公安
PUBLIC SECURIYT
某市公安局項目案例-天鑒關鍵信息基礎設施安全防護管理平臺
項目背景
某市公安局依據(jù)《中華人民共和國網(wǎng)絡安全法》《關于加快推進網(wǎng)絡與信息安全通報機制建設的通知》《關于組織開展網(wǎng)絡安全威脅感知與通報預警平臺建設工作的通知》等系列文件要求,建設了公安部要求的九大模塊中的威脅感知、等級保護、實時監(jiān)測、通報預警、快速處置、情報信息等模塊。結合以上業(yè)務,建立了大數(shù)據(jù)存儲分析平臺,提供基于大數(shù)據(jù)的安全感知能力,為網(wǎng)絡安全建設、監(jiān)督、研判、決策提供了有力依據(jù)。
項目內容
天鑒關鍵信息基礎設施安全防護管理平臺是安恒信息依據(jù)《中華人民共和國網(wǎng)絡安全法》、《關于加快推進網(wǎng)絡與信息安全通報機制建設的通知》、《信息安全等級保護管理辦法》等系列文件,在深入分析與研究常見安全漏洞及流行的攻擊技術基礎上,結合安恒信息安全團隊攻防研究和風險評估項目經(jīng)驗,總結歸納大量的安全漏洞信息和攻防方式后,研制開發(fā)的一款針對網(wǎng)絡信息安全態(tài)勢感知、通報預警、應急處置、追蹤溯源的綜合管理平臺。該平臺還可以與等級保護監(jiān)察管理系統(tǒng)、等級保護檢查工具箱(備注∶該系統(tǒng)和工具箱主要為等級保護檢查工作開展提供技術保障)進行無縫對接。該管理平臺主要面向公安、政府以及企事業(yè)單位,利用技術手段幫助用戶對其重要門戶網(wǎng)站、網(wǎng)上重要信息系統(tǒng)進行全面的漏洞監(jiān)測、可用性篡改監(jiān)測、敏感詞監(jiān)測,并且結合風暴中心以及網(wǎng)絡安全設備產生的數(shù)據(jù)進行態(tài)勢分析。具有對爆發(fā)的網(wǎng)絡安全事件進行通報預警、應急處置等功能。
-等級保護
信息安全等級保護管理模塊,結合《信息安全等級保護管理辦法》的要求規(guī)范。嚴格按照定級、備案、信息安全等級測評、安全建設和整改、信息安全檢查五個階段,對重要信息系統(tǒng)進行等級保護建設工作。主要包括備案信息、測評信息、安全檢查、統(tǒng)計分析、法律法規(guī)等功能模塊。
該模塊有助于推行國家信息安全等級保護制度的進一步建設,并通過通報預警模塊追蹤各級單位等保的建設和整改情況。
-實時監(jiān)測
實時監(jiān)測能及時發(fā)現(xiàn)、識別網(wǎng)絡攻擊威脅,監(jiān)測恐怖組織、黑客組織、不法份子等的攻擊活動、攻擊行為、攻擊方法手段;監(jiān)測重點保護對象所受的攻擊威脅、破壞、竊密、滲透等情況,以及重點保護對象的網(wǎng)絡、系統(tǒng)、大數(shù)據(jù)等安全狀況、存在的漏洞、隱患等,為快速處置、通報預警提供支撐。
-威脅感知
威脅感知系統(tǒng)是以網(wǎng)絡安全事件與威脅風險監(jiān)測為驅動,利用多維態(tài)勢可視化技術和大數(shù)據(jù)分析挖掘技術對網(wǎng)絡空間安全相關信息進行匯聚融合,形成針對"人、物、地、事"的多維視圖,從不同視角出發(fā)感知網(wǎng)絡安全態(tài)勢,為研判、決策及重要時期的網(wǎng)絡安全保障工作提供有效支撐。威脅感知系統(tǒng)主要包括總體態(tài)勢、資產態(tài)勢、隱患態(tài)勢、攻擊態(tài)勢、事件態(tài)勢和通報態(tài)勢六大視角。
