【51CTO.com 獨家特稿】在“拯救網(wǎng)站運維經(jīng)理趙明活動”開始后，龐曉智為我們投來了一個防護覆蓋面最廣的一個解決方案。

一、 攻擊事件背景

深夜，某網(wǎng)站運維經(jīng)理趙明正戴著耳麥趴在桌子上接到一個匿名電話，緊接著隨即打開了公司的首頁，發(fā)現(xiàn)公司網(wǎng)站被黑客非法入侵。整個屏幕赫然留下了幾個血紅色的英文字母“The evil is coming，We will be back”。公司依托網(wǎng)站運行的業(yè)務被迫中斷，客戶部第九次進行投訴，運營總監(jiān)一臉陰沉...

二、 安全技術現(xiàn)狀分析

1、 趙明所在公司目前網(wǎng)站結構拓撲圖如下：  

2、 交換網(wǎng)絡安全現(xiàn)狀

目前僅有一臺交換機部署在WEB應用服務器和數(shù)據(jù)庫服務器之間，WEB服務器和數(shù)據(jù)庫服務器不能很好的進行邏輯隔離。盡管通過交換機ACL功能可實現(xiàn)對數(shù)據(jù)庫服務器、文件服務器的訪問控制。但控制能力較弱，因為基于交換機的ACL功能只能實現(xiàn)簡單的包過濾訪問策略，并不能實現(xiàn)基于狀態(tài)分析的訪問控制，黑客很容易通過偽造TCP報文輕松繞過交換機。一旦WEB服務器遭受入侵，承載著公司重要業(yè)務數(shù)據(jù)的數(shù)據(jù)庫服務器即成為下一個攻擊目標。

3、 邊界網(wǎng)絡安全現(xiàn)狀

通過網(wǎng)絡拓撲可知，WEB服務器是直接暴露在互聯(lián)網(wǎng)之外的，沒有劃分專門的DMZ區(qū)部署WEB應用。網(wǎng)絡邊界并沒有部署任何的防火墻防護，來自外界的訪問者可任意訪問公司內(nèi)部服務器。由于缺乏防火墻的邊界防護，無法對不同信任程度區(qū)域間傳送的數(shù)據(jù)流進行基于上下文的訪問控制，無法通過NAT地址轉(zhuǎn)換保護內(nèi)網(wǎng)的機器，無法防御各種IP/端口掃描、路由欺騙攻擊、由TCP/UDP Flood、ICMP Flood、Ping of Death引起的DOS/DDOS攻擊等等。

4、 應用層網(wǎng)絡安全現(xiàn)狀

網(wǎng)絡中并沒部署入侵檢測系統(tǒng)或入侵防御系統(tǒng)，無法對一些基于應用層的攻擊如常見的SQL注入攻擊、腳本攻擊、cookies欺騙進行入侵檢測、行為阻斷和實時報警等。

5、 內(nèi)網(wǎng)客戶端安全現(xiàn)狀

內(nèi)網(wǎng)客戶端沒有實施安全終端控制，服務器口令隨意存放、內(nèi)部員工P2P文件共享工具濫用、病毒木馬感染四處肆虐，發(fā)送郵件不經(jīng)意攜帶機密信息，最終導致公司敏感信息泄露。

6、 主機安全現(xiàn)狀

主機安全策略沒有經(jīng)過嚴格的設置，或僅保留默認配置策略，往往給入侵者帶來了極大的‘后門’。如常見的賬戶弱口令、遠程使用基于明文的Telnet管理、文件夾權限過大、默認賬號未禁用、系統(tǒng)補丁未安裝而引致安全漏洞等等。

7、 應用程序安全現(xiàn)狀

從本次的安全事件可以了解到，出現(xiàn)問題的正是網(wǎng)站頁面被非法篡改。經(jīng)推測可能正是應用程序(即網(wǎng)站程序)出現(xiàn)了SQL注入漏洞、跨站腳本漏洞、目錄遍歷、CRLF注入漏洞等安全隱患被入侵者發(fā)現(xiàn)，然而沒有相應的安全防護設備進行攻擊防御，加上主機安全策略配置不當，客戶端泄露敏感信息，主頁頁面被非法篡改后無法及時進行有效的恢復，最終導致公司網(wǎng)站被黑客入侵的網(wǎng)絡安全事故發(fā)生。#p#

