打造公安网络安全感知体系保障基层警务用网安全

打造公安网络安全感知体系保障基层警务用网安全

第一位,于涛，第二位,唐锴，张永港，孙磊磊，樊连柱，刘森

天津市滨海新区公安局科技信息化支队

天津市滨海新区300450

一、背景

为深入贯彻落实习近平总书记在党的十九大报告中提出的“建设网络强国战略，加强互联网内容建设，建立网络综合治理体系，营造清朗的网络空间”和“加快构建网络安全保障体系，全天候全方位感知网络安全态势”的总体要求，滨海公安高度重视信息化建设，在“数据警务、智慧公安”战略指引下，各级公安机关积极探索“科技强警”之路，综合运用大数据、物联网、人工智能等创新科技，全面提升公安机关预警防范、科学决策能力，打造“网络安全110”，与传统110融合作战，全力为党的二十大胜利召开创造清朗绿色的网络环境。

滨海公安主要针对以往数据处理能力不足、安全处理能力分散、未能形成整合优势等问题，通过加强公安信息网安全建设，实现网络安全“检测、巡视、攻防、处置”的规范化、自动化和智能化，有效提升公安网网络安全管理水平和管控范围。基于先进技术架构的大数据安全态势感知平台，对“防护孤岛”和“信息孤岛”进行了全方位整合，打破了原有的“烟囱式”防护方式，将所有防护措施连通，利用平台对海量数据的高效处理能力，结合关联分析、机器学习、安全可视化等新技术，建立丰富的威胁检测模型。真正将人工智能技术应用到警务实践中，通过对网络攻击事前、事中、事后的闭环管理，增强了全网安全态势感知能力，实现了网络防御从被动到主动的转变。

二、原有问题

当前，网络已经融入到社会的方方面面，网络安全问题也越来越突出，滨海公安部分万兆网络营地及派出所自防自救能力低下，无法独自应对来自全球的网络安全威胁。同时，由于各类新型攻击方式层出不穷，传统的安全防护手段在面对这些新型攻击手段时往往难以招架。公安机关作为网络安全监管部门，更多是陷于“救火式”的事后被动处置。主要体现在如下几个方面。

一是运营流程不完善。滨海公安信息网内各安全设备上的审计数据未集中监测分析，各厂商安全产品之间数据和能力不互通，无法对网络中发生的各类安全事件进行集中的报警和处置，一旦发生网络的入侵和攻击时，无法对入侵和攻击行为进行有效的记录取证及日后的调查分析、事件追溯。

二是原有监测防护手段不足。虽然公安网业务应用网络部署了诸如防火墙等多种安全防护系统，制定有相应的安全管理规范和管理制度，但基于特征的传统安全防御和检测机制存在先天不足，绝大多数的攻击都是在用户不知情、无感知的情况下发生的，传统安全防护系统在面对未知的威胁和攻击时，不能提前获知特征信息，缺乏发现未知木马网络通信行为的能力，面对以天、小时、分钟级计算的攻击时长，传统防控机制以年、月、周级计算的响应速度根本无济于事，无法对可能存在的网络安全威胁与风险点不能做到及时发现、研判和处置。

三是管理存在一定的缺陷。针对各类安全设备产生的告警信息，通过我局的大数据集中信息安全分析系统提供7*24小时监控，针对突发性的重大安全事件运维人员提供7*24小时应急响应。针对法定节假日、重大活动及攻防演练期间，缺少7*24小时人员轮班值守监测网络安全威胁，实时跟踪处置网络安全事件。

三、总体建设内容

基于以上网络安全问题，滨海公安通过对公安信息网内原大数据集中信息安全分析系统进行升级改造，对网内异常流量进行深层次监测分析，参照110警务模式，采取网络安全集中处置模式，打造滨海公安信息网“网络安全110”，监测全区公安信息网安全风险隐患，发布网络安全预警信息，具体建设内容如下。

（一）安全态势展现

目前，滨海公安信息网“网络安全110”建设，由“运行枢纽”、“智慧大脑”和多支网络安全服务支撑队伍组成。其中，指挥调度中心作为“运行枢纽”，负责接收网络安全报警信息，并指挥调度多支网络安全服务支撑队伍开展安全事件处置工作；滨海新区公安局安全态势感知监控系统作为“智慧大脑”，汇聚安全设备告警数据和安全威胁情报，实时向指挥调度中心报送网络威胁情报，支撑网络安全威胁预警通报等工作。

