AI+安全
數據安全
數據基礎設施
態勢感知
云安全
基礎安全
終端安全
商用密碼
軟件供應鏈安全
網絡空間靶場
工業互聯網安全
物聯網安全
安全托管服務
運營管理服務
公安
PUBLIC SECURIYT
某市公安局項目案例-天鑒關鍵信息基礎設施安全防護管理平臺
項目背景
某市公安局依據《中華人民共和國網絡安全法》《關于加快推進網絡與信息安全通報機制建設的通知》《關于組織開展網絡安全威脅感知與通報預警平臺建設工作的通知》等系列文件要求,建設了公安部要求的九大模塊中的威脅感知、等級保護、實時監測、通報預警、快速處置、情報信息等模塊。結合以上業務,建立了大數據存儲分析平臺,提供基于大數據的安全感知能力,為網絡安全建設、監督、研判、決策提供了有力依據。
項目內容
天鑒關鍵信息基礎設施安全防護管理平臺是安恒信息依據《中華人民共和國網絡安全法》、《關于加快推進網絡與信息安全通報機制建設的通知》、《信息安全等級保護管理辦法》等系列文件,在深入分析與研究常見安全漏洞及流行的攻擊技術基礎上,結合安恒信息安全團隊攻防研究和風險評估項目經驗,總結歸納大量的安全漏洞信息和攻防方式后,研制開發的一款針對網絡信息安全態勢感知、通報預警、應急處置、追蹤溯源的綜合管理平臺。該平臺還可以與等級保護監察管理系統、等級保護檢查工具箱(備注∶該系統和工具箱主要為等級保護檢查工作開展提供技術保障)進行無縫對接。該管理平臺主要面向公安、政府以及企事業單位,利用技術手段幫助用戶對其重要門戶網站、網上重要信息系統進行全面的漏洞監測、可用性篡改監測、敏感詞監測,并且結合風暴中心以及網絡安全設備產生的數據進行態勢分析。具有對爆發的網絡安全事件進行通報預警、應急處置等功能。
-等級保護
信息安全等級保護管理模塊,結合《信息安全等級保護管理辦法》的要求規范。嚴格按照定級、備案、信息安全等級測評、安全建設和整改、信息安全檢查五個階段,對重要信息系統進行等級保護建設工作。主要包括備案信息、測評信息、安全檢查、統計分析、法律法規等功能模塊。
該模塊有助于推行國家信息安全等級保護制度的進一步建設,并通過通報預警模塊追蹤各級單位等保的建設和整改情況。
-實時監測
實時監測能及時發現、識別網絡攻擊威脅,監測恐怖組織、黑客組織、不法份子等的攻擊活動、攻擊行為、攻擊方法手段;監測重點保護對象所受的攻擊威脅、破壞、竊密、滲透等情況,以及重點保護對象的網絡、系統、大數據等安全狀況、存在的漏洞、隱患等,為快速處置、通報預警提供支撐。
-威脅感知
威脅感知系統是以網絡安全事件與威脅風險監測為驅動,利用多維態勢可視化技術和大數據分析挖掘技術對網絡空間安全相關信息進行匯聚融合,形成針對"人、物、地、事"的多維視圖,從不同視角出發感知網絡安全態勢,為研判、決策及重要時期的網絡安全保障工作提供有效支撐。威脅感知系統主要包括總體態勢、資產態勢、隱患態勢、攻擊態勢、事件態勢和通報態勢六大視角。
-通報預警
通報預警模塊是根據威脅感知、實時監測、追蹤溯源、情報信息、偵查調查等模塊獲取的態勢、趨勢、攻擊、威脅、風險、隱患、問題等情況,利用通報預警模塊匯總、分析、研判,并及時將情況上報、通報、下達,進行預警及快速處置
根據實時監測發現的網絡攻擊、重大安全隱患等情況以及相關部門通報的情況,實現處置任務的下發、審核、處置和反饋。指令接收部門按照處置要求和規范進行事件處置,及時消除影響和危害,并利用應急處置工具箱開展現場勘察、固定證據、快速恢復。對事件處置情況、現場勘察情況以及證據等方面情況及時建檔、歸檔并入庫。
-追蹤溯源
追蹤溯源模塊采用大數據存儲分析中心提供的計算能力和分析模型,基于用戶掌握的各類數據,對安全事件進行追蹤溯源。系統在發生網絡攻擊案(事)件或有線索情況下,對攻擊者使用的攻擊手法、攻擊途徑、攻擊資源、攻擊位置、攻擊后果等進行追蹤溯源和拓展分析,支持還原黑客的整個攻擊過程,包括黑客首次入侵、黑客成功入侵、發現入侵事件、建立黑客畫像等,為偵查打擊、安全防范提供情報線索支撐。
-偵查調查
該模塊主要是用于平臺執法監管工作的流程處理及相關業務集成,提升調查分析、情報挖掘、線索擴線、智能查詢等能力,打擊黑客類攻擊破壞、釣魚網站等案(事)件。同時,積累可疑攻擊源IP、高危木馬等數據,形成案件線索庫。
-情報信息
情報信息模塊是平臺進行情報收集和統一管理的主要功能模塊,該模塊對平臺原始監測數據、其他模塊匯聚的威脅情報數據、行業部門報送的數據、第三方收集報送的數據,上級部門下發的數據,下級報送的數據等不同類型來源的情報數據采集匯總后進行數據處理、存儲和分析研判,實現對威脅情報的標定、存儲、檢索、分析、關聯、挖掘、應用、展示等,并與有關部門實現共享交換。
-指揮調度
在重大安保活動期間,協助安保作戰指揮,有效組織、調配活動參與人員,包括∶公安、技術支撐單位、安全專家、安全廠商、電信基礎運營商、協會團體、志愿者人群等。對重保企業進行全面監測,當企業自查發現安全隱患或者監測出了安全事件,企業可將事件上報到平臺,指揮調度平臺對相應事件進行通報預警、發起專項處置,基層民警接收、確認信息,攜帶專用工具前往現場取證分析、應急處置,協助相關單位處置事件,保障系統的正常運行。
輔助功能?