三、 安全整改及加固方案

1、 總體安全體系設計

從中我們可以看出，網(wǎng)絡安全事件的發(fā)生并不是‘臨時性即意’發(fā)生的，他是由交換網(wǎng)絡、邊界防護、應用層防護、主機防護、應用程序防護、客戶端防護等多個方面的技術安全域管控不嚴而導致的，是一個從量變到質(zhì)變的過程。因此，我們可以說網(wǎng)絡安全是一個動態(tài)的概念，網(wǎng)絡的動態(tài)安全模型能夠提供給用戶更完整、更合理的安全機制，全網(wǎng)動態(tài)安全體系可由下面的公式概括：網(wǎng)絡安全(S) = 風險分析(A)+ 制定策略(P) + 系統(tǒng)防護(P) + 實時監(jiān)測(D) + 實時響應(R) + 災難恢復(R)。

圖1：APPDRR動態(tài)安全模型

以下提供的安全整改方案正是基于APPDRR模型構建的，符合網(wǎng)絡安全系統(tǒng)整體性和動態(tài)性的特點。它集各種安全技術產(chǎn)品和安全技術措施于一體，將多種網(wǎng)絡安全技術有機集成，實現(xiàn)安全產(chǎn)品之間的互通與聯(lián)動，是一個統(tǒng)一的、可擴展的安全體系平臺。

2、 信息安全風險評估(Assessment)

信息系統(tǒng)安全風險評估是通過對資產(chǎn)、脆弱性和威脅來綜合評估分析系統(tǒng)面臨的安全風險，對所發(fā)現(xiàn)風險提供相關的處理建議。風險評估是風險管理的重要組成部分，是信息安全工作中的重要一環(huán)。根據(jù)組織安全風險評估報告和安全現(xiàn)狀，提出相應的安全建議，才能指導下一步的信息安全建設。

網(wǎng)站被黑的問題在哪，黑客用什么手段入侵，哪些服務器存在安全隱患，源頭在哪？必須首先進行信息安全風險評估。通過采集本地安全信息，獲得目前操作系統(tǒng)安全、網(wǎng)絡設備、各種安全管理、安全控制安全策略、應用系統(tǒng)、業(yè)務系統(tǒng)等方面的數(shù)據(jù)，并進行相應的分析，最終找出問題根源所在，可能是WEB網(wǎng)站的代碼有程序設計缺陷，也可能是服務器的口令被暴力破解，問題可能是一個或者是多個。通過對各種挖掘出來的弱點進行高中低風險排序，認清不同的弱點能帶來什么程度的風險，并在下一步的風險策略中進行風險處置。

注：為什么方案設計在一開始就要強調(diào)找問題。頭疼醫(yī)頭，腳疼醫(yī)腳，如果一上來就推薦安全產(chǎn)品，那只能是遠水救火，無法從整體角度上有效解決信息安全問題。

3、 安全整改策略制定(Policy)

針對在風險評估中找出的所有安全弱點，建議在以下幾個方面進行安全整改：

#p#

4、 安全整改方案實施(Protection)

4.1 網(wǎng)站源代碼整改  

◆通過對WEB源代碼審計(Web Application Source Code Audits)，對已發(fā)現(xiàn)的腳本漏洞進行修補，包括替換篡改頁面、清除掛馬頁面、填補安全漏洞(包括跨站腳本、目錄遍歷、SQL注入、CRLF注入、物理路徑泄露、應用錯誤信息、腳本源碼泄露等)。

