游林飛　林章　岳凌鋒　鮑忠秀　潘鐘強

摘 要：隨著網(wǎng)絡(luò)技術(shù)的迅速發(fā)展和普及，網(wǎng)絡(luò)安全已經(jīng)成為企業(yè)必不可少的環(huán)節(jié)。本文通對現(xiàn)有企業(yè)網(wǎng)絡(luò)安全的調(diào)查和分析，結(jié)合企業(yè)網(wǎng)絡(luò)安全的要求與平臺功能需求，采用B/S結(jié)構(gòu)模塊化設(shè)計的基本思路，設(shè)計實現(xiàn)了一個基于PHP的網(wǎng)絡(luò)安全應(yīng)急響應(yīng)中心，為企業(yè)實現(xiàn)漏洞收集和披露計劃。因此，建立適合中小企業(yè)的網(wǎng)絡(luò)安全應(yīng)急響應(yīng)中心平臺具有十分重要的現(xiàn)實意義。

關(guān)鍵詞：網(wǎng)絡(luò)安全；漏洞收集；披露計劃；應(yīng)急響應(yīng)平臺

中圖分類號：TP311 文獻(xiàn)標(biāo)識碼：A

Abstract：With the rapid development and popularization of network technology，network security has become an indispensable part of enterprises.This paper investigates and analyzes the network security of existing enterprises，and combines the requirements of enterprise network security and the functional requirements of the platform，the basic idea of modular design of B/S structure is adopted.The design realizes the network security emergency response center based on PHP and realizes the enterprise's vulnerability collection and disclosure plan.Therefore，it is of great practical significance to establish a network security emergency response center platform suitable for small and medium-sized enterprises.

Keywords：network security；vulnerability collection；disclosure plan；security response center

1 引言（Introduction）

近年來，黑客攻擊越來越頻繁，企業(yè)網(wǎng)絡(luò)安全也變得極其重要。企業(yè)安全應(yīng)急響應(yīng)中心，一般起著對外發(fā)布企業(yè)突發(fā)安全事件處理動態(tài)，作為企業(yè)與熱心用戶和白帽黑客溝通反饋的平臺，以及對外發(fā)布企業(yè)信息安全團隊研究成果的重要作用，為互聯(lián)網(wǎng)用戶能夠直接訪問到企業(yè)網(wǎng)絡(luò)安全保護體系提供途徑，同時也是協(xié)調(diào)企業(yè)各部門及時響應(yīng)安全事件的工作重點。實現(xiàn)屬于中小企業(yè)的安全應(yīng)急響應(yīng)中心平臺，有助于其完善網(wǎng)絡(luò)安全保護體系[1]。

2 安全應(yīng)急響應(yīng)中心的基本含義（Basic concept of

the security emergency response center）

安全應(yīng)急響應(yīng)中心是企業(yè)用于對外接收來自用戶發(fā)現(xiàn)并報告的產(chǎn)品缺陷的站點。目前主要有兩種實現(xiàn)方式。

2.1 漏洞報告平臺

漏洞報告平臺是指由獨立的第三方公司或機構(gòu)成立綜合性的“安全應(yīng)急響應(yīng)中心”。國內(nèi)補天平臺、漏洞盒子平臺，以及據(jù)此衍生的Sobug眾測平臺等均屬于該模式。外部報告者注冊對應(yīng)漏洞報告平臺選擇對應(yīng)的廠商進行報送，接著該第三方機構(gòu)會發(fā)送郵件提示相關(guān)廠商確認(rèn)處理。這種方法的缺陷十分明顯。廠商的歷史漏洞信息完全暴露給第三方機構(gòu)，報告中涉及的企業(yè)內(nèi)部大量敏感信息因此外泄，喪失私密性[2]。

2.2 xSRC模式

xSRC模式是指：企業(yè)自己分配工程師開發(fā)屬于自身的安全應(yīng)急響應(yīng)中心，制定自己的漏洞收集和披露計劃。目前包括Google、Microsoft、騰訊、阿里巴巴和百度等，均成立了自己的安全應(yīng)急響應(yīng)中心，對外收集并處理安全研究員報送的漏洞報告。使用這種模式，企業(yè)在漏洞的收集和披露過程中完全掌控了主動性，擁有良好的私密性和可定制性[3]。

