袁廣戀,云圓圓

(江蘇金盾檢測技術(shù)股份有限公司,江蘇 南京 210042)

0 引言

隨著近幾年《網(wǎng)絡(luò)安全法》《密碼法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》等一系列相關(guān)法律的出臺(tái),網(wǎng)絡(luò)安全的合規(guī)性要求越來越高。除了法律之外,各個(gè)主管部門組織的網(wǎng)安行動(dòng)、護(hù)網(wǎng)行動(dòng)越來越多,網(wǎng)絡(luò)安全運(yùn)營者面臨被通報(bào)、被處罰的情況越來越多。如何在新形勢下順利開展網(wǎng)絡(luò)安全工作,滿足各項(xiàng)法律法規(guī)要求,避免被通報(bào)、被處罰已經(jīng)成為網(wǎng)絡(luò)安全運(yùn)營者迫切需要面對并解決的問題。

1 網(wǎng)絡(luò)安全工作現(xiàn)狀

網(wǎng)絡(luò)安全工作越來越重要,網(wǎng)絡(luò)安全運(yùn)營者對網(wǎng)絡(luò)安全工作越來越重視,每年在網(wǎng)絡(luò)安全工作上都有一定的資金及時(shí)間的投入,但是目前的網(wǎng)絡(luò)安全工作依然存在一些問題。

1.1 安全設(shè)備未正確使用好

目前,很多網(wǎng)絡(luò)安全運(yùn)營者在網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施上投入較多,主要包括邊界安全、殺毒、態(tài)勢感知、安全審計(jì)、流量分析等相應(yīng)技術(shù)措施,要匹配的安全設(shè)備類型也很多,比如最基礎(chǔ)的防火墻、殺毒軟件、VPN、堡壘機(jī)、上網(wǎng)行為管理到進(jìn)一步的態(tài)勢感知、IPS、日志管理、數(shù)據(jù)防泄露、Web應(yīng)用防火墻、數(shù)據(jù)庫審計(jì)等。由于這些網(wǎng)絡(luò)安全設(shè)備的增加,同時(shí)這些安全設(shè)備又是比較專業(yè)的網(wǎng)絡(luò)安全設(shè)備,如何有效把這一系列安全設(shè)備充分使用起來,發(fā)揮其最大用處,起到應(yīng)有的網(wǎng)絡(luò)安全防護(hù)效果是網(wǎng)絡(luò)安全運(yùn)營者需要面對的問題,往往在實(shí)際工作中大部分的安全設(shè)備都沒有被使用好。

1.2 無法獨(dú)立處理海量的告警和日志

隨著大量網(wǎng)絡(luò)安全設(shè)備的投入,特別是防入侵攻擊、主動(dòng)威脅分析相關(guān)的安全設(shè)備的投入,每天這些網(wǎng)絡(luò)安全設(shè)備會(huì)產(chǎn)生海量的告警信息和日志。大部分網(wǎng)絡(luò)安全運(yùn)營者無法自主分析這些告警日志,從這些海量的告警信息里提取有效的安全事件和攻擊行為,進(jìn)行有效的安全處置。

1.3 網(wǎng)絡(luò)安全工作合規(guī)要求越來越多

隨著《網(wǎng)絡(luò)安全法》《密碼法》《數(shù)據(jù)安全保護(hù)法》等法律法規(guī)的出臺(tái),網(wǎng)絡(luò)安全運(yùn)營者需要開展的網(wǎng)絡(luò)安全合規(guī)工作越來越多,比如:開展等級(jí)保護(hù)測評(píng)、商用密碼應(yīng)用安全性評(píng)估、數(shù)據(jù)分類分級(jí)、網(wǎng)絡(luò)安全應(yīng)急演練等。這樣的工作專業(yè)性強(qiáng),對網(wǎng)絡(luò)安全運(yùn)營者的技術(shù)要求較高,大部分網(wǎng)絡(luò)安全運(yùn)營者無法獨(dú)立依靠自己的力量完成這些工作。