4.2 主機系統(tǒng)配置加固  

◆主機系統(tǒng)包括操作系統(tǒng)、中間件和數(shù)據(jù)庫。  

◆操作系統(tǒng)安全加固：包括Windwos、、Linux、Unix等類型的服務器操作系統(tǒng)安全加固、漏洞修補。其中加固項包括：用戶賬號和密碼策略、遠程登錄限制和加密選項、重要目錄和文件權限限制、注冊表權限設置(win)、多余賬號和文件清除、抗DDOS攻擊設置、關閉不必要的系統(tǒng)服務、系統(tǒng)補丁及時安裝、日志審計等。  

◆中間件安全加固：包括IIS、Apache、Tomcat、weblogic、websphere等類型的WEB中間件的安全加固、漏洞修補。其中加固項包括：用戶賬號和密碼策略、加密傳輸設置、Socket數(shù)量限制、錯誤頁面處理、默認端口更改、漏洞補丁包安裝等。  

◆數(shù)據(jù)庫安全加固：包括MSSQL、MYSQL、Oracle、DB2等類型的數(shù)據(jù)庫安全加固、漏洞修補。其中加固項包括：用戶賬號和密碼策略、遠程登錄限制和加密選項、監(jiān)聽端口設置、啟用審計功能、安全更新包安裝、存儲過程控制使用。  

◆實際實施中應根據(jù)不同的操作系統(tǒng)、中間件和數(shù)據(jù)庫類型進行有的放矢的專項加固。因暫無了解趙明公司服務器的類型，故本文只在這里起拋磚引玉的作用。

4.3網(wǎng)絡安全產(chǎn)品部署

本方案設計采用Juniper Netscreen系列防火墻作為邊界防護，主要負責提供OSI第4層以下的基本安全環(huán)境和高速轉(zhuǎn)發(fā)能力，而采用啟明星辰入侵防御系統(tǒng)對OSI第4-7層流量的細粒度控制。采用IGuard網(wǎng)頁防篡改系統(tǒng)對網(wǎng)站應用程序文件進行內(nèi)核級的文件保護功能。

Juniper Netscreen產(chǎn)品介紹：  

NetScreen 系列安全系統(tǒng)是專用防火墻安全系統(tǒng)，專為大中型企業(yè)、電信運營商和數(shù)據(jù)中心網(wǎng)絡而設計。NetScreen在一個超薄模塊化機箱內(nèi)集成了防火墻、VPN、DoS 和 DDoS 保護，以及流量管理功能。這些系統(tǒng)構建于我們的第三代安全 ASIC 和分布式系統(tǒng)架構之上，可提供出色的可擴展性與靈活性，同時通過 NetScreen ScreenOS 定制操作系統(tǒng)可提供更高的安全性。

產(chǎn)品亮點總結：

1、支持安全域劃分，訪問控制策略對象管理，ASIC芯片設計，高性能防火墻的代表(和x86架構的防火墻不在同一個級別)

2、基于模塊化設計，豐富的安全防御特性，日后根據(jù)需要還可以添加防垃圾郵件網(wǎng)關、防病毒網(wǎng)關模塊和IDS模塊功能。

啟明星辰入侵防御系統(tǒng)產(chǎn)品介紹：  

天清入侵防御系統(tǒng)（Intrusion Prevention System）是啟明星辰自行研制開發(fā)的入侵防御類網(wǎng)絡安全產(chǎn)品，圍繞深層防御、精確阻斷這個核心，通過對網(wǎng)絡中深層攻擊行為進行準確的分析判斷，在判定為攻擊行為后立即予以阻斷，主動而有效的保護網(wǎng)絡的安全。  

天清入侵防御系統(tǒng)采用的高效協(xié)議自識別方法——VFPR (Venus Fast Protocol Recognition)，該協(xié)議自識別方法基于協(xié)議指紋識別和協(xié)議規(guī)則驗證技術實現(xiàn)，能夠在網(wǎng)絡協(xié)議通信初期根據(jù)前期網(wǎng)絡報文特征自動識別所屬協(xié)議類型，并采用預先建立的協(xié)議驗證規(guī)則進一步驗證協(xié)議識別結果正確性。對SQL注入、跨腳本攻擊等針對WEB業(yè)務的攻擊行為有很好的判斷和防御能力，和傳統(tǒng)學術界以及產(chǎn)業(yè)界的技術相比，可以做到無誤報，無漏報。

