安全應急響應中心平臺的設計與實現

游林飛　林章　岳凌鋒　鮑忠秀　潘鐘強

摘 要：隨著網絡技術的迅速發展和普及，網絡安全已經成為企業必不可少的環節。本文通對現有企業網絡安全的調查和分析，結合企業網絡安全的要求與平臺功能需求，采用B/S結構模塊化設計的基本思路，設計實現了一個基于PHP的網絡安全應急響應中心，為企業實現漏洞收集和披露計劃。因此，建立適合中小企業的網絡安全應急響應中心平臺具有十分重要的現實意義。

關鍵詞：網絡安全；漏洞收集；披露計劃；應急響應平臺

中圖分類號：TP311 文獻標識碼：A

Abstract：With the rapid development and popularization of network technology，network security has become an indispensable part of enterprises.This paper investigates and analyzes the network security of existing enterprises，and combines the requirements of enterprise network security and the functional requirements of the platform，the basic idea of modular design of B/S structure is adopted.The design realizes the network security emergency response center based on PHP and realizes the enterprise's vulnerability collection and disclosure plan.Therefore，it is of great practical significance to establish a network security emergency response center platform suitable for small and medium-sized enterprises.

Keywords：network security；vulnerability collection；disclosure plan；security response center

1 引言（Introduction）

近年來，黑客攻擊越來越頻繁，企業網絡安全也變得極其重要。企業安全應急響應中心，一般起著對外發布企業突發安全事件處理動態，作為企業與熱心用戶和白帽黑客溝通反饋的平臺，以及對外發布企業信息安全團隊研究成果的重要作用，為互聯網用戶能夠直接訪問到企業網絡安全保護體系提供途徑，同時也是協調企業各部門及時響應安全事件的工作重點。實現屬于中小企業的安全應急響應中心平臺，有助于其完善網絡安全保護體系[1]。

2 安全應急響應中心的基本含義（Basic concept of

the security emergency response center）

安全應急響應中心是企業用于對外接收來自用戶發現并報告的產品缺陷的站點。目前主要有兩種實現方式。

2.1 漏洞報告平臺

漏洞報告平臺是指由獨立的第三方公司或機構成立綜合性的“安全應急響應中心”。國內補天平臺、漏洞盒子平臺，以及據此衍生的Sobug眾測平臺等均屬于該模式。外部報告者注冊對應漏洞報告平臺選擇對應的廠商進行報送，接著該第三方機構會發送郵件提示相關廠商確認處理。這種方法的缺陷十分明顯。廠商的歷史漏洞信息完全暴露給第三方機構，報告中涉及的企業內部大量敏感信息因此外泄，喪失私密性[2]。

2.2 xSRC模式

xSRC模式是指：企業自己分配工程師開發屬于自身的安全應急響應中心，制定自己的漏洞收集和披露計劃。目前包括Google、Microsoft、騰訊、阿里巴巴和百度等，均成立了自己的安全應急響應中心，對外收集并處理安全研究員報送的漏洞報告。使用這種模式，企業在漏洞的收集和披露過程中完全掌控了主動性，擁有良好的私密性和可定制性[3]。

3 建立安全應急響應中心的重要性和必要性（The

近年來黑客攻擊頻發，企業信息安全已經愈來愈受到重視。大型企業的業務模式多，涉及的產品也多，特別是互聯網業務講究小步快跑敏捷迭代，往往忽視了安全檢查或者來不及進行細致的安全檢查，同時安全系統本身是程序，也會存在各種遺漏。因為互聯網業務的在線特性，使得使用互聯網的人都能夠接觸到。相對于傳統業務，被攻擊面擴大，所以更容易被善意的、惡意的或者無意的人發現漏洞。如果漏洞被利用或者在黑市交易，對企業和用戶是極大危害的[3]。

縱觀國內外，Google、微軟、阿里巴巴、騰訊、小米、網易等知名互聯網公司都已經建立各自的應急響應中心，并在推出以后取得了良好的效果，對企業安全有了巨大的協調和推動作用[1]。可以把安全應急響應中心看成一種安全能力或者產品。由一個安全應急響應中心服務商來為沒有資源建設安全應急響應中心的企業整合資源，提供安全應急響應中心平臺，這就是云安全應急響應中心了。

4 安全應急響應中心平臺的需求分析（Requirements

需求分析（Requirements Analysis）是系統分析員和軟件工程師在創建新的系統時，確定顧客的需要，包含基本需求、整體框架、設計目標、設計原則、系統功能、可行性分析等。需求分析是一系列活動的組成，包含需要解決問題的具體方法及確定系統實施方法必須采取的行動等。

