湯祥州　鄭綿彬　俞維露

1 引言

隨著移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、云計算、大數(shù)據(jù)等新技術(shù)成為信息化新一輪發(fā)展的重要驅(qū)動力，迫切需要面向網(wǎng)絡空間安全的監(jiān)測預警和應急響應服務平臺，實現(xiàn)網(wǎng)絡安全態(tài)勢感知、監(jiān)測預警、應急處置和災難恢復的一體化運作。

2 云應急服務

2.1 高性能云計算技術(shù)

云計算技術(shù)應用環(huán)境下，用戶可以利用云端大型服務器的資源優(yōu)勢進行數(shù)據(jù)計算，通過對存儲資源、計算資源的虛擬化處理和統(tǒng)一整合，云端服務商可以實現(xiàn)對硬件資源的按需分配，用戶以較低廉的成本使用云端服務器、存儲設備和各類應用程序；通過對信息資源進行統(tǒng)一標準化。

利用云安全應急服務平臺，可防止諸如XSS、SQL注入、木馬、漏洞攻擊、僵尸網(wǎng)絡等各種安全問題，同時，采用跨運營商智能調(diào)度、頁面優(yōu)化、頁面緩存等技術(shù)，進一步提升訪問速度、降低故障率，為用戶提供服務式的信息安全。

2.2 云應急服務

信息安全應急管理是以云應急服務平臺為技術(shù)支撐，系統(tǒng)采用先進的云計算分布式計算技術(shù)，將信息安全應急以在線服務方式提供給用戶，用戶的安全防護和應急處理的壓力轉(zhuǎn)移到云端。云應急服務平臺可實現(xiàn)統(tǒng)一調(diào)配應急資源來實現(xiàn)應急響應、協(xié)同，直接面對攻擊時可采取應急措施，將流量智能的分發(fā)到其它安全服務節(jié)點，避免傳統(tǒng)安全中單臺設備瓶頸或宕機導致服務不可用情況，安全應急服務因云計算而強大。

云安全應急服務是將用戶的DNS切換到云平臺，通過智能解析將用戶流量引導至最近的云端節(jié)點，云端節(jié)點承載用戶請求并過濾流量，為用戶提供監(jiān)控預警功能。云安全應急服務平臺以分布式計算為基礎(chǔ)云架構(gòu)，采用多線智能解析調(diào)度，將單點Web資源動態(tài)負載至云端節(jié)點，高性能的云端節(jié)點可以承載高并發(fā)的用戶請求，進行流量監(jiān)控和分析。云安全應急平臺網(wǎng)絡架構(gòu)分為中心和邊緣兩部分，中心是平臺中的智能DNS系統(tǒng)和應急響應系統(tǒng)，主要負責發(fā)生信息安全事件的應急處置；邊緣是分布在各地的節(jié)點，是信息內(nèi)容的分發(fā)載體，由安全保護、Web優(yōu)化、Cache和負載均衡器組成，主要實現(xiàn)監(jiān)控預警功能，保障用戶的正常應用。

3 系統(tǒng)總體架構(gòu)

云應急系統(tǒng)可以部署在公有或私有云上，為廣大電子政務或中小企業(yè)用戶服務，通過云平臺為用戶提供日常的監(jiān)測預警功能，并通過應急響應機制及時地確定與評估突發(fā)事件，有效、快速地對事態(tài)進行控制，保持事件發(fā)生后能夠可靠地恢復，確保關(guān)鍵信息服務在面臨各種威脅與攻擊時仍然維持良好的運轉(zhuǎn)。云應急服務平臺采用主流的三層系統(tǒng)架構(gòu)，如圖1所示，分為為云應急技術(shù)支撐層、云應急服務層和應急業(yè)務層。

（1）技術(shù)支撐層。主要是指基礎(chǔ)設施，包括支持系統(tǒng)運行所需的基本硬件、基礎(chǔ)軟件平臺和網(wǎng)絡設施。硬件主要包括各種服務器（數(shù)據(jù)服務器、應用服務器和Web服務器）以及相關(guān)的存儲備份設備、防火墻及入侵檢測設備?；A(chǔ)軟件包括各種操作系統(tǒng)、數(shù)據(jù)庫平臺、中間件和其他系統(tǒng)平臺。