系統(tǒng)融合了基于攻擊躲避原理的阻斷方法與基于攻擊特征的阻斷方法，不但有效提高了對各種深層攻擊行為的識別能力，而且對攻擊變種、異形攻擊等無法通過特征判斷的攻擊行為也能實現(xiàn)精確阻斷。天清入侵防御系統(tǒng)的檢測防御規(guī)則庫全面兼容CVE和CNCVE，對用戶而言，提供了更詳細了解網(wǎng)絡中發(fā)生行為的機會。

天清入侵防御系統(tǒng)（IPS）融入了啟明星辰公司在入侵攻擊識別方面的積累和研究成果，使其在精確阻斷方面達到國際領先水平，不僅可以對網(wǎng)絡蠕蟲、間諜軟件、溢出攻擊、數(shù)據(jù)庫攻擊等多種深層攻擊行為進行主動阻斷，而且能夠有效的防御像SQL注入、跨站腳本攻擊這些針對應用業(yè)務的攻擊行為，彌補了其它安全產(chǎn)品深層防御效果的不足。

產(chǎn)品亮點總結：

1、采用基于協(xié)議指紋識別和協(xié)議規(guī)則驗證技術的VFPR協(xié)議自識別方法， WEB業(yè)務深層防御能力較強。

2、系統(tǒng)融合了基于攻擊躲避原理的阻斷方法與基于攻擊特征的阻斷方法，檢測防御規(guī)則庫兼容CVE（Common Vulnerabilities and Exposures，國際通用漏洞披露庫），精確阻斷達到國際領先水平。

iGuard網(wǎng)頁防篡改系統(tǒng)：  

采用先進的核心內(nèi)嵌技術

上海天存信息有限公司推出的iGuard網(wǎng)頁防篡改系統(tǒng)采用先進的Web服務器核心內(nèi)嵌技術，將篡改檢測模塊（數(shù)字水印技術）和應用防護模塊（防注入攻擊）內(nèi)嵌于Web服務器內(nèi)部，并輔助以增強型事件觸發(fā)檢測技術，不僅實現(xiàn)了對靜態(tài)網(wǎng)頁和腳本的實時檢測和恢復，更可以保護數(shù)據(jù)庫中的動態(tài)內(nèi)容免受來自于Web的攻擊和篡改，徹底解決網(wǎng)頁防篡改問題。

采用事件觸發(fā)機制，確保系統(tǒng)資源不被浪費，不同于一些文件輪詢掃描式或外掛式的頁面防篡改軟件，iguard 的頁面防篡改模塊采用的是與Web 服務器底層文件夾驅(qū)動級保護技術，與操作系統(tǒng)緊密結合的。而且是在Web 服務器對外發(fā)送網(wǎng)頁時進行網(wǎng)頁防篡改檢測。這樣做不僅完全杜絕了輪詢掃描式頁面防篡改軟件的掃描間隔中被篡改內(nèi)容被用戶訪問的可能，其所消耗的內(nèi)存和CPU占用率也遠遠低于文件輪詢掃描式或外掛式的同類軟件。 

基于雙向檢測機制的防篡改原理

iGuard網(wǎng)頁防篡改系統(tǒng)的篡改檢測模塊使用密碼技術，為網(wǎng)頁對象計算出唯一性的數(shù)字水印。公眾每次訪問網(wǎng)頁時，都將網(wǎng)頁內(nèi)容與數(shù)字水印進行對比；一旦發(fā)現(xiàn)網(wǎng)頁被非法修改，即進行自動恢復，保證非法網(wǎng)頁內(nèi)容不被公眾瀏覽，完全實時地杜絕篡改后的網(wǎng)頁被訪問的可能性；同時，iGuard的應用防護模塊對用戶輸入的URL地址和提交的表單內(nèi)容進行檢查，任何對數(shù)據(jù)庫的注入式攻擊都能夠被實時阻斷，從而杜絕任何使用Web方式對后臺數(shù)據(jù)庫的篡改。

