陳維新 中國(guó)移動(dòng)集團(tuán)浙江有限公司網(wǎng)絡(luò)部網(wǎng)管中心高級(jí)工程師

崔 晶 中國(guó)移動(dòng)集團(tuán)浙江有限公司網(wǎng)絡(luò)部網(wǎng)管中心工程師

霍 旺 中國(guó)移動(dòng)集團(tuán)浙江有限公司信息安全部高級(jí)工程師

1 引言

隨著信息化進(jìn)程的深入和互聯(lián)網(wǎng)的迅速發(fā)展，人們的工作、學(xué)習(xí)和生活方式正在發(fā)生巨大變化，但隨之而來的網(wǎng)絡(luò)安全問題日益突出，主要表現(xiàn)為拒絕服務(wù)攻擊、病毒木馬植入、網(wǎng)站篡改、漏洞利用等。安全事件的發(fā)生對(duì)網(wǎng)絡(luò)運(yùn)行造成嚴(yán)重的后果，如何保護(hù)安全資產(chǎn)的機(jī)密性、完整性、可用性一直以來都是安全工作的核心目標(biāo)，也是國(guó)家信息化戰(zhàn)略必須面臨和解決的問題。

對(duì)于運(yùn)營(yíng)商而言，在互聯(lián)網(wǎng)發(fā)展的背景下，CT向IT的轉(zhuǎn)型發(fā)展日益迫切，隨之帶來的可用性、完整性、機(jī)密性風(fēng)險(xiǎn)也日益凸顯，在重大活動(dòng)期間，安全事件頻發(fā)，尤其是網(wǎng)頁(yè)篡改事件，當(dāng)出現(xiàn)不良信息、反動(dòng)標(biāo)語(yǔ)、非法圖片等內(nèi)容時(shí)將帶來嚴(yán)重的社會(huì)影響。

如何建立一個(gè)全方位、立體式、高效率的安全應(yīng)急系統(tǒng)成為一個(gè)迫切需要解決的問題。本文提出基于應(yīng)急服務(wù)的一鍵應(yīng)急系統(tǒng)的構(gòu)建，旨在傳統(tǒng)的安全應(yīng)急響應(yīng)能力基礎(chǔ)上進(jìn)一步流程化和體系化，為安全運(yùn)維人員提供高效的應(yīng)急處置手段，實(shí)現(xiàn)面向各類安全保障等級(jí)的應(yīng)急處置模式。

2 安全應(yīng)急響應(yīng)概述

（1）應(yīng)急響應(yīng)

應(yīng)急響應(yīng)通常是指一個(gè)組織為了應(yīng)對(duì)各種突發(fā)意外事件的發(fā)生所做的準(zhǔn)備以及在事件發(fā)生后采取的措施和行動(dòng)。應(yīng)急響應(yīng)的對(duì)象則是針對(duì)安全事件。所謂安全事件是計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)上數(shù)據(jù)和信息的保密性、完整性，以及信息、應(yīng)用、服務(wù)和網(wǎng)絡(luò)等的可用性受到影響的事件。應(yīng)急響應(yīng)的內(nèi)容則是針對(duì)安全事件的響應(yīng)。所謂事件響應(yīng)，是指安全事件發(fā)生后采取的措施和行動(dòng)。這些措施和行動(dòng)通常是用于阻止該事件的發(fā)展和擴(kuò)大，降低事件帶來的負(fù)面影響。

（2）應(yīng)急響應(yīng)流程

在安全事件的處置過程中，應(yīng)急響應(yīng)流程尤為重要，但是要對(duì)一個(gè)安全事件做出合理的、準(zhǔn)確的、高效的響應(yīng)判斷則不是一件簡(jiǎn)單的事情，這不僅需要安全決策人員具有高層次的技術(shù)知識(shí)背景和豐富的安全處置經(jīng)驗(yàn)，還需要做好充足的技術(shù)監(jiān)測(cè)準(zhǔn)備以及各方人員的緊密協(xié)作。合理的應(yīng)急流程往往是經(jīng)過實(shí)踐檢驗(yàn)的、切實(shí)有效的處理方式，對(duì)于不同的安全事件能夠?qū)ふ姨幹霉残?，逐步?shí)現(xiàn)處置標(biāo)準(zhǔn)化。

在國(guó)際上，安全事件的應(yīng)急響應(yīng)通常分為6個(gè)階段，分別為準(zhǔn)備、檢測(cè)、抑制、根除、恢復(fù)、總結(jié)（見圖1）。