1.4 各類網(wǎng)絡(luò)安全通報(bào)越來越多

目前,網(wǎng)信辦、公安、通管及行業(yè)主管部門對網(wǎng)絡(luò)安全運(yùn)營者或多或少都有管理要求。隨著監(jiān)管的加強(qiáng),網(wǎng)絡(luò)安全運(yùn)營者經(jīng)常會(huì)收到各類網(wǎng)絡(luò)安全通報(bào)。網(wǎng)絡(luò)安全運(yùn)營者收到通報(bào)后需要第一時(shí)間快速及時(shí)地進(jìn)行處置并做反饋。面對這樣的實(shí)際情況,單個(gè)網(wǎng)絡(luò)安全技術(shù)人員很難完全應(yīng)對此類突發(fā)的網(wǎng)絡(luò)安全事件。目前,大部分網(wǎng)絡(luò)安全運(yùn)營者都不能完全獨(dú)立解決這類網(wǎng)絡(luò)安全通報(bào)。

2 網(wǎng)絡(luò)安全工作需求分析

2.1 網(wǎng)絡(luò)安全工作合規(guī)性需求

等級(jí)保護(hù)測評(píng)、商用密碼應(yīng)用安全性評(píng)估、數(shù)據(jù)分類分級(jí)、網(wǎng)絡(luò)安全應(yīng)急演練等網(wǎng)絡(luò)安全合作工作越來越多,需要網(wǎng)絡(luò)安全運(yùn)營者及時(shí)開展以滿足法律法規(guī)的要求,做到網(wǎng)絡(luò)安全工作合規(guī)合法。

2.2 網(wǎng)絡(luò)安全工作有效性需求

網(wǎng)絡(luò)安全運(yùn)營者需要使用好網(wǎng)絡(luò)安全設(shè)備,及時(shí)處置各類網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。這就需要網(wǎng)絡(luò)安全運(yùn)營者做到安全設(shè)備策略優(yōu)化、主機(jī)設(shè)備加固、應(yīng)用的安全漏洞發(fā)現(xiàn)及修復(fù)、安全日志分析、突發(fā)事件處置等工作,做到網(wǎng)絡(luò)安全工作切實(shí)有效,避免發(fā)生網(wǎng)絡(luò)安全事件,避免被相關(guān)安全主管部門通報(bào)。個(gè)人很難較為全面、快速、有效地解決這些問題。

2.3 網(wǎng)絡(luò)安全工作及時(shí)性需求

面對網(wǎng)絡(luò)安全攻擊事件以及網(wǎng)絡(luò)安全主管部門隨時(shí)可能的通報(bào),網(wǎng)絡(luò)安全運(yùn)營者應(yīng)該在第一時(shí)間對這些網(wǎng)絡(luò)安全問題進(jìn)行分析、判斷、處置,如果處置不及時(shí),一方面可能造成網(wǎng)絡(luò)安全事件影響范圍擴(kuò)大及破壞程度的增加;另一方面可能造成主管部門的再次通報(bào)及處罰。面對這類情況,網(wǎng)絡(luò)安全運(yùn)營者對網(wǎng)絡(luò)安全工作的及時(shí)性要求越來越高。

3 網(wǎng)絡(luò)安全運(yùn)營服務(wù)實(shí)現(xiàn)

面對以上的網(wǎng)絡(luò)安全工作現(xiàn)狀及網(wǎng)絡(luò)安全工作需求,如果網(wǎng)絡(luò)安全運(yùn)營者再像傳統(tǒng)做網(wǎng)絡(luò)安全工作一樣,只是通過購買網(wǎng)絡(luò)安全設(shè)備,依靠網(wǎng)絡(luò)安全運(yùn)營者自身去解決是很難做好當(dāng)下的網(wǎng)絡(luò)安全工作,無法做到合規(guī)、有效、及時(shí)。這些需要通過專業(yè)的第三方網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)構(gòu)建全新的網(wǎng)絡(luò)安全運(yùn)營服務(wù)體系來解決。新形勢下的網(wǎng)絡(luò)安全運(yùn)營服務(wù)內(nèi)容至少包括:資產(chǎn)調(diào)研、安全防護(hù)能力檢測、防入侵安全加固、安全監(jiān)測與預(yù)警、應(yīng)急處置,通過這一系列服務(wù)提升網(wǎng)絡(luò)安全運(yùn)營者的網(wǎng)絡(luò)安全防護(hù)能力,降低網(wǎng)絡(luò)安全事件發(fā)生的概率,有效地完成網(wǎng)絡(luò)安全各項(xiàng)工作。

