安全應(yīng)急響應(yīng)中心平臺(tái)的設(shè)計(jì)與實(shí)現(xiàn)

游林飛　林章　岳凌鋒　鮑忠秀　潘鐘強(qiáng)

摘 要：隨著網(wǎng)絡(luò)技術(shù)的迅速發(fā)展和普及，網(wǎng)絡(luò)安全已經(jīng)成為企業(yè)必不可少的環(huán)節(jié)。本文通對(duì)現(xiàn)有企業(yè)網(wǎng)絡(luò)安全的調(diào)查和分析，結(jié)合企業(yè)網(wǎng)絡(luò)安全的要求與平臺(tái)功能需求，采用B/S結(jié)構(gòu)模塊化設(shè)計(jì)的基本思路，設(shè)計(jì)實(shí)現(xiàn)了一個(gè)基于PHP的網(wǎng)絡(luò)安全應(yīng)急響應(yīng)中心，為企業(yè)實(shí)現(xiàn)漏洞收集和披露計(jì)劃。因此，建立適合中小企業(yè)的網(wǎng)絡(luò)安全應(yīng)急響應(yīng)中心平臺(tái)具有十分重要的現(xiàn)實(shí)意義。

關(guān)鍵詞：網(wǎng)絡(luò)安全；漏洞收集；披露計(jì)劃；應(yīng)急響應(yīng)平臺(tái)

中圖分類號(hào)：TP311 文獻(xiàn)標(biāo)識(shí)碼：A

Abstract：With the rapid development and popularization of network technology，network security has become an indispensable part of enterprises.This paper investigates and analyzes the network security of existing enterprises，and combines the requirements of enterprise network security and the functional requirements of the platform，the basic idea of modular design of B/S structure is adopted.The design realizes the network security emergency response center based on PHP and realizes the enterprise's vulnerability collection and disclosure plan.Therefore，it is of great practical significance to establish a network security emergency response center platform suitable for small and medium-sized enterprises.

Keywords：network security；vulnerability collection；disclosure plan；security response center

1 引言（Introduction）

近年來，黑客攻擊越來越頻繁，企業(yè)網(wǎng)絡(luò)安全也變得極其重要。企業(yè)安全應(yīng)急響應(yīng)中心，一般起著對(duì)外發(fā)布企業(yè)突發(fā)安全事件處理動(dòng)態(tài)，作為企業(yè)與熱心用戶和白帽黑客溝通反饋的平臺(tái)，以及對(duì)外發(fā)布企業(yè)信息安全團(tuán)隊(duì)研究成果的重要作用，為互聯(lián)網(wǎng)用戶能夠直接訪問到企業(yè)網(wǎng)絡(luò)安全保護(hù)體系提供途徑，同時(shí)也是協(xié)調(diào)企業(yè)各部門及時(shí)響應(yīng)安全事件的工作重點(diǎn)。實(shí)現(xiàn)屬于中小企業(yè)的安全應(yīng)急響應(yīng)中心平臺(tái)，有助于其完善網(wǎng)絡(luò)安全保護(hù)體系[1]。

2 安全應(yīng)急響應(yīng)中心的基本含義（Basic concept of

the security emergency response center）

安全應(yīng)急響應(yīng)中心是企業(yè)用于對(duì)外接收來自用戶發(fā)現(xiàn)并報(bào)告的產(chǎn)品缺陷的站點(diǎn)。目前主要有兩種實(shí)現(xiàn)方式。

2.1 漏洞報(bào)告平臺(tái)

