公安信息網(wǎng)網(wǎng)絡(luò)安全大腦探索和實(shí)踐

文｜楊健 張斌 蔣行杰

一、研究背景

根據(jù)浙江省公安廳印發(fā)《浙江“公安大腦”建設(shè)發(fā)展規(guī)劃（2022—2023年）》建設(shè)內(nèi)容，結(jié)合《GA/DSJ 300-2019 公安大數(shù)據(jù)安全總體技術(shù)框架》要求，本文提出基于大數(shù)據(jù)驅(qū)動(dòng)的網(wǎng)絡(luò)安全監(jiān)管體系和“網(wǎng)絡(luò)安全大腦”建設(shè)。運(yùn)用大數(shù)據(jù)技術(shù)匯聚全網(wǎng)安全數(shù)據(jù)，建立安全數(shù)據(jù)分析中臺和安全指揮運(yùn)營中心，提升內(nèi)外部風(fēng)險(xiǎn)感知能力、協(xié)同安全防護(hù)能力、攻擊檢測分析能力、違規(guī)行為發(fā)現(xiàn)能力、應(yīng)急事件響應(yīng)能力和態(tài)勢感知預(yù)警能力。

公安信息網(wǎng)網(wǎng)絡(luò)安全監(jiān)管體系包含應(yīng)急指揮、制度規(guī)范、技術(shù)防御、安全監(jiān)管、指揮運(yùn)營5大方面內(nèi)容，具體覆蓋云、網(wǎng)、端、應(yīng)用、數(shù)據(jù)等監(jiān)測對象。其中安全指揮運(yùn)營中心是安全監(jiān)管體系的管理中樞即“網(wǎng)絡(luò)安全大腦”?！熬W(wǎng)絡(luò)安全大腦”綜合集成算力、數(shù)據(jù)、算法、模型、業(yè)務(wù)智能模塊等數(shù)字資源，實(shí)現(xiàn)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)監(jiān)測、分析、處置、響應(yīng)、指揮調(diào)度功能，并且賦予其智能化、自動(dòng)化和可視化特性，實(shí)現(xiàn)內(nèi)外部風(fēng)險(xiǎn)感知能力、協(xié)同安全防護(hù)能力、攻擊檢測分析能力、違規(guī)行為發(fā)現(xiàn)能力、應(yīng)急事件響應(yīng)能力和態(tài)勢感知預(yù)警能力。從單一的圍墻式技術(shù)防護(hù)，演變?yōu)榧贫?、技術(shù)、人員、資產(chǎn)、風(fēng)險(xiǎn)融合的多重、多維度防御，確保公安信息網(wǎng)資產(chǎn)、數(shù)據(jù)、行為、風(fēng)險(xiǎn)全程可知、可控、可管、可查。

二、任務(wù)目標(biāo)

構(gòu)建嘉興公安信息網(wǎng)指揮、制度、技術(shù)、監(jiān)管、運(yùn)營融合的網(wǎng)絡(luò)安全監(jiān)管體系，實(shí)現(xiàn)資產(chǎn)“一網(wǎng)”歸集、風(fēng)險(xiǎn)“一屏”掌控、告警“一鍵”響應(yīng)、考核“一榜”晾曬，達(dá)到系統(tǒng)化、信息化、智能化安全監(jiān)管目標(biāo)。

建設(shè)基于體系化安全監(jiān)管要求的安全指揮運(yùn)營中心即“網(wǎng)絡(luò)安全大腦”，實(shí)現(xiàn)動(dòng)態(tài)化、智能化感知和監(jiān)測能力，在網(wǎng)絡(luò)攻擊的早期階段進(jìn)行發(fā)現(xiàn)并阻斷，通過聯(lián)動(dòng)整合多重防護(hù)能力，同時(shí)結(jié)合動(dòng)態(tài)監(jiān)測手段，逐步形成事前預(yù)警、事中取證、事后查處的新型體系化安全監(jiān)管工作模式。

