公安信息网网络安全大脑探索和实践
2023-12-15杨健张斌蒋行杰
文|杨健 张斌 蒋行杰
一、研究背景
根据浙江省公安厅印发《浙江“公安大脑”建设发展规划(2022—2023年)》建设内容,结合《GA/DSJ 300-2019 公安大数据安全总体技术框架》要求,本文提出基于大数据驱动的网络安全监管体系和“网络安全大脑”建设。运用大数据技术汇聚全网安全数据,建立安全数据分析中台和安全指挥运营中心,提升内外部风险感知能力、协同安全防护能力、攻击检测分析能力、违规行为发现能力、应急事件响应能力和态势感知预警能力。
公安信息网网络安全监管体系包含应急指挥、制度规范、技术防御、安全监管、指挥运营5大方面内容,具体覆盖云、网、端、应用、数据等监测对象。其中安全指挥运营中心是安全监管体系的管理中枢即“网络安全大脑”。“网络安全大脑”综合集成算力、数据、算法、模型、业务智能模块等数字资源,实现网络安全风险监测、分析、处置、响应、指挥调度功能,并且赋予其智能化、自动化和可视化特性,实现内外部风险感知能力、协同安全防护能力、攻击检测分析能力、违规行为发现能力、应急事件响应能力和态势感知预警能力。从单一的围墙式技术防护,演变为集制度、技术、人员、资产、风险融合的多重、多维度防御,确保公安信息网资产、数据、行为、风险全程可知、可控、可管、可查。
二、任务目标
构建嘉兴公安信息网指挥、制度、技术、监管、运营融合的网络安全监管体系,实现资产“一网”归集、风险“一屏”掌控、告警“一键”响应、考核“一榜”晾晒,达到系统化、信息化、智能化安全监管目标。
建设基于体系化安全监管要求的安全指挥运营中心即“网络安全大脑”,实现动态化、智能化感知和监测能力,在网络攻击的早期阶段进行发现并阻断,通过联动整合多重防护能力,同时结合动态监测手段,逐步形成事前预警、事中取证、事后查处的新型体系化安全监管工作模式。
基于现有嘉兴公安信息网已建安全能力系统,完善安全监测系列手段,建设嘉兴公安信息网安全数据分析中台和安全指挥运营平台,采集和整合各类手段安全数据,制定统一安全数据标准,积累形成市级安全日志、资产、事件、特征数据库。为“网络安全大脑”提供基础数据能力。
三、实践思路
构建集网格单位管理、资产测绘、威胁预警、事件处置、运维管理、应急响应、安全态势感知于一体的网络安全指挥运营平台即“网络安全大脑”,具备对“云、网、端、数据、应用、行为”等多源的资产、隐患、事件等安全监管能力,汇聚和挖掘网络安全基础数据、威胁情报数据,建立安全日志、资产、事件、特征数据库,对接市级已建设的安全系统,实现安全数据集中共享、互融互通,支撑网络安全管理体系的落地实践。
技术上采用基于 Flink + Doris 的集群架构,作为实时大数据采集、存储和分析框架,构建极速、易用、可靠的实时数据仓库,实现安全数据的统一采集、归一化存储以及智能分析处理,同时利用关联分析、机器学习、威胁情报等技术完成对复杂网络环境中危险事件的评估、检测、防护及响应。
基于网络安全运营工作需要,通过建设安全指挥运营中心进行统一管理,配备专业指挥运营团队,制订指挥运营制度、明确指挥运营责任,强化监测、预警、通报、应急、考核考评、加固、运维等日常安全运营工作,落实常态化防控措施,并在工作过程中进行持续优化。
四、技术实现
公安信息网网络安全体系化治理框架包含制度规范、技术防御、指挥运营、安全监管和应急指挥5个方面内容,如图1所示。
图1 安全体系治理结构图
(一)安全体系治理结构
制度规范:以合规合法、责任到人为中心,涵盖网络安全责任、管理规范、安全合规建设、人员安全管理、服务外包管理等各项要素,确保网络安全各项工作有序进行,为网络安全工作体系建设奠定基础。
技术防御:基于安全基础设施和防御技术,实现网络资产动态管理、云安全监管、网络及边界安全监管、设备安全监管、应用安全监管、数据安全监管、行为安全监管、运维安全监管等功能,进一步完善安全数据采集、汇聚和分析能力。
指挥运营:按照制度规范要求,建设重要节点网络安全指挥运营中心和指挥运营平台,并依托技术防御体系,开展资产管理、监测预警、通报处置、整改加固、应急响应等网络安全运营工作,提升防控运营能力,有效保障网络安全管理制度规范要求落地。
应急指挥:通过应急指挥模块建设、健全机制、提升应急处置能力等方式,实现网络安全应急指挥统一化、协同化,同时进行快速响应、科学处置,提升网络安全应急响应水平。
(二)指挥运营平台架构
指挥运营平台整体架构可分为数据采集层、数据处理层、数据分析层和应用展示层,数据采集层和数据处理层基于大数据总线结构,可实现元数据集中采集、处理和存储;数据分析层基于日志、算法、模型实现数据挖掘和关联分析;应用展示层采用可视化组件技术实现实时动态展示,并且打通浙征钉接口,实现实时提醒和移动处置功能。
