公安
PUBLIC SECURIYT
某市公安局项目案例-天鉴关键信息基础设施安全防护管理平台
项目背景
某市公安局依据《中华人民共和国网络安全法》《关于加快推进网络与信息安全通报机制建设的通知》《关于组织开展网络安全威胁感知与通报预警平台建设工作的通知》等系列文件要求,建设了公安部要求的九大模块中的威胁感知、等级保护、实时监测、通报预警、快速处置、情报信息等模块。结合以上业务,建立了大数据存储分析平台,提供基于大数据的安全感知能力,为网络安全建设、监督、研判、决策提供了有力依据。
项目内容
天鉴关键信息基础设施安全防护管理平台是和记官网依据《中华人民共和国网络安全法》、《关于加快推进网络与信息安全通报机制建设的通知》、《信息安全等级保护管理办法》等系列文件,在深入分析与研究常见安全漏洞及流行的攻击技术基础上,结合和记官网安全团队攻防研究和风险评估项目经验,总结归纳大量的安全漏洞信息和攻防方式后,研制开发的一款针对网络信息安全态势感知、通报预警、应急处置、追踪溯源的综合管理平台。该平台还可以与等级保护监察管理系统、等级保护检查工具箱(备注∶该系统和工具箱主要为等级保护检查工作开展提供技术保障)进行无缝对接。该管理平台主要面向公安、政府以及企事业单位,利用技术手段帮助用户对其重要门户网站、网上重要信息系统进行全面的漏洞监测、可用性篡改监测、敏感词监测,并且结合风暴中心以及网络安全设备产生的数据进行态势分析。具有对爆发的网络安全事件进行通报预警、应急处置等功能。
-等级保护
信息安全等级保护管理模块,结合《信息安全等级保护管理办法》的要求规范。严格按照定级、备案、信息安全等级测评、安全建设和整改、信息安全检查五个阶段,对重要信息系统进行等级保护建设工作。主要包括备案信息、测评信息、安全检查、统计分析、法律法规等功能模块。
该模块有助于推行国家信息安全等级保护制度的进一步建设,并通过通报预警模块追踪各级单位等保的建设和整改情况。
-实时监测
实时监测能及时发现、识别网络攻击威胁,监测恐怖组织、黑客组织、不法份子等的攻击活动、攻击行为、攻击方法手段;监测重点保护对象所受的攻击威胁、破坏、窃密、渗透等情况,以及重点保护对象的网络、系统、大数据等安全状况、存在的漏洞、隐患等,为快速处置、通报预警提供支撑。
-威胁感知
威胁感知系统是以网络安全事件与威胁风险监测为驱动,利用多维态势可视化技术和大数据分析挖掘技术对网络空间安全相关信息进行汇聚融合,形成针对"人、物、地、事"的多维视图,从不同视角出发感知网络安全态势,为研判、决策及重要时期的网络安全保障工作提供有效支撑。威胁感知系统主要包括总体态势、资产态势、隐患态势、攻击态势、事件态势和通报态势六大视角。
-通报预警
通报预警模块是根据威胁感知、实时监测、追踪溯源、情报信息、侦查调查等模块获取的态势、趋势、攻击、威胁、风险、隐患、问题等情况,利用通报预警模块汇总、分析、研判,并及时将情况上报、通报、下达,进行预警及快速处置
根据实时监测发现的网络攻击、重大安全隐患等情况以及相关部门通报的情况,实现处置任务的下发、审核、处置和反馈。指令接收部门按照处置要求和规范进行事件处置,及时消除影响和危害,并利用应急处置工具箱开展现场勘察、固定证据、快速恢复。对事件处置情况、现场勘察情况以及证据等方面情况及时建档、归档并入库。
-追踪溯源
追踪溯源模块采用大数据存储分析中心提供的计算能力和分析模型,基于用户掌握的各类数据,对安全事件进行追踪溯源。系统在发生网络攻击案(事)件或有线索情况下,对攻击者使用的攻击手法、攻击途径、攻击资源、攻击位置、攻击后果等进行追踪溯源和拓展分析,支持还原黑客的整个攻击过程,包括黑客首次入侵、黑客成功入侵、发现入侵事件、建立黑客画像等,为侦查打击、安全防范提供情报线索支撑。
-侦查调查
该模块主要是用于平台执法监管工作的流程处理及相关业务集成,提升调查分析、情报挖掘、线索扩线、智能查询等能力,打击黑客类攻击破坏、钓鱼网站等案(事)件。同时,积累可疑攻击源IP、高危木马等数据,形成案件线索库。
-情报信息
情报信息模块是平台进行情报收集和统一管理的主要功能模块,该模块对平台原始监测数据、其他模块汇聚的威胁情报数据、行业部门报送的数据、第三方收集报送的数据,上级部门下发的数据,下级报送的数据等不同类型来源的情报数据采集汇总后进行数据处理、存储和分析研判,实现对威胁情报的标定、存储、检索、分析、关联、挖掘、应用、展示等,并与有关部门实现共享交换。