3 一鍵式應(yīng)急系統(tǒng)研究與設(shè)計(jì)

通過對(duì)應(yīng)急響應(yīng)方法學(xué)（PDCERF）的研究和總結(jié)，從以上各個(gè)階段的應(yīng)急流程分析，整個(gè)應(yīng)急響應(yīng)流程需要在合理、可靠的應(yīng)急策略指導(dǎo)下，根據(jù)事先確定的流程和方法下對(duì)安全事件做出有效的處理，尤其是在重大活動(dòng)保障期間，安全應(yīng)急流程的執(zhí)行效率要求更高，通過人為的梳理安全應(yīng)急預(yù)案已經(jīng)無(wú)法滿足應(yīng)急要求，急需一套高效的安全應(yīng)急系統(tǒng)對(duì)各類安全事件能夠做出準(zhǔn)確的分析和判斷，進(jìn)而做出高效的安全應(yīng)急處置。因此，一鍵應(yīng)急系統(tǒng)重點(diǎn)基于重大活動(dòng)期間的信息安全保障要求來構(gòu)建，同時(shí)能夠支持日常模式下的安全應(yīng)急流程。

圖1 安全應(yīng)急流程

3.1 背景與現(xiàn)狀

（1）活動(dòng)保障要求高

重大活動(dòng)涉及面廣，對(duì)信息系統(tǒng)的需求龐大而復(fù)雜，保障難度相對(duì)更大且關(guān)注度高，更加容易成為有意破壞的目標(biāo)，需要應(yīng)對(duì)的威脅種類更加多樣。按照保障經(jīng)驗(yàn)，一旦發(fā)現(xiàn)重大安全事件必須在30m in內(nèi)處置完成，對(duì)于網(wǎng)頁(yè)篡改事件則要求在10min內(nèi)完成處置，最大程度降低影響面。

（2）安全事件影響大

信息系統(tǒng)是當(dāng)前所有國(guó)內(nèi)外重要大型、特大型活動(dòng)的核心基礎(chǔ)保障，是外界對(duì)活動(dòng)進(jìn)行實(shí)時(shí)了解和關(guān)注的主要途徑，被大范圍人群廣泛使用和關(guān)注，影響面極大。信息系統(tǒng)的安全保障，直接影響到重大活動(dòng)的效果乃至活動(dòng)本身的成功與否。

（3）應(yīng)急處置效率低

當(dāng)發(fā)現(xiàn)網(wǎng)頁(yè)篡改、外部攻擊等安全事件時(shí)，往往缺乏有效的應(yīng)急處置手段，在事件的發(fā)現(xiàn)和確認(rèn)、處理人員的到位、設(shè)備登錄和處置等環(huán)節(jié)效率低。

對(duì)于公有云資源池往往通過防火墻虛擬化實(shí)現(xiàn)租戶的隔離，但是當(dāng)資源池面臨外部安全事件時(shí)，由于無(wú)法下發(fā)全局需要逐個(gè)虛墻操作，處置效率會(huì)大大降低

（4）防護(hù)手段較分散

安全設(shè)備相對(duì)分散，未能實(shí)現(xiàn)有效的集中管理、防護(hù)、處置，急需通過有效的集中處置手段來提升安全事件應(yīng)急管理，尤其在業(yè)務(wù)高度集中的資源池要求更高。

3.2 系統(tǒng)設(shè)計(jì)思路

基于安全背景和現(xiàn)狀，結(jié)合安全應(yīng)急響應(yīng)方法論，提出系統(tǒng)設(shè)計(jì)思路：通過一鍵式應(yīng)急系統(tǒng)的構(gòu)建，重點(diǎn)提升應(yīng)急響應(yīng)流程效率，實(shí)現(xiàn)從多人員到單人員，多流程到單流程，多工具到單工具的轉(zhuǎn)變，真正做到化繁為簡(jiǎn)。

以網(wǎng)頁(yè)篡改的應(yīng)急處置流程為例（見圖2），通過引入一鍵應(yīng)急處置系統(tǒng)后，人員、流程、工具都實(shí)現(xiàn)了歸一化，真正做到化繁為簡(jiǎn)，大大縮短應(yīng)急處置時(shí)間，減小安全事件帶來的影響和損失（見圖3）。

3.3 系統(tǒng)架構(gòu)及功能設(shè)計(jì)