基于現(xiàn)有嘉興公安信息網(wǎng)已建安全能力系統(tǒng)，完善安全監(jiān)測系列手段，建設(shè)嘉興公安信息網(wǎng)安全數(shù)據(jù)分析中臺和安全指揮運(yùn)營平臺，采集和整合各類手段安全數(shù)據(jù)，制定統(tǒng)一安全數(shù)據(jù)標(biāo)準(zhǔn)，積累形成市級安全日志、資產(chǎn)、事件、特征數(shù)據(jù)庫。為“網(wǎng)絡(luò)安全大腦”提供基礎(chǔ)數(shù)據(jù)能力。

三、實(shí)踐思路

構(gòu)建集網(wǎng)格單位管理、資產(chǎn)測繪、威脅預(yù)警、事件處置、運(yùn)維管理、應(yīng)急響應(yīng)、安全態(tài)勢感知于一體的網(wǎng)絡(luò)安全指揮運(yùn)營平臺即“網(wǎng)絡(luò)安全大腦”，具備對“云、網(wǎng)、端、數(shù)據(jù)、應(yīng)用、行為”等多源的資產(chǎn)、隱患、事件等安全監(jiān)管能力，匯聚和挖掘網(wǎng)絡(luò)安全基礎(chǔ)數(shù)據(jù)、威脅情報(bào)數(shù)據(jù)，建立安全日志、資產(chǎn)、事件、特征數(shù)據(jù)庫，對接市級已建設(shè)的安全系統(tǒng)，實(shí)現(xiàn)安全數(shù)據(jù)集中共享、互融互通，支撐網(wǎng)絡(luò)安全管理體系的落地實(shí)踐。

技術(shù)上采用基于 Flink + Doris 的集群架構(gòu)，作為實(shí)時(shí)大數(shù)據(jù)采集、存儲和分析框架，構(gòu)建極速、易用、可靠的實(shí)時(shí)數(shù)據(jù)倉庫，實(shí)現(xiàn)安全數(shù)據(jù)的統(tǒng)一采集、歸一化存儲以及智能分析處理，同時(shí)利用關(guān)聯(lián)分析、機(jī)器學(xué)習(xí)、威脅情報(bào)等技術(shù)完成對復(fù)雜網(wǎng)絡(luò)環(huán)境中危險(xiǎn)事件的評估、檢測、防護(hù)及響應(yīng)。

基于網(wǎng)絡(luò)安全運(yùn)營工作需要，通過建設(shè)安全指揮運(yùn)營中心進(jìn)行統(tǒng)一管理，配備專業(yè)指揮運(yùn)營團(tuán)隊(duì)，制訂指揮運(yùn)營制度、明確指揮運(yùn)營責(zé)任，強(qiáng)化監(jiān)測、預(yù)警、通報(bào)、應(yīng)急、考核考評、加固、運(yùn)維等日常安全運(yùn)營工作，落實(shí)常態(tài)化防控措施，并在工作過程中進(jìn)行持續(xù)優(yōu)化。

四、技術(shù)實(shí)現(xiàn)

公安信息網(wǎng)網(wǎng)絡(luò)安全體系化治理框架包含制度規(guī)范、技術(shù)防御、指揮運(yùn)營、安全監(jiān)管和應(yīng)急指揮5個(gè)方面內(nèi)容，如圖1所示。

圖1 安全體系治理結(jié)構(gòu)圖

（一）安全體系治理結(jié)構(gòu)

制度規(guī)范：以合規(guī)合法、責(zé)任到人為中心，涵蓋網(wǎng)絡(luò)安全責(zé)任、管理規(guī)范、安全合規(guī)建設(shè)、人員安全管理、服務(wù)外包管理等各項(xiàng)要素，確保網(wǎng)絡(luò)安全各項(xiàng)工作有序進(jìn)行，為網(wǎng)絡(luò)安全工作體系建設(shè)奠定基礎(chǔ)。

技術(shù)防御：基于安全基礎(chǔ)設(shè)施和防御技術(shù)，實(shí)現(xiàn)網(wǎng)絡(luò)資產(chǎn)動(dòng)態(tài)管理、云安全監(jiān)管、網(wǎng)絡(luò)及邊界安全監(jiān)管、設(shè)備安全監(jiān)管、應(yīng)用安全監(jiān)管、數(shù)據(jù)安全監(jiān)管、行為安全監(jiān)管、運(yùn)維安全監(jiān)管等功能，進(jìn)一步完善安全數(shù)據(jù)采集、匯聚和分析能力。