產(chǎn)品亮點總結：

1、第三代全新防篡改技術，先進的系統(tǒng)驅(qū)動級文件保護技術，基于事件觸發(fā)式監(jiān)測機制，高效實現(xiàn)了網(wǎng)頁監(jiān)測與防護功能

McAfee數(shù)據(jù)防泄漏產(chǎn)品介紹：  

McAfee 推出了業(yè)界全面的解決方案McAfee Data Loss Prevention，該解決方案采用了強大的加密、身份驗證、數(shù)據(jù)丟失防護和策略驅(qū)動型安全控制技術來為您的機密數(shù)據(jù)提供保護，隨時隨地防止未經(jīng)授權的人或組織訪問和傳輸您的機密數(shù)據(jù)。

數(shù)據(jù)丟失防護

1. 管理用戶通過網(wǎng)絡、應用程序和存儲設備發(fā)送、訪問和打印機密數(shù)據(jù)的方式，其中包括：電子郵件、Webmail、P2P 應用程序、即時消息、Skype、HTTP、HTTPS、FTP、Wi-FI、USB、CD、DVD、打印機、傳真和移動存儲設備

2. 防止由木馬、蠕蟲和文件共享應用程序?qū)е碌臋C密數(shù)據(jù)丟失，這類威脅會竊取員工的憑據(jù)

3. 即使數(shù)據(jù)經(jīng)過了修改、復制、粘貼、壓縮或加密，也能夠有效確保各項數(shù)據(jù)、格式和派生數(shù)據(jù)不會被竊取或篡改，而且不會影響合法的業(yè)務活動企業(yè)級設備加密

4. 自動對整個設備進行加密，無需用戶介入或相關培訓，而且不影響系統(tǒng)資源

5. 全盤加密支持包括 AES-256 和 RC5-1024 在內(nèi)的多種標準算法

6. 使用強大的多要素身份驗證技術來識別并驗證用戶是否是經(jīng)過授權

文件和文件夾持續(xù)加密

1. 通過向文件自動添加文件頭（此文件頭會始終伴隨受保護文件）可以確保文件始終是加密的（即使在文件不使用時）

2. 無論文件和文件夾保存在什么位置（本地硬盤、文件服務器、移動介質(zhì)甚至是電子郵件附件），均能確保它們的安全

集中管理控制臺

1. 使用 ePO 指定詳細的基于內(nèi)容的過濾、監(jiān)控和攔截規(guī)則，防止未經(jīng)授權的人或組織訪問機密數(shù)據(jù)

2. 全盤、文件和文件夾加密；控制策略和補丁程序管理；恢復丟失的密鑰；證明遵從法規(guī)

3. 實現(xiàn)安全策略與 Active Directory、Novell NDS、PKI 等其他技術的同步

先進的報告和審核功能

1. 借助豐富的審核功能證明設備是經(jīng)過加密的

2. 記錄與數(shù)據(jù)相關的信息，例如發(fā)件人、收件人、時間戳、數(shù)據(jù)證據(jù)、上次成功登錄日期和時間、上次接收更新的日期和時間以及加密是否成功等

產(chǎn)品亮點總結：

1、多層防護功能，覆蓋范圍廣，涉及所有服務器、數(shù)據(jù)庫及終端上的數(shù)據(jù)都能受到保護，能跨平臺兼容不同類型的操作系統(tǒng)。  

2、不論是無意還是惡意的拷貝、刪除，McAfee DLP都能防止由內(nèi)部人員或黑客導致的數(shù)據(jù)丟失，即使數(shù)據(jù)進行了偽裝。