漏洞報(bào)告平臺(tái)是指由獨(dú)立的第三方公司或機(jī)構(gòu)成立綜合性的“安全應(yīng)急響應(yīng)中心”。國(guó)內(nèi)補(bǔ)天平臺(tái)、漏洞盒子平臺(tái)，以及據(jù)此衍生的Sobug眾測(cè)平臺(tái)等均屬于該模式。外部報(bào)告者注冊(cè)對(duì)應(yīng)漏洞報(bào)告平臺(tái)選擇對(duì)應(yīng)的廠商進(jìn)行報(bào)送，接著該第三方機(jī)構(gòu)會(huì)發(fā)送郵件提示相關(guān)廠商確認(rèn)處理。這種方法的缺陷十分明顯。廠商的歷史漏洞信息完全暴露給第三方機(jī)構(gòu)，報(bào)告中涉及的企業(yè)內(nèi)部大量敏感信息因此外泄，喪失私密性[2]。

2.2 xSRC模式

xSRC模式是指：企業(yè)自己分配工程師開發(fā)屬于自身的安全應(yīng)急響應(yīng)中心，制定自己的漏洞收集和披露計(jì)劃。目前包括Google、Microsoft、騰訊、阿里巴巴和百度等，均成立了自己的安全應(yīng)急響應(yīng)中心，對(duì)外收集并處理安全研究員報(bào)送的漏洞報(bào)告。使用這種模式，企業(yè)在漏洞的收集和披露過程中完全掌控了主動(dòng)性，擁有良好的私密性和可定制性[3]。

3 建立安全應(yīng)急響應(yīng)中心的重要性和必要性（The

近年來黑客攻擊頻發(fā)，企業(yè)信息安全已經(jīng)愈來愈受到重視。大型企業(yè)的業(yè)務(wù)模式多，涉及的產(chǎn)品也多，特別是互聯(lián)網(wǎng)業(yè)務(wù)講究小步快跑敏捷迭代，往往忽視了安全檢查或者來不及進(jìn)行細(xì)致的安全檢查，同時(shí)安全系統(tǒng)本身是程序，也會(huì)存在各種遺漏。因?yàn)榛ヂ?lián)網(wǎng)業(yè)務(wù)的在線特性，使得使用互聯(lián)網(wǎng)的人都能夠接觸到。相對(duì)于傳統(tǒng)業(yè)務(wù)，被攻擊面擴(kuò)大，所以更容易被善意的、惡意的或者無意的人發(fā)現(xiàn)漏洞。如果漏洞被利用或者在黑市交易，對(duì)企業(yè)和用戶是極大危害的[3]。

縱觀國(guó)內(nèi)外，Google、微軟、阿里巴巴、騰訊、小米、網(wǎng)易等知名互聯(lián)網(wǎng)公司都已經(jīng)建立各自的應(yīng)急響應(yīng)中心，并在推出以后取得了良好的效果，對(duì)企業(yè)安全有了巨大的協(xié)調(diào)和推動(dòng)作用[1]。可以把安全應(yīng)急響應(yīng)中心看成一種安全能力或者產(chǎn)品。由一個(gè)安全應(yīng)急響應(yīng)中心服務(wù)商來為沒有資源建設(shè)安全應(yīng)急響應(yīng)中心的企業(yè)整合資源，提供安全應(yīng)急響應(yīng)中心平臺(tái)，這就是云安全應(yīng)急響應(yīng)中心了。

4 安全應(yīng)急響應(yīng)中心平臺(tái)的需求分析（Requirements

需求分析（Requirements Analysis）是系統(tǒng)分析員和軟件工程師在創(chuàng)建新的系統(tǒng)時(shí)，確定顧客的需要，包含基本需求、整體框架、設(shè)計(jì)目標(biāo)、設(shè)計(jì)原則、系統(tǒng)功能、可行性分析等。需求分析是一系列活動(dòng)的組成，包含需要解決問題的具體方法及確定系統(tǒng)實(shí)施方法必須采取的行動(dòng)等。