3.1 開展好信息資產(chǎn)調(diào)研

網(wǎng)絡(luò)安全運(yùn)營者做好網(wǎng)絡(luò)安全運(yùn)營服務(wù),首要任務(wù)就是開展好信息資產(chǎn)調(diào)研,全面掌握單位具有的信息資產(chǎn),摸清家底。在實(shí)踐中,一般通過人工訪談?wù){(diào)研和互聯(lián)網(wǎng)服務(wù)指紋探測等方式對用戶單位的信息系統(tǒng)情況進(jìn)行調(diào)研摸底,梳理存活在用的物理資產(chǎn)信息和數(shù)字資產(chǎn)信息,避免防護(hù)盲區(qū)的存在。資產(chǎn)調(diào)研除了傳統(tǒng)的信息資產(chǎn)、IP、服務(wù)器操作系統(tǒng)版本、中間件、數(shù)據(jù)庫版本,還包括業(yè)務(wù)系統(tǒng)相關(guān)訪問路徑、訪問人員等信息?；诰W(wǎng)絡(luò)掃描、搜索引擎、互聯(lián)網(wǎng)基礎(chǔ)數(shù)據(jù)引擎主動(dòng)探測暴露在互聯(lián)網(wǎng)上的業(yè)務(wù)應(yīng)用系統(tǒng)等資產(chǎn),可以形成明確的資產(chǎn)清單,并發(fā)現(xiàn)未知資產(chǎn)。技術(shù)人員通過大數(shù)據(jù)挖掘和調(diào)研的方式確定資產(chǎn)范圍,進(jìn)行主動(dòng)精準(zhǔn)探測,深度發(fā)現(xiàn)暴露在外的 IT 設(shè)備、端口及應(yīng)用服務(wù),發(fā)現(xiàn)活躍資產(chǎn)及 “僵尸” 資產(chǎn),由安全專家對每項(xiàng)業(yè)務(wù)進(jìn)行梳理分析,結(jié)合網(wǎng)絡(luò)安全運(yùn)營者反饋的業(yè)務(wù)特點(diǎn)對資產(chǎn)重要程度、業(yè)務(wù)安全需求進(jìn)行歸納,最終形成各網(wǎng)絡(luò)安全運(yùn)營者的資產(chǎn)清單。同時(shí),信息資產(chǎn)調(diào)研工作不是一勞永逸的。信息資產(chǎn)有一個(gè)不斷變化和更新的過程。這就需要網(wǎng)絡(luò)安全運(yùn)營者定期開展信息資產(chǎn)調(diào)研,不斷完善信息資產(chǎn)。

