舉世矚目的第41屆世界博覽會于2010年5月1日至10月31日在中國上海舉辦。從開園到結束，整體運行平穩有序，各類場館的服務保障工作運轉良好。在整個園區運行安全、平穩有序的背后，有“電子圍欄”、寬帶無線通信技術、智能化神經網絡監控等一批擁有自主知識產權的信息新技術首度應用于上海世博會，節省了大量安保警力資源。

由于世博的安保安全保障任務要求高，除了大量應用新的安全保障系統以外，還需要有一支專業的、訓練有數的、安全運維保障人員，來管理、協調處理各類安全監控突發事件，為上海世博會提供全程網絡安全" title="網絡安全">網絡安全監控保障服務，確保上海世博會期間的網絡暢通及業務安全。

為此2010年4月，上海世博會天融信安全運維小組全面進駐世博會，提供“集中化、精細化、標準化”安全運維服務。為保障整個世博會各類信息網絡系統安全、穩定運行，保證業務流程高效、順暢流轉，以天融信為首的安全監控運維團隊積極探索創新運維手段，從強化規范化建設、構建運維分析系統、引入標準運維體系三方面著手，有力地支持世博會運維工作。截止世博會閉館前，安全運維小組已經通過多種方式為票務、預約、培訓平臺、終端等業務提供了不同級別的安全服務支持，是一支行動快速、技術過硬、敢于挑戰的團隊。尤其是2010年9月的一次應急響應服務，更加證明了安全運維世博小組有能力保障世博會信息化業務系統的安全。

安全運維團隊通過架設在世博安全監控中心的安全監控平臺實現，對整個世博網絡及業務系統的7x24小時監控，該系統由四個部分組成：數據采集子系統、安全監控平臺子系統、應急響應子系統、專家團隊子系統。

圖1 安全監控平臺

（一） 數據采集子系統部署在用戶網絡端，負責從世博網絡的安全監控對象上采集日志數據，并將預處理后的數據信息以加密方式發送至“安全監控”平臺進行分析。

（二） 安全監控核心平臺子系統部署在世博安全監控中心機房，對采集到的日志信息進行智能分析，以安全風險管理為核心，實現安全對象管理、安全事件管理、系統脆弱性管理，將發現的高危安全事件生成預警信息通知到應急響應子系統。

（三）應急響應子系統定期向用戶報送安全報表和安全通告，在發生高危安全事件時向用戶提供預警，為用戶提供專家級的安全解決方案和安全響應、安全咨詢服務。

（四） 安全專家團隊子系統包括安全運維人員、安全分析人員、安全專家組、現場服務人員。安全專家團隊負責對安全事件進行實時監控與分析，幫助用戶發現真正有威脅的安全事件。

2010年9月，上海世博會某在線業務平臺持續遭受sql注入、web掃描、應用跨站、DDOS等組合攻擊，影響范圍包括其業務網站和后臺數據庫服務器。安全運維小組通過對安全監控平臺的持續監控第一時間發現該類攻擊事件，立即通知了相關領導和業務部門，同時趕到用戶現場，在與用戶充分溝通后，按照事先制定的預案，迅速啟動應急方案和工作流程。并為用戶提供了一套合理而完整的應急保障服務，降低對世博網絡造成的影響，主要工作如下：

事件監控

安全監控子系統實時收集日志信息進行存儲與分析，當發現高危安全事件時，采用聲、光、短信的方式在管理員界面中呈現給安全監控人員，安全監控人員對安全事件的級別和影響進行評估，判斷為嚴重事件時則啟動工單系統通知客服人員，由客服人員向客戶發送預警信息；若事件未達到預警級別，則安全監控人員創建工單，通知安全分析人員做處理。

安全分析

安全分析人員對非預警安全事件進行分析，排除誤警虛警信息，嘗試解決可處理安全事件。判斷為不能處理的安全事件和經嘗試不能解決的安全事件，提交運維經理，請經理協調各方資源協助解決。如資源難以協調則繼續向上一級主管領導發起協調資源請求，直至問題解決。

經過安全分析人員對攻擊數據包進行分析，迅速判斷出此次攻擊主要針對80端口的Ddos攻擊，遭受攻擊的網站由于資源消耗過大而無法再給用戶提供正常的頁面訪問。由于世博業務可持續性運行的重要性，于是決定本著“先搶通后修復”的原則，先利用防火墻、UTM制定相應的安全策略協助該單位恢復系統正常工作。

同時運維人員根據安全事件對該風險進行評估，確定攻擊類型、波及范圍及造成的影響，并制定都詳細的加固解決方案。

安全預警

安全監控平臺發現客戶網絡出現高危安全事件時，安全專家團隊子系統的安全分析人員，根據事件信息確定預警級別，通過工單系統向網絡管理員提交預警信息。若預警級別較高，則通報給相關主管領導、同時發起預警，同時派遣專業人員協助處理安全事件。

事件分析報告

安全運維小組事后向用戶提交了一份詳細的事件分析報告，其中包括工程記錄文檔和安全策略建議，建議中提到還存在安全技術手段使用不足的問題，雖然采用了防火墻和防毒系統，但是卻沒有充分利用好保護網絡安全的工具和資源。報告的目的是讓用戶知道怎么出的問題、問題出在哪里、怎么解決的問題、今后該注意什么？

加固測試

根據安全評估報告協助用戶對系統自身的安全漏洞進行修補，并對加固后的系統，進行模擬測試。安全專家模擬黑客攻擊的方式對用戶指定的IP地址采用工具和人工檢查相結合的辦法進行遠程安全測試，評估加固后的系統是否達到安全要求。

防火墻策略生效之后，攻擊逐漸減弱，通過外網訪問web服務器，速度正常。至此初步判斷，由于防火墻、UMT的防護和安全監控平臺監測，已經令惡意攻擊者知難而退，暫時停止實施攻擊。經過現場一段時間的觀察客戶網絡正常運行，后期運維小組重點對該網絡進行遠程監控跟蹤。

形成知識庫

將此次安全事件發現、分析、解決的過程以知識庫的形式保存，以便下次同類問題的快速處理及客戶人員的自學習。

世博會已經結束，一改以往被動響應的安全運維服務模式，安全運維小組通過智能化神經安全監控平臺幫助用戶迅速、全面、細致的提前感知和掌控到網絡安全運行情況，及時解決各類出現的網絡安全問題。與此同時安全運維小組始終堅持全過程流程化安全服務理念，全程提供安全監控、網絡評估、安全處理、安全培訓和安全咨詢服務，真正做到由被動響應到主動服務，讓眾多的世博系統供應商得到專業的安全趨勢分析與建議，對于安全事件有據可查，做到安全工作有的放矢，協助世博組委會全面奪取了世博會的網絡安全保障任務。