4.4網(wǎng)絡結構優(yōu)化調(diào)整  

部署一系列網(wǎng)絡安全產(chǎn)品后，接下來就是進行網(wǎng)絡結構優(yōu)化調(diào)整。借助防火墻劃分內(nèi)網(wǎng)區(qū)、外網(wǎng)區(qū)和DMZ區(qū)域(非軍事區(qū))，內(nèi)網(wǎng)區(qū)再細劃分為內(nèi)部辦公區(qū)，內(nèi)部服務器區(qū)和網(wǎng)管監(jiān)控區(qū)。將IPS、負載均衡網(wǎng)關、WEB服務器依次部署到DMZ區(qū)域，文件服務器和數(shù)據(jù)庫服務器移到內(nèi)部服務器區(qū)域，所有控制臺和監(jiān)控端移到網(wǎng)管監(jiān)控區(qū)。調(diào)整后的網(wǎng)絡拓撲圖如圖所示：  

部署順序基于以下原則考慮：  

1、從策略上來分析，防火墻的特性是先拒絕任何訪問，然后配置允許訪問規(guī)則；IPS的特性是先允許任何訪問，然后根據(jù)特征庫拒絕某些非法的訪問。從防御能力上分析，防火墻主要負責提供OSI第1-4層的基本安全環(huán)境和高速轉(zhuǎn)發(fā)能力，而入侵防御系統(tǒng)(IPS)對OSI第4-7層粒度流量進行行為阻斷。將防火墻部署在IPS之前，首先防火墻抵御基本的端口掃描/DDOS/DOS/CC攻擊，而將4-7層尤其是應用層的攻擊交給IPS專心防御，能起到事半功倍的效果。  

2、由于負載均衡網(wǎng)關主要是用于平衡服務器負載、監(jiān)控主備服務器的運行狀態(tài)并進行流量分配和訪問加速，自身沒有太多的安全防護措施，故將部署在IPS之后，WEB服務器之前。  

3、數(shù)據(jù)庫服務器和文件服務器承載著公司關鍵業(yè)務信息，應和WEB服務器相分離而部署在內(nèi)網(wǎng)，并在防火墻設置外網(wǎng)訪問者不允許訪問內(nèi)網(wǎng)的服務器，外部訪客的數(shù)據(jù)查詢必須是先發(fā)送到WEB服務器，由WEB服務器向DB服務器進行查詢請求。  

4、日志監(jiān)控端、IPS控制臺和IGuard網(wǎng)頁防篡改服務端劃分到網(wǎng)管和監(jiān)控端，并且將所有安全設備的管理口獨立接入網(wǎng)管監(jiān)控區(qū)，并不與局域網(wǎng)核心交換機相連，實現(xiàn)帶外網(wǎng)管功能。將網(wǎng)絡的管理控制信息與用戶網(wǎng)絡的承載業(yè)務信息在不同的物理信道傳送，可以有效防止當業(yè)務網(wǎng)停頓后無法快速對安全設備進行管理，通常這種情況出現(xiàn)在局域網(wǎng)爆發(fā)大規(guī)模病毒導致交換機癱瘓、防火墻遭受DDOS/CC攻擊等以上的緊急事件中。  

5、以上規(guī)劃僅從安全角度考慮出發(fā)，如果對業(yè)務連續(xù)性有較高的要求，可在網(wǎng)絡重要節(jié)點部署雙機熱備、雙主備鏈路和冗余電信/網(wǎng)通出口等。 #p#

5、 建立IT綜合安全運營中心(Protection+ Reaction+ Restoration)

隨著更多的安全產(chǎn)品或其他IT設備部署，趙明如何能分身乏術通過有效的技術手段和措施來保障系統(tǒng)的安全運行，一個突出的問題是對各安全設備和安全控制系統(tǒng)的管理分散，簡單來說，IPS日志、防火墻日志、網(wǎng)頁篡改日志、防病毒日志和大量的操作系統(tǒng)審計日志誰來看，怎么看？一旦遇到入侵事件如何實時報警？從深層次的原因分析，來源與防火墻、入侵檢測、漏洞掃描、防病毒、內(nèi)網(wǎng)管理等等安全設備的事件隨著互聯(lián)網(wǎng)攻擊行為和蠕蟲的泛濫，在一個中等規(guī)模的網(wǎng)絡上就可以形成海量安全事件。這些事件中又存在非常多的誤報和重復現(xiàn)象，在進行事件分析時，由于只考慮事件本身的嚴重程度，沒有和實際的業(yè)務和資產(chǎn)情況結合，使得一些潛在的威脅往往被忽略。從中可以看出，在部署一系列的產(chǎn)品后，趙明所在公司缺乏全網(wǎng)統(tǒng)一的安全集中控制和處理機制，難以從全局掌握全網(wǎng)的安全情況，及時調(diào)整安全策略以適應網(wǎng)絡安全動態(tài)性和整體性要求。