3.2 做好網(wǎng)絡(luò)安全防護(hù)能力檢測工作

網(wǎng)絡(luò)安全運(yùn)營者在新的網(wǎng)絡(luò)安全形勢下應(yīng)該開展全面的網(wǎng)絡(luò)安全防護(hù)能力檢測才能更加全面地發(fā)現(xiàn)各類網(wǎng)絡(luò)安全問題。一個(gè)全面的網(wǎng)絡(luò)安全防護(hù)能力檢測至少要包括滲透性測試、漏洞掃描、安全措施防護(hù)有效性檢測、入侵痕跡檢測等幾個(gè)方面的內(nèi)容[1]。區(qū)別于一般的基于安全漏洞的檢測,防護(hù)能力檢測從面向威脅視角通過安全建模的方式分析系統(tǒng)實(shí)際存在的安全威脅場景,并對可能存在的威脅途徑、威脅方式進(jìn)行全覆蓋式的測試驗(yàn)證,測試結(jié)果不但能明確反映出當(dāng)前系統(tǒng)面臨哪些方面的威脅、哪些威脅可被利用、哪些威脅可被抵御,而且對應(yīng)安全風(fēng)險(xiǎn)事前、事中、事后全過程提出整改建議措施。該檢測更加全面地發(fā)現(xiàn)各類安全隱患,而不局限于某一方面的網(wǎng)絡(luò)安全問題。滲透測試一定是全面性的,不能僅僅局限于某一方面漏洞的發(fā)現(xiàn)。漏洞掃描需要使用不同工具進(jìn)行交叉掃描。各類安全措施是否有效需要進(jìn)行策略設(shè)計(jì)、策略優(yōu)化、策略驗(yàn)證、策略及時(shí)更新等,做到安全防護(hù)措施的實(shí)時(shí)有效。入侵痕跡檢測可以有效判斷系統(tǒng)是否已被入侵過,避免系統(tǒng)已被黑客進(jìn)行木馬控制等攻擊。

3.3 開展防入侵安全加固

目前,國內(nèi)對于安全整改加固的現(xiàn)狀是:大部分從事網(wǎng)絡(luò)安全業(yè)務(wù)的廠商提供安全加固服務(wù)是針對合規(guī)要求的策略配置、補(bǔ)丁升級(jí)等有限的安全加固,對應(yīng)的安全加固技術(shù)人員僅從一個(gè)或某幾個(gè)側(cè)面來對系統(tǒng)進(jìn)行增強(qiáng)保護(hù),沒有形成一套完整的防入侵安全加固保護(hù)體系,不能對目標(biāo)提供全面有效的保護(hù)。對于向互聯(lián)網(wǎng)提供服務(wù)的系統(tǒng),來自應(yīng)用層的攻擊入侵占絕大多數(shù),但是應(yīng)用軟件的安全漏洞和安全功能的缺失需要通過代碼更新或重新開發(fā)才能解決,對于已交付或需頻繁業(yè)務(wù)更新的應(yīng)用系統(tǒng)則束手無策。部分網(wǎng)絡(luò)安全運(yùn)營者寄希望通過部署各類安全防護(hù)產(chǎn)品解決網(wǎng)絡(luò)攻擊入侵的問題,由于網(wǎng)絡(luò)入侵技術(shù)、網(wǎng)絡(luò)攻防對抗的多樣性、動(dòng)態(tài)性、復(fù)雜性,經(jīng)常出現(xiàn)投入大量資金而安全態(tài)勢并沒有真正改變的狀況。

在安全威脅和安全保護(hù)要求詳細(xì)分析的基礎(chǔ)上,防入侵安全加固能夠在不增加的硬件設(shè)備的條件下對網(wǎng)絡(luò)系統(tǒng)、主機(jī)系統(tǒng)、應(yīng)用系統(tǒng)提供全面的防入侵功能設(shè)計(jì)和安全策略優(yōu)化等服務(wù),為網(wǎng)絡(luò)安全運(yùn)營者提供一套完整的防入侵安全加固保護(hù)體系,消除安全隱患,有效提升信息系統(tǒng)的安全防護(hù)能力。

防入侵加固加固的不僅僅是漏洞,它是一個(gè)加固體系,涉及網(wǎng)絡(luò)層加固、系統(tǒng)層加固和應(yīng)用層加固。

3.3.1 網(wǎng)絡(luò)層加固

網(wǎng)絡(luò)架構(gòu)及邊界安全策略整改優(yōu)化:依據(jù)安全檢測發(fā)現(xiàn)的問題形成網(wǎng)絡(luò)層面安全整改方案,主要內(nèi)容包括但不限于網(wǎng)絡(luò)架構(gòu)優(yōu)化設(shè)計(jì)及結(jié)構(gòu)調(diào)整、網(wǎng)絡(luò)邊界訪問控制優(yōu)化設(shè)計(jì)及策略加固、網(wǎng)絡(luò)邊界防入侵策略加固優(yōu)化、網(wǎng)絡(luò)邊界防惡意代碼策略加固優(yōu)化、設(shè)備身份認(rèn)證策略、權(quán)限管理策略、遠(yuǎn)程管理策略加固優(yōu)化、網(wǎng)絡(luò)監(jiān)測預(yù)警策略加固優(yōu)化、網(wǎng)絡(luò)日志審計(jì)策略加固優(yōu)化等。