4.1 總體需求

由于“漏洞報(bào)告平臺(tái)”模式在實(shí)現(xiàn)過程中操作運(yùn)營(yíng)的規(guī)范問題，外加越來越多的魚龍混雜的第三方企業(yè)和機(jī)構(gòu)的介入，甚至出現(xiàn)了漏洞報(bào)告平臺(tái)泄漏企業(yè)敏感信息，從而導(dǎo)致企業(yè)因此被攻擊的案例。另一方面，出于私密性和可定制性的考慮，大多數(shù)互聯(lián)網(wǎng)企業(yè)均傾向于選擇“xSRC”模式。作為互聯(lián)網(wǎng)企業(yè)安全防護(hù)體系中用戶所能直接接觸到的門面，同時(shí)也作為協(xié)調(diào)企業(yè)各部門對(duì)安全事件做出及時(shí)積極響應(yīng)的工作中心，企業(yè)制定長(zhǎng)遠(yuǎn)的戰(zhàn)略性規(guī)劃，建立安全應(yīng)急響應(yīng)中心能夠更直觀地了解到企業(yè)網(wǎng)絡(luò)安全情況[3]。endprint

企業(yè)對(duì)安全應(yīng)急響應(yīng)中心平臺(tái)的總體需求是：①漏洞提交與管理；②安全公告管理；③研究博客管理；④貢獻(xiàn)管理；⑤用戶管理；⑥平臺(tái)設(shè)置。

基于以上原因，本文開發(fā)安全應(yīng)急響應(yīng)中心平臺(tái)，提供企業(yè)常用的網(wǎng)絡(luò)安全應(yīng)急響應(yīng)功能，建立屬于中小企業(yè)的安全應(yīng)急中心平臺(tái)[4]。

4.2 平臺(tái)實(shí)現(xiàn)的原則

4.2.1 可操作

該平臺(tái)主要面向中小企業(yè)。因此，在平臺(tái)的操作上盡可能簡(jiǎn)單明了，沒有復(fù)雜的操作，同時(shí)保證平臺(tái)的穩(wěn)定運(yùn)行。

4.2.2 安全

該平臺(tái)是通過瀏覽器訪問互聯(lián)網(wǎng)使用，因此系統(tǒng)在設(shè)計(jì)上全面考慮用戶權(quán)限設(shè)置，并配備必要的網(wǎng)絡(luò)安全設(shè)備確保平臺(tái)安全[5]。

4.2.3 高效

雖然該平臺(tái)的流量不多，但是通過網(wǎng)絡(luò)來訪問用戶存在不確定性，因此應(yīng)該具備較好的網(wǎng)絡(luò)服務(wù)器性能并配置高性能的Web服務(wù)。

4.2.4 可擴(kuò)展

雖然中小企業(yè)網(wǎng)絡(luò)安全是大體相同的，但不同企業(yè)的需求必然有其特殊的地方，因此平臺(tái)應(yīng)該具有二次開發(fā)的功能，更好地進(jìn)行平臺(tái)升級(jí)優(yōu)化。

5 安全應(yīng)急響應(yīng)中心平臺(tái)數(shù)據(jù)庫(kù)設(shè)計(jì)（Database

design of the security emergency response center

platform）

通過對(duì)上述平臺(tái)要求的分析，給出了數(shù)據(jù)庫(kù)設(shè)計(jì)、平臺(tái)數(shù)據(jù)庫(kù)關(guān)鍵的信息表，如圖1所示。

平臺(tái)的推薦運(yùn)行環(huán)境是Apache+MySQL+PHP[6]（5.3及以上），在安裝和使用平臺(tái)之前確保已經(jīng)具備運(yùn)行環(huán)境。若是Linux系統(tǒng)的服務(wù)器，在使用前確保為平臺(tái)運(yùn)行的環(huán)境目錄分配了足夠的讀寫權(quán)限[7]，保證ThinkPHP框架[8]文件正常加載或Runtime緩存目錄正常生成，以上都是平臺(tái)穩(wěn)定運(yùn)行的前提條件。