3 建立安全應(yīng)急響應(yīng)中心的重要性和必要性（The

近年來黑客攻擊頻發(fā)，企業(yè)信息安全已經(jīng)愈來愈受到重視。大型企業(yè)的業(yè)務(wù)模式多，涉及的產(chǎn)品也多，特別是互聯(lián)網(wǎng)業(yè)務(wù)講究小步快跑敏捷迭代，往往忽視了安全檢查或者來不及進行細(xì)致的安全檢查，同時安全系統(tǒng)本身是程序，也會存在各種遺漏。因為互聯(lián)網(wǎng)業(yè)務(wù)的在線特性，使得使用互聯(lián)網(wǎng)的人都能夠接觸到。相對于傳統(tǒng)業(yè)務(wù)，被攻擊面擴大，所以更容易被善意的、惡意的或者無意的人發(fā)現(xiàn)漏洞。如果漏洞被利用或者在黑市交易，對企業(yè)和用戶是極大危害的[3]。

縱觀國內(nèi)外，Google、微軟、阿里巴巴、騰訊、小米、網(wǎng)易等知名互聯(lián)網(wǎng)公司都已經(jīng)建立各自的應(yīng)急響應(yīng)中心，并在推出以后取得了良好的效果，對企業(yè)安全有了巨大的協(xié)調(diào)和推動作用[1]?？梢园寻踩珣?yīng)急響應(yīng)中心看成一種安全能力或者產(chǎn)品。由一個安全應(yīng)急響應(yīng)中心服務(wù)商來為沒有資源建設(shè)安全應(yīng)急響應(yīng)中心的企業(yè)整合資源，提供安全應(yīng)急響應(yīng)中心平臺，這就是云安全應(yīng)急響應(yīng)中心了。

4 安全應(yīng)急響應(yīng)中心平臺的需求分析（Requirements

需求分析（Requirements Analysis）是系統(tǒng)分析員和軟件工程師在創(chuàng)建新的系統(tǒng)時，確定顧客的需要，包含基本需求、整體框架、設(shè)計目標(biāo)、設(shè)計原則、系統(tǒng)功能、可行性分析等。需求分析是一系列活動的組成，包含需要解決問題的具體方法及確定系統(tǒng)實施方法必須采取的行動等。

4.1 總體需求

由于“漏洞報告平臺”模式在實現(xiàn)過程中操作運營的規(guī)范問題，外加越來越多的魚龍混雜的第三方企業(yè)和機構(gòu)的介入，甚至出現(xiàn)了漏洞報告平臺泄漏企業(yè)敏感信息，從而導(dǎo)致企業(yè)因此被攻擊的案例。另一方面，出于私密性和可定制性的考慮，大多數(shù)互聯(lián)網(wǎng)企業(yè)均傾向于選擇“xSRC”模式。作為互聯(lián)網(wǎng)企業(yè)安全防護體系中用戶所能直接接觸到的門面，同時也作為協(xié)調(diào)企業(yè)各部門對安全事件做出及時積極響應(yīng)的工作中心，企業(yè)制定長遠(yuǎn)的戰(zhàn)略性規(guī)劃，建立安全應(yīng)急響應(yīng)中心能夠更直觀地了解到企業(yè)網(wǎng)絡(luò)安全情況[3]。endprint

企業(yè)對安全應(yīng)急響應(yīng)中心平臺的總體需求是：①漏洞提交與管理；②安全公告管理；③研究博客管理；④貢獻(xiàn)管理；⑤用戶管理；⑥平臺設(shè)置。

基于以上原因，本文開發(fā)安全應(yīng)急響應(yīng)中心平臺，提供企業(yè)常用的網(wǎng)絡(luò)安全應(yīng)急響應(yīng)功能，建立屬于中小企業(yè)的安全應(yīng)急中心平臺[4]。

4.2 平臺實現(xiàn)的原則

4.2.1 可操作

該平臺主要面向中小企業(yè)。因此，在平臺的操作上盡可能簡單明了，沒有復(fù)雜的操作，同時保證平臺的穩(wěn)定運行。

4.2.2 安全

該平臺是通過瀏覽器訪問互聯(lián)網(wǎng)使用，因此系統(tǒng)在設(shè)計上全面考慮用戶權(quán)限設(shè)置，并配備必要的網(wǎng)絡(luò)安全設(shè)備確保平臺安全[5]。

4.2.3 高效

雖然該平臺的流量不多，但是通過網(wǎng)絡(luò)來訪問用戶存在不確定性，因此應(yīng)該具備較好的網(wǎng)絡(luò)服務(wù)器性能并配置高性能的Web服務(wù)。

