政府是社会和经济运转的核心，业务职能非常广泛。电子政务作为国家信息化建设的重点工程，利用了现代网络技术，突破部门和区域限制，对于提高政府办公效率、增加政府办公透明度具有重要作用。

　　1 概述

　　政府是社会和经济运转的核心，业务职能非常广泛。电子政务作为国家信息化建设的重点工程，利用了现代网络技术，突破部门和区域限制，对于提高政府办公效率、增加政府办公透明度具有重要作用。电子政务网络按敏感级别和业务类型，可划分为：

　　1、 涉密机要专网

　　2、 电子政务专网

　　3、 电子政务外网

　　电子政务外网是为市民提供政务公开信息和网上服务场所的媒体，直接同因特网连接；政务专网上运行关键的政务应用，是为公务员提供协同办公、信 息传输交互和业务数据处理的网络平台；电子政务专网和政府外网逻辑隔离；涉密机要专网与电子政务专网实行物理隔离、与政府外网实行物理隔离。

　　2 安全建设问题与需求

　　随着电子政务的建设发展，各级政府机构对网络安全也日益重视，政务网都对计算机网络采取了一定的安全防护措施，一般是：

　　有一定的安全方面投入，部署防火墙、防病毒系统等安全设备，有的网络零散部署了入侵检测系统

　　具有基本的安全管理制度和流程

　　网络中曾经出现了安全事件；甚至并不清楚网络是否出现过安全问题

　　分散处理遇到的安全问题

　　整个单位中安全管理人员的技术水平差异比较大

　　然而，在进行了一定的安全投资，采购了部分安全产品后，政务网中仍然存在比较多的安全问题，而这些安全问题导致已有的安全投资效果并不明显：

　　购买的安全设备起不到应有的作用，网络中仍旧频频出现安全事件。

　　网络出现安全事件时，不能及时发现、无法及时处理。

　　无法全面了解整个网络中正在发生的内部越权访问和外部攻击。

　　新出现的网络蠕虫病毒造成了较大的损失，甚至造成工作和业务的停顿，但无法根除。

　　在网络速度变慢的情况下，无法迅速查明真正的原因。

　　本系统的各个单位各自为政，没有对遇到的安全问题进行统一考虑，从而不能形成“一盘棋”的安全状态。

　　从网络安全的本质来看，为了保障政务网的安全，必须及时知道网络中出现的安全问题，把握网络风险，及时处理安全事件。为此，启明星辰公司推出了政务网安全事件预警与应急响应体系，力图真正、彻底解决政务网安全建设中遇到的这些问题。

　　3 应急响应体系概述

　　安全事件预警与应急响应体系（Venus Computer Emergency Response Team，简称VeCERT）是启明星辰公司协助客户单位建立的综合体系，是通过整体部署天阗入侵检测与预警系统作为有效的技术手段，建立以客户安全队伍 为基础、启明星辰公司技术服务队伍为后备，建设组织管理、预案流程、制度规范等综合措施，以便尽早对有重大危害的计算机和网络安全事件进行发现、分析和确 认，并对其进行响应，以降低可能造成的风险和损失的综合安全体系。

　　VeCERT响应的安全事件主要是指那些可能在较大范围内发生，传播速度快，影响范围广，造成危害大，紧急发生的网络违规行为。典型的应急响 应安全事件包括网络蠕虫（如Nimda蠕虫、Sql slammer蠕虫）、恶意代码、网络攻击、异常网络流量、异常网络内容等。

　　这些安全事件的共同特点是：

　　1、 突发性

　　2、非典型性

　　3、 大范围、涉及面广

　　4、 有重要危害和影响

　　5、受影响的网络或系统存在显著的脆弱性

　　6、 需要动员内部和外部力量协同解决

　　4 应急响应体系建设内容

　　与政务网的网络体系和行政管理关系状况相适应，VeCERT是分层次建设的。对建设单位来说，应急响应中心建设在总部的相关部门（如信息中 心），各级应急响应单元分布建设在下属的各级单位，共同组成一个分层次的、统一指挥的、协同工作的、一体化的预警与应急响应体系。

　　VeCERT的建设单位需要建设的和实施主要内容是：部署支撑系统，建立组织结构，制订应急预案、日常流程，建设应急响应知识库。

　　对客户建立的整个安全事件预警与响应体系来讲，包括了多个这样的单元。各个单元的网络之间是互联互通的，安全事件预警系统之间是上传下达的，日常流程是一致的，应急预案是统一的。

　　客户最上层的单位作为应急响应中心，在启明星辰的协助下，制订并下发统一的安全事件预警与应急响应策略，各级下属单位遵照应急响应中心的模式和要求进行建设。由于下属单位可能是多级的（如：省、地、县），应急响应体系也是多级的。

　　启明星辰应急队伍直接负责对客户最上层VeCERT单元（总控中心）的技术支持。

　5 支撑系统部署

　　政务网建设VeCERT的首要步骤是部署应急响应支撑系统。要对应急响应进行有效的支持，VeCERT的支撑系统必须具有如下七大技术功能：

　　1、预警能力。强大的预警能力是VeCERT正常运行的保障要素。VeCERT不但能够对通用入侵行为进行检测，还要能够监测特定的安全行为，满足不同的特殊应用。

　　2、分布式部署。是建设VeCERT的基本要素。这是与政务网网络的情况相关的，只有进行整个网络范围内的分布式部署，才能发现重大的安全问题，也才能够进行全网的应急响应。

　　3、 集中管理。是建设VeCERT的基本要素。与网络的行政管理关系相一致，VeCERT的管理必须分层次控制，组成三级或者更多级的管理结构。总控制中心连 接各级分控制中心，总控中心制定并下发全局入侵管理策略，接收并显示全局网络安全态势；各级控制中心一方面监测本地的安全事件，另一方面作为上级的子控， 或者作为下级的父控，起到“上传下达”的作用。