4.1 總體需求

由于“漏洞報告平臺”模式在實現過程中操作運營的規范問題，外加越來越多的魚龍混雜的第三方企業和機構的介入，甚至出現了漏洞報告平臺泄漏企業敏感信息，從而導致企業因此被攻擊的案例。另一方面，出于私密性和可定制性的考慮，大多數互聯網企業均傾向于選擇“xSRC”模式。作為互聯網企業安全防護體系中用戶所能直接接觸到的門面，同時也作為協調企業各部門對安全事件做出及時積極響應的工作中心，企業制定長遠的戰略性規劃，建立安全應急響應中心能夠更直觀地了解到企業網絡安全情況[3]。endprint

企業對安全應急響應中心平臺的總體需求是：①漏洞提交與管理；②安全公告管理；③研究博客管理；④貢獻管理；⑤用戶管理；⑥平臺設置。

基于以上原因，本文開發安全應急響應中心平臺，提供企業常用的網絡安全應急響應功能，建立屬于中小企業的安全應急中心平臺[4]。

4.2 平臺實現的原則

4.2.1 可操作

該平臺主要面向中小企業。因此，在平臺的操作上盡可能簡單明了，沒有復雜的操作，同時保證平臺的穩定運行。

4.2.2 安全

該平臺是通過瀏覽器訪問互聯網使用，因此系統在設計上全面考慮用戶權限設置，并配備必要的網絡安全設備確保平臺安全[5]。

4.2.3 高效

雖然該平臺的流量不多，但是通過網絡來訪問用戶存在不確定性，因此應該具備較好的網絡服務器性能并配置高性能的Web服務。

4.2.4 可擴展

雖然中小企業網絡安全是大體相同的，但不同企業的需求必然有其特殊的地方，因此平臺應該具有二次開發的功能，更好地進行平臺升級優化。

5 安全應急響應中心平臺數據庫設計（Database

design of the security emergency response center

platform）

通過對上述平臺要求的分析，給出了數據庫設計、平臺數據庫關鍵的信息表，如圖1所示。

平臺的推薦運行環境是Apache+MySQL+PHP[6]（5.3及以上），在安裝和使用平臺之前確保已經具備運行環境。若是Linux系統的服務器，在使用前確保為平臺運行的環境目錄分配了足夠的讀寫權限[7]，保證ThinkPHP框架[8]文件正常加載或Runtime緩存目錄正常生成，以上都是平臺穩定運行的前提條件。

配置環境后，請將平臺目錄的源代碼程序全部解壓縮至網站目錄下。

9 結論（Conclusion）

本系統為中小企業的網絡安全需求提供了一種捷徑，使原來復雜的收集漏洞和披露計劃簡化，大幅度地降低了網絡安全的成本，增加了積極主動地內部探測潛在的安全漏洞，減少網絡安全的威脅，使企業網絡系統給企業和用戶帶來穩定健康的服務，發揮了安全應急中心平臺的預期效果。

雖然平臺的實現如期獲得了一些成果，但由于團隊的實現時間的限制與技術水平的局限，在有些功能上還需要進一步的優化。首先，平臺功能不夠完善。該平臺只實現了基本的相關功能，在功能上仍然有進步的空間。下一步將是根據具體的需求，進一步更新平臺的功能。其次，平臺代碼仍需要進行簡化。在平臺設計中，針對共同的代碼進行集成類，如數據庫連接等，但仍在平臺代碼中存在冗余，代碼在執行過程中占用較多的資源和時間，還需要做進一步的代碼簡化。

參考文獻（References）

[1] 康玉婷，劉剛，張春柳.信息系統安全管理的問題和對策[J].電子技術與軟件工程，2017（10）：212-214.

[2] 白嘎力.安全應急響應中心（SRC）是如何運作的？[J].中國信息安全，2016（07）：61-62.

[3] Martin Zhou.企業安全應急響應系統[DB/OL].https：//github.com/martinzhou2015/SRCMS，2017-09-09.

[4] 趙糧.網絡安全應急響應的新常態[J].中國信息安全，2015（07）：

94-97.

[5] 張睿，李欣.基于PHP技術的自助建站系統的設計與實現[J].科技創新導報，2008（04）：42-43.

[6] MicheleE.Davis，JonA.Phillips.學習PHP和MySQL[M].北京：機械工業出版社，2008：179-190.

[7] Evi Nemeth Garth Snyder Trent R.Hein.Linux系統管理技術手冊（第2版英文版）[M].北京：人民郵電出版社，2007：9-15.

[8] 王俊芳，李隱峰，王池.基于MVC模式的ThinkPHP框架研究[J].電子科技，2014，27（04）：151-153；158.

作者簡介：

游林飛（1994-），男，本科生.研究領域：軟件開發，信息系統.

林 章（1996-），男，本科生.研究領域：網絡安全.

岳凌鋒（1996-），男，本科生.研究領域：信息系統.

鮑忠秀（1995-），男，本科生.研究領域：數據挖掘.

潘鐘強（1996-），男，本科生.研究領域：數據分析與處理.endprint