在設(shè)計(jì)理念指引下，結(jié)合安全應(yīng)急技術(shù)，充分發(fā)揮管理與技術(shù)結(jié)合，不斷改進(jìn)應(yīng)急策略，進(jìn)而構(gòu)建一鍵式應(yīng)急響應(yīng)系統(tǒng)（見圖4）。

（1）安全設(shè)備池

安全設(shè)備池主要包括防火墻、路由器、交換機(jī)、入侵檢測(cè)設(shè)備、漏洞掃描設(shè)備、惡意程序檢測(cè)設(shè)備、僵木蠕檢測(cè)設(shè)備等，一鍵應(yīng)急系統(tǒng)作為支撐安全應(yīng)急響應(yīng)流程的核心系統(tǒng)，需要具備與各類安全設(shè)備的對(duì)接能力，能夠調(diào)用安全設(shè)備的檢測(cè)能力、阻斷能力、查殺能力、加固能力等。

（2）采集層能力

采集層主要通過任務(wù)調(diào)度方式通過前臺(tái)界面下發(fā)操作指令，并通過ssh、telnet、4A等通道登錄設(shè)備進(jìn)行指令下發(fā)，并能夠獲取下發(fā)成功狀態(tài)和配置校驗(yàn)。事件采集接口能夠通過syslog、數(shù)據(jù)庫(kù)等接口從安全設(shè)備和外部網(wǎng)元獲取安全事件告警日志，為應(yīng)急策略模塊提供數(shù)據(jù)分析來源。

（3）控制層能力

控制層的設(shè)計(jì)從應(yīng)急響應(yīng)流程為出發(fā)點(diǎn)，結(jié)合安全應(yīng)急響應(yīng)技術(shù)和系統(tǒng)自身管理要求，構(gòu)建了十大能力，分別是事件取證、工單派發(fā)、策略控制、事件管理、系統(tǒng)安全、智能判斷、資產(chǎn)管理、地址溯源、處置聯(lián)動(dòng)、入口管理。

●事件取證能力

事件取證能力屬于取證技術(shù)的一種，主要?dú)w類為信息發(fā)現(xiàn)技術(shù)，對(duì)能夠獲取的原始日志做進(jìn)一步的分析和關(guān)聯(lián)判斷，如在入侵事件發(fā)生時(shí)段內(nèi)資產(chǎn)的系統(tǒng)負(fù)荷、系統(tǒng)的訪問記錄、IP來源。同時(shí)，能夠支持攻擊、入侵、篡改等安全事件發(fā)生后的取證能力，包括頁(yè)面內(nèi)容獲取與比對(duì)、文件快照等。

●事件管理能力

圖2 傳統(tǒng)的網(wǎng)頁(yè)篡改應(yīng)急流程

安全事件主要由安全設(shè)備分析后上報(bào)的事件以及人工發(fā)現(xiàn)的安全事件，事件管理模塊支持各類安全事件的集中接入和解析呈現(xiàn)，如IDS、DDoS、僵木蠕、惡意程序等，并能夠?qū)Π踩录龀醪降臍w一化處理，支持重大安全事件的短信告警和應(yīng)急上報(bào)流程。

●資產(chǎn)關(guān)聯(lián)能力

資產(chǎn)關(guān)聯(lián)能力能夠與組織內(nèi)的配置管理系統(tǒng)、資產(chǎn)管理系統(tǒng)進(jìn)行資產(chǎn)同步，在發(fā)現(xiàn)安全事件告警后能夠準(zhǔn)確地定位到資產(chǎn)的詳細(xì)信息和責(zé)任人，如安全資產(chǎn)的價(jià)值、安全資產(chǎn)所屬的安全域信息，以便進(jìn)一步做出應(yīng)急處置判斷。

●處置聯(lián)動(dòng)能力

支持與垃圾短信平臺(tái)、詐騙電話平臺(tái)、僵木蠕平臺(tái)、惡意程序監(jiān)控平臺(tái)、DDoS檢測(cè)清洗平臺(tái)、DNS平臺(tái)等多個(gè)安全平臺(tái)對(duì)接，實(shí)現(xiàn)多業(yè)務(wù)聯(lián)動(dòng)處置，例如一鍵應(yīng)急平臺(tái)獲取惡意程序平臺(tái)的url，能夠通過接口將url同步至垃圾短信平臺(tái)做加黑處理，也支持調(diào)用DNS接口將url的域名做本地解析處理，做到人員、技術(shù)、平臺(tái)多維度聯(lián)動(dòng)。

