公安行业

Public Security Industry

建设背景

公安部于2015年7月下发了《关于组织开展网络安全态势感知与通报预警平台建设工作的通知》(公信安[2015]1851号),对网络与信息安全通报机制及网络安全态势感知和通报预警平台建设也提出了明确要求,并将网络与信息安全通报预警机制纳入全国综治工作考核中。

2015年5月18日,公安部在京召开电视电话会议,专题部署国家级重要信息系统和重点网站安全执法检查工作。公安部副部长、中央网信办副主任陈智敏在会议上强调,各级公安机关要充分认识网络安全的严峻形势和加强网络安全工作的重要性、紧迫性,加强国家网络安全通报机制建设,进一步健全完善网络安全信息通报和监测预警机制建设,确保网络安全执法检查工作取得实效。

2016年10月31日,十二届全国人大常委会第二十四次会议表决通过《中华人民共和国网络安全法》,在保护个人信息、治理网络诈骗、保护关键信息基础设施、网络实名制等方面作出明确规定,并划出了网络世界里不可触碰的“红线”。网络安全法的根本目的是构建良好网络秩序,保护公民、法人和其他组织的合法权益,是“护身符”而非“紧箍咒”。其中第二十七条明确规定公安作为监管执法部门。

政策要求

2015年1月,公安部颁布了《关于加快推进网络与信息安全通报机制建设的通知》(公信安[2015]21号)。通知要求建立省市二级网络与信息安全信息通报机制,积极推动专门机构建设,建立网络安全态势感知监测通报手段和信息通报预警及应急处置体系,明确要求建设网络安全态势感知监测通报平台,实现对重要网站和网上重要信息系统的安全监测、网上计算机病毒木马传播监测、通报预警、应急处置、态势分析、安全事件(事故)管理、督促整改等功能,为开展相关工作提供技术保障。

2015年7月1日,公安部颁发了《关于组织开展网络安全态势感知与通报预警平台建设工作的通知》(公信安【2015】1851号),明确了“网络安全态势感知与通报预警平台建设框架”,确定了建设整体方案指导,并提出省市两级通报平台建设的建设任务。

监管现状

公安机关作为信息安全的监管部门,经过多年的信息化建设已经具备了响应的信息安全监管能力,但随着网络安全领域新技术、新应用的发展,网络安全环境越来越复杂,急需在现有的信息化监管基础上提升综合监管能力。目前存在的不足之处如下:

日常反窃密反泄密工作中,更加重视分布式系统以及临检手段的建设,但是在重大事件保障的工作中,需要监控和防护的威胁种类更多,目前在DDoS攻击发现与溯源、网站监测与防护、高级威胁攻击检测等领域都缺乏相应的技术手段和产品,尤其需要考虑到日常工作于重大保障的需求结合,避免投资不平衡造成的浪费问题。

过去的系统建设更多考虑从数据中直接看到结果,在实际业务场景中更多应该由安全分析人员综合各类系统、工具所产生的结果进行深度分析和综合研判,过去这类帮助分析人员的分析工具或产品严重缺失,造成过度依赖于专家力量,无法形成阶梯化的团队力量,保障整个业务的安全稳定发展。

在上述各个环节中,如何有效发现窃密或泄密的可疑行为往往是业务工作的开端,过去的模式往往通过对被监控网络的流量还原得到会话或文件等内容,然后采用诸如沙箱技术、特征检测等传统异常检测方式,进而发现可疑的异常行为。如上的方式最大的特点都是需要获得特定样本后从其软件恶意行为、网络恶意行为或域名行为上来建立特征库,这就为整个异常检测工作带来较大的难度,毕竟样本的发现和捕获难度很大,且数量较少。另一方面,这些样本的获得往往都需要借助于部署在重点保障单位网络出口的分布式设备来获得,整个周期较长,也给类似特征库的建立带来了不小的麻烦。

