孫建立 朱衛(wèi)東 李歆麗

摘? ?要：基于深信服公司的網(wǎng)絡(luò)安全技術(shù)，結(jié)合高校特殊網(wǎng)絡(luò)環(huán)境，文章提出網(wǎng)絡(luò)安全服務(wù)的一種新模式，內(nèi)容包括：以安全防護(hù)、風(fēng)險(xiǎn)發(fā)現(xiàn)、檢測(cè)響應(yīng)、態(tài)勢(shì)感知等4大組件為基礎(chǔ)，結(jié)合“人機(jī)共智”的理念，實(shí)現(xiàn)實(shí)際網(wǎng)絡(luò)防護(hù)的最新安全狀況同步云端大數(shù)據(jù)中心并進(jìn)行綜合分析匯總的安全可視化平臺(tái);添加安全專家服務(wù)、風(fēng)險(xiǎn)中心、報(bào)告中心3大業(yè)務(wù)風(fēng)險(xiǎn)管理中心，提供全方位網(wǎng)絡(luò)安全的立體化展示，做到事前風(fēng)險(xiǎn)預(yù)警、事中安全防御、事后應(yīng)急處置。

關(guān)鍵詞：安全防護(hù);風(fēng)險(xiǎn)發(fā)現(xiàn);檢測(cè)響應(yīng);態(tài)勢(shì)感知;大數(shù)據(jù);人機(jī)共智

中圖分類號(hào)：TP393.08 文獻(xiàn)標(biāo)志碼：A 文章編號(hào)：1673-8454（2021）03-0027-05

一、引言

近幾年，隨著區(qū)塊鏈和勒索病毒等新型技術(shù)和威脅的出現(xiàn)，整個(gè)黑產(chǎn)發(fā)生了很大的變化，因?yàn)槔账鞑《靖淖兞双@利模式;比特幣，改變了交易模式，兩者結(jié)合讓安全事件發(fā)生頻率大大提高，讓攻防對(duì)抗變得更加不對(duì)等。

近期，CNCERT捕獲勒索軟件近14萬個(gè)，總體呈現(xiàn)快速增長趨勢(shì)。勒索軟件 GandCrab一年時(shí)間內(nèi)就約出現(xiàn)了19個(gè)版本，其更新迭代速度遠(yuǎn)超安全廠商的產(chǎn)品迭代速度。其次伴隨“勒索軟件即服務(wù)”產(chǎn)業(yè)的興起，活躍勒索軟件數(shù)量同樣呈現(xiàn)快速增長趨勢(shì)，且更新頻率和威脅影響范圍都大幅度增加，導(dǎo)致用戶網(wǎng)絡(luò)安全的有效性面臨極大的挑戰(zhàn)。

根據(jù)威瑞森 2019年數(shù)據(jù)泄露調(diào)查報(bào)告，攻擊者啟動(dòng)攻擊到攻擊成功往往只需要數(shù)分鐘甚至幾十秒便可完成。針對(duì)這些攻擊事件，防守方的平均檢測(cè)時(shí)間及平均處置時(shí)間卻越來越長，普遍需要幾周、幾個(gè)月才能發(fā)現(xiàn)攻擊行為并加以處置。

安全工作不是一蹴而就的，它始終貫穿于日常生活中。針對(duì)高校網(wǎng)絡(luò)環(huán)境，實(shí)際存在諸多網(wǎng)絡(luò)安全問題難以解決，包括以下幾方面。[1]①資產(chǎn)管理困難：內(nèi)部資產(chǎn)數(shù)量不清楚，資產(chǎn)變動(dòng)無感知。②防御邊界模糊：業(yè)務(wù)交互復(fù)雜，暴露面過多，防護(hù)邊界模糊，給黑客留下大量機(jī)會(huì)。③脆弱性難修復(fù)：存在大量脆弱性問題，修復(fù)措施難推進(jìn)，修復(fù)狀態(tài)無管理。④防守策略無效：安全策略配置依賴工程師的主觀判斷，策略有效性難保障。⑤事件響應(yīng)被動(dòng)：安全事件發(fā)生摸不著，看不見，處置難，損失大;難以主動(dòng)發(fā)現(xiàn)、快速止損。⑥高端人才緊缺：缺乏專業(yè)的安全對(duì)抗專業(yè)人才;薪資要求高，招聘難。