指揮運(yùn)營：按照制度規(guī)范要求，建設(shè)重要節(jié)點(diǎn)網(wǎng)絡(luò)安全指揮運(yùn)營中心和指揮運(yùn)營平臺，并依托技術(shù)防御體系，開展資產(chǎn)管理、監(jiān)測預(yù)警、通報(bào)處置、整改加固、應(yīng)急響應(yīng)等網(wǎng)絡(luò)安全運(yùn)營工作，提升防控運(yùn)營能力，有效保障網(wǎng)絡(luò)安全管理制度規(guī)范要求落地。

應(yīng)急指揮：通過應(yīng)急指揮模塊建設(shè)、健全機(jī)制、提升應(yīng)急處置能力等方式，實(shí)現(xiàn)網(wǎng)絡(luò)安全應(yīng)急指揮統(tǒng)一化、協(xié)同化，同時(shí)進(jìn)行快速響應(yīng)、科學(xué)處置，提升網(wǎng)絡(luò)安全應(yīng)急響應(yīng)水平。

（二）指揮運(yùn)營平臺架構(gòu)

指揮運(yùn)營平臺整體架構(gòu)可分為數(shù)據(jù)采集層、數(shù)據(jù)處理層、數(shù)據(jù)分析層和應(yīng)用展示層，數(shù)據(jù)采集層和數(shù)據(jù)處理層基于大數(shù)據(jù)總線結(jié)構(gòu)，可實(shí)現(xiàn)元數(shù)據(jù)集中采集、處理和存儲；數(shù)據(jù)分析層基于日志、算法、模型實(shí)現(xiàn)數(shù)據(jù)挖掘和關(guān)聯(lián)分析；應(yīng)用展示層采用可視化組件技術(shù)實(shí)現(xiàn)實(shí)時(shí)動(dòng)態(tài)展示，并且打通浙征釘接口，實(shí)現(xiàn)實(shí)時(shí)提醒和移動(dòng)處置功能。

（1）安全數(shù)據(jù)采集

安全數(shù)據(jù)源包括各類安全系統(tǒng)產(chǎn)生的告警數(shù)據(jù)，安全審計(jì)日志、安全取證日志/文件、安全配置策略等數(shù)據(jù)及基礎(chǔ)數(shù)據(jù)、特征數(shù)據(jù)。采集對象包括安全基礎(chǔ)設(shè)施、網(wǎng)絡(luò)、終端、云平臺、應(yīng)用、數(shù)據(jù)庫等。

終端：通過已安裝的一機(jī)兩用、安全助手等終端軟件，由終端數(shù)據(jù)采集探針自動(dòng)采集終端產(chǎn)生的安全日志數(shù)據(jù)，具體包括終端基礎(chǔ)配置數(shù)據(jù)、日志審計(jì)數(shù)據(jù)、實(shí)時(shí)行為數(shù)等。

網(wǎng)絡(luò)：包括網(wǎng)絡(luò)設(shè)備和安全系統(tǒng)日志數(shù)據(jù)、網(wǎng)絡(luò)流量數(shù)據(jù)，其中，網(wǎng)絡(luò)設(shè)備包括路由器、交換機(jī)、負(fù)載均衡、VPN、堡壘機(jī)、網(wǎng)閘等；安全系統(tǒng)包括防火墻、邊界準(zhǔn)入系統(tǒng)、IDS/IPS、防病毒系統(tǒng)、漏洞檢測系統(tǒng)、資產(chǎn)發(fā)現(xiàn)系統(tǒng)、服務(wù)器安全防護(hù)系統(tǒng)等。網(wǎng)絡(luò)流量數(shù)據(jù)通過在核心交換機(jī)、重要節(jié)點(diǎn)交換機(jī)部署流量探針獲取。