IT綜合安全運營中心(Security Operation Center，簡稱SOC)的建設是解決這一課題的重要手段，SOC由安全信息平臺、安全事件平臺、運營維護制度、安全支持服務、專業(yè)維護人員等一系列產(chǎn)品、服務人員、管理制度的建設所構成。

IT綜合安全運營中心是由“四個中心、五個功能模塊”組成的綜合安全運行管理中心。“四個中心”是：漏洞評估中心、事件監(jiān)控中心、綜合分析決策支持與預警中心和響應管理中心；“五個功能模塊”是：策略配置管理、資源管理、用戶管理、安全知識管理和中心自身安全。 

四個中心  

事件監(jiān)控中心

監(jiān)控各個網(wǎng)絡設備、操作系統(tǒng)等日志信息，以及安全產(chǎn)品的安全事件報警信息等，以便及時發(fā)現(xiàn)正在和已經(jīng)發(fā)生的安全事件，例如網(wǎng)絡蠕蟲攻擊事件、非授權漏洞掃描事件、遠程口令暴力破解事件等，及時協(xié)調(diào)和組織各級安全管理機構進行處理，及時采取積極主動措施，保證網(wǎng)絡和業(yè)務系統(tǒng)的安全、可靠運行。

漏洞評估中心

通過漏洞評估中心可以掌握全網(wǎng)各個系統(tǒng)中存在的安全漏洞情況，結合當前安全的安全動態(tài)和預警信息，有助于各級安全管理機構及時調(diào)整安全策略，開展有針對性的安全工作，并且可以借助弱點評估中心的技術手段和安全考核機制可以有效督促各級安全管理機構將安全工作落實。

綜合分析決策支持與預警中心

綜合分析決策支持與預警中心是綜合安全運行管理平臺的核心模塊，其接收來自安全事件監(jiān)控中心、性能監(jiān)控中心和故障監(jiān)控中心的事件與性能故障信息，依據(jù)資產(chǎn)與脆弱性管理平臺進行綜合的事件與性能故障協(xié)同關聯(lián)分析，并基于資產(chǎn)和網(wǎng)絡拓撲進行風險評估關聯(lián)分析，按照風險優(yōu)先級針對各個業(yè)務區(qū)域和具體事件產(chǎn)生預警，參考網(wǎng)絡安全運行知識管理平臺的信息，并依據(jù)安全策略配置管理平臺的策略驅(qū)動響應管理中心進行響應處理。

應急管理中心

僅僅及時檢測到安全事件是不夠的，必須做出即時的、正確的響應才能保證網(wǎng)絡的安全。應急響應中心主要是通過工單管理系統(tǒng)來實現(xiàn)的。應急響應中心接收由風險管理中心根據(jù)安全威脅事件生成的事件通知單，并對事件通知單的處理過程進行管理，將所有事件響應過程信息存入后臺數(shù)據(jù)庫，并可生成事件處理和分析報告。響應管理中心負責針對所管轄網(wǎng)絡的安全事件、風險與故障告警利用通知系統(tǒng)（E-mail、短信和即時消息）、工單系統(tǒng)、聯(lián)動系統(tǒng)和補丁管理系統(tǒng)進行響應處理。