　　4 、异常分析。是提升VeCERT有效性的关键要素。对异常流量、异常网络内容等异常行为进行实时分析和报警, 对未知的攻击方式发出预警信号，具有对异常行为的检测能力。

　　5、 综合分析。是提升VeCERT有效性的关键要素。VeCERT综合分析以下多种关联信息：入侵行为与入侵行为之间的关联性、入侵行为与漏洞之间的关联性、网络行为与主机事件之间的关联性。

　　6、 入侵管理。是VeCERT运行的核心支撑要素。支撑系统应提高对全局入侵行为的可视化管理，实现良好的可控性、可管理性，具有将入侵检测、漏洞扫描、防火墙、网管等安全产品联合起来，组成入侵防御系统的能力。

　　7 、及时响应。是VeCERT进行响应的关键要素。具备多样性、灵活性、及时性、有效性的报警和响应方式是能够及时处理安全事件的重要条件。

　　启明星辰天阗入侵检测系统实现了上述全部技术，是对VeCERT应急响应体系进行支撑的优秀产品。利用天阗入侵监测系统建立全面的黑客入侵防御体系，包括网络入侵检测系统和主机入侵检测系统，分别对网络和重要服务器进行防护。对因为网络蠕虫病毒、黑客事件引起的非授权访问、数据/资源窃取行为进行实时监测和取证，并通过安全策略的定制，最大程度地避免网络受到外部、内部人员的侵害。

　　同时，应该对网络漏洞、系统漏洞进行定期、不定期的扫描，并针对结果进行漏洞修补和救援。对政务网中要求物理隔离的网络，还要配备专门针对“一机两用”现象的自动监测和自动切断系统，杜绝非法外联现象。

　　6 应急响应的意义

　　建设政务网应急响应体系是基于如下的基本认识：

　　1、 网络安全的保障基础是大规模的检测、预警和响应系统。

　　2、 应急响应是保障信息网络可生存性的必要手段和措施。

　　3、 应急响应是积极防御和纵深防御体系中的最后一道防线。

　　4、 由于技术的因素，信息技术不对称，网络漏洞必然存在。因而，对网络安全事件进行应急响应是必不可少的重要环节。

　　5、 应急响应是入侵管理过程中的关键环节。

　　6、 应急响应是降低风险的主动有效措施，是增强积极防御能力的手段。

　　整个预警与应急响应体系是以入侵检测为核心的，容纳并联合了其它安全防护设备，如防火墙、网络隔离、漏洞扫描、外联检测、拓扑发现等设备，统一进行入侵管理，支撑应急响应体系。

　　预警与应急响应体系对建设单位、单位的主管领导和技术人员都可以带来好处。对单位来说，应急响应体系可以：

　　1、 提升安全理念。尤其是全面提高整个单位的系统安全认识，进行全面细致的安全工作部署。

　　2、降低风险。对网络进行全局范围内的监控，全面了解网络中发生了什么，掌握发生的内部违规事件和外部入侵行为，可以大大降低网络被侵害的风险。

　　3、 减少损失。出现突发事件时，做到早发现、早确认、迅速定位、全局预警，及时采取措施使网络整体的损失降到最低。不但对已知事件能够快速响应，对未知事件也可及时处理并采取相应措施。

　　4、 完善安全体系。以入侵检测为核心，联合防火墙、漏洞扫描、入侵验证、违规外联监控等其它安全产品，进行入侵管理，对发生的安全事件进行应急响应，建立整个系统“一盘棋”的安全预警与响应体系。

　　5、 深入挖掘自身安全需求。有助于明确安全投入重点，量化安全投入、有效投入，让安全措施真正起到有效的作用。

　　单位的安全主管领导通过应急响应体系，可以：

　　第一时间了解网络的安全形势。网络中发生了哪些类型的安全事件，有哪些主要的外部入侵行为，有哪些类型的内部违规行为等等，这些安全事件经总结、提升后，第一时间反馈给主管领导，及时了解当前网络的安全形势。

　　把握安全趋势。VeCERT关注的不仅仅是单个的、局部的安全事件，而是结合客户网络的分布式特点，结合客户网络管理的分级管理、集中监控特点，监测并综合报告全局化的安全趋势，从而把握整个单位的整体网络安全态势。

　　明确安全责任。对分布在全国各地、管理复杂的网络系统来说，在网络中出现安全事件后，通过VeCERT体系能够迅速定位安全事件的来源，明确安全事件发生的范围，确认网络系统受损害程度，进而明确安全责任。

　　对安全技术人员来说，应急响应体系的建设可以：

　　及时发现安全事件。网络中发生了什么安全事件，有哪些外部入侵行为，是否有人对重要的服务器进行攻击，是否有人在进行嗅探… …所有这些突发的安全问题，都能够及时发现。

　　快速定位安全问题。针对安全事件采取有效措施进行处理，集中监控网络蠕虫等特殊事件，了解并制止潜在的内外攻击行为，及时发现并清除网络病毒、恶意代码。

　　更好地利用网络安全设备。组成以入侵检测为核心的安全产品联盟，与网络入侵检测、主机入侵检测、网络漏洞扫描、综合审计、防火墙等安全产品互动，形成综合分析的安全报告，更好地让这些安全设备起到应有的作用。

　　总之，对网络中的安全事件“看得清、管得住”是建立应急响应体系的根本好处。同时，通过启明星辰的服务，能够与国家的应急响应体系连成一体，以最快的速度得到国家安全事件处理信息，进行及时响应和反馈，迅速使问题得到解决。