（2）應用服務層。應用支撐平臺是構(gòu)筑在基礎(chǔ)軟件和數(shù)據(jù)資源之上，為應用系統(tǒng)提供支撐環(huán)境，實現(xiàn)應用系統(tǒng)共有的、與具體業(yè)務無關(guān)的功能，主要包括通訊服務、安全認證、日志管理、數(shù)據(jù)備份等。數(shù)據(jù)資源主要用來存儲和管理平臺涉及到的所有數(shù)據(jù)，內(nèi)部封裝了應急管理活動及其數(shù)據(jù)、知識、物資、人員等資源，可對服務進行高性能檢索和調(diào)度，實現(xiàn)應急業(yè)務信息（如應急預案庫、案例庫、物資庫、隊伍庫、專家?guī)臁⒛Ｐ蛶?、病毒庫等）的全面整合，它不僅包括各類數(shù)據(jù)在數(shù)據(jù)庫中的存儲內(nèi)容、組織方式和存儲機制，還指明了數(shù)據(jù)的管理模式和入庫更新機制。

（3）業(yè)務層。應急平臺功能模塊劃分監(jiān)測預警、日常安全管理和應急響應三大模塊，實現(xiàn)具體的業(yè)務應用。監(jiān)測預警業(yè)務包括對云端用戶的漏洞檢測、入侵檢測和智能分析；日常安全管理主要業(yè)務包括應急值守、預案管理、風險評估和應急資源；應急響應包括安全事件處置、事故恢復、事件統(tǒng)計分析和信息發(fā)布。

4 主要功能實現(xiàn)

信息安全應急系統(tǒng)設計的核心思想是在日常管理、監(jiān)控預警、應急響應基本工作上，強化統(tǒng)一業(yè)務工作流的概念，云應急系統(tǒng)軟件架構(gòu)采用面向服務SOA的架構(gòu)來實現(xiàn)，應用層采用組件技術(shù)MVC進行構(gòu)建，具有很強的靈活性和兼容性，能很好地符合云應急模式的特征。

4.1 監(jiān)控預警

主要對接入云端的網(wǎng)站或重要信息系統(tǒng)進行安全評估、脆弱性發(fā)現(xiàn)，對潛在風險進行分析并及時發(fā)出預警報告，包括滲透性測試、漏洞掃描、流量分析。

云應急服務平臺可對監(jiān)控對象進行安全評估，滲透測試是通過模擬黑客的攻擊手段，來評估計算機網(wǎng)絡系統(tǒng)安全和應用安全。這個過程包括對系統(tǒng)漏洞、應用漏洞、配置弱點和技術(shù)缺陷進行主動分析，完全以黑客的角色對測試目標展開全面技術(shù)攻擊，并且可對預警事件進行實時監(jiān)控、查詢；同時還能根據(jù)資產(chǎn)的機密性價值、可用性價值、完整性價值、物理價值和威脅事件實時計算每個資產(chǎn)的風險值；支持漏洞掃描，對網(wǎng)站進行文件上傳監(jiān)測和注入監(jiān)測；并支持對網(wǎng)絡流量進行分析，判斷；對整體的安全性進行評估。

4.2 應急值守

借助監(jiān)控預警系統(tǒng)，在云端通過日志采集、流量采集、內(nèi)容采集、漏洞掃描等多種技術(shù)手段獲取安全信息，實時監(jiān)控網(wǎng)絡的安全態(tài)勢，通過數(shù)據(jù)聚合、智能行為分析、專家團隊綜合研判信息系統(tǒng)的安全風險和安全事件，可根據(jù)事件信息實現(xiàn)事件的分類分級，自動關(guān)聯(lián)事件處置預案和處置流程，并由值班人員對安全事件進行事件信息報送、處置跟蹤、事件歸檔、事件處置管理等。

信息安全事件管理涉及查看所有的事件，包括高風險事件、低風險事件、歷史事件和實時事件；按照不同的安全信息來源進行分類，例如可以分為Unix主機、Windows主機、路由器和交換機、防火墻、NIDS等；可查看所有的實時事件，提供過濾功能，只顯示符合過濾條件的事件，過濾條件可以自定義，并且依據(jù)設定的審計策略對標準化的安全事件進行審計分析。

4.3 應急資源管理

信息安全應急資源的管理包括機房、重要設備設施、網(wǎng)絡、工具軟件、應急設備、應急專家、救援小組、應急知識、歷史事件、法律法規(guī)等應急資源信息的管理。

通過建立應急資源數(shù)據(jù)庫，包括IT基礎(chǔ)設施數(shù)據(jù)庫、關(guān)鍵應用系統(tǒng)數(shù)據(jù)庫、應急預案庫、應急專家數(shù)據(jù)庫、通訊錄、安全事件信息庫、政策法規(guī)數(shù)據(jù)庫、應急管理的基礎(chǔ)數(shù)據(jù)。云端用戶的應急管理人員，通過登錄應急管理門戶，利用應急資源，完成信息安全風險分析、業(yè)務影響分析、安全事件的預警預報管理。