大数据分析技术在各个行业中已经具备了有效应用,在信息安全领域,通过对大数据的分析技术,可以改变当前“黑客主动攻击、企业被动防御”的恶劣环境,这需要系统有海量的互联网数据积累,以及对安全大数据中的数据挖掘以及安全可视化等技术,将挖掘出来的重要信息联动与当前的安全防护体系中来。

在过去业务工作中,更多依赖黑IP/域名进行发现,这些信息往往来自于行业内部的自主发现,外部威胁情报严重不足。不仅如此,业务工作中的分析、溯源、拓线等,目前依然依赖本地采集的数据,大部分集中在流量数据等,而威胁方基本都存活在互联网世界中,缺乏第三方情报数据,包括DNS、Whois、URL、样本MD5等多种互联网数据,只能造成业务工作处于被动。

建设方案

本解决方案将遵循“整合资源,信息共享”、“统一架构,业务协同”的原则,依托海量互联网数据、本地流量数据、等级保护数据及其它第三方数据,运用大数据、数据融合等新技术手段,基于现有基础设施,整合多方资源,基于公安网络监管业务,面向服务架构(SOA)服务组件架构(SCA)进行标准化体系接口的设计,完善预警平台的功能,采用多层架构,以信息资源库和公共服务为基础进行开发,实现资源和服务的共享,实现数据层和应用层的分离。

预警平台采用数据采集、数据存储、大数据分析和应用系统的四层逻辑架构设计,以自动化平台运维系统和安全技术服务体系为保障。

预警平台逻辑架构图如下:
( 图 1 全网安全态势感知系统架构图 )

各层级以及模块之间的功能设计具有相对的独立性,从而使得整个系统具有较高的扩展性。

平台价值

本解决方案部署实施后,将对所管辖范围内的重点单位形成7×24小时的有效监控,所有网站篡改、DDoS攻击事件将在不超过10分钟的时间内被发现,而网站漏洞将在7天时间内做到发现。针对本地检测类设备无法有效监控的钓鱼攻击、访问异常行为,本方案也可以提供快速的监测和响应。

快速的发现相关问题将直接带来3点价值:

1、减少安全隐患和漏洞暴露在黑客视线中的时间,降低可能造成的不良影响。

2、减少篡改类事件出现的时间,降低不良的社会影响。

3、减少监测中的数据丢失,便于形成历史安全状态的全量数据和完整视图。

当发现威胁后,通过本方案可以使用通报子系统对相关单位和责任人进行快速的通知,并跟踪相关责任人的处置进度。同时方案提供了多种通报手段,方便工作人员进行问题的及时查收与反馈。

通过通报和反馈状态的跟踪,可以使得网络安全主管单位有能力对全省各级单位的信息安全责任人进行工作监督、指导、跟踪。实现信息安全责任到位、全城协作,调动各级资源实现全省的智慧安全。

信息安全问题经常面临无法取证,无法证明的相关问题,很多篡改类事件仅在特定时间内出现一段时间,在传统安全监控情况下,这类问题往往面临无法发现、无法追责的情况。而本方案能够在快速发现安全问题的情况下及时进行截图取证,并能够从网页代码层面寻找到暗链、黑词的位置清晰的体现出来相关网站被攻击的事实。

同时对于高级威胁,如APT攻击,本方案采用了全流量还原采集的方式,能够保存30天内的流量日志信息,日志里包含了重点单位主机的网络访问行为、文件传输行为,这些都可能成为具体高级攻击的证据,为事件、案件的分析提供数据支撑。

长期以来,信息安全都是一种难以理解的技术,它既不像网络技术可以通过拓扑的方式进行直观呈现,又无法像软件开发一样有相关的产品展示,如何让领导和基础的安全运营人员对安全问题快速理解,看清重点,一直是困扰着行业从业人员的问题。

本方案中采用了流行的图像和数据可视化技术,可以通过大屏幕展示为所管辖范围提供全局角度的清晰展示,直观的呈现所管辖范围内各级单位的安全状况分布、统计、排序等信息。并能够将相关可视化展示内容与分析过程结合,提供更加易于操作的可视化分析手段,让运营人员更快捷的定位到需要关注的安全事件,从而让安全分析的过程更直观、可展示。