公安行業

Public Security Industry

建設背景

公安部于2015年7月下發了《關于組織開展網絡安全態勢感知與通報預警平臺建設工作的通知》(公信安[2015]1851號),對網絡與信息安全通報機制及網絡安全態勢感知和通報預警平臺建設也提出了明確要求,并將網絡與信息安全通報預警機制納入全國綜治工作考核中。

2015年5月18日,公安部在京召開電視電話會議,專題部署國家級重要信息系統和重點網站安全執法檢查工作。公安部副部長、中央網信辦副主任陳智敏在會議上強調,各級公安機關要充分認識網絡安全的嚴峻形勢和加強網絡安全工作的重要性、緊迫性,加強國家網絡安全通報機制建設,進一步健全完善網絡安全信息通報和監測預警機制建設,確保網絡安全執法檢查工作取得實效。

2016年10月31日,十二屆全國人大常委會第二十四次會議表決通過《中華人民共和國網絡安全法》,在保護個人信息、治理網絡詐騙、保護關鍵信息基礎設施、網絡實名制等方面作出明確規定,并劃出了網絡世界里不可觸碰的“紅線”。網絡安全法的根本目的是構建良好網絡秩序,保護公民、法人和其他組織的合法權益,是“護身符”而非“緊箍咒”。其中第二十七條明確規定公安作為監管執法部門。

政策要求

2015年1月,公安部頒布了《關于加快推進網絡與信息安全通報機制建設的通知》(公信安[2015]21號)。通知要求建立省市二級網絡與信息安全信息通報機制,積極推動專門機構建設,建立網絡安全態勢感知監測通報手段和信息通報預警及應急處置體系,明確要求建設網絡安全態勢感知監測通報平臺,實現對重要網站和網上重要信息系統的安全監測、網上計算機病毒木馬傳播監測、通報預警、應急處置、態勢分析、安全事件(事故)管理、督促整改等功能,為開展相關工作提供技術保障。

2015年7月1日,公安部頒發了《關于組織開展網絡安全態勢感知與通報預警平臺建設工作的通知》(公信安【2015】1851號),明確了“網絡安全態勢感知與通報預警平臺建設框架”,確定了建設整體方案指導,并提出省市兩級通報平臺建設的建設任務。

監管現狀

公安機關作為信息安全的監管部門,經過多年的信息化建設已經具備了響應的信息安全監管能力,但隨著網絡安全領域新技術、新應用的發展,網絡安全環境越來越復雜,急需在現有的信息化監管基礎上提升綜合監管能力。目前存在的不足之處如下:

日常反竊密反泄密工作中,更加重視分布式系統以及臨檢手段的建設,但是在重大事件保障的工作中,需要監控和防護的威脅種類更多,目前在DDoS攻擊發現與溯源、網站監測與防護、高級威脅攻擊檢測等領域都缺乏相應的技術手段和產品,尤其需要考慮到日常工作于重大保障的需求結合,避免投資不平衡造成的浪費問題。

過去的系統建設更多考慮從數據中直接看到結果,在實際業務場景中更多應該由安全分析人員綜合各類系統、工具所產生的結果進行深度分析和綜合研判,過去這類幫助分析人員的分析工具或產品嚴重缺失,造成過度依賴于專家力量,無法形成階梯化的團隊力量,保障整個業務的安全穩定發展。

在上述各個環節中,如何有效發現竊密或泄密的可疑行為往往是業務工作的開端,過去的模式往往通過對被監控網絡的流量還原得到會話或文件等內容,然后采用諸如沙箱技術、特征檢測等傳統異常檢測方式,進而發現可疑的異常行為。如上的方式最大的特點都是需要獲得特定樣本后從其軟件惡意行為、網絡惡意行為或域名行為上來建立特征庫,這就為整個異常檢測工作帶來較大的難度,畢竟樣本的發現和捕獲難度很大,且數量較少。另一方面,這些樣本的獲得往往都需要借助于部署在重點保障單位網絡出口的分布式設備來獲得,整個周期較長,也給類似特征庫的建立帶來了不小的麻煩。

大數據分析技術在各個行業中已經具備了有效應用,在信息安全領域,通過對大數據的分析技術,可以改變當前“黑客主動攻擊、企業被動防御”的惡劣環境,這需要系統有海量的互聯網數據積累,以及對安全大數據中的數據挖掘以及安全可視化等技術,將挖掘出來的重要信息聯動與當前的安全防護體系中來。