為了解決高校網(wǎng)絡(luò)安全人員缺口的瓶頸問題，結(jié)合北京交通大學(xué)實(shí)際網(wǎng)絡(luò)安全環(huán)境與深信服安全科技公司實(shí)際進(jìn)行探討，最終基于網(wǎng)絡(luò)安全態(tài)勢(shì)感知平臺(tái)[2]的理念，提出進(jìn)行基于大數(shù)據(jù)分析與云端的安全服務(wù)綜合平臺(tái)（以下簡(jiǎn)稱云網(wǎng)絡(luò)安全服務(wù)平臺(tái)）的建設(shè)與應(yīng)用。通過把安全專家資源池化的方式，讓更多的單位能隨時(shí)享受到專業(yè)的安全團(tuán)隊(duì)服務(wù)。同時(shí)，再將安全團(tuán)隊(duì)實(shí)際處理問題的經(jīng)驗(yàn)固化到云網(wǎng)絡(luò)安全服務(wù)平臺(tái)中，實(shí)現(xiàn)精準(zhǔn)的監(jiān)測(cè)告警并輸出專業(yè)的處置建議，達(dá)到“人機(jī)共智”的效果。通過“人機(jī)共智”理念打造的網(wǎng)絡(luò)安全運(yùn)營服務(wù)，將從資產(chǎn)、漏洞、威脅、事件四個(gè)要素出發(fā)，全面、持續(xù)地進(jìn)行信息安全風(fēng)險(xiǎn)管理，與用戶一同構(gòu)建持續(xù)（7×24小時(shí)）、主動(dòng)、閉環(huán)的安全運(yùn)營體系，幫助用戶實(shí)現(xiàn)安全合規(guī)、風(fēng)險(xiǎn)可控、能力提升、價(jià)值可視。

二、云網(wǎng)絡(luò)安全服務(wù)平臺(tái)

平臺(tái)在云端為使用者配置了多種級(jí)別的安全專家，根據(jù)使用者遇到的網(wǎng)絡(luò)安全事件級(jí)別，對(duì)安全專家進(jìn)行合理分配。平臺(tái)云端的安全專家，全都是擁有5年及以上安全工作經(jīng)驗(yàn)的人員。云網(wǎng)絡(luò)安全服務(wù)平臺(tái)依托深信服的技術(shù)優(yōu)勢(shì)，匯聚了很多高階安全專家，為用戶虛擬成高級(jí)安全專家池。

當(dāng)使用者遇到安全問題比較多時(shí)，云網(wǎng)絡(luò)安全服務(wù)平臺(tái)可以持續(xù)投入安全專家，甚至是云網(wǎng)絡(luò)安全服務(wù)平臺(tái)的首席專家和研發(fā)團(tuán)隊(duì)。采用人機(jī)共智的方式，確保了安全服務(wù)的持續(xù)性，并且持續(xù)進(jìn)化、環(huán)形迭代。自動(dòng)化運(yùn)營平臺(tái)模塊用來保障更好的服務(wù)效果。這套系統(tǒng)解決了以往高校安全設(shè)備自運(yùn)營階段，工作量大、精力不足的問題。也解決了聘用第三方安全服務(wù)人員業(yè)務(wù)能力參差不齊、服務(wù)效果達(dá)不到預(yù)期的問題。

從大的層面上說，在安全體系建設(shè)中，大家比較常聽到的是技術(shù)體系， 技術(shù)體系主要是通過一些技術(shù)手段和技術(shù)措施來實(shí)現(xiàn)?，F(xiàn)在技術(shù)手段越做越多，技術(shù)體系的安全效果越來越低，并不是說我們使用的安全設(shè)備產(chǎn)品不行，而是現(xiàn)在安全的形式變化太快了，可是我們高校網(wǎng)絡(luò)安全人員的精力有限，沒有辦法對(duì)每個(gè)安全產(chǎn)品都達(dá)到精通的狀態(tài)，更沒有能力將外部的威脅和自身的業(yè)務(wù)情況結(jié)合起來，形成動(dòng)態(tài)調(diào)整的安全防御措施。