五個功能模塊

策略和配置管理

網(wǎng)絡安全的整體性要求需要有統(tǒng)一安全策略的管理。通過為全網(wǎng)安全管理人員提供統(tǒng)一的安全策略，指導各級安全管理機構因地制宜的做好安全策略的部署工作，有利于在全網(wǎng)形成安全防范的合力，提高全網(wǎng)的整體安全防御能力，同時通過SOC策略和配置管理平臺的建設可以進一步完善整個IP網(wǎng)絡的安全策略體系建設，為指導各項安全工作的開展提供行動指南，有效解決目前因缺乏口令、認證、訪問控制等方面策略而帶來到安全風險問題。

安全知識管理

安全運行知識管理平臺是安全運行知識庫信息管理和發(fā)布系統(tǒng)，不僅可以充分共享各種安全運行信息資源，而且也會成為各級網(wǎng)絡安全運行管理機構和技術人員之間進行安全知識和經(jīng)驗交流的平臺，有助于提高人員的安全技術水平和能力。

資源管理

資源管理平臺主要包括兩個方面：人力資源管理和資產(chǎn)管理。人力資源管理保證在需要的時候，可以找到合適的人。資產(chǎn)管理主要是管理SOC監(jiān)控范圍的各個系統(tǒng)和設備，是風險管理、事件監(jiān)控協(xié)同工作和分析的基礎。

用戶管理

安全運營中心提供用戶集中管理的功能，對用戶可以訪問的資源權限進行細致的劃分，具備安全可靠的分級及分類用戶管理功能，要求支持用戶的身份認證、授權、用戶口令修改等功能；支持不同的操作員具有不同的數(shù)據(jù)訪問權限和功能操作權限。系統(tǒng)管理員應能對各操作員的權限進行配置和管理，要有完整的安全控制手段,對用戶和系統(tǒng)管理員的權限進行分級管理。

中心自身安全

安全運營中心作為整個網(wǎng)絡安全運行的監(jiān)控者和管理者，其中的每一步關鍵操作都會對整個網(wǎng)絡安全產(chǎn)生重要影響，甚至會改變網(wǎng)絡運行方式和運行狀態(tài)，因此綜合安全運行管理中心體系自身的安全性非常重要。綜合安全運行管理中心體系的自身安全包括多方面，如物理安全，數(shù)據(jù)安全，通訊安全等。綜合安全運行管理中心在總體設計時必須考慮綜合安全運行管理中心體系的使用安全和管理流程安全。

通過建立SOC，不僅集中收集、過濾、智能關聯(lián)分析安全信息，提供網(wǎng)絡和主機的信息安全視圖和安全趨勢，同時也重點關注公司內(nèi)部安全的有效控制。將企業(yè)的信息安全狀況從一個難以了解、難以猜測的黑匣子變成一個透明的、可以呈現(xiàn)的玻璃盒子，從而能夠整體展示企業(yè)整體的和局部的信息安全的狀況。幫助企業(yè)降低信息

安全整體的管理成本,提高信息安全管理水平,保證企業(yè)的業(yè)務可持續(xù)性。

四、 總結

綜觀整個安全整改及加固方案，通過進行風險評估(A)，安全整改策略制定(P)，整改方案實施(P)，IT綜合安全運營中心建立(P+R+R)，最終實現(xiàn)了APPDRR模型的閉環(huán)循環(huán)。同時我們也必須認清到，不存在百分之百的靜態(tài)的網(wǎng)絡安全，網(wǎng)絡安全表現(xiàn)為一個不斷改進的過程。通過風險評估、安全策略、系統(tǒng)防護、動態(tài)檢測、實時響應和災難恢復六環(huán)節(jié)的循環(huán)流動，網(wǎng)絡安全逐漸地得以完善和提高，從而實現(xiàn)保護網(wǎng)絡資源的網(wǎng)絡安全目標。

【編輯推薦】

1. “拯救網(wǎng)站運維經(jīng)理趙明”有獎征集活動
2. 高端網(wǎng)絡防護不能“照葫蘆畫瓢”
3. 安全知識之加強網(wǎng)絡防護的四個步驟
4. 十招多層次網(wǎng)絡防護措施打造企業(yè)安全VoIP