举世瞩目的第41届世界博览会于2010年5月1日至10月31日在中国上海举办。从开园到结束,整体运行平稳有序,各类场馆的服务保障工作运转良好。在整个园区运行安全、平稳有序的背后,有“电子围栏”、宽带无线通信技术、智能化神经网络监控等一批拥有自主知识产权的信息新技术首度应用于上海世博会,节省了大量安保警力资源。
由于世博的安保安全保障任务要求高,除了大量应用新的安全保障系统以外,还需要有一支专业的、训练有数的、安全运维保障人员,来管理、协调处理各类安全监控突发事件,为上海世博会提供全程网络安全监控保障服务,确保上海世博会期间的网络畅通及业务安全。
为此2010年4月,上海世博会天融信安全运维小组全面进驻世博会,提供“集中化、精细化、标准化”安全运维服务。为保障整个世博会各类信息网络系统安全、稳定运行,保证业务流程高效、顺畅流转,以天融信为首的安全监控运维团队积极探索创新运维手段,从强化规范化建设、构建运维分析系统、引入标准运维体系三方面着手,有力地支持世博会运维工作。截止世博会闭馆前,安全运维小组已经通过多种方式为票务、预约、培训平台、终端等业务提供了不同级别的安全服务支持,是一支行动快速、技术过硬、敢于挑战的团队。尤其是2010年9月的一次应急响应服务,更加证明了安全运维世博小组有能力保障世博会信息化业务系统的安全。
安全运维团队通过架设在世博安全监控中心的安全监控平台实现,对整个世博网络及业务系统的7×24小时监控,该系统由四个部分组成:数据采集子系统、安全监控平台子系统、应急响应子系统、专家团队子系统。
▲ 图1 安全监控平台
(一) 数据采集子系统部署在用户网络端,负责从世博网络的安全监控对象上采集日志数据,并将预处理后的数据信息以加密方式发送至“安全监控”平台进行分析。
(二) 安全监控核心平台子系统部署在世博安全监控中心机房,对采集到的日志信息进行智能分析,以安全风险管理为核心,实现安全对象管理、安全事件管理、系统脆弱性管理,将发现的高危安全事件生成预警信息通知到应急响应子系统。
(三)应急响应子系统定期向用户报送安全报表和安全通告,在发生高危安全事件时向用户提供预警,为用户提供专家级的安全解决方案和安全响应、安全咨询服务。
(四) 安全专家团队子系统包括安全运维人员、安全分析人员、安全专家组、现场服务人员。安全专家团队负责对安全事件进行实时监控与分析,帮助用户发现真正有威胁的安全事件。
2010年9月,上海世博会某在线业务平台持续遭受sql注入、web扫描、应用跨站、DDOS等组合攻击,影响范围包括其业务网站和后台数据库服务器。安全运维小组通过对安全监控平台的持续监控第一时间发现该类攻击事件,立即通知了相关领导和业务部门,同时赶到用户现场,在与用户充分沟通后,按照事先制定的预案,迅速启动应急方案和工作流程。并为用户提供了一套合理而完整的应急保障服务,降低对世博网络造成的影响,主要工作如下:
事件监控
安全监控子系统实时收集日志信息进行存储与分析,当发现高危安全事件时,采用声、光、短信的方式在管理员界面中呈现给安全监控人员,安全监控人员对安全事件的级别和影响进行评估,判断为严重事件时则启动工单系统通知客服人员,由客服人员向客户发送预警信息;若事件未达到预警级别,则安全监控人员创建工单,通知安全分析人员做处理。
安全分析
安全分析人员对非预警安全事件进行分析,排除误警虚警信息,尝试解决可处理安全事件。判断为不能处理的安全事件和经尝试不能解决的安全事件,提交运维经理,请经理协调各方资源协助解决。如资源难以协调则继续向上一级主管领导发起协调资源请求,直至问题解决。
经过安全分析人员对攻击数据包进行分析,迅速判断出此次攻击主要针对80端口的Ddos攻击,遭受攻击的网站由于资源消耗过大而无法再给用户提供正常的页面访问。由于世博业务可持续性运行的重要性,于是决定本着“先抢通后修复”的原则,先利用防火墙、UTM制定相应的安全策略协助该单位恢复系统正常工作。
同时运维人员根据安全事件对该风险进行评估,确定攻击类型、波及范围及造成的影响,并制定都详细的加固解决方案。
安全预警
安全监控平台发现客户网络出现高危安全事件时,安全专家团队子系统的安全分析人员,根据事件信息确定预警级别,通过工单系统向网络管理员提交预警信息。若预警级别较高,则通报给相关主管领导、同时发起预警,同时派遣专业人员协助处理安全事件。
事件分析报告
安全运维小组事后向用户提交了一份详细的事件分析报告,其中包括工程记录文档和安全策略建议,建议中提到还存在安全技术手段使用不足的问题,虽然采用了防火墙和防毒系统,但是却没有充分利用好保护网络安全的工具和资源。报告的目的是让用户知道怎么出的问题、问题出在哪里、怎么解决的问题、今后该注意什么?
加固测试
根据安全评估报告协助用户对系统自身的安全漏洞进行修补,并对加固后的系统,进行模拟测试。安全专家模拟黑客攻击的方式对用户指定的IP地址采用工具和人工检查相结合的办法进行远程安全测试,评估加固后的系统是否达到安全要求。
防火墙策略生效之后,攻击逐渐减弱,通过外网访问web服务器,速度正常。至此初步判断,由于防火墙、UMT的防护和安全监控平台监测,已经令恶意攻击者知难而退,暂时停止实施攻击。经过现场一段时间的观察客户网络正常运行,后期运维小组重点对该网络进行远程监控跟踪。
形成知识库
将此次安全事件发现、分析、解决的过程以知识库的形式保存,以便下次同类问题的快速处理及客户人员的自学习。
世博会已经结束,一改以往被动响应的安全运维服务模式,安全运维小组通过智能化神经安全监控平台帮助用户迅速、全面、细致的提前感知和掌控到网络安全运行情况,及时解决各类出现的网络安全问题。与此同时安全运维小组始终坚持全过程流程化安全服务理念,全程提供安全监控、网络评估、安全处理、安全培训和安全咨询服务,真正做到由被动响应到主动服务,让众多的世博系统供应商得到专业的安全趋势分析与建议,对于安全事件有据可查,做到安全工作有的放矢,协助世博组委会全面夺取了世博会的网络安全保障任务。