-指挥调度
在重大安保活动期间,协助安保作战指挥,有效组织、调配活动参与人员,包括∶公安、技术支撑单位、安全专家、安全厂商、电信基础运营商、协会团体、志愿者人群等。对重保企业进行全面监测,当企业自查发现安全隐患或者监测出了安全事件,企业可将事件上报到平台,指挥调度平台对相应事件进行通报预警、发起专项处置,基层民警接收、确认信息,携带专用工具前往现场取证分析、应急处置,协助相关单位处置事件,保障系统的正常运行。
辅助功能
-0day检测
重大漏洞在线检测系统是结合最新、最及时的漏洞探测技术,针对各项重大漏洞,在漏洞发布第一时间提供检测、验证技术,确保及早发现管辖范围内重要信息系统受影响范围并提前发出专项预警通告。针对重大、典型漏洞类型,如心脏滴血、Openssl Drown、Struts2远程命令执行S2-032等,支持自助在线检查。只需输入网站域名,即可一键查询,立刻获取结果,典型漏洞类型持续更新。
-后门检测
平台集成了最成熟全面的Webshell后门访问特征库,可提供Webshell后门检测功能,及时发现Webshell后门被利用的行为,同时定位到网站服务器、路径和具体页面。平台端提供检查软件下载,检查结果可自动回传至大平台,对各单位Webshell检查结果实现统—汇总、管理和分析。
-资产探测
资产探测系统功能通过对指定IP段的动态探测,有效识别存活主机及主机操作系统类型,并可对存活主机进行深入分析,识别其指纹信息。资产普查功能有效识别的数据字段包括∶
辛 IP地址是否存活资操作系统类型(Windows、Linux、Unix)操作系统版本号开放端口开放协议或服务
-专家值守
支持安全专家7*24小时提供漏洞验证服务,并提供最及时的应急响应和最权威的漏洞整改建议。
-移动应用
平台支持手机移动应用APP下载,提供最新版本、功能介绍及常见问题解答,支持安卓、ioses两种设备。手机移动应用APP可实现与平台的联动,同步接收安全事件、威胁预警、安全资讯情况等。监管用户可通过APP了解整体安全态势,进行通报预警管理统计和进度查询,通报一触即达;被监管用户可通过APP查看本单位安全威胁,事件通报和整改情况,并将整改结果回传给监管单位。双方通信通过安全加密通道,安全可靠。
-安全资讯
提供每日安全资讯,第一时间掌握安全动态
最新爆发的安全事件第一时间公告,专家进行深度解读
第一时间专家深度解析
恶意软件、最新安全技术、漏洞专业分析
辅助检查工具箱
—等保检查工具箱
信息安全等级保护检查工具箱实现了专业的技术检查、全面的安全访谈指导,以及通过等级保护检查知识库,将技术检查结果和标准法规结合分析,使得等级保护工作更加落地,同时无需检查、自查人员具有较高的专业知识就可以操作,是一款"傻瓜式"检查工具集,同时和平台等级保护模块进行了联动,可以直接上传检查结果, 以便统计分析。
—应急处置工填箱
应急处置工具箱对快速处置流程进行了优化,并全程指导快速处置步骤。同时提供丰富多样的取证手段与详尽的专家知识库,以满足不同场景下对应急处置工具以及相关知识的需求,实现了网络安全事件的取证溯源、快速恢复。一体化智能报表生成机制,自动涵盖整个快速处置流程工作内容,快速处置报告一键导出。应急工具箱的诞生将使得网络安全攻击事件快速处置工作规范化、系统化、专业化。
—工控检查工其箱
工控检查工具箱的总体架构组成为∶工具箱检查管理系统、技术检测工具等。工具箱检查管理系统安装在三防笔记本电脑上,集成任务管理、检查执行、报表中心、工具管理、知识库等模块。技术检测工具主要包括流量分析工具和工控漏洞检测工具。工控系统流量分析工具应支持从交换机镜像端口获取数据包用于流量分析。漏洞检测工具应支持获取的不同类型的资产信息,获取信息至少应包括类型、厂商、型号等,可针对工控设备进行设备探查,抓取设备信息,采用低风险轻量级漏洞指纹探测方法,准确获取目标漏洞信息,漏洞库里的漏洞涵盖CVE、CNVD、CNNVD发布的相关工控网络的漏洞,涵盖厂商零日漏洞库。能对上位机操作系统及SCADA系统、下位机的各种漏洞进行检测。