3.3.2 系統(tǒng)層加固

操作系統(tǒng)及通用網(wǎng)絡(luò)服務(wù)安全加固:依據(jù)安全檢測發(fā)現(xiàn)的問題形成系統(tǒng)層面安全整改方案,主要內(nèi)容包括但不限于:身份認(rèn)證策略加固優(yōu)化、權(quán)限管理策略加固優(yōu)化、遠(yuǎn)程管理策略加固優(yōu)化、日志審計(jì)策略加固優(yōu)化、訪問控制策略加固優(yōu)化、重要文件完整性監(jiān)測加固優(yōu)化、系統(tǒng)部署結(jié)構(gòu)及管理控制臺(tái)加固優(yōu)化、補(bǔ)丁升級(jí)及防入侵策略加固、日志審計(jì)策略加固優(yōu)化等。

3.3.3 應(yīng)用層加固

應(yīng)用層加固主要內(nèi)容包括但不限于:Web安全漏洞的修復(fù)加固、第三方組件安全漏洞修復(fù)加固、安全配置缺陷的修復(fù)加固、程序及配置文件完整性監(jiān)測措施設(shè)計(jì)加固、日志審計(jì)策略加固優(yōu)化、數(shù)據(jù)備份恢復(fù)策略優(yōu)化加固等,實(shí)現(xiàn)對應(yīng)用層中常見高中危漏洞的有效防護(hù)。

3.4 日常安全監(jiān)測與預(yù)警服務(wù)

網(wǎng)絡(luò)安全運(yùn)營者通過防護(hù)能力檢測以及防入侵加固服務(wù),可以解決大部分網(wǎng)絡(luò)安全問題。如何面對日常的網(wǎng)絡(luò)安全攻擊以及未知威脅的網(wǎng)絡(luò)攻擊,網(wǎng)絡(luò)安全運(yùn)營者需要加強(qiáng)日常網(wǎng)絡(luò)安全監(jiān)測與預(yù)警服務(wù)。通過部署專業(yè)監(jiān)測工具來分析網(wǎng)絡(luò)鏡像流量,基于規(guī)則檢測、機(jī)器學(xué)習(xí)模型、大數(shù)據(jù)技術(shù),可以實(shí)時(shí)感知業(yè)務(wù)系統(tǒng)的安全威脅,檢測到外部攻擊、內(nèi)網(wǎng)滲透以及失陷破壞的威脅。部署的專業(yè)監(jiān)測工具實(shí)現(xiàn)以下功能。

3.4.1 迅速定位:精準(zhǔn)檢測0Day、木馬變形及APT攻擊

為攻入目標(biāo)單位網(wǎng)絡(luò)大門,攻擊者通常會(huì)嘗試各類最新、最隱秘的攻擊手段。同時(shí),監(jiān)測工具還可對請求與返回流量全流量檢測,對目標(biāo)單位生產(chǎn)網(wǎng)、辦公網(wǎng)全場景流量攻擊成功失敗自動(dòng)化判定,保證準(zhǔn)確告警,精準(zhǔn)檢測0Day、木馬變形及APT攻擊并迅速定位被攻擊的目標(biāo)資產(chǎn)。

3.4.2 情報(bào)反制:重保監(jiān)控,實(shí)時(shí)獲取最新攻擊情報(bào)