4.2.4 可擴展

雖然中小企業(yè)網(wǎng)絡(luò)安全是大體相同的，但不同企業(yè)的需求必然有其特殊的地方，因此平臺應(yīng)該具有二次開發(fā)的功能，更好地進行平臺升級優(yōu)化。

5 安全應(yīng)急響應(yīng)中心平臺數(shù)據(jù)庫設(shè)計（Database

design of the security emergency response center

platform）

通過對上述平臺要求的分析，給出了數(shù)據(jù)庫設(shè)計、平臺數(shù)據(jù)庫關(guān)鍵的信息表，如圖1所示。

平臺的推薦運行環(huán)境是Apache+MySQL+PHP[6]（5.3及以上），在安裝和使用平臺之前確保已經(jīng)具備運行環(huán)境。若是Linux系統(tǒng)的服務(wù)器，在使用前確保為平臺運行的環(huán)境目錄分配了足夠的讀寫權(quán)限[7]，保證ThinkPHP框架[8]文件正常加載或Runtime緩存目錄正常生成，以上都是平臺穩(wěn)定運行的前提條件。

配置環(huán)境后，請將平臺目錄的源代碼程序全部解壓縮至網(wǎng)站目錄下。

9 結(jié)論（Conclusion）

本系統(tǒng)為中小企業(yè)的網(wǎng)絡(luò)安全需求提供了一種捷徑，使原來復(fù)雜的收集漏洞和披露計劃簡化，大幅度地降低了網(wǎng)絡(luò)安全的成本，增加了積極主動地內(nèi)部探測潛在的安全漏洞，減少網(wǎng)絡(luò)安全的威脅，使企業(yè)網(wǎng)絡(luò)系統(tǒng)給企業(yè)和用戶帶來穩(wěn)定健康的服務(wù)，發(fā)揮了安全應(yīng)急中心平臺的預(yù)期效果。

雖然平臺的實現(xiàn)如期獲得了一些成果，但由于團隊的實現(xiàn)時間的限制與技術(shù)水平的局限，在有些功能上還需要進一步的優(yōu)化。首先，平臺功能不夠完善。該平臺只實現(xiàn)了基本的相關(guān)功能，在功能上仍然有進步的空間。下一步將是根據(jù)具體的需求，進一步更新平臺的功能。其次，平臺代碼仍需要進行簡化。在平臺設(shè)計中，針對共同的代碼進行集成類，如數(shù)據(jù)庫連接等，但仍在平臺代碼中存在冗余，代碼在執(zhí)行過程中占用較多的資源和時間，還需要做進一步的代碼簡化。

參考文獻(xiàn)（References）

[1] 康玉婷，劉剛，張春柳.信息系統(tǒng)安全管理的問題和對策[J].電子技術(shù)與軟件工程，2017（10）：212-214.

[2] 白嘎力.安全應(yīng)急響應(yīng)中心（SRC）是如何運作的？[J].中國信息安全，2016（07）：61-62.

[3] Martin Zhou.企業(yè)安全應(yīng)急響應(yīng)系統(tǒng)[DB/OL].https：//github.com/martinzhou2015/SRCMS，2017-09-09.

[4] 趙糧.網(wǎng)絡(luò)安全應(yīng)急響應(yīng)的新常態(tài)[J].中國信息安全，2015（07）：

94-97.

[5] 張睿，李欣.基于PHP技術(shù)的自助建站系統(tǒng)的設(shè)計與實現(xiàn)[J].科技創(chuàng)新導(dǎo)報，2008（04）：42-43.

[6] MicheleE.Davis，JonA.Phillips.學(xué)習(xí)PHP和MySQL[M].北京：機械工業(yè)出版社，2008：179-190.

[7] Evi Nemeth Garth Snyder Trent R.Hein.Linux系統(tǒng)管理技術(shù)手冊（第2版英文版）[M].北京：人民郵電出版社，2007：9-15.

[8] 王俊芳，李隱峰，王池.基于MVC模式的ThinkPHP框架研究[J].電子科技，2014，27（04）：151-153；158.

作者簡介：

游林飛（1994-），男，本科生.研究領(lǐng)域：軟件開發(fā)，信息系統(tǒng).

林 章（1996-），男，本科生.研究領(lǐng)域：網(wǎng)絡(luò)安全.

岳凌鋒（1996-），男，本科生.研究領(lǐng)域：信息系統(tǒng).

鮑忠秀（1995-），男，本科生.研究領(lǐng)域：數(shù)據(jù)挖掘.

潘鐘強（1996-），男，本科生.研究領(lǐng)域：數(shù)據(jù)分析與處理.endprint