云網(wǎng)絡(luò)安全服務(wù)平臺(tái)引入了管理體系，通過制定人員行為、流程來規(guī)范化。但是現(xiàn)實(shí)中，管理體系真正運(yùn)轉(zhuǎn)起來的高校非常少，更多的是一堆體系文件放在那里。并不是說我們的技術(shù)體系和管理體系不行，而且我們現(xiàn)在缺少了這樣的一個(gè)運(yùn)營機(jī)制，幫助技術(shù)體系更好地發(fā)揮安全效果、幫助管理體系更好地落地。云網(wǎng)絡(luò)安全服務(wù)平臺(tái)意在幫助使用單位構(gòu)建規(guī)范的安全運(yùn)營體系，發(fā)揮技術(shù)體系安全效果，將管理體系更好地落地。

圖1是云網(wǎng)絡(luò)安全服務(wù)平臺(tái)的架構(gòu)，由安全組件、云端平臺(tái)、云端專家、服務(wù)內(nèi)容和服務(wù)機(jī)制五部分構(gòu)成。

在用戶端部署的這個(gè)安全組件的作用是為了收集用戶現(xiàn)場(chǎng)安全設(shè)備的安全日志。隨后將安全日志匯聚到云端平臺(tái)，形成我們單位獨(dú)特的內(nèi)部網(wǎng)絡(luò)安全信息，達(dá)到知己的狀態(tài)。同時(shí)平臺(tái)也可以采集外部的安全信息，看看大環(huán)境下有哪些安全事件，這些安全事件的行為特征是什么，攻擊的路徑是什么，傳播的方式是什么，達(dá)到知彼的狀態(tài)。將這兩個(gè)狀態(tài)通過AI引擎碰撞后，形成針對(duì)我們單位特有的威脅消息，這個(gè)威脅消息一定是立足于現(xiàn)在并且展望于未來的。從而可以去推動(dòng)我們管理體系中的人員、流程去跟進(jìn)處置這個(gè)事情。

這些威脅消息首先到達(dá)平臺(tái)云端的T2安全運(yùn)營專家，由T2安全運(yùn)營專家初步研判處置。如果威脅消息過多，平臺(tái)可以持續(xù)投入T2的安全運(yùn)營專家;當(dāng)威脅消息過于復(fù)雜時(shí)，T3首席安全專家會(huì)及時(shí)介入并列出解決方案后，通知用戶和T1工程師，由T1工程師與用戶確定解決方案的具體實(shí)現(xiàn)和跟進(jìn)狀態(tài)，解決方案最終又作用于我們的安全組件。

實(shí)際上，我們?cè)诎踩M件、云端平臺(tái)、云端專家提供的是一種安全運(yùn)營的持續(xù)閉環(huán)能力，在此基礎(chǔ)之上，平臺(tái)又會(huì)提供七大安全服務(wù)內(nèi)容，包括安全評(píng)估、漏洞管理、策略管理、攻擊對(duì)抗、未公開威脅處置、事件分析與處置、應(yīng)急響應(yīng)等。貌似這七大服務(wù)內(nèi)容跟以往的安全服務(wù)有些重合，但是其實(shí)不然，會(huì)比以往的安全服務(wù)更進(jìn)步，后面會(huì)詳細(xì)展開說?；谝陨戏?wù)內(nèi)容，去構(gòu)建一個(gè)持續(xù)評(píng)估、持續(xù)保護(hù)、快速響應(yīng)的服務(wù)機(jī)制。

1.安全評(píng)估（見圖2）

標(biāo)準(zhǔn)安全評(píng)估指通過安全防護(hù)組件、風(fēng)險(xiǎn)發(fā)現(xiàn)組件和安全評(píng)估器的安裝部署，從而完成外部威脅檢測(cè)、Web安全掃描、系統(tǒng)漏洞掃描、系統(tǒng)基線檢測(cè)、暴露面檢查和防護(hù)有效性檢查。其中風(fēng)險(xiǎn)發(fā)現(xiàn)組件具備資產(chǎn)可視化檢測(cè)、大數(shù)據(jù)分析平臺(tái)、智能分布式網(wǎng)絡(luò)爬蟲、脆弱性檢測(cè)引擎、0DAY檢測(cè)引擎等專業(yè)能力;安全防護(hù)組件具備攻擊威脅檢測(cè)和防護(hù)能力;安全評(píng)估器則具備邊界防護(hù)有效性檢測(cè)能力，通過模擬攻擊測(cè)試查看防護(hù)狀況。