監(jiān)測工具基于專業(yè)分析團(tuán)隊(duì)時(shí)刻跟進(jìn)攻擊動(dòng)向,實(shí)時(shí)同步攻擊隊(duì)IP資產(chǎn)、木馬特征、攻擊隊(duì)溯源結(jié)果等攻擊者重要信息,同時(shí)全面展現(xiàn)外部攻擊活動(dòng)、資產(chǎn)風(fēng)險(xiǎn)檢出、惡意文件、郵件告警、疑似感染攻擊隊(duì)木馬主機(jī)等關(guān)鍵信息,通過情報(bào)進(jìn)行先發(fā)制人。

3.4.3 攻擊研判:靈活易用研判工具包

各種高級(jí)、未知、高隱藏型攻擊威脅,已成為攻防過程的主流攻擊方式。網(wǎng)絡(luò)安全運(yùn)營者想要準(zhǔn)確、快速、有效地對攻擊進(jìn)行研判,就需要高可用、高易用的分析研判工具庫,從而及時(shí)快捷地進(jìn)行攻擊研判。在攻擊研判環(huán)節(jié),監(jiān)測工具的日志調(diào)查模塊針對網(wǎng)絡(luò)日志提供不同流量方向、不同行為類型、不同匹配方式的源IP、攻擊結(jié)果等任意類型日志快速檢索,完備的解碼與統(tǒng)計(jì)分析工具可對加密攻擊載荷進(jìn)行解碼分析。

3.4.4 快速響應(yīng):自動(dòng)化封堵攻擊

在攻擊過程中,一旦發(fā)現(xiàn)攻擊者,監(jiān)測工具可提供旁路阻斷與聯(lián)動(dòng)阻斷兩種阻斷方式。通過旁路阻斷,可在不改變網(wǎng)絡(luò)拓?fù)涞那闆r下,對惡意連接進(jìn)行有效阻斷。而聯(lián)動(dòng)阻斷,則是將檢出的惡意域名資產(chǎn)IP、域名等信息及時(shí)同步至第三方防火墻設(shè)備或采用外部資源調(diào)用的方式進(jìn)行阻斷。

3.4.5 攻擊溯源:完整還原攻擊路徑

攻擊溯源是事后響應(yīng)的關(guān)鍵,也是安全能力提升的關(guān)鍵。通過對被攻擊資產(chǎn)與流量的分析與溯源,還原攻擊路徑與攻擊手法,網(wǎng)絡(luò)安全運(yùn)營者不僅可有效提升攻防能力,還可增強(qiáng)安全防御能力,將攻擊事件轉(zhuǎn)換為防御勢能,避免二次攻擊事件發(fā)生。

3.5 威脅分析及應(yīng)急處置

網(wǎng)絡(luò)安全運(yùn)營者(1)通過專業(yè)的工具開展網(wǎng)絡(luò)層流量分析,來發(fā)現(xiàn)各類網(wǎng)絡(luò)安全攻擊;(2)通過實(shí)時(shí)的流量分析來發(fā)現(xiàn)各類網(wǎng)絡(luò)安全問題。同時(shí),網(wǎng)絡(luò)安全運(yùn)營團(tuán)隊(duì)的一線運(yùn)營前臺(tái)會(huì) 7×24 h監(jiān)控應(yīng)用安全攻擊事件,并對事件進(jìn)行即時(shí)確認(rèn),一旦發(fā)現(xiàn)安全事件屬實(shí),將會(huì)即時(shí)通知客戶及相關(guān)的應(yīng)用管理接口人,同時(shí)啟動(dòng)相應(yīng)的安全應(yīng)急響應(yīng)流程。在接到網(wǎng)絡(luò)安全運(yùn)營者緊急響應(yīng)請求時(shí),網(wǎng)絡(luò)安全運(yùn)營團(tuán)隊(duì)立即啟動(dòng)響應(yīng)預(yù)案。項(xiàng)目負(fù)責(zé)人立即指派現(xiàn)場應(yīng)急組收集信息系統(tǒng)信息、安全事件信息并立即分析評(píng)估[2]。無論能否解決問題30 min內(nèi)返回處理情況簡報(bào)?，F(xiàn)場應(yīng)急組在規(guī)定時(shí)間內(nèi)不能分析問題,則立即電話請求技術(shù)支援組,協(xié)同分析解決安全事件。如果在30 min內(nèi)仍不能解決,那么技術(shù)支援組及技術(shù)專家應(yīng)在1 h內(nèi)到達(dá)事故現(xiàn)場,協(xié)助現(xiàn)場人員進(jìn)行問題處理,直至問題解決。