云平臺：通過接口讀取或推送的方式，采集云平臺告警信息、運(yùn)維操作信息和安全審計(jì)日志。

應(yīng)用：通過客戶端和網(wǎng)絡(luò)流量探針采集應(yīng)用系統(tǒng)訪問日志，包括訪問源、目標(biāo)、請求和響應(yīng)內(nèi)容。

數(shù)據(jù)庫：通過客戶端和網(wǎng)絡(luò)流量探針采集數(shù)據(jù)庫訪問日志，包括訪問源、目標(biāo)、請求和響應(yīng)內(nèi)容。

（2）安全數(shù)據(jù)處理

通過數(shù)據(jù)總線系統(tǒng)對元數(shù)據(jù)進(jìn)行集中采集、處理和存儲，同時(shí)制定數(shù)據(jù)采集標(biāo)準(zhǔn)與數(shù)據(jù)接口規(guī)范，利用數(shù)據(jù)過濾、去重、格式化、標(biāo)準(zhǔn)化等數(shù)據(jù)清洗操作，將其轉(zhuǎn)化為滿足標(biāo)準(zhǔn)要求的格式數(shù)據(jù)。

并且根據(jù)安全業(yè)務(wù)需要，對標(biāo)準(zhǔn)化數(shù)據(jù)進(jìn)行必要的業(yè)務(wù)關(guān)聯(lián)，包括警員信息、設(shè)備信息、應(yīng)用信息關(guān)聯(lián)。對數(shù)據(jù)進(jìn)行分級分類標(biāo)注，包括基礎(chǔ)類、行為類、告警類，高危、中危、低危級別標(biāo)注。

（3）安全數(shù)據(jù)分析

根據(jù)安全業(yè)務(wù)需求，對安全數(shù)據(jù)進(jìn)行統(tǒng)計(jì)、分析、規(guī)律性探索及安全風(fēng)險(xiǎn)預(yù)測等，支持安全業(yè)務(wù)場景應(yīng)用。技術(shù)上采用閾值分析、序列分析、碰撞分析、關(guān)聯(lián)組合分析、機(jī)器學(xué)習(xí)分析、實(shí)體行為分析技術(shù)，實(shí)現(xiàn)安全威脅監(jiān)測、風(fēng)險(xiǎn)預(yù)警、異常行為監(jiān)測、事件溯源功能。

（4）指揮運(yùn)營能力

依托技術(shù)防御體系，定期實(shí)施資產(chǎn)排查厘清家底，全面掌握并管理管轄范圍內(nèi)資產(chǎn)情況，同時(shí)結(jié)合等保合規(guī)管理業(yè)務(wù)，對重要信息系統(tǒng)進(jìn)行精細(xì)化管理。對網(wǎng)絡(luò)安全事件及隱患建立常態(tài)化的檢測監(jiān)測機(jī)制，橫向協(xié)同多部門、縱向打通云、網(wǎng)、端、應(yīng)用、數(shù)據(jù)等監(jiān)測對象，對各類安全事件及隱患進(jìn)行實(shí)時(shí)的監(jiān)測預(yù)警、通報(bào)處置、整改加固等網(wǎng)絡(luò)安全運(yùn)營工作，形成事前預(yù)警、事中取證、事后查處的新型體系化安全監(jiān)管工作模式。

采用各類可視化技術(shù)并結(jié)合安全分析建立態(tài)勢感知能力，全方位呈現(xiàn)全網(wǎng)網(wǎng)格單位、資產(chǎn)、事件、隱患、流程處置等安全總體運(yùn)營情況，讓網(wǎng)絡(luò)安全看得見、讓流程處置可跟蹤、讓網(wǎng)絡(luò)安全威脅及隱患可管可控可查。