最佳修復(fù)方案指通過安全專家的全面風(fēng)險(xiǎn)分析后，結(jié)合業(yè)務(wù)特性與行業(yè)最佳實(shí)踐，最后交付用戶安全風(fēng)險(xiǎn)加固方案和風(fēng)險(xiǎn)應(yīng)對(duì)措施。

整個(gè)過程包括現(xiàn)場(chǎng)調(diào)研，獲取用戶的網(wǎng)絡(luò)拓?fù)浜蜆I(yè)務(wù)情況，并進(jìn)行安全設(shè)備并入和拓?fù)鋱D的優(yōu)化。一線服務(wù)人員針對(duì)用戶的業(yè)務(wù)網(wǎng)絡(luò)情況，進(jìn)行資產(chǎn)梳理和安全組件的部署實(shí)施。安全服務(wù)專家結(jié)合用戶的《風(fēng)險(xiǎn)評(píng)估報(bào)告》和《安全能力成熟度差距分析報(bào)告》，對(duì)用戶的業(yè)務(wù)情況進(jìn)行綜合評(píng)估，產(chǎn)生最終服務(wù)方案。

在這個(gè)階段，我們主要做的事情是理清有效資產(chǎn)、識(shí)別評(píng)估方向、異常狀態(tài)檢查、缺陷路徑發(fā)現(xiàn)、業(yè)務(wù)安全脆弱性評(píng)估、邊界安全脆弱性評(píng)估、安全脆弱性修復(fù)、風(fēng)險(xiǎn)應(yīng)對(duì)及建議。

2.漏洞管理（見圖3）

安全托管漏洞管理服務(wù)是通過上線評(píng)估、每日復(fù)查、每月復(fù)評(píng)這3大階段，對(duì)用戶的業(yè)務(wù)資產(chǎn)進(jìn)行暴露面檢查、漏洞檢查、基線核查等全面的風(fēng)險(xiǎn)管理。以持續(xù)評(píng)估流程，加上精準(zhǔn)的人工審核，確保風(fēng)險(xiǎn)及時(shí)發(fā)現(xiàn)。通過將業(yè)務(wù)風(fēng)險(xiǎn)及時(shí)通知到業(yè)務(wù)部門和持續(xù)復(fù)查，跟蹤整個(gè)漏洞的處理閉環(huán)。

依托安全防護(hù)組件、風(fēng)險(xiǎn)發(fā)現(xiàn)組件，為用戶提供新增資產(chǎn)增量評(píng)估、資產(chǎn)變更持續(xù)檢測(cè)、高危風(fēng)險(xiǎn)持續(xù)復(fù)查、指定漏洞定向檢測(cè)、每月全面檢查等服務(wù)，云端大數(shù)據(jù)安全專家持續(xù)對(duì)0Day漏洞進(jìn)行檢測(cè)/監(jiān)控。結(jié)合人工審核機(jī)制確保無誤判以及甲級(jí)修復(fù)建議和報(bào)告解讀。

整個(gè)過程通過安全運(yùn)營中心自動(dòng)定期下發(fā)掃描任務(wù)，與用戶確認(rèn)后對(duì)用戶的風(fēng)險(xiǎn)漏洞進(jìn)行識(shí)別確認(rèn)，提前發(fā)現(xiàn)漏洞風(fēng)險(xiǎn)。當(dāng)業(yè)務(wù)變更或新漏洞爆發(fā)后，及時(shí)與用戶確認(rèn)后下發(fā)掃描任務(wù)。安全工程師（T1）針對(duì)發(fā)現(xiàn)的漏洞及時(shí)進(jìn)行線上安全防護(hù)組件的策略調(diào)整和規(guī)則庫升級(jí)，并由高級(jí)安全運(yùn)營專家（T2）給出專業(yè)的修復(fù)建議。通過定時(shí)漏洞復(fù)測(cè)，安全工程師（T1）持續(xù)跟蹤用戶的漏洞修復(fù)情況，確保用戶的漏洞風(fēng)險(xiǎn)得以修復(fù)和解決。

