举世瞩目的第41届世界博览会于2010年5月1日至10月31日在中国上海举办。从开园到结束,整体运行平稳有序,各类场馆的服务保障工作运转良好。在整个园区运行安全、平稳有序的背后,有“电子围栏”、宽带无线通信技术、智能化神经网络监控等一批拥有自主知识产权的信息新技术首度应用于上海世博会,节省了大量安保警力资源。
由于世博的安保安全保障任务要求高,除了大量应用新的安全保障系统以外,还需要有一支专业的、训练有数的、安全运维保障人员,来管理、协调处理各类安全监控突发事件,为上海世博会提供全程网络安全监控保障服务,确保上海世博会期间的网络畅通及业务安全。
为此2010年4月,上海世博会天融信安全运维小组全面进驻世博会,提供“集中化、精细化、标准化”安全运维服务。为保障整个世博会各类信息网络系统安全、稳定运行,保证业务流程高效、顺畅流转,以天融信为首的安全监控运维团队积极探索创新运维手段,从强化规范化建设、构建运维分析系统、引入标准运维体系三方面着手,有力地支持世博会运维工作。截止世博会闭馆前,安全运维小组已经通过多种方式为票务、预约、培训平台、终端等业务提供了不同级别的安全服务支持,是一支行动快速、技术过硬、敢于挑战的团队。尤其是2010年9月的一次应急响应服务,更加证明了安全运维世博小组有能力保障世博会信息化业务系统的安全。
安全运维团队通过架设在世博安全监控中心的安全监控平台实现,对整个世博网络及业务系统的7x24小时监控,该系统由四个部分组成:数据采集子系统、安全监控平台子系统、应急响应子系统、专家团队子系统。
图1 安全监控平台
(一) 数据采集子系统部署在用户网络端,负责从世博网络的安全监控对象上采集日志数据,并将预处理后的数据信息以加密方式发送至“安全监控”平台进行分析。
(二) 安全监控核心平台子系统部署在世博安全监控中心机房,对采集到的日志信息进行智能分析,以安全风险管理为核心,实现安全对象管理、安全事件管理、系统脆弱性管理,将发现的高危安全事件生成预警信息通知到应急响应子系统。
(三)应急响应子系统定期向用户报送安全报表和安全通告,在发生高危安全事件时向用户提供预警,为用户提供专家级的安全解决方案和安全响应、安全咨询服务。
(四) 安全专家团队子系统包括安全运维人员、安全分析人员、安全专家组、现场服务人员。安全专家团队负责对安全事件进行实时监控与分析,帮助用户发现真正有威胁的安全事件。
2010年9月,上海世博会某在线业务平台持续遭受sql注入、web扫描、应用跨站、DDOS等组合攻击,影响范围包括其业务网站和后台数据库服务器。安全运维小组通过对安全监控平台的持续监控第一时间发现该类攻击事件,立即通知了相关领导和业务部门,同时赶到用户现场,在与用户充分沟通后,按照事先制定的预案,迅速启动应急方案和工作流程。并为用户提供了一套合理而完整的应急保障服务,降低对世博网络造成的影响,主要工作如下:
事件监控
安全监控子系统实时收集日志信息进行存储与分析,当发现高危安全事件时,采用声、光、短信的方式在管理员界面中呈现给安全监控人员,安全监控人员对安全事件的级别和影响进行评估,判断为严重事件时则启动工单系统通知客服人员,由客服人员向客户发送预警信息;若事件未达到预警级别,则安全监控人员创建工单,通知安全分析人员做处理。