-通報預警
通報預警模塊是根據(jù)威脅感知、實時監(jiān)測、追蹤溯源、情報信息、偵查調查等模塊獲取的態(tài)勢、趨勢、攻擊、威脅、風險、隱患、問題等情況,利用通報預警模塊匯總、分析、研判,并及時將情況上報、通報、下達,進行預警及快速處置
根據(jù)實時監(jiān)測發(fā)現(xiàn)的網(wǎng)絡攻擊、重大安全隱患等情況以及相關部門通報的情況,實現(xiàn)處置任務的下發(fā)、審核、處置和反饋。指令接收部門按照處置要求和規(guī)范進行事件處置,及時消除影響和危害,并利用應急處置工具箱開展現(xiàn)場勘察、固定證據(jù)、快速恢復。對事件處置情況、現(xiàn)場勘察情況以及證據(jù)等方面情況及時建檔、歸檔并入庫。
-追蹤溯源
追蹤溯源模塊采用大數(shù)據(jù)存儲分析中心提供的計算能力和分析模型,基于用戶掌握的各類數(shù)據(jù),對安全事件進行追蹤溯源。系統(tǒng)在發(fā)生網(wǎng)絡攻擊案(事)件或有線索情況下,對攻擊者使用的攻擊手法、攻擊途徑、攻擊資源、攻擊位置、攻擊后果等進行追蹤溯源和拓展分析,支持還原黑客的整個攻擊過程,包括黑客首次入侵、黑客成功入侵、發(fā)現(xiàn)入侵事件、建立黑客畫像等,為偵查打擊、安全防范提供情報線索支撐。
-偵查調查
該模塊主要是用于平臺執(zhí)法監(jiān)管工作的流程處理及相關業(yè)務集成,提升調查分析、情報挖掘、線索擴線、智能查詢等能力,打擊黑客類攻擊破壞、釣魚網(wǎng)站等案(事)件。同時,積累可疑攻擊源IP、高危木馬等數(shù)據(jù),形成案件線索庫。
-情報信息
情報信息模塊是平臺進行情報收集和統(tǒng)一管理的主要功能模塊,該模塊對平臺原始監(jiān)測數(shù)據(jù)、其他模塊匯聚的威脅情報數(shù)據(jù)、行業(yè)部門報送的數(shù)據(jù)、第三方收集報送的數(shù)據(jù),上級部門下發(fā)的數(shù)據(jù),下級報送的數(shù)據(jù)等不同類型來源的情報數(shù)據(jù)采集匯總后進行數(shù)據(jù)處理、存儲和分析研判,實現(xiàn)對威脅情報的標定、存儲、檢索、分析、關聯(lián)、挖掘、應用、展示等,并與有關部門實現(xiàn)共享交換。
-指揮調度
在重大安?;顒悠陂g,協(xié)助安保作戰(zhàn)指揮,有效組織、調配活動參與人員,包括∶公安、技術支撐單位、安全專家、安全廠商、電信基礎運營商、協(xié)會團體、志愿者人群等。對重保企業(yè)進行全面監(jiān)測,當企業(yè)自查發(fā)現(xiàn)安全隱患或者監(jiān)測出了安全事件,企業(yè)可將事件上報到平臺,指揮調度平臺對相應事件進行通報預警、發(fā)起專項處置,基層民警接收、確認信息,攜帶專用工具前往現(xiàn)場取證分析、應急處置,協(xié)助相關單位處置事件,保障系統(tǒng)的正常運行。
輔助功能?