3.策略管理（見圖4）

策略管理存在的主要問題實(shí)際上是因?yàn)槿藛T崗位流動(dòng)性復(fù)雜，現(xiàn)任由于對(duì)上任所做的策略不了解，不敢刪除，導(dǎo)致策略越來越多，久而久之就造成了策略寬松、策略亂序、策略沖突、策略冗余。

安全設(shè)備上線之后，業(yè)務(wù)測(cè)試正常，所以安全策略就一成不變，導(dǎo)致了安全策略極其寬松。舉一個(gè)真實(shí)的案例：AF上面針對(duì)一個(gè)大網(wǎng)段做了SNAT映射，用于員工上網(wǎng)，然后針對(duì)服務(wù)器這個(gè)網(wǎng)段做了DNAT映射，用于服務(wù)器對(duì)外提供訪問。這個(gè)大網(wǎng)段包含服務(wù)器的網(wǎng)關(guān)，這意味著服務(wù)器就可以主動(dòng)向外發(fā)起請(qǐng)求了，有一天，服務(wù)器中了一個(gè)木馬，這個(gè)木馬把服務(wù)器的重要文件都copy走了。針對(duì)這種情況，平臺(tái)提供了策略維護(hù)和策略指導(dǎo)的功能。當(dāng)新增業(yè)務(wù)、業(yè)務(wù)變更時(shí)，平臺(tái)會(huì)主動(dòng)提供專家級(jí)的策略指導(dǎo)。

4.攻擊對(duì)抗（見圖5）

安全風(fēng)險(xiǎn)按照來源可分為內(nèi)部風(fēng)險(xiǎn)和外部風(fēng)險(xiǎn)，外部最大的風(fēng)險(xiǎn)便來自于黑客攻擊，特別是針對(duì)性、持續(xù)性的攻擊。及早發(fā)現(xiàn)并遏制針對(duì)性、持續(xù)性攻擊是規(guī)避外部風(fēng)險(xiǎn)的有效手段。

安全托管持續(xù)攻擊對(duì)抗服務(wù)是基于云端情報(bào)和安全日志分析主動(dòng)發(fā)現(xiàn)針對(duì)性或持續(xù)性攻擊，并提供實(shí)時(shí)攻擊對(duì)抗，將外部風(fēng)險(xiǎn)扼殺在萌芽之中，做到風(fēng)險(xiǎn)前移。

深信服會(huì)收集大量脫敏的攻擊日志，當(dāng)然很多是來源于用戶的安全設(shè)備，還有一部分來源于合作伙伴共享，每天新增超過100G去重?cái)?shù)據(jù)。

再通過深信服的大數(shù)據(jù)機(jī)器學(xué)習(xí)算法，根據(jù)黑客地理位置（例如是否境外）、時(shí)間隱蔽性（例如是否為凌晨、非業(yè)務(wù)時(shí)間）、攻擊手法（例如善于利用高危漏洞、社會(huì)工程學(xué)）、攻擊范圍（例如歷史攻擊事件、攻擊目標(biāo)行業(yè)）、持續(xù)時(shí)間（例如長時(shí)間、有計(jì)劃、有針對(duì)性）等建立高危黑客模型形成黑客畫像。當(dāng)發(fā)現(xiàn)有針對(duì)性或高級(jí)黑客正在攻擊所保護(hù)的用戶時(shí)立刻采取行動(dòng)，封鎖黑客行為。

高級(jí)安全運(yùn)營專家（T2）根據(jù)云腦識(shí)別的高危攻擊源形成應(yīng)對(duì)策略（如封鎖IP、調(diào)整防護(hù)閾值）。安全工程師（T1）實(shí)施應(yīng)對(duì)策略扼殺風(fēng)險(xiǎn)于萌芽。