滨海新区公安局安全态势感知监控系统主要基于天津市滨海新区公安局现有网络状况并结合真实的网络拓扑结构，打造专属可视化界面，实现全网的网络安全态势感知，展示内容包括外部态势、内网态势、告警态势、运维分析等信息。通过展现当前外部网络对内部网络的攻击态势，可以看到攻击来源IP地址、攻击阶段、最新的告警事件，时间窗可以展现攻击较多的时间段、展现攻击源 TOP10、攻击目标IP  TOP10等。通过资产扫描，自动生成网络拓扑结构，展现网络中的资产数量及分类，哪些资产受到攻击，展现攻击源IP TOP 10、攻击目的IP TOP 10。同时，点击任一个资产，可显示该资产的基本信息、行为信息、安全状况。同时，能够展现整个网络的告警态势，包括告警阶段、告警总数、告警级别、最新告警、重点关注告警类型、重点关注资产告警、目的地址告警TOP 10 、告警趋势、告警分布。通过可视化技术手段对海量安全日志与事件进行加工，对用户访问行为和网络状况进行综合分析，为运维人员展示整体安全态势。

（二）语音报警灯联动告警

平台支持语音播报、报警灯闪烁的方式，通过点击大屏“告警提示音”功能开关，一键启动声光告警功能，将设备故障、病毒爆发等告警信息通过声光进行告警提醒，方便监控人员及时收到预警信息并处理。

（三）分区域流量态势实时监测

随着滨海新区公安局机构改革，原有网络安全管辖范围由永丰街新区局[巡（特）警营地]及其他隶属支队，变更为以滨海核心机房（塘沽）为核心辐射整个新区网络的安全防护，包含：局机关办公大楼网络、巡（特）警营地网络、各万兆节点营地网络（塘沽、大港、汉沽、保税、开发、高新、生态城、天津港、港中、港南、南疆）及48个派出所。随着管辖范围的增大，导致数据量急剧增加，管理难度增大，通过在各万兆节点营地分别部署一台万兆流量监测设备，实现对各出口流量数据监测和分析，基于流量监测数据进行持续攻击行为APT分析、预警与防护。

实时发现与识别恶意程序、恶意域名、黑IP、黑网址、黑邮箱、Web攻击、特种木马、信息泄露，TCP劫持、WebShell攻击等威胁类型；能够对受控机外联控制端时所使用的服务器IP、域名做检测，一旦认定，则该机器确认为受控机。具备APT情报检测能力，内置IOC数据库覆盖主流的APT家族，至少覆盖150个家族；支持IP/域名/URL/Hash/邮箱类型情报的检测以及丰富的标签类型；威胁情报作为其他告警事件的关联分析、展示和取证；威胁情报支撑热点事件的检测；源IP基于威胁情报外联事件关联分析发现受控主机。能够对SQL注入、XSS注入、跨站请求伪造、webshell上传、文件包含漏洞、远程代码执行漏洞、Web溢出攻击、Web目录遍历攻击、文件上传攻击、文件写入攻击、文件下载攻击、网络欺诈、Web敏感文件访问、CVE漏洞、微软漏洞、IE漏洞利用、Weblogic 漏洞利用等攻击行为进行检测。通过深度数据挖掘、人工智能技术对海量数据进行深度分析以实时获知未知威胁的发展动态，能够监测高级持续性威胁；通过数据回传之上行下行流量对比、数据回传之异常端口连接、未经授权的数据访问与泄密、高风险行为的统计分析模型、沙箱虚拟环境分析、深度关联分析等，实现对内部的未知威胁进行发现。

（四）安全事件实时监控和溯源分析

根据实时采集的防火墙、web应用防火墙、入侵检测、入侵防御、流量监测系统、上网行为审计等各类安全设备的日志信息，通过时间线、柱图、饼图、面积图、散点图、透视图在内的多种统计与展现的方式在页面窗口进行展现，实时监控各安全设备告警信息，出现中高危告警信息及时以红色预警的形式展现。运维人员通过查看大屏的告警信息，及时检索查询安全事件的整个操作轨迹，最终定位到人员，使得分析人员能够对已发生的信息安全事件进行追溯和定位。

（五）威胁情报管理

系统具备多源异构安全威胁情报管理功能，能够导入国内主流情报服务商情报数据，同时系统采集的安全事件与威胁情报的碰撞比对，基于威胁情报数据进行关联分析，统计自身威胁情报库与流量通信中源目IP匹配数量、安全设备未拦截数量、内部地址主动与威胁情报库中的IP通信数量等信息。

四、产生的社会效益与经济效益

近年来，滨海新区公安局通过实施网络安全等级保护制度，创新开展滨海公安信息网全方位的网络安全升级建设工作，打造“网络安全110”，取得良好成效，全面提升滨海新区公安局公安信息网网络安全管控的自动化和智能化水平，实现对滨海新区新机房公安信息网安全防护的全覆盖、无死角，避免遭受网络入侵，病毒攻击等造成的不可估量的损失，同时减少人力维护成本。加强公安信息网稳定性和高效性，为社会提供更好的服务。通过技术手段对现有网络进行全面安全加固，确保各重要业务连续、安全、稳定运行，杜绝网络中断运行和异常行为带来的经济损失。