第二部分是Web安全的运维，关键是两个方面，一个方面是它的部署和运维是重叠的，第二个是它的安全事件数据太大，不像我们的内网安全，内网安全发生入侵概率非常小，发生的时候我们都会非常重视。Web安全漏洞扫描是天天在发生的，这种数据量非常大，再去重视非常难。

基于这种方式我们要考虑把安全域变成安全子域的概念，把整个SOC安全运维平台要建各个子平台，Web应该建成一个独立的SOC平台，把处理好的信息传给上级的运维平台，才能保证上下的正常运维。

第二个就是我们安全智能防护方案的一些思考：面对Web安全的挑战可以说目前我们紧紧依靠安全产品堆积的纵深防护我感觉是不够的。智能防护已经成为了一个紧迫的需求。我记得今年成都安全大会上，大家都在期待着有一个智能的防护来解决现在的安全问题。我们的理解智能防护概念有点空。具体的在Web安全中做到哪些某种意义上含量一些智能成分？第一部分就是实现风险评估的日常化。因为我们的部署和运维是重叠的，我们不断的部署，发布新版本，不可能天天请专家团队做评估，必须要有产品、技术、服务把风险评估做到日常化，才能支持Web应用不断的更新。

其次就是实现纵深防护的统一管理。第三步是具有攻击行为识别能力。2012年最热门的概念就是大数据，大数据不是说交易数据大，大数据其实是行为数据，我们能不能把攻击的日志也好各种访问日志也好，能不能把背后的行为识别出来？这才是我们整个分析的一个智能化的标准。信息安全第一步永远是风险评估，没有风险评估信息安全可能无从谈起。作为Web安全来说如果要实现日常化，怎么做到对这三个要素日常化的获取？现在对资产人事部一样，以前说是设备，多少多少台机器，现在不是说多少台机器，是多少个Web应用，是有一个无线城市和飞信，这个系统资产是多少，这是一个资产的价值。再一个就是脆弱性。对Web应用脆弱性来说，它的获得就是用常用的脆弱性扫描工具，这是经常用到的扫描工具，最重要的就是威胁。通常的人工去做一个风险评估的话，下发调查表，调查各种威胁的可能性，我们能不能把它技术化其实就是要把目前我们的Web应用受到的各种攻击统计出来，它其实就是真正的威胁信息。如果能获取这样的数据够能知道威胁的大小。获得攻击的数据来源于两部分，一部分是网页防篡改，会有很多篡改攻击信息，包括WAP也会捕捉到很多攻击信息，包括DDoS防护等等。还有一些是对我们可能已经被攻击的网站的检测，比如说它已经被篡改了，已经被是植入了黑链，已经被挂马了，域名被劫持等等。这些信息和防护产品的信息罗在一起获得了我们的威胁信息。我们应该把脆弱性信息和攻击信息实时的获取，我们可以利用这些信息对Web应用做一个风险评估。

首先是分级的SOC上面有一个上级的SOC它的资产信息是绿色的，来自于人工输入。脆弱性信息来自于分布在各个子网之间的扫描引擎扫描出来的脆弱性信息。威胁信息来自于各个子网上的防护设备，以及扫描带来的威胁信息，如果把这些信息汇总到我们的平台上就可以出一份脆弱性评估报告。特别强调一下，我们的办公区域Web安全监控也非常重要。因为我们在前段时间流行的高级植入性威胁中特别强调一点，他们通过控制台式机、网站，最终进入到了你的内网中。内网中如果没有任何监控他可以为所欲为，这种风险和损失是非常大的。包括对我们设备的安全管理也非常非常重要。

这是我们的WebSOC管理要素一览表，从运维本身来说包括速度和网站够不够用，脆弱性包括系统漏洞、Web漏洞、源代码等等。威胁来说有篡改、黑链，黑链是实际业务中最大的检测出来的结果，比篡改多得多因为黑链也经济价值。域名劫持、Web各种日志，这些都能构造威胁的数据。

刚才的部分是智能化的风险评估。第二部分，我们怎么来实现安全策略和防护规则统一的安全策略？统一的安全策略非常重要。讲一个实际例子，目前很多WAP在实施过程中都做了一个事情，把WebIP地址屏蔽掉了，网站访问最后只剩下一个IP地址，这是可能没有WAP有更大的威胁。因为我们知道系统安全最后的保障是法律而不是技术或者设备。法律讲的是证据，整个Web安全中最重要的证据就是访问的日志，最重要的信息条就是它的IP来源。如果我们没有一个统一的安全策略的话，可能我们未来某一个安全设备上线就轻易的把这么重要的IP来源取消掉了它对安全的威胁会更大。