5.未公開威脅處置（見圖6）

未公開威脅源自于專門白帽子團(tuán)隊(duì)在安全實(shí)驗(yàn)室中挖掘系統(tǒng)、中間件、開源框架等存在的未公開漏洞，全球100+合作伙伴（其中包含Google VirusTotal、微軟MAPP、RAPID7、卡巴斯基等等）的威脅情報(bào)共享，經(jīng)過用戶允許確認(rèn)后的流量上報(bào)沙箱分析。再經(jīng)過安全專家確認(rèn)后得到各類0Day漏洞、安全公司獨(dú)有漏洞或最新發(fā)現(xiàn)病毒的預(yù)防與處置解決方案。

依托風(fēng)險(xiǎn)發(fā)現(xiàn)組件和安全防護(hù)組件，通過高級(jí)安全運(yùn)營專家及時(shí)對(duì)威脅進(jìn)行通告、規(guī)避，并由研發(fā)團(tuán)隊(duì)將防護(hù)能力整合到安全設(shè)備中，更快、更及時(shí)地應(yīng)對(duì)未公開威脅。其中包含安全專家負(fù)責(zé)對(duì)安全問題進(jìn)行分析給出解決方案;運(yùn)營專家負(fù)責(zé)安全策略的運(yùn)營（通告預(yù)警、自定義策略臨時(shí)防護(hù)）、臨時(shí)應(yīng)對(duì)、規(guī)避風(fēng)險(xiǎn)等;技術(shù)研發(fā)負(fù)責(zé)安全功能的迭代（更新規(guī)則庫、升級(jí)安全組件），將防護(hù)能力集成到工具中，全面保障用戶的業(yè)務(wù)避免受到未公開威脅的攻擊，從而有效預(yù)防和解決用戶的安全問題。

整個(gè)過程通過云端威脅情報(bào)共享和知名安全廠商云腦大數(shù)據(jù)安全專家進(jìn)行未公開威脅的實(shí)時(shí)收集，及時(shí)發(fā)現(xiàn)/分析問題、下發(fā)應(yīng)對(duì)策略。高級(jí)安全運(yùn)營專家（T2）和首席安全專家（T4）快速更新防護(hù)策略、防護(hù)功能，保障用戶的業(yè)務(wù)風(fēng)險(xiǎn)得以規(guī)避。

其實(shí)大家都不同程度遇到過未公開威脅。當(dāng)出現(xiàn)一個(gè)未公開威脅時(shí)，一般安全廠商的做法是在其微信公眾號(hào)、微博上進(jìn)行通告預(yù)警。實(shí)際上這樣會(huì)導(dǎo)致一個(gè)問題，就是這個(gè)威脅有沒有對(duì)我、我的業(yè)務(wù)系統(tǒng)產(chǎn)生影響。相對(duì)于以往的安全服務(wù)，我們的做法是，直接告訴你說，我們發(fā)現(xiàn)了一個(gè)未公開威脅，這個(gè)威脅有什么危害，目前我們的AF 和EDR 已經(jīng)整合了相關(guān)的防護(hù)能力。如果需要掃描確認(rèn)的，我們征得用戶同意后，就可以在云端下發(fā)掃描策略。從點(diǎn)到面的、又貼合實(shí)際場(chǎng)景地解決了我們的未公開威脅。例如，勒索病毒變種，我們當(dāng)天通知了所有的云網(wǎng)絡(luò)安全服務(wù)平臺(tái)用戶，幫助用戶規(guī)避風(fēng)險(xiǎn)。還有前兩周的Weblogic反序化漏洞，我們也是當(dāng)天通知了用戶，幫助用戶規(guī)避風(fēng)險(xiǎn)。

6.事件分析與處置（見圖7）

安全托管事件分析與處置服務(wù)是基于僵尸網(wǎng)絡(luò)、病毒、后門、黑鏈等各類安全事件的分析與處置，通過結(jié)合知名安全廠商主動(dòng)發(fā)現(xiàn)、主動(dòng)處置、被動(dòng)響應(yīng)流程，為用戶提供以上安全事件的處置服務(wù)。