基于安全指揮運(yùn)營中心打造統(tǒng)一管理、專業(yè)化的指揮運(yùn)營團(tuán)隊(duì)，制訂指揮運(yùn)營制度、明確指揮運(yùn)營責(zé)任，強(qiáng)化監(jiān)測、預(yù)警、通報(bào)、應(yīng)急、考核考評、加固、運(yùn)維等日常安全運(yùn)營工作，實(shí)現(xiàn)指令一鍵智達(dá)、指揮一屏調(diào)度、處置一網(wǎng)協(xié)同能力，落實(shí)常態(tài)化防控措施，并在工作過程中進(jìn)行持續(xù)優(yōu)化。并通過應(yīng)急指揮能力建設(shè)、健全機(jī)制、提升應(yīng)急處置能力等方式，實(shí)現(xiàn)網(wǎng)絡(luò)安全應(yīng)急指揮統(tǒng)一化、協(xié)同化，提升網(wǎng)絡(luò)安全應(yīng)急響應(yīng)水平。

五、預(yù)期成效

通過公安信息網(wǎng)安全體系化建設(shè)和治理，以及“網(wǎng)絡(luò)安全大腦”建設(shè)，建立安全責(zé)任清楚、資產(chǎn)臺賬清晰、風(fēng)險(xiǎn)監(jiān)測實(shí)時(shí)、事件處置高效、考核評價(jià)全面的體系化指揮運(yùn)營機(jī)制。

一是安全責(zé)任清楚。明確安全管理職責(zé)，要求誰主管誰負(fù)責(zé)、誰建設(shè)誰負(fù)責(zé)、誰運(yùn)行誰負(fù)責(zé)、誰使用誰負(fù)責(zé)、業(yè)務(wù)管理以安全管理為前提，按業(yè)務(wù)部門和屬地單位劃分安全責(zé)任網(wǎng)格，組建技術(shù)支撐隊(duì)伍，常態(tài)化組織風(fēng)險(xiǎn)隱患排查、評估和處置工作，做到安全隱患快速處置、安全事件立即上報(bào)、應(yīng)急聯(lián)動(dòng)及時(shí)響應(yīng)。

二是資產(chǎn)臺賬清晰。通過技術(shù)采集和人工維護(hù)，形成清晰的資產(chǎn)臺賬，包括網(wǎng)絡(luò)內(nèi)使用的硬件資產(chǎn)和軟件資產(chǎn)，根據(jù)組織架構(gòu)和資產(chǎn)類別進(jìn)行分類劃分，明確資產(chǎn)的重要級別和安全屬性，逐步形成嘉興公安信息網(wǎng)網(wǎng)絡(luò)資產(chǎn)數(shù)據(jù)庫。

三是風(fēng)險(xiǎn)監(jiān)測實(shí)時(shí)。通過各類安全監(jiān)測探針，實(shí)時(shí)監(jiān)測和采集安全數(shù)據(jù)，依賴大數(shù)據(jù)分析，匹配已有的風(fēng)險(xiǎn)模型，快速發(fā)現(xiàn)存在的安全風(fēng)險(xiǎn)，通過指揮運(yùn)營平臺實(shí)時(shí)上報(bào)和告警，形成常態(tài)化實(shí)時(shí)安全監(jiān)測手段和數(shù)據(jù)上報(bào)通道。

四是事件處置高效。對監(jiān)測發(fā)現(xiàn)的安全事件和隱患通過指揮運(yùn)營平臺自動(dòng)發(fā)起處置流程，建立“派單—整改—反饋—審核—?dú)w檔”的跟蹤處置機(jī)制，強(qiáng)化多主體協(xié)同處置，提高處置效率。

五是考核評價(jià)全面。從安全管理、資產(chǎn)注冊管理、安全事件監(jiān)測處置、安全隱患監(jiān)測處置、日常安全運(yùn)營管理等五個(gè)維度，建立對各網(wǎng)格單位網(wǎng)絡(luò)安全工作開展成效的考核評價(jià)機(jī)制，將考核評價(jià)結(jié)果納入年度網(wǎng)絡(luò)安全工作責(zé)任制考核，并根據(jù)各個(gè)階段不同的網(wǎng)絡(luò)安全工作管控重點(diǎn)，對考核指標(biāo)權(quán)重、考核方式進(jìn)行動(dòng)態(tài)調(diào)整，起到“以考促建、以考促管”的目的，推動(dòng)網(wǎng)絡(luò)安全工作落實(shí)落細(xì)。