)絡(luò)安全的工具和資源,。報告的目的是讓用戶知道怎么出的問題、問題出在哪里,、怎么解決的問題,、今后該注意什么?
加固測試
根據(jù)安全評估報告協(xié)助用戶對系統(tǒng)自身的安全漏洞進行修補,,并對加固后的系統(tǒng),,進行模擬測試,。安全專家模擬黑客攻擊的方式對用戶指定的IP地址采用工具和人工檢查相結(jié)合的辦法進行遠程安全測試,評估加固后的系統(tǒng)是否達到安全要求,。
防火墻策略生效之后,,攻擊逐漸減弱,通過外網(wǎng)訪問web服務(wù)器,,速度正常,。至此初步判斷,由于防火墻,、UMT的防護和安全監(jiān)控平臺監(jiān)測,,已經(jīng)令惡意攻擊者知難而退,暫時停止實施攻擊,。經(jīng)過現(xiàn)場一段時間的觀察客戶網(wǎng)絡(luò)正常運行,,后期運維小組重點對該網(wǎng)絡(luò)進行遠程監(jiān)控跟蹤。
形成知識庫
將此次安全事件發(fā)現(xiàn),、分析,、解決的過程以知識庫的形式保存,以便下次同類問題的快速處理及客戶人員的自學習,。
世博會已經(jīng)結(jié)束,,一改以往被動響應(yīng)的安全運維服務(wù)模式,安全運維小組通過智能化神經(jīng)安全監(jiān)控平臺幫助用戶迅速,、全面,、細致的提前感知和掌控到網(wǎng)絡(luò)安全運行情況,及時解決各類出現(xiàn)的網(wǎng)絡(luò)安全問題,。與此同時安全運維小組始終堅持全過程流程化安全服務(wù)理念,,全程提供安全監(jiān)控、網(wǎng)絡(luò)評估,、安全處理,、安全培訓和安全咨詢服務(wù),真正做到由被動響應(yīng)到主動服務(wù),,讓眾多的世博系統(tǒng)供應(yīng)商得到專業(yè)的安全趨勢分析與建議,,對于安全事件有據(jù)可查,做到安全工作有的放矢,,協(xié)助世博組委會全面奪取了世博會的網(wǎng)絡(luò)安全保障任務(wù),。