-0day檢測
重大漏洞在線檢測系統(tǒng)是結合最新、最及時的漏洞探測技術,針對各項重大漏洞,在漏洞發(fā)布第一時間提供檢測、驗證技術,確保及早發(fā)現(xiàn)管轄范圍內重要信息系統(tǒng)受影響范圍并提前發(fā)出專項預警通告。針對重大、典型漏洞類型,如心臟滴血、Openssl Drown、Struts2遠程命令執(zhí)行S2-032等,支持自助在線檢查。只需輸入網(wǎng)站域名,即可一鍵查詢,立刻獲取結果,典型漏洞類型持續(xù)更新。
-后門檢測
平臺集成了最成熟全面的Webshell后門訪問特征庫,可提供Webshell后門檢測功能,及時發(fā)現(xiàn)Webshell后門被利用的行為,同時定位到網(wǎng)站服務器、路徑和具體頁面。平臺端提供檢查軟件下載,檢查結果可自動回傳至大平臺,對各單位Webshell檢查結果實現(xiàn)統(tǒng)—匯總、管理和分析。
-資產探測
資產探測系統(tǒng)功能通過對指定IP段的動態(tài)探測,有效識別存活主機及主機操作系統(tǒng)類型,并可對存活主機進行深入分析,識別其指紋信息。資產普查功能有效識別的數(shù)據(jù)字段包括∶
辛 IP地址是否存活資操作系統(tǒng)類型(Windows、Linux、Unix)操作系統(tǒng)版本號開放端口開放協(xié)議或服務
-專家值守
支持安全專家7*24小時提供漏洞驗證服務,并提供最及時的應急響應和最權威的漏洞整改建議。
-移動應用
平臺支持手機移動應用APP下載,提供最新版本、功能介紹及常見問題解答,支持安卓、IOS兩種設備。手機移動應用APP可實現(xiàn)與平臺的聯(lián)動,同步接收安全事件、威脅預警、安全資訊情況等。監(jiān)管用戶可通過APP了解整體安全態(tài)勢,進行通報預警管理統(tǒng)計和進度查詢,通報一觸即達;被監(jiān)管用戶可通過APP查看本單位安全威脅,事件通報和整改情況,并將整改結果回傳給監(jiān)管單位。雙方通信通過安全加密通道,安全可靠。
-安全資訊
提供每日安全資訊,第一時間掌握安全動態(tài)
最新爆發(fā)的安全事件第一時間公告,專家進行深度解讀
第一時間專家深度解析
惡意軟件、最新安全技術、漏洞專業(yè)分析
輔助檢查工具箱
—等保檢查工具箱
信息安全等級保護檢查工具箱實現(xiàn)了專業(yè)的技術檢查、全面的安全訪談指導,以及通過等級保護檢查知識庫,將技術檢查結果和標準法規(guī)結合分析,使得等級保護工作更加落地,同時無需檢查、自查人員具有較高的專業(yè)知識就可以操作,是一款"傻瓜式"檢查工具集,同時和平臺等級保護模塊進行了聯(lián)動,可以直接上傳檢查結果, 以便統(tǒng)計分析。
—應急處置工填箱
應急處置工具箱對快速處置流程進行了優(yōu)化,并全程指導快速處置步驟。同時提供豐富多樣的取證手段與詳盡的專家知識庫,以滿足不同場景下對應急處置工具以及相關知識的需求,實現(xiàn)了網(wǎng)絡安全事件的取證溯源、快速恢復。一體化智能報表生成機制,自動涵蓋整個快速處置流程工作內容,快速處置報告一鍵導出。應急工具箱的誕生將使得網(wǎng)絡安全攻擊事件快速處置工作規(guī)范化、系統(tǒng)化、專業(yè)化。
—工控檢查工其箱
工控檢查工具箱的總體架構組成為∶工具箱檢查管理系統(tǒng)、技術檢測工具等。工具箱檢查管理系統(tǒng)安裝在三防筆記本電腦上,集成任務管理、檢查執(zhí)行、報表中心、工具管理、知識庫等模塊。技術檢測工具主要包括流量分析工具和工控漏洞檢測工具。工控系統(tǒng)流量分析工具應支持從交換機鏡像端口獲取數(shù)據(jù)包用于流量分析。漏洞檢測工具應支持獲取的不同類型的資產信息,獲取信息至少應包括類型、廠商、型號等,可針對工控設備進行設備探查,抓取設備信息,采用低風險輕量級漏洞指紋探測方法,準確獲取目標漏洞信息,漏洞庫里的漏洞涵蓋CVE、CNVD、CNNVD發(fā)布的相關工控網(wǎng)絡的漏洞,涵蓋廠商零日漏洞庫。能對上位機操作系統(tǒng)及SCADA系統(tǒng)、下位機的各種漏洞進行檢測。