游林飛　林章　岳凌鋒　鮑忠秀　潘鐘強

摘 要：隨著網絡技術的迅速發(fā)展和普及，網絡安全已經成為企業(yè)必不可少的環(huán)節(jié)。本文通對現(xiàn)有企業(yè)網絡安全的調查和分析，結合企業(yè)網絡安全的要求與平臺功能需求，采用B/S結構模塊化設計的基本思路，設計實現(xiàn)了一個基于PHP的網絡安全應急響應中心，為企業(yè)實現(xiàn)漏洞收集和披露計劃。因此，建立適合中小企業(yè)的網絡安全應急響應中心平臺具有十分重要的現(xiàn)實意義。

關鍵詞：網絡安全；漏洞收集；披露計劃；應急響應平臺

中圖分類號：TP311 文獻標識碼：A

Abstract：With the rapid development and popularization of network technology，network security has become an indispensable part of enterprises.This paper investigates and analyzes the network security of existing enterprises，and combines the requirements of enterprise network security and the functional requirements of the platform，the basic idea of modular design of B/S structure is adopted.The design realizes the network security emergency response center based on PHP and realizes the enterprise's vulnerability collection and disclosure plan.Therefore，it is of great practical significance to establish a network security emergency response center platform suitable for small and medium-sized enterprises.

Keywords：network security；vulnerability collection；disclosure plan；security response center

1 引言（Introduction）

近年來，黑客攻擊越來越頻繁，企業(yè)網絡安全也變得極其重要。企業(yè)安全應急響應中心，一般起著對外發(fā)布企業(yè)突發(fā)安全事件處理動態(tài)，作為企業(yè)與熱心用戶和白帽黑客溝通反饋的平臺，以及對外發(fā)布企業(yè)信息安全團隊研究成果的重要作用，為互聯(lián)網用戶能夠直接訪問到企業(yè)網絡安全保護體系提供途徑，同時也是協(xié)調企業(yè)各部門及時響應安全事件的工作重點。實現(xiàn)屬于中小企業(yè)的安全應急響應中心平臺，有助于其完善網絡安全保護體系[1]。

2 安全應急響應中心的基本含義（Basic concept of

the security emergency response center）

安全應急響應中心是企業(yè)用于對外接收來自用戶發(fā)現(xiàn)并報告的產品缺陷的站點。目前主要有兩種實現(xiàn)方式。

2.1 漏洞報告平臺

漏洞報告平臺是指由獨立的第三方公司或機構成立綜合性的“安全應急響應中心”。國內補天平臺、漏洞盒子平臺，以及據此衍生的Sobug眾測平臺等均屬于該模式。外部報告者注冊對應漏洞報告平臺選擇對應的廠商進行報送，接著該第三方機構會發(fā)送郵件提示相關廠商確認處理。這種方法的缺陷十分明顯。廠商的歷史漏洞信息完全暴露給第三方機構，報告中涉及的企業(yè)內部大量敏感信息因此外泄，喪失私密性[2]。

2.2 xSRC模式

xSRC模式是指：企業(yè)自己分配工程師開發(fā)屬于自身的安全應急響應中心，制定自己的漏洞收集和披露計劃。目前包括Google、Microsoft、騰訊、阿里巴巴和百度等，均成立了自己的安全應急響應中心，對外收集并處理安全研究員報送的漏洞報告。使用這種模式，企業(yè)在漏洞的收集和披露過程中完全掌控了主動性，擁有良好的私密性和可定制性[3]。

3 建立安全應急響應中心的重要性和必要性（The

近年來黑客攻擊頻發(fā)，企業(yè)信息安全已經愈來愈受到重視。大型企業(yè)的業(yè)務模式多，涉及的產品也多，特別是互聯(lián)網業(yè)務講究小步快跑敏捷迭代，往往忽視了安全檢查或者來不及進行細致的安全檢查，同時安全系統(tǒng)本身是程序，也會存在各種遺漏。因為互聯(lián)網業(yè)務的在線特性，使得使用互聯(lián)網的人都能夠接觸到。相對于傳統(tǒng)業(yè)務，被攻擊面擴大，所以更容易被善意的、惡意的或者無意的人發(fā)現(xiàn)漏洞。如果漏洞被利用或者在黑市交易，對企業(yè)和用戶是極大危害的[3]。

縱觀國內外，Google、微軟、阿里巴巴、騰訊、小米、網易等知名互聯(lián)網公司都已經建立各自的應急響應中心，并在推出以后取得了良好的效果，對企業(yè)安全有了巨大的協(xié)調和推動作用[1]?？梢园寻踩珣表憫行目闯梢环N安全能力或者產品。由一個安全應急響應中心服務商來為沒有資源建設安全應急響應中心的企業(yè)整合資源，提供安全應急響應中心平臺，這就是云安全應急響應中心了。

4 安全應急響應中心平臺的需求分析（Requirements

需求分析（Requirements Analysis）是系統(tǒng)分析員和軟件工程師在創(chuàng)建新的系統(tǒng)時，確定顧客的需要，包含基本需求、整體框架、設計目標、設計原則、系統(tǒng)功能、可行性分析等。需求分析是一系列活動的組成，包含需要解決問題的具體方法及確定系統(tǒng)實施方法必須采取的行動等。

