導(dǎo)言

威脅管理是指對威脅的發(fā)現(xiàn)與控制，這是網(wǎng)絡(luò)安全體系結(jié)構(gòu)中的核心內(nèi)容，一個(gè)好的威脅管理系統(tǒng)可以幫助安全管理人員更好地對網(wǎng)絡(luò)中的威脅進(jìn)行發(fā)現(xiàn)、分析和解決。一般來說，威脅管理系統(tǒng)需具備這四方面的能力：威脅發(fā)現(xiàn)能力、威脅分析能力、威脅處理能力、自動(dòng)化能力。

從上面的描述可以看到，威脅管理實(shí)際上是一個(gè)從發(fā)現(xiàn)，到分析，再到處理的閉環(huán)管理過程。從管理學(xué)的角度來看，閉環(huán)是一個(gè)完備的管理系統(tǒng)的必備過程。下面的故事充分說明了閉環(huán)威脅管理的重要性。

A企業(yè)是一個(gè)超過3000人的大型企業(yè)，由于業(yè)務(wù)的需要，大量的業(yè)務(wù)都需要通過網(wǎng)絡(luò)開展，對網(wǎng)絡(luò)的穩(wěn)定性、安全性的依賴程度非常高。但是由于網(wǎng)絡(luò)上存在大量攻擊和員工在工作期間濫用P2P，導(dǎo)致對外發(fā)布企業(yè)信息的Web服務(wù)器經(jīng)常由于遭到DDoS攻擊而癱瘓，企業(yè)內(nèi)部信息經(jīng)常泄密而被競爭對手獲取，業(yè)務(wù)高峰期間的網(wǎng)絡(luò)帶寬經(jīng)常不夠而導(dǎo)致業(yè)務(wù)的服務(wù)質(zhì)量很低。面對這些問題，負(fù)責(zé)網(wǎng)絡(luò)安全運(yùn)維的網(wǎng)管小向每天成了接線員，而負(fù)責(zé)網(wǎng)絡(luò)運(yùn)維的技術(shù)處郝處長也經(jīng)常在大會(huì)小會(huì)上都成為領(lǐng)導(dǎo)和各個(gè)業(yè)務(wù)部門的主管們的批評對象。

人機(jī)合一 安全無憂

為了解決網(wǎng)絡(luò)安全運(yùn)維問題，A企業(yè)在2010年初通過公開招標(biāo)的方式部署了大量的安全設(shè)備，其中，所購買的IDS負(fù)責(zé)企業(yè)全網(wǎng)的安全事件的監(jiān)控。自從部署了這些設(shè)備之后，A企業(yè)的網(wǎng)絡(luò)安全狀況得到了明顯的改善：員工機(jī)器的中毒現(xiàn)象明顯減少了，對外發(fā)布企業(yè)信息的Web服務(wù)網(wǎng)由于遭到DDoS攻擊而癱瘓的現(xiàn)象基本不見了，由于大量P2P下載文件而導(dǎo)致的網(wǎng)絡(luò)擁塞也得到了很好的控制，幾次蠕蟲的爆發(fā)都在早期被發(fā)現(xiàn)并及時(shí)進(jìn)行了有效控制，發(fā)現(xiàn)了幾臺(tái)被攻陷的僵尸主機(jī)并進(jìn)行了有效清理，發(fā)現(xiàn)了很多員工機(jī)器上被種了木馬并及時(shí)進(jìn)行處理，避免了可能出現(xiàn)的機(jī)密資料泄密的事件。同時(shí)，由于IDS的存在，安全管理員小向?qū)W(wǎng)絡(luò)中存在的安全威脅與發(fā)生的攻擊行為了如指掌，因?yàn)樾∠蜷L期從事網(wǎng)絡(luò)安全的運(yùn)維工作，對網(wǎng)絡(luò)安全中涉及到的威脅、攻擊、事件等都比較清楚，因此在上了這些安全設(shè)備之后，小向的工作更是如魚得水，安全事件的處理更加及時(shí)有效，工作效率顯著提高?？吹阶约旱膼蹖⒃絹碓竭M(jìn)入狀態(tài)，每天不再疲于奔命地四處救火，而且安全狀況明顯改進(jìn)，技術(shù)處的郝處長不由得心中暗喜，自覺得從此將天下太平，安全無憂。

安全的核心要素

可是好景不長，突然有一天，小向提出了辭職。郝處長雖心有不舍，但是他覺得，我已經(jīng)有了這么多先進(jìn)的網(wǎng)絡(luò)安全設(shè)備，經(jīng)過這半年的運(yùn)行，已經(jīng)證明這些設(shè)備的威力強(qiáng)大，小向想走也留不住，那就讓他辭職吧。

小向離開之后，郝處長迅速地招聘來了新的安全運(yùn)維管理員小滕，雖說小滕在網(wǎng)絡(luò)安全運(yùn)維這方面的經(jīng)驗(yàn)遠(yuǎn)不如小向豐富，只能算個(gè)新手，但郝處長并不擔(dān)心，因?yàn)樗X得有這些先進(jìn)的網(wǎng)絡(luò)安全設(shè)備在，公司的網(wǎng)絡(luò)安全就不會(huì)出什么大問題。可是，接下來的事情證明郝處長大錯(cuò)特錯(cuò)了。

·在2011年4月份的某一天，通過IDS設(shè)備的監(jiān)控，發(fā)現(xiàn)有大量蠕蟲病毒爆發(fā)，面對著IDS不斷產(chǎn)生的事件報(bào)警和界面上急促閃爍的標(biāo)志極嚴(yán)重威脅的紅色警燈，新來的小滕一時(shí)間束手無策，不知如何處理。由于處理不當(dāng)，蠕蟲迅速蔓延至全網(wǎng)，于是2011年之前的狀況又出現(xiàn)了——業(yè)務(wù)部門的電話如潮水般地打了過來，自以為網(wǎng)絡(luò)固若金湯的郝處長再次被推到了風(fēng)口浪尖，難掩尷尬與不安。

·蠕蟲事件剛剛平息，在2011年4月份的下旬，向外發(fā)布企業(yè)實(shí)時(shí)信息，承擔(dān)業(yè)務(wù)在線交易的Web服務(wù)器突然受到來自外部僵尸網(wǎng)絡(luò)的大規(guī)模DDoS攻擊。由于經(jīng)過了精心策劃，此次DDoS攻擊偽裝成與正常業(yè)務(wù)流量差別不大的“正常流量”，通過精心構(gòu)造的請求，穿透了抗壓Cache，導(dǎo)致后端I/O飆升，進(jìn)而達(dá)到拒絕服務(wù)攻擊的目的。怎么辦？對于剛剛?cè)腴T的小滕來說，一切來得太突然、一切顯得那么難。業(yè)務(wù)告急！每秒鐘都在損失80%的流量！每秒的損失將近千元?。?！老總們再也坐不住了，業(yè)務(wù)部的主管們急得頭發(fā)都立了起來，于是，大家將焦急、憤怒的目光再次集中到了郝處長身上，此時(shí)郝處長早已崩潰……萬般無奈之下，離職的小向被臨時(shí)請了回來，通過在WAF（Web應(yīng)用防火墻）設(shè)備上自定義規(guī)則的方式解決了這次DDoS攻擊，算是幫郝處長解了燃眉之急。

經(jīng)過這兩件事，郝處長漸漸意識(shí)到，缺少了小向的設(shè)備完全不像他想象的那么強(qiáng)大，之前的“太平盛世”實(shí)際上是和小向與設(shè)備的緊密結(jié)合分不開的，而且人才是安全的核心要素。（未完待續(xù)）