依托于安全防護(hù)組件、檢測(cè)響應(yīng)組件和云腦安全平臺(tái)，將海量安全數(shù)據(jù)脫敏，包括漏洞信息、共享威脅情報(bào)、異常流量、攻擊日志、病毒日志等數(shù)據(jù)，經(jīng)由大數(shù)據(jù)處理平臺(tái)（Spark、HBASE、Hadoop等技術(shù)），結(jié)合人工智能和云端安全專家，使用多種數(shù)據(jù)分析算法（SVM、貝葉斯網(wǎng)絡(luò)、隨機(jī)森林、LDA、DGA、馬爾科夫聚類、iForest、RNN等）模型進(jìn)行數(shù)據(jù)歸因關(guān)聯(lián)分析，發(fā)現(xiàn)各類安全事件。

安全事件積極處置并分析出的勒索病毒、挖礦病毒、篡改事件、webshell、僵尸網(wǎng)絡(luò)等安全事件，安全服務(wù)專家對(duì)攻擊事件進(jìn)行深入的分析，包括攻擊路徑溯源，從根本上給出安全修復(fù)整改建議和安全防護(hù)加固方案。

當(dāng)發(fā)現(xiàn)安全事件后，安全工程師（T1）第一時(shí)間與用戶聯(lián)系對(duì)接，了解事件具體詳情，然后高級(jí)安全運(yùn)營專家（T2）或首席安全專家（T3）根據(jù)用戶對(duì)事件的描述和事件嚴(yán)重等級(jí)分類標(biāo)準(zhǔn)確定影響范圍和事件性質(zhì)，確定安全事件的處理方案以及方案失敗的應(yīng)變和回退措施。

7.應(yīng)急響應(yīng)

安全托管應(yīng)急響應(yīng)服務(wù)是基于主動(dòng)響應(yīng)和被動(dòng)響應(yīng)流程，對(duì)用戶的頁面篡改、通報(bào)、斷網(wǎng)、webshell、黑鏈等各類嚴(yán)重安全事件進(jìn)行緊急響應(yīng)和處置的解決方案。通過及時(shí)聯(lián)系用戶進(jìn)行溯源分析排查，根據(jù)Web安全事件、惡意程序事件、網(wǎng)絡(luò)流量攻擊、信息破壞事件等不同事件的定級(jí)和響應(yīng)級(jí)別，提供給用戶專業(yè)的安全整改加固建議。

依托于安全防護(hù)組件和檢測(cè)響應(yīng)組件，實(shí)現(xiàn)入侵檢測(cè)（分鐘級(jí)檢測(cè)）、0Day檢測(cè)（24小時(shí)內(nèi)、觸發(fā)式檢測(cè)）、后門檢測(cè)（分鐘級(jí)檢測(cè)）、篡改檢測(cè)（域名首頁、每5分鐘一次），勒索病毒、挖礦病毒等安全檢測(cè)，支持緊急電話、郵件、Web管理端、微信公眾號(hào)等多種響應(yīng)渠道和方式，結(jié)合云端安全專家團(tuán)隊(duì)和本地安全專家，對(duì)安全事件進(jìn)行入侵影響抑制、入侵威脅清除、入侵原因分析、加固建議指導(dǎo)等服務(wù)。

整個(gè)過程是通過安全工程師（T1）第一時(shí)間與用戶聯(lián)系對(duì)接了解事件具體詳情，然后由高級(jí)安全運(yùn)營專家（T2）根據(jù)用戶對(duì)事件的描述、各方面收集的信息確定事件性質(zhì)和影響范圍，確定安全事件的應(yīng)急處理方案并包含方案失敗的應(yīng)變和回退措施。如果在響應(yīng)過程中，發(fā)現(xiàn)攻擊正在擴(kuò)散、持續(xù)，或者正在對(duì)當(dāng)前業(yè)務(wù)正常運(yùn)行造成影響，知名安全廠商安全服務(wù)團(tuán)隊(duì)將采取抑制手段，抑制事態(tài)發(fā)展是為了將事故的損害降到低程度。在對(duì)安全事件進(jìn)行原因初步分析和影響抑制后，知名安全廠商安全團(tuán)隊(duì)將進(jìn)一步處理安全事件并留存證據(jù)。知名安全廠商首席安全專家（T3）將從網(wǎng)絡(luò)流量情況、主機(jī)系統(tǒng)日志、網(wǎng)站服務(wù)日志、業(yè)務(wù)應(yīng)用日志、數(shù)據(jù)庫日志等，結(jié)合已有安全設(shè)備數(shù)據(jù)，分析入侵方式，還原造成安全事件的過程。事件處理完畢后，根據(jù)整個(gè)事件情況進(jìn)行分析匯總并提交一份《安全應(yīng)急響應(yīng)報(bào)告》。針對(duì)安全事件現(xiàn)象、處理過程、處理結(jié)果進(jìn)行陳述，同時(shí)對(duì)入侵原因進(jìn)行分析，并給出相應(yīng)的安全加固建議和安全防御體系建設(shè)指導(dǎo)。

