舉世矚目的第41屆世界博覽會于2010年5月1日至10月31日在中國上海舉辦。從開園到結(jié)束，整體運行平穩(wěn)有序，各類場館的服務保障工作運轉(zhuǎn)良好。在整個園區(qū)運行安全、平穩(wěn)有序的背后，有“電子圍欄”、寬帶無線通信技術(shù)、智能化神經(jīng)網(wǎng)絡監(jiān)控等一批擁有自主知識產(chǎn)權(quán)的信息新技術(shù)首度應用于上海世博會，節(jié)省了大量安保警力資源。

由于世博的安保安全保障任務要求高，除了大量應用新的安全保障系統(tǒng)以外，還需要有一支專業(yè)的、訓練有數(shù)的、安全運維保障人員，來管理、協(xié)調(diào)處理各類安全監(jiān)控突發(fā)事件，為上海世博會提供全程網(wǎng)絡安全" title="網(wǎng)絡安全">網(wǎng)絡安全監(jiān)控保障服務，確保上海世博會期間的網(wǎng)絡暢通及業(yè)務安全。

為此2010年4月，上海世博會天融信安全運維小組全面進駐世博會，提供“集中化、精細化、標準化”安全運維服務。為保障整個世博會各類信息網(wǎng)絡系統(tǒng)安全、穩(wěn)定運行，保證業(yè)務流程高效、順暢流轉(zhuǎn)，以天融信為首的安全監(jiān)控運維團隊積極探索創(chuàng)新運維手段，從強化規(guī)范化建設、構(gòu)建運維分析系統(tǒng)、引入標準運維體系三方面著手，有力地支持世博會運維工作。截止世博會閉館前，安全運維小組已經(jīng)通過多種方式為票務、預約、培訓平臺、終端等業(yè)務提供了不同級別的安全服務支持，是一支行動快速、技術(shù)過硬、敢于挑戰(zhàn)的團隊。尤其是2010年9月的一次應急響應服務，更加證明了安全運維世博小組有能力保障世博會信息化業(yè)務系統(tǒng)的安全。

安全運維團隊通過架設在世博安全監(jiān)控中心的安全監(jiān)控平臺實現(xiàn)，對整個世博網(wǎng)絡及業(yè)務系統(tǒng)的7x24小時監(jiān)控，該系統(tǒng)由四個部分組成：數(shù)據(jù)采集子系統(tǒng)、安全監(jiān)控平臺子系統(tǒng)、應急響應子系統(tǒng)、專家團隊子系統(tǒng)。

圖1 安全監(jiān)控平臺

（一） 數(shù)據(jù)采集子系統(tǒng)部署在用戶網(wǎng)絡端，負責從世博網(wǎng)絡的安全監(jiān)控對象上采集日志數(shù)據(jù)，并將預處理后的數(shù)據(jù)信息以加密方式發(fā)送至“安全監(jiān)控”平臺進行分析。

（二） 安全監(jiān)控核心平臺子系統(tǒng)部署在世博安全監(jiān)控中心機房，對采集到的日志信息進行智能分析，以安全風險管理為核心，實現(xiàn)安全對象管理、安全事件管理、系統(tǒng)脆弱性管理，將發(fā)現(xiàn)的高危安全事件生成預警信息通知到應急響應子系統(tǒng)。

（三）應急響應子系統(tǒng)定期向用戶報送安全報表和安全通告，在發(fā)生高危安全事件時向用戶提供預警，為用戶提供專家級的安全解決方案和安全響應、安全咨詢服務。

（四） 安全專家團隊子系統(tǒng)包括安全運維人員、安全分析人員、安全專家組、現(xiàn)場服務人員。安全專家團隊負責對安全事件進行實時監(jiān)控與分析，幫助用戶發(fā)現(xiàn)真正有威脅的安全事件。

2010年9月，上海世博會某在線業(yè)務平臺持續(xù)遭受sql注入、web掃描、應用跨站、DDOS等組合攻擊，影響范圍包括其業(yè)務網(wǎng)站和后臺數(shù)據(jù)庫服務器。安全運維小組通過對安全監(jiān)控平臺的持續(xù)監(jiān)控第一時間發(fā)現(xiàn)該類攻擊事件，立即通知了相關領導和業(yè)務部門，同時趕到用戶現(xiàn)場，在與用戶充分溝通后，按照事先制定的預案，迅速啟動應急方案和工作流程。并為用戶提供了一套合理而完整的應急保障服務，降低對世博網(wǎng)絡造成的影響，主要工作如下：