●智能判斷能力

支持地址及url多種方式輸入，當(dāng)選擇相應(yīng)的應(yīng)急功能后能夠自動(dòng)適配操作對(duì)象，并智能生成操作指令。在指令下發(fā)過程中如果出現(xiàn)各類報(bào)錯(cuò)或者通道異常，通過業(yè)務(wù)控制層對(duì)異常流程的處理，形成準(zhǔn)確的操作提示，并支持回滾和補(bǔ)發(fā)，更好地體現(xiàn)平臺(tái)的智能化。

●地址溯源能力

地址溯源屬于網(wǎng)絡(luò)追蹤技術(shù)的一種形態(tài)，網(wǎng)絡(luò)追蹤技術(shù)是指通過收集分析網(wǎng)絡(luò)中每臺(tái)主機(jī)的有關(guān)信息，找到事件發(fā)生的源頭，確定攻擊者的網(wǎng)絡(luò)地址以及展開攻擊的路徑，將攻擊者在網(wǎng)絡(luò)中的活動(dòng)軌跡進(jìn)行串接，支持公網(wǎng)IP溯源，展示攻擊來源；支持內(nèi)網(wǎng)IP溯源，展現(xiàn)資產(chǎn)歸屬、設(shè)備名稱；通過地址的溯源，能夠準(zhǔn)確分析惡意軟件、DDoS攻擊等安全事件路徑，為實(shí)現(xiàn)近源攔截提供技術(shù)支撐。

圖3 一鍵式應(yīng)急網(wǎng)頁(yè)篡改處置流程

●工單派發(fā)能力

安全事件集中接入后，安全事件信息可通過一鍵應(yīng)急平臺(tái)統(tǒng)一派發(fā)，由業(yè)務(wù)負(fù)責(zé)人確認(rèn)是否需要處置，在重大活動(dòng)保障期間，可由監(jiān)控人員直接處置完成后通過工單形式通知。

●策略控制能力

支持日常處置模式和應(yīng)急處置模式，日常處置模式主要通過人工判斷安全事件影響，由監(jiān)控人員手動(dòng)實(shí)現(xiàn)阻斷指令下發(fā)；應(yīng)急處置模式主要通過預(yù)置安全事件判斷規(guī)則，當(dāng)接收到的告警達(dá)到一定閥值自動(dòng)觸發(fā)阻斷。規(guī)則包括事件的風(fēng)險(xiǎn)等級(jí)，事件的發(fā)生頻率，并結(jié)合資產(chǎn)重要性和資產(chǎn)脆弱性來判斷。

●入口管理能力

系統(tǒng)支持多入口管理，入口的開放可通過開關(guān)設(shè)置，主要包括手持APP、微信版、PC版、大屏等，確保系統(tǒng)在保障期間的多通道應(yīng)急響應(yīng)

●系統(tǒng)安全能力

作為一個(gè)安全類應(yīng)急處置平臺(tái)，需要具備自身的安全性要求，同時(shí)考慮到安全處置流程屬于涉現(xiàn)操作，封堵攔截等操作需要嚴(yán)格的權(quán)限審批和角色控制，尤其是在對(duì)核心路由器的封堵操作需要引起關(guān)注，因此需要做好角色控制、權(quán)限管理、合規(guī)管理；不同的用戶分配至不同的用戶組，用戶組授予不同的權(quán)限，權(quán)限可按模塊、子功能、按鈕等操作，確保操作安全性，同時(shí)需要定期加固系統(tǒng)自身弱點(diǎn)。

（4）應(yīng)急服務(wù)層

應(yīng)急服務(wù)層設(shè)計(jì)遵循技術(shù)驅(qū)動(dòng)向服務(wù)驅(qū)動(dòng)轉(zhuǎn)變的理念，控制層通過對(duì)安全能力進(jìn)行整合及封裝提供給應(yīng)急服務(wù)層調(diào)用，實(shí)現(xiàn)安全事件的檢測(cè)、分析、抑制、根除等多個(gè)應(yīng)急響應(yīng)流程的閉環(huán)處理，應(yīng)急服務(wù)層提供各類應(yīng)急場(chǎng)景，如網(wǎng)頁(yè)篡改應(yīng)急、IDS安全事件應(yīng)急、DDoS事件應(yīng)急、DNS事件應(yīng)急、僵木蠕應(yīng)急、惡意程序應(yīng)急等。對(duì)于不同的服務(wù)在抑制環(huán)節(jié)可能會(huì)采用相同的處置方式，如在核心路由器設(shè)置黑洞路由，在邊界防火墻配置acl策略，以阻斷網(wǎng)絡(luò)層的訪問。