(1)安全数据采集
安全数据源包括各类安全系统产生的告警数据,安全审计日志、安全取证日志/文件、安全配置策略等数据及基础数据、特征数据。采集对象包括安全基础设施、网络、终端、云平台、应用、数据库等。
终端:通过已安装的一机两用、安全助手等终端软件,由终端数据采集探针自动采集终端产生的安全日志数据,具体包括终端基础配置数据、日志审计数据、实时行为数等。
网络:包括网络设备和安全系统日志数据、网络流量数据,其中,网络设备包括路由器、交换机、负载均衡、VPN、堡垒机、网闸等;安全系统包括防火墙、边界准入系统、IDS/IPS、防病毒系统、漏洞检测系统、资产发现系统、服务器安全防护系统等。网络流量数据通过在核心交换机、重要节点交换机部署流量探针获取。
云平台:通过接口读取或推送的方式,采集云平台告警信息、运维操作信息和安全审计日志。
应用:通过客户端和网络流量探针采集应用系统访问日志,包括访问源、目标、请求和响应内容。
数据库:通过客户端和网络流量探针采集数据库访问日志,包括访问源、目标、请求和响应内容。
(2)安全数据处理
通过数据总线系统对元数据进行集中采集、处理和存储,同时制定数据采集标准与数据接口规范,利用数据过滤、去重、格式化、标准化等数据清洗操作,将其转化为满足标准要求的格式数据。
并且根据安全业务需要,对标准化数据进行必要的业务关联,包括警员信息、设备信息、应用信息关联。对数据进行分级分类标注,包括基础类、行为类、告警类,高危、中危、低危级别标注。
(3)安全数据分析
根据安全业务需求,对安全数据进行统计、分析、规律性探索及安全风险预测等,支持安全业务场景应用。技术上采用阈值分析、序列分析、碰撞分析、关联组合分析、机器学习分析、实体行为分析技术,实现安全威胁监测、风险预警、异常行为监测、事件溯源功能。
(4)指挥运营能力
依托技术防御体系,定期实施资产排查厘清家底,全面掌握并管理管辖范围内资产情况,同时结合等保合规管理业务,对重要信息系统进行精细化管理。对网络安全事件及隐患建立常态化的检测监测机制,横向协同多部门、纵向打通云、网、端、应用、数据等监测对象,对各类安全事件及隐患进行实时的监测预警、通报处置、整改加固等网络安全运营工作,形成事前预警、事中取证、事后查处的新型体系化安全监管工作模式。
采用各类可视化技术并结合安全分析建立态势感知能力,全方位呈现全网网格单位、资产、事件、隐患、流程处置等安全总体运营情况,让网络安全看得见、让流程处置可跟踪、让网络安全威胁及隐患可管可控可查。
基于安全指挥运营中心打造统一管理、专业化的指挥运营团队,制订指挥运营制度、明确指挥运营责任,强化监测、预警、通报、应急、考核考评、加固、运维等日常安全运营工作,实现指令一键智达、指挥一屏调度、处置一网协同能力,落实常态化防控措施,并在工作过程中进行持续优化。并通过应急指挥能力建设、健全机制、提升应急处置能力等方式,实现网络安全应急指挥统一化、协同化,提升网络安全应急响应水平。
五、预期成效
通过公安信息网安全体系化建设和治理,以及“网络安全大脑”建设,建立安全责任清楚、资产台账清晰、风险监测实时、事件处置高效、考核评价全面的体系化指挥运营机制。
一是安全责任清楚。明确安全管理职责,要求谁主管谁负责、谁建设谁负责、谁运行谁负责、谁使用谁负责、业务管理以安全管理为前提,按业务部门和属地单位划分安全责任网格,组建技术支撑队伍,常态化组织风险隐患排查、评估和处置工作,做到安全隐患快速处置、安全事件立即上报、应急联动及时响应。
二是资产台账清晰。通过技术采集和人工维护,形成清晰的资产台账,包括网络内使用的硬件资产和软件资产,根据组织架构和资产类别进行分类划分,明确资产的重要级别和安全属性,逐步形成嘉兴公安信息网网络资产数据库。
三是风险监测实时。通过各类安全监测探针,实时监测和采集安全数据,依赖大数据分析,匹配已有的风险模型,快速发现存在的安全风险,通过指挥运营平台实时上报和告警,形成常态化实时安全监测手段和数据上报通道。
四是事件处置高效。对监测发现的安全事件和隐患通过指挥运营平台自动发起处置流程,建立“派单—整改—反馈—审核—归档”的跟踪处置机制,强化多主体协同处置,提高处置效率。
五是考核评价全面。从安全管理、资产注册管理、安全事件监测处置、安全隐患监测处置、日常安全运营管理等五个维度,建立对各网格单位网络安全工作开展成效的考核评价机制,将考核评价结果纳入年度网络安全工作责任制考核,并根据各个阶段不同的网络安全工作管控重点,对考核指标权重、考核方式进行动态调整,起到“以考促建、以考促管”的目的,推动网络安全工作落实落细。