4.1 總體需求

由于“漏洞報告平臺”模式在實現(xiàn)過程中操作運營的規(guī)范問題，外加越來越多的魚龍混雜的第三方企業(yè)和機構的介入，甚至出現(xiàn)了漏洞報告平臺泄漏企業(yè)敏感信息，從而導致企業(yè)因此被攻擊的案例。另一方面，出于私密性和可定制性的考慮，大多數(shù)互聯(lián)網企業(yè)均傾向于選擇“xSRC”模式。作為互聯(lián)網企業(yè)安全防護體系中用戶所能直接接觸到的門面，同時也作為協(xié)調企業(yè)各部門對安全事件做出及時積極響應的工作中心，企業(yè)制定長遠的戰(zhàn)略性規(guī)劃，建立安全應急響應中心能夠更直觀地了解到企業(yè)網絡安全情況[3]。endprint

企業(yè)對安全應急響應中心平臺的總體需求是：①漏洞提交與管理；②安全公告管理；③研究博客管理；④貢獻管理；⑤用戶管理；⑥平臺設置。

基于以上原因，本文開發(fā)安全應急響應中心平臺，提供企業(yè)常用的網絡安全應急響應功能，建立屬于中小企業(yè)的安全應急中心平臺[4]。

4.2 平臺實現(xiàn)的原則

4.2.1 可操作

該平臺主要面向中小企業(yè)。因此，在平臺的操作上盡可能簡單明了，沒有復雜的操作，同時保證平臺的穩(wěn)定運行。

4.2.2 安全

該平臺是通過瀏覽器訪問互聯(lián)網使用，因此系統(tǒng)在設計上全面考慮用戶權限設置，并配備必要的網絡安全設備確保平臺安全[5]。

4.2.3 高效

雖然該平臺的流量不多，但是通過網絡來訪問用戶存在不確定性，因此應該具備較好的網絡服務器性能并配置高性能的Web服務。

4.2.4 可擴展

雖然中小企業(yè)網絡安全是大體相同的，但不同企業(yè)的需求必然有其特殊的地方，因此平臺應該具有二次開發(fā)的功能，更好地進行平臺升級優(yōu)化。

5 安全應急響應中心平臺數(shù)據庫設計（Database

design of the security emergency response center

platform）

通過對上述平臺要求的分析，給出了數(shù)據庫設計、平臺數(shù)據庫關鍵的信息表，如圖1所示。

平臺的推薦運行環(huán)境是Apache+MySQL+PHP[6]（5.3及以上），在安裝和使用平臺之前確保已經具備運行環(huán)境。若是Linux系統(tǒng)的服務器，在使用前確保為平臺運行的環(huán)境目錄分配了足夠的讀寫權限[7]，保證ThinkPHP框架[8]文件正常加載或Runtime緩存目錄正常生成，以上都是平臺穩(wěn)定運行的前提條件。

配置環(huán)境后，請將平臺目錄的源代碼程序全部解壓縮至網站目錄下。

9 結論（Conclusion）

本系統(tǒng)為中小企業(yè)的網絡安全需求提供了一種捷徑，使原來復雜的收集漏洞和披露計劃簡化，大幅度地降低了網絡安全的成本，增加了積極主動地內部探測潛在的安全漏洞，減少網絡安全的威脅，使企業(yè)網絡系統(tǒng)給企業(yè)和用戶帶來穩(wěn)定健康的服務，發(fā)揮了安全應急中心平臺的預期效果。

雖然平臺的實現(xiàn)如期獲得了一些成果，但由于團隊的實現(xiàn)時間的限制與技術水平的局限，在有些功能上還需要進一步的優(yōu)化。首先，平臺功能不夠完善。該平臺只實現(xiàn)了基本的相關功能，在功能上仍然有進步的空間。下一步將是根據具體的需求，進一步更新平臺的功能。其次，平臺代碼仍需要進行簡化。在平臺設計中，針對共同的代碼進行集成類，如數(shù)據庫連接等，但仍在平臺代碼中存在冗余，代碼在執(zhí)行過程中占用較多的資源和時間，還需要做進一步的代碼簡化。

參考文獻（References）

[1] 康玉婷，劉剛，張春柳.信息系統(tǒng)安全管理的問題和對策[J].電子技術與軟件工程，2017（10）：212-214.

[2] 白嘎力.安全應急響應中心（SRC）是如何運作的？[J].中國信息安全，2016（07）：61-62.

[3] Martin Zhou.企業(yè)安全應急響應系統(tǒng)[DB/OL].https：//github.com/martinzhou2015/SRCMS，2017-09-09.

[4] 趙糧.網絡安全應急響應的新常態(tài)[J].中國信息安全，2015（07）：

94-97.

[5] 張睿，李欣.基于PHP技術的自助建站系統(tǒng)的設計與實現(xiàn)[J].科技創(chuàng)新導報，2008（04）：42-43.

[6] MicheleE.Davis，JonA.Phillips.學習PHP和MySQL[M].北京：機械工業(yè)出版社，2008：179-190.

[7] Evi Nemeth Garth Snyder Trent R.Hein.Linux系統(tǒng)管理技術手冊（第2版英文版）[M].北京：人民郵電出版社，2007：9-15.

[8] 王俊芳，李隱峰，王池.基于MVC模式的ThinkPHP框架研究[J].電子科技，2014，27（04）：151-153；158.

作者簡介：

游林飛（1994-），男，本科生.研究領域：軟件開發(fā)，信息系統(tǒng).

林 章（1996-），男，本科生.研究領域：網絡安全.

岳凌鋒（1996-），男，本科生.研究領域：信息系統(tǒng).

鮑忠秀（1995-），男，本科生.研究領域：數(shù)據挖掘.

潘鐘強（1996-），男，本科生.研究領域：數(shù)據分析與處理.endprint