安全知識庫包括安全知識文章、漏洞庫、病毒庫、補丁庫、安全事件案例庫等。系統(tǒng)預置了大量的安全知識文章，包括安全知識、安全通告等。

4.4 風險管理

信息安全風險管理以資產(chǎn)為核心，結(jié)合等級保護中關(guān)于資產(chǎn)的價值、脆弱性、威脅，并按照相關(guān)標準分析資產(chǎn)風險及風險變化情況，給出降低風險的解決方案。

風險分析參照了國際安全管理標準中的“預定義風險價值矩陣法”。確定目標信息資產(chǎn)的價值、威脅發(fā)生的概率、脆弱性被威脅利用的概率，把風險進行量化。主要思想就是通過降低風險來減少安全事件的發(fā)生，有效提升組織的安全性。風險管理協(xié)助管理員在最短時間內(nèi)找出對組織重要資產(chǎn)有嚴重影響的脆弱點，并提供解決方案，幫助管理員對脆弱點做出正面積極的響應，預防可能發(fā)生的損害。

4.5 預案管理

建立各類信息安全事件應急預案并實現(xiàn)應急預案的數(shù)字化，在信息安全事件發(fā)生時，自動關(guān)聯(lián)相關(guān)應急預案，應急人員參照預案完成信息安全事件應急處置。應急預案規(guī)制定包括：應急預案規(guī)劃方案、應急預案程序、應急預案編制清單、恢復計劃編制清單、應急預案規(guī)劃報告、應急預案規(guī)劃記錄等。

數(shù)字化預案是將文本內(nèi)容的預案通過結(jié)構(gòu)化方法轉(zhuǎn)化為可以為應急指揮提供指導意義的預案，按照適用范圍、組織體系與職責分工、分類分級、應急資源、處置方法等應急相關(guān)信息、及應急流程信息進行分項數(shù)字化。

4.6 應急響應

應急響應是對監(jiān)測分析發(fā)現(xiàn)的事件，協(xié)調(diào)各類技術(shù)資源，協(xié)助事發(fā)用戶、關(guān)聯(lián)單位和相關(guān)機構(gòu)及時對信息安全威脅、預警及事件進行有效處理。信息安全應急響應與輔助決策系統(tǒng)圍繞各類信息安全事件（有害程序事件、網(wǎng)絡攻擊事件、信息破壞事件、信息內(nèi)容安全事件、設備設施故障、災害性事件和其他信息安全事件），以應急預案為核心，實現(xiàn)信息安全事件的處置跟蹤、指揮調(diào)度和總結(jié)評估等功能。輔助決策功能使用戶在處理安全事件時能夠采用數(shù)字化預案，系統(tǒng)會根據(jù)事件的信息自動匹配預案，由用戶決定是否對事件進行處理及如何處理，形成最終應急處置方案，動態(tài)實現(xiàn)安全策略的調(diào)整，最終保障網(wǎng)絡的安全運行。

5 結(jié)束語

云計算技術(shù)具有強大的數(shù)據(jù)處理能力，同時可以優(yōu)化資源配置，節(jié)省成本，提高資源利用效率，在云計算環(huán)境下信息安全應急系統(tǒng)特別重要，但目前沒有一個標準的、規(guī)范的模式，特別是對信息數(shù)據(jù)的定義、來源、梳理、存儲和共享都還沒有統(tǒng)一認識，這些是以后需要進一步研究的問題。

參考文獻

[1] 文榮、潘襟妃、文英.計算環(huán)境下網(wǎng)絡信息安全技術(shù)發(fā)展研究[J]. 通訊世界，2016.4：15.

[2] 張慧、邢培振.云計算環(huán)境下信息安全分析[J].計算機技術(shù)與發(fā)展 ，2011（12）： 164-166.

[3] 陳改霞、耿瑞煥.計算機網(wǎng)絡安全隱患與應急響應技術(shù)分析[J]. 電子技術(shù)與軟件工程，2015，01：236-237.

[4] 呂雪、凌捷.基于J2EE架構(gòu)的信息安全應急預案管理系統(tǒng)的研究與實現(xiàn)[J].計算機工程與設計，2013， 34（4）： 1198-1201.

[5] 向軍華.電子政務信息安全應急管理平臺的設計與實現(xiàn)[D].武漢：華中科技大學. 2011，12.