事件監(jiān)控

安全監(jiān)控子系統(tǒng)實時收集日志信息進行存儲與分析，當發(fā)現(xiàn)高危安全事件時，采用聲、光、短信的方式在管理員界面中呈現(xiàn)給安全監(jiān)控人員，安全監(jiān)控人員對安全事件的級別和影響進行評估，判斷為嚴重事件時則啟動工單系統(tǒng)通知客服人員，由客服人員向客戶發(fā)送預警信息；若事件未達到預警級別，則安全監(jiān)控人員創(chuàng)建工單，通知安全分析人員做處理。

安全分析

安全分析人員對非預警安全事件進行分析，排除誤警虛警信息，嘗試解決可處理安全事件。判斷為不能處理的安全事件和經(jīng)嘗試不能解決的安全事件，提交運維經(jīng)理，請經(jīng)理協(xié)調(diào)各方資源協(xié)助解決。如資源難以協(xié)調(diào)則繼續(xù)向上一級主管領導發(fā)起協(xié)調(diào)資源請求，直至問題解決。

經(jīng)過安全分析人員對攻擊數(shù)據(jù)包進行分析，迅速判斷出此次攻擊主要針對80端口的Ddos攻擊，遭受攻擊的網(wǎng)站由于資源消耗過大而無法再給用戶提供正常的頁面訪問。由于世博業(yè)務可持續(xù)性運行的重要性，于是決定本著“先搶通后修復”的原則，先利用防火墻、UTM制定相應的安全策略協(xié)助該單位恢復系統(tǒng)正常工作。

同時運維人員根據(jù)安全事件對該風險進行評估，確定攻擊類型、波及范圍及造成的影響，并制定都詳細的加固解決方案。

安全預警

安全監(jiān)控平臺發(fā)現(xiàn)客戶網(wǎng)絡出現(xiàn)高危安全事件時，安全專家團隊子系統(tǒng)的安全分析人員，根據(jù)事件信息確定預警級別，通過工單系統(tǒng)向網(wǎng)絡管理員提交預警信息。若預警級別較高，則通報給相關主管領導、同時發(fā)起預警，同時派遣專業(yè)人員協(xié)助處理安全事件。

事件分析報告

安全運維小組事后向用戶提交了一份詳細的事件分析報告，其中包括工程記錄文檔和安全策略建議，建議中提到還存在安全技術(shù)手段使用不足的問題，雖然采用了防火墻和防毒系統(tǒng)，但是卻沒有充分利用好保護網(wǎng)絡安全的工具和資源。報告的目的是讓用戶知道怎么出的問題、問題出在哪里、怎么解決的問題、今后該注意什么？

加固測試

根據(jù)安全評估報告協(xié)助用戶對系統(tǒng)自身的安全漏洞進行修補，并對加固后的系統(tǒng)，進行模擬測試。安全專家模擬黑客攻擊的方式對用戶指定的IP地址采用工具和人工檢查相結(jié)合的辦法進行遠程安全測試，評估加固后的系統(tǒng)是否達到安全要求。

防火墻策略生效之后，攻擊逐漸減弱，通過外網(wǎng)訪問web服務器，速度正常。至此初步判斷，由于防火墻、UMT的防護和安全監(jiān)控平臺監(jiān)測，已經(jīng)令惡意攻擊者知難而退，暫時停止實施攻擊。經(jīng)過現(xiàn)場一段時間的觀察客戶網(wǎng)絡正常運行，后期運維小組重點對該網(wǎng)絡進行遠程監(jiān)控跟蹤。

形成知識庫

將此次安全事件發(fā)現(xiàn)、分析、解決的過程以知識庫的形式保存，以便下次同類問題的快速處理及客戶人員的自學習。

世博會已經(jīng)結(jié)束，一改以往被動響應的安全運維服務模式，安全運維小組通過智能化神經(jīng)安全監(jiān)控平臺幫助用戶迅速、全面、細致的提前感知和掌控到網(wǎng)絡安全運行情況，及時解決各類出現(xiàn)的網(wǎng)絡安全問題。與此同時安全運維小組始終堅持全過程流程化安全服務理念，全程提供安全監(jiān)控、網(wǎng)絡評估、安全處理、安全培訓和安全咨詢服務，真正做到由被動響應到主動服務，讓眾多的世博系統(tǒng)供應商得到專業(yè)的安全趨勢分析與建議，對于安全事件有據(jù)可查，做到安全工作有的放矢，協(xié)助世博組委會全面奪取了世博會的網(wǎng)絡安全保障任務。