-0day檢測
重大漏洞在線檢測系統是結合最新、最及時的漏洞探測技術,針對各項重大漏洞,在漏洞發布第一時間提供檢測、驗證技術,確保及早發現管轄范圍內重要信息系統受影響范圍并提前發出專項預警通告。針對重大、典型漏洞類型,如心臟滴血、Openssl Drown、Struts2遠程命令執行S2-032等,支持自助在線檢查。只需輸入網站域名,即可一鍵查詢,立刻獲取結果,典型漏洞類型持續更新。
-后門檢測
平臺集成了最成熟全面的Webshell后門訪問特征庫,可提供Webshell后門檢測功能,及時發現Webshell后門被利用的行為,同時定位到網站服務器、路徑和具體頁面。平臺端提供檢查軟件下載,檢查結果可自動回傳至大平臺,對各單位Webshell檢查結果實現統—匯總、管理和分析。
-資產探測
資產探測系統功能通過對指定IP段的動態探測,有效識別存活主機及主機操作系統類型,并可對存活主機進行深入分析,識別其指紋信息。資產普查功能有效識別的數據字段包括∶
辛 IP地址是否存活資操作系統類型(Windows、Linux、Unix)操作系統版本號開放端口開放協議或服務
-專家值守
支持安全專家7*24小時提供漏洞驗證服務,并提供最及時的應急響應和最權威的漏洞整改建議。
-移動應用
平臺支持手機移動應用APP下載,提供最新版本、功能介紹及常見問題解答,支持安卓、IOS兩種設備。手機移動應用APP可實現與平臺的聯動,同步接收安全事件、威脅預警、安全資訊情況等。監管用戶可通過APP了解整體安全態勢,進行通報預警管理統計和進度查詢,通報一觸即達;被監管用戶可通過APP查看本單位安全威脅,事件通報和整改情況,并將整改結果回傳給監管單位。雙方通信通過安全加密通道,安全可靠。
-安全資訊
提供每日安全資訊,第一時間掌握安全動態
最新爆發的安全事件第一時間公告,專家進行深度解讀
第一時間專家深度解析
惡意軟件、最新安全技術、漏洞專業分析
輔助檢查工具箱
—等保檢查工具箱
信息安全等級保護檢查工具箱實現了專業的技術檢查、全面的安全訪談指導,以及通過等級保護檢查知識庫,將技術檢查結果和標準法規結合分析,使得等級保護工作更加落地,同時無需檢查、自查人員具有較高的專業知識就可以操作,是一款"傻瓜式"檢查工具集,同時和平臺等級保護模塊進行了聯動,可以直接上傳檢查結果, 以便統計分析。
—應急處置工填箱
應急處置工具箱對快速處置流程進行了優化,并全程指導快速處置步驟。同時提供豐富多樣的取證手段與詳盡的專家知識庫,以滿足不同場景下對應急處置工具以及相關知識的需求,實現了網絡安全事件的取證溯源、快速恢復。一體化智能報表生成機制,自動涵蓋整個快速處置流程工作內容,快速處置報告一鍵導出。應急工具箱的誕生將使得網絡安全攻擊事件快速處置工作規范化、系統化、專業化。
—工控檢查工其箱
工控檢查工具箱的總體架構組成為∶工具箱檢查管理系統、技術檢測工具等。工具箱檢查管理系統安裝在三防筆記本電腦上,集成任務管理、檢查執行、報表中心、工具管理、知識庫等模塊。技術檢測工具主要包括流量分析工具和工控漏洞檢測工具。工控系統流量分析工具應支持從交換機鏡像端口獲取數據包用于流量分析。漏洞檢測工具應支持獲取的不同類型的資產信息,獲取信息至少應包括類型、廠商、型號等,可針對工控設備進行設備探查,抓取設備信息,采用低風險輕量級漏洞指紋探測方法,準確獲取目標漏洞信息,漏洞庫里的漏洞涵蓋CVE、CNVD、CNNVD發布的相關工控網絡的漏洞,涵蓋廠商零日漏洞庫。能對上位機操作系統及SCADA系統、下位機的各種漏洞進行檢測。