三、云網(wǎng)絡(luò)安全服務(wù)平臺(tái)的研究

相對(duì)于以往的安全服務(wù)，云網(wǎng)絡(luò)安全服務(wù)平臺(tái)用評(píng)估、檢測(cè)、保護(hù)、響應(yīng)多種手段協(xié)同，結(jié)合云端人工智能算法以及云端安全專家，避免企業(yè)或組織對(duì)安全事件認(rèn)知存在盲點(diǎn)，將各個(gè)維度的安全行為統(tǒng)納到云端進(jìn)行全局思考交付。

通過持續(xù)評(píng)估、持續(xù)保護(hù)、快速響應(yīng)三大服務(wù)機(jī)制，對(duì)七大內(nèi)容系統(tǒng)化交付。避免了不一樣的現(xiàn)場(chǎng)人員服務(wù)效果不一樣的問題。

通過云端平臺(tái)解決了持續(xù)服務(wù)的問題，避免對(duì)安全事件的認(rèn)識(shí)瓶頸，情報(bào)協(xié)作貫穿安全事件的生命周期。

我們提供安全組件的靈活擴(kuò)展，也靈活按需提供安全服務(wù)。交付到用戶端的價(jià)值是，幫助用戶把安全運(yùn)營體系建立起來，提供整體的安全效益。

四、結(jié)語

《網(wǎng)絡(luò)安全法》已于2017年6月1日正式實(shí)施，針對(duì)違法行為可直接處罰相關(guān)單位和相關(guān)人員，并首次在法律中明確國家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度。隨后，“網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0系列國家標(biāo)準(zhǔn)”悉數(shù)正式發(fā)布，并于2019年12月1日起正式實(shí)施。等保2.0成為我國網(wǎng)絡(luò)安全領(lǐng)域的基本國策、基本制度和基本方法。等保2.0系列標(biāo)準(zhǔn)相較于以往的等保1.0標(biāo)準(zhǔn)更加注重全方位主動(dòng)防御、動(dòng)態(tài)防御、整體防控和精準(zhǔn)防護(hù)，實(shí)現(xiàn)了對(duì)云計(jì)算、移動(dòng)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)、大數(shù)據(jù)等保護(hù)對(duì)象的全覆蓋，以及除個(gè)人及家庭自建自用網(wǎng)絡(luò)之外的領(lǐng)域全覆蓋。

根據(jù)調(diào)研，很多單位網(wǎng)絡(luò)安全的建設(shè)工作存在誤區(qū)，其中“重建設(shè)、輕運(yùn)營”最為明顯。眾多單位安全建設(shè)集中在安全設(shè)備采購，部署后缺乏專人運(yùn)轉(zhuǎn)，導(dǎo)致發(fā)生安全事件時(shí)不能及時(shí)發(fā)現(xiàn)以及動(dòng)態(tài)防護(hù)，日常安全工作受限于人力、技術(shù)資源，安全運(yùn)營經(jīng)驗(yàn)不足，導(dǎo)致安全效果無法達(dá)到預(yù)期。

參考文獻(xiàn)：

[1]孫建立，李歆麗等.高校環(huán)境下的信息系統(tǒng)備案與安全管理研究[J]計(jì)算機(jī)科學(xué)，2018（46）：137-141.

[2]孫建立，楊志軍等.基于數(shù)據(jù)流量分析的網(wǎng)絡(luò)安全態(tài)勢(shì)感知平臺(tái)研究[J]計(jì)算機(jī)科學(xué)，2019（46）：275-280.

（編輯：王天鵬）