如何构建一个可靠、可用的安全报警系统

做安全业务也有两年多了，一直在思考如何才能跳出救火队的角色。如果能够设计一个优秀的安全报警系统，及时通知相关人员将损失减小到最低，那么安全问题带来的危害就会大大降低。

对于一个线上服务器，每天都将面对各种各样的访问，我大致将访问对象分为：正常用户、想手动找出系统bug的“坏人”、漫无目的的黑客（一般是批量扫一个段）、专门来找服务器漏洞的黑客、DDOS攻击者。我们要设计一个报警系统其实很容易，但是如果仅仅是一个小孩扫描了下我们的服务器端口就弹出个报警，我想运维人员肯定要疯掉。这时就要分析下哪些是我们无法忍受的hack行为。根据业务的种类可以为安全设置一个级别，比如分成高中低三种，当然还可以细化，有点类似等保的思想，虽然我觉得等保有点形式化。

举个例子，如果服务器运行着一个互联网企业的应用，企业希望的是自己的业务能够正常对用户服务，核心数字资产不受到威胁。就我观察目前互联网企业遇到的很大一个安全问题是受到DDOS攻击，这种攻击无需了解应用的逻辑bug和程序bug，完全就是一个网络流氓做的事情，这时企业应该如何防范这个问题呢。首先我认为要分析下自己为什么会被别人DDOS，因为现在的黑客已经逐步倾向于追求利益，因此DDOS发起方无非是竞争对手或者是有不满的客户；其次应该多多了解黑客市场的DDOS工具，毕竟知己知彼，方能百战百胜。通过多次的实战，我们会惊讶地发现DDOS发起者大多是一些小孩，他们从网络中搜集到黑客工具，然后傻瓜式地对需要攻击的目标进行攻击。到此我们基本了解了对手的动态，这时我们就可以针对这些特征做出一些监控系统，通过二十四小时不间断地分析，实时地将DDOS攻击给报警出来，及时通知相关人员调整防护策略。

上面一个例子是我工作中根据与黑客多次地交手，不断改进监控系统而得到的。由此可以总结出对于互联网这种开放式的应用，要不根据业务就能做出一个完全好用的监控系统简直就是天方夜谭。经常有人说银行的钱就不会这么容易被黑客弄到嘛，那是自然的！银行的核心数据都是封闭在内部的，这大大提升了攻击的难度，同时银行的监控级别也非常之高，他们可以不计成本地去花钱做监控以及监控分析，最后更是有着刑事法律的约束。而互联网的应用则完全没有上面的特征，这也就是为何会出现这么多黑客的原因了。我做个假设，如果你在网上对别人的系统做个端口扫描，就会被公安带进监狱，还会有这么多黑客吗？当然这个是完全不能做的，如果真的这样，国家的信息安全将永远停滞不前，而别的国家就能随意对我国进行网络战了。。。

很少写这么多，感觉写得好乱啊，下次有什么想法再写吧。