乾冠：移動管理平臺實現(xiàn)快速響應(yīng)

隨著政府信息化建設(shè)，蠕蟲（Worn）分布式拒絕服務(wù)攻擊（DDoS）和垃圾郵件（Spam）已經(jīng)成為當(dāng)今網(wǎng)絡(luò)安全領(lǐng)域面臨的三大威脅井在世界各國引起了高度的重視。其中分布式拒絕服務(wù)攻擊（DDoS）以容易實施、難以防范、難以追蹤等特點成為當(dāng)前最常見的網(wǎng)絡(luò)攻擊技術(shù)，極大地影響了網(wǎng)絡(luò)和業(yè)務(wù)主機系統(tǒng)提供有效的服務(wù)。

當(dāng)前存在的問題主要有兩方面：一是當(dāng)網(wǎng)站出現(xiàn)故障或者安全隱患時，運維人員往往很難在第一時間發(fā)現(xiàn)問題并做出應(yīng)急處理，嚴(yán)重地影響了網(wǎng)站的可用性與品牌形象權(quán)威性。二是傳統(tǒng)的網(wǎng)絡(luò)運維沒有規(guī)范化、體系化，導(dǎo)致難以有效管控安全事件處理進(jìn)度。

2015 年，CNCERT（國家互聯(lián)網(wǎng)應(yīng)急中心）通報了涉及政府機構(gòu)和重要信息系統(tǒng)部門的事件型漏洞近 2.4 萬起，約是 2014 年的 2.6 倍，網(wǎng)絡(luò)安全威脅繼續(xù)保持快速增長態(tài)勢。

2014年第一屆世界互聯(lián)網(wǎng)大會和2015年第二屆世界互聯(lián)網(wǎng)大會之后，2016年中國舉辦第三屆世界互聯(lián)網(wǎng)大會和G20峰會，中國正在成為國際黑客關(guān)注的目標(biāo)，尤其是中國政府網(wǎng)站將成為國際黑客攻擊的重點目標(biāo)。

因此，為確保中國政府網(wǎng)站的安全、高效、可持續(xù)運作，網(wǎng)站安全保障工作成為各級地方政府的重要任務(wù)之一。

浙江乾冠信息安全研究院CNCERT（國家互聯(lián)網(wǎng)應(yīng)急中心）通報了涉及政府機構(gòu)和重要信息系統(tǒng)部門的網(wǎng)站進(jìn)行了摸底排查，目前發(fā)現(xiàn)不少網(wǎng)站存在安全隱患，發(fā)現(xiàn)高危漏洞5個，中危和低危漏洞16個，網(wǎng)站故障率為20%。由此看來，一些政府單位的相關(guān)網(wǎng)站安全性面臨較大威脅，如何徹底排查、修復(fù)網(wǎng)站的安全問題，已成為現(xiàn)如今做好網(wǎng)絡(luò)安全維護(hù)工作最重要的部分，建立一套長效的網(wǎng)絡(luò)安全保證體系是當(dāng)務(wù)之急。

為此乾冠提出部署網(wǎng)絡(luò)安全應(yīng)急移動管理平臺體系的解決方案。該安全保障體系主要由網(wǎng)站監(jiān)測平臺、網(wǎng)站預(yù)警平臺、移動應(yīng)急指揮三部分構(gòu)成。實現(xiàn)“監(jiān)測、預(yù)警、服務(wù)”安全閉環(huán)式管理。

第一步，建立網(wǎng)站遠(yuǎn)程監(jiān)測平臺。網(wǎng)站監(jiān)測平臺是一套軟硬件一體化監(jiān)測平臺，已廣泛用于云平臺、網(wǎng)站和金融機構(gòu)，以云計算和數(shù)據(jù)集中化技術(shù)為依托，采用遠(yuǎn)程監(jiān)測方式對網(wǎng)站提供7×24小時實施安全監(jiān)測服務(wù)。

第二步，建立網(wǎng)站安全預(yù)警平臺。網(wǎng)站安全預(yù)警平臺是針對網(wǎng)站的漏洞、可用性、篡改、掛馬、暗鏈、壞鏈、DNS劫持、敏感字等進(jìn)行實時監(jiān)測和預(yù)警，在發(fā)生安全事件時，第一時間獲悉，并依據(jù)應(yīng)急預(yù)案及時作出應(yīng)對策略，最大限度減少網(wǎng)絡(luò)安全事件帶來的損失。

第三步，部署移動應(yīng)急處置平臺。當(dāng)出現(xiàn)一個安全事件后，為了及時和統(tǒng)一處理，以及跟蹤處理進(jìn)度，可以由網(wǎng)站監(jiān)測預(yù)警平臺或者由手機App安全軟件生成運維工單，每一個需要處理的故障告警均以運維工單的形式流轉(zhuǎn)，既方便統(tǒng)一指揮和跟蹤處理情況，也便于日后的統(tǒng)一總結(jié)分析。

每一個檢測到的告警，都會觸發(fā)對應(yīng)的流程。監(jiān)測中心嚴(yán)格執(zhí)行自己獨有的一套處理流程，并進(jìn)行精確管理：包括監(jiān)測告警處理流程、應(yīng)急相應(yīng)處理流程、監(jiān)測狀態(tài)報告流程。

監(jiān)測中心檢測到對應(yīng)安全事件，根據(jù)安全事件級別對應(yīng)不同的響應(yīng)。對于重大安全事件，給予第一時間響應(yīng)和應(yīng)急處理。根據(jù)事先制定好的應(yīng)急響應(yīng)流程和預(yù)案，先人工分析和確認(rèn)安全事件等級和類別，再調(diào)度對應(yīng)的應(yīng)急響應(yīng)和處理小組趕赴現(xiàn)場進(jìn)行應(yīng)急處理。