以網(wǎng)頁(yè)篡改應(yīng)急為例，網(wǎng)頁(yè)篡改在重大活動(dòng)保障期間屬于重中之重，其一鍵應(yīng)急處置實(shí)現(xiàn)方案如圖5所示，一鍵應(yīng)急平臺(tái)下發(fā)路由器黑洞路由，確保外部所有上網(wǎng)用戶無(wú)法訪問被篡改網(wǎng)站；一鍵應(yīng)急平臺(tái)還可通過下發(fā)防火墻策略，對(duì)篡改網(wǎng)站內(nèi)網(wǎng)地址（目的地址）進(jìn)行封堵，禁止外部所有上網(wǎng)用戶訪問被篡改網(wǎng)站。

應(yīng)急服務(wù)層除提供抑制手段外，通過對(duì)安全設(shè)備能力的調(diào)用，還具備一鍵加固、一鍵修復(fù)、一鍵查殺、一鍵切換等功能，實(shí)現(xiàn)應(yīng)急響應(yīng)全流程的閉環(huán)處置，通過系統(tǒng)界面的開放，真正實(shí)現(xiàn)一鍵操作。由于篇幅問題，其他功能不再展開描述。

4 應(yīng)用效果

通過一鍵式應(yīng)急系統(tǒng)的建設(shè)，實(shí)現(xiàn)了監(jiān)控人員對(duì)安全事件的集中處置，在重大會(huì)議保障期間，當(dāng)產(chǎn)生網(wǎng)頁(yè)篡改、入侵攻擊等安全事件告警后，監(jiān)控人員能夠第一時(shí)間進(jìn)行封堵處置，將原來人工處置流程的時(shí)間由30m in縮短為3m in以內(nèi)，大大縮短了安全事件應(yīng)急處理時(shí)間，遏制了安全風(fēng)險(xiǎn)的進(jìn)一步擴(kuò)散；從傳播學(xué)的角度分析，對(duì)于一個(gè)重要網(wǎng)站發(fā)生篡改后，減少的27min處置時(shí)間相當(dāng)于挽回了百萬(wàn)用戶級(jí)的篡改頁(yè)面?zhèn)鞑ビ绊憽?/p>

圖4 一鍵式應(yīng)急系統(tǒng)架構(gòu)

圖5 網(wǎng)頁(yè)篡改一鍵式應(yīng)急實(shí)現(xiàn)方案

5 結(jié)束語(yǔ)

本文提出了一種基于應(yīng)急響應(yīng)流程的網(wǎng)絡(luò)安全一鍵式應(yīng)急系統(tǒng)的實(shí)現(xiàn)方法，通過對(duì)安全設(shè)備能力的調(diào)用和策略控制為上層提供應(yīng)急服務(wù)，并貫穿于整個(gè)應(yīng)急響應(yīng)的生命周期，系統(tǒng)設(shè)計(jì)體現(xiàn)SOA理念，不僅實(shí)現(xiàn)了安全能力的集中調(diào)用，還引入事件取證、資產(chǎn)管理、地址溯源等功能模塊。通過一鍵式應(yīng)急系統(tǒng)的構(gòu)建，真正實(shí)現(xiàn)從多人員到單人員、從多流程到單流程、從多工具到單工具的應(yīng)急處置模式轉(zhuǎn)變，對(duì)安全應(yīng)急系統(tǒng)的創(chuàng)新具有一定的現(xiàn)實(shí)意義。

[1]劉寶旭,馬建民,池亞平.計(jì)算機(jī)網(wǎng)絡(luò)安全應(yīng)急響應(yīng)技術(shù)的分析與研究[J].計(jì)算機(jī)工程,2007(10):128-130.

[2]王紅艷,張艷麗,李玉鵬.基于BPM的網(wǎng)絡(luò)安全應(yīng)急響應(yīng)協(xié)同系統(tǒng)設(shè)計(jì)[J].信息網(wǎng)絡(luò)安全,2014(09):123-126.

[3]馬洪雷.基于CBR的網(wǎng)絡(luò)安全應(yīng)急響應(yīng)系統(tǒng)的分析與設(shè)計(jì)[D].上海交通大學(xué),2010.