在過去業務工作中,更多依賴黑IP/域名進行發現,這些信息往往來自于行業內部的自主發現,外部威脅情報嚴重不足。不僅如此,業務工作中的分析、溯源、拓線等,目前依然依賴本地采集的數據,大部分集中在流量數據等,而威脅方基本都存活在互聯網世界中,缺乏第三方情報數據,包括DNS、Whois、URL、樣本MD5等多種互聯網數據,只能造成業務工作處于被動。

建設方案

本解決方案將遵循“整合資源,信息共享”、“統一架構,業務協同”的原則,依托海量互聯網數據、本地流量數據、等級保護數據及其它第三方數據,運用大數據、數據融合等新技術手段,基于現有基礎設施,整合多方資源,基于公安網絡監管業務,面向服務架構(SOA)服務組件架構(SCA)進行標準化體系接口的設計,完善預警平臺的功能,采用多層架構,以信息資源庫和公共服務為基礎進行開發,實現資源和服務的共享,實現數據層和應用層的分離。

預警平臺采用數據采集、數據存儲、大數據分析和應用系統的四層邏輯架構設計,以自動化平臺運維系統和安全技術服務體系為保障。

預警平臺邏輯架構圖如下:
( 圖 1 全網安全態勢感知系統架構圖 )

各層級以及模塊之間的功能設計具有相對的獨立性,從而使得整個系統具有較高的擴展性。

平臺價值

本解決方案部署實施后,將對所管轄范圍內的重點單位形成7×24小時的有效監控,所有網站篡改、DDoS攻擊事件將在不超過10分鐘的時間內被發現,而網站漏洞將在7天時間內做到發現。針對本地檢測類設備無法有效監控的釣魚攻擊、訪問異常行為,本方案也可以提供快速的監測和響應。

快速的發現相關問題將直接帶來3點價值:

1、減少安全隱患和漏洞暴露在黑客視線中的時間,降低可能造成的不良影響。

2、減少篡改類事件出現的時間,降低不良的社會影響。

3、減少監測中的數據丟失,便于形成歷史安全狀態的全量數據和完整視圖。

當發現威脅后,通過本方案可以使用通報子系統對相關單位和責任人進行快速的通知,并跟蹤相關責任人的處置進度。同時方案提供了多種通報手段,方便工作人員進行問題的及時查收與反饋。

通過通報和反饋狀態的跟蹤,可以使得網絡安全主管單位有能力對全省各級單位的信息安全責任人進行工作監督、指導、跟蹤。實現信息安全責任到位、全城協作,調動各級資源實現全省的智慧安全。

信息安全問題經常面臨無法取證,無法證明的相關問題,很多篡改類事件僅在特定時間內出現一段時間,在傳統安全監控情況下,這類問題往往面臨無法發現、無法追責的情況。而本方案能夠在快速發現安全問題的情況下及時進行截圖取證,并能夠從網頁代碼層面尋找到暗鏈、黑詞的位置清晰的體現出來相關網站被攻擊的事實。

同時對于高級威脅,如APT攻擊,本方案采用了全流量還原采集的方式,能夠保存30天內的流量日志信息,日志里包含了重點單位主機的網絡訪問行為、文件傳輸行為,這些都可能成為具體高級攻擊的證據,為事件、案件的分析提供數據支撐。

長期以來,信息安全都是一種難以理解的技術,它既不像網絡技術可以通過拓撲的方式進行直觀呈現,又無法像軟件開發一樣有相關的產品展示,如何讓領導和基礎的安全運營人員對安全問題快速理解,看清重點,一直是困擾著行業從業人員的問題。

本方案中采用了流行的圖像和數據可視化技術,可以通過大屏幕展示為所管轄范圍提供全局角度的清晰展示,直觀的呈現所管轄范圍內各級單位的安全狀況分布、統計、排序等信息。并能夠將相關可視化展示內容與分析過程結合,提供更加易于操作的可視化分析手段,讓運營人員更快捷的定位到需要關注的安全事件,從而讓安全分析的過程更直觀、可展示。

天下彩天空彩票与香港小说 黑龙江快乐十分20选8开奖走势图 哈尔滨期货配资公司 快3河北 江西多乐彩500网 真钱手机客户端棋牌 河北排列7几号开奖 点点赢配资 上海天天彩选4开奖结果查询 y 12233期博彩老头 股票涨跌如何计算