配置環(huán)境后，請(qǐng)將平臺(tái)目錄的源代碼程序全部解壓縮至網(wǎng)站目錄下。

9 結(jié)論（Conclusion）

本系統(tǒng)為中小企業(yè)的網(wǎng)絡(luò)安全需求提供了一種捷徑，使原來復(fù)雜的收集漏洞和披露計(jì)劃簡(jiǎn)化，大幅度地降低了網(wǎng)絡(luò)安全的成本，增加了積極主動(dòng)地內(nèi)部探測(cè)潛在的安全漏洞，減少網(wǎng)絡(luò)安全的威脅，使企業(yè)網(wǎng)絡(luò)系統(tǒng)給企業(yè)和用戶帶來穩(wěn)定健康的服務(wù)，發(fā)揮了安全應(yīng)急中心平臺(tái)的預(yù)期效果。

雖然平臺(tái)的實(shí)現(xiàn)如期獲得了一些成果，但由于團(tuán)隊(duì)的實(shí)現(xiàn)時(shí)間的限制與技術(shù)水平的局限，在有些功能上還需要進(jìn)一步的優(yōu)化。首先，平臺(tái)功能不夠完善。該平臺(tái)只實(shí)現(xiàn)了基本的相關(guān)功能，在功能上仍然有進(jìn)步的空間。下一步將是根據(jù)具體的需求，進(jìn)一步更新平臺(tái)的功能。其次，平臺(tái)代碼仍需要進(jìn)行簡(jiǎn)化。在平臺(tái)設(shè)計(jì)中，針對(duì)共同的代碼進(jìn)行集成類，如數(shù)據(jù)庫(kù)連接等，但仍在平臺(tái)代碼中存在冗余，代碼在執(zhí)行過程中占用較多的資源和時(shí)間，還需要做進(jìn)一步的代碼簡(jiǎn)化。

參考文獻(xiàn)（References）

[1] 康玉婷，劉剛，張春柳.信息系統(tǒng)安全管理的問題和對(duì)策[J].電子技術(shù)與軟件工程，2017（10）：212-214.

[2] 白嘎力.安全應(yīng)急響應(yīng)中心（SRC）是如何運(yùn)作的？[J].中國(guó)信息安全，2016（07）：61-62.

[3] Martin Zhou.企業(yè)安全應(yīng)急響應(yīng)系統(tǒng)[DB/OL].https：//github.com/martinzhou2015/SRCMS，2017-09-09.

[4] 趙糧.網(wǎng)絡(luò)安全應(yīng)急響應(yīng)的新常態(tài)[J].中國(guó)信息安全，2015（07）：

94-97.

[5] 張睿，李欣.基于PHP技術(shù)的自助建站系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J].科技創(chuàng)新導(dǎo)報(bào)，2008（04）：42-43.

[6] MicheleE.Davis，JonA.Phillips.學(xué)習(xí)PHP和MySQL[M].北京：機(jī)械工業(yè)出版社，2008：179-190.

[7] Evi Nemeth Garth Snyder Trent R.Hein.Linux系統(tǒng)管理技術(shù)手冊(cè)（第2版英文版）[M].北京：人民郵電出版社，2007：9-15.

[8] 王俊芳，李隱峰，王池.基于MVC模式的ThinkPHP框架研究[J].電子科技，2014，27（04）：151-153；158.

作者簡(jiǎn)介：

游林飛（1994-），男，本科生.研究領(lǐng)域：軟件開發(fā)，信息系統(tǒng).

林 章（1996-），男，本科生.研究領(lǐng)域：網(wǎng)絡(luò)安全.

岳凌鋒（1996-），男，本科生.研究領(lǐng)域：信息系統(tǒng).

鮑忠秀（1995-），男，本科生.研究領(lǐng)域：數(shù)據(jù)挖掘.

潘鐘強(qiáng)（1996-），男，本科生.研究領(lǐng)域：數(shù)據(jù)分析與處理.endprint