在重要保障時(shí)期,根據(jù)網(wǎng)絡(luò)安全運(yùn)營者需求,提供1人7×8 h或7×24 h駐場式安全運(yùn)行保障,網(wǎng)絡(luò)安全運(yùn)營團(tuán)隊(duì)對系統(tǒng)各類運(yùn)行日志和威脅情況進(jìn)行分析,及時(shí)發(fā)現(xiàn)系統(tǒng)異常情況和安全威脅形勢,為提前預(yù)防和應(yīng)急措施提供技術(shù)支撐。一旦發(fā)生網(wǎng)絡(luò)安全事件,駐場服務(wù)團(tuán)隊(duì)將第一時(shí)間提供現(xiàn)場應(yīng)急處置服務(wù),迅速研判事件原因。根據(jù)《國家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》網(wǎng)絡(luò)安全事件分為四級(jí):特別重大網(wǎng)絡(luò)安全事件、重大網(wǎng)絡(luò)安全事件、較大網(wǎng)絡(luò)安全事件、一般網(wǎng)絡(luò)安全事件[3]。根據(jù)不同級(jí)別的網(wǎng)絡(luò)安全事件,網(wǎng)絡(luò)安全運(yùn)營團(tuán)隊(duì)啟動(dòng)不同級(jí)別的網(wǎng)絡(luò)安全應(yīng)急服務(wù),按照安全事件應(yīng)急預(yù)案提供取證、抑制、根除以及驗(yàn)證等服務(wù),將安全事件的危害損失控制在最小范圍。

安全事件分析:針對各類網(wǎng)絡(luò)安全事件,網(wǎng)絡(luò)安全運(yùn)營團(tuán)隊(duì)需做好預(yù)測并對監(jiān)測到的安全數(shù)據(jù)和安全事件信息進(jìn)行安全事件研究、分析和判定,驗(yàn)證安全事件的可能性并出具相應(yīng)的解決方法。一支由高技術(shù)能力的安全服務(wù)人員組成的安全團(tuán)隊(duì)開展安全事件研判分析。安全應(yīng)急響應(yīng)處置:基于具體的安全事件開展專家應(yīng)急響應(yīng),包括安全事件檢測、安全事件抑制、安全事件根除、安全事件恢復(fù)、安全事件總結(jié),最終形成協(xié)調(diào)聯(lián)動(dòng)機(jī)制,增強(qiáng)應(yīng)急技術(shù)能力,健全應(yīng)急響應(yīng)機(jī)制。安全事件處置完成后,系統(tǒng)得到恢復(fù),找到安全事件發(fā)生的原因并提供相應(yīng)的安全解決方案,提供交付物安全事件應(yīng)急響應(yīng)報(bào)告。

4 結(jié)語

通過以上成系統(tǒng)的網(wǎng)絡(luò)安全運(yùn)營服務(wù)體系的建設(shè),網(wǎng)絡(luò)安全運(yùn)營者可以有效地應(yīng)對當(dāng)下網(wǎng)絡(luò)安全新形勢下對網(wǎng)絡(luò)安全工作的各項(xiàng)要求,一方面要全面發(fā)現(xiàn)問題,同時(shí)也要及時(shí)解決問題,在面對各類攻擊或攻防行動(dòng)時(shí)亦能及時(shí)發(fā)現(xiàn)各類網(wǎng)絡(luò)攻擊,并及時(shí)有效地做出響應(yīng)處置,將各類網(wǎng)絡(luò)攻擊及網(wǎng)絡(luò)安全事件第一時(shí)間處置完成,保障信息系統(tǒng)的安全。