| 项目背景project
某市公安局依据《中华人民共和国网络安全法》《关于加快推进网络与信息安全通报机制建设的通知》《关于组织开展网络安全威胁感知与通报预警平台建设工作的通知》等系列文件要求,建设了公安部要求的九大模块中的威胁感知、等级保护、实时监测、通报预警、快速处置、情报信息等模块。结合以上业务,建立了大数据存储分析平台,提供基于大数据的安全感知能力,为网络安全建设、监督、研判、决策提供了有力依据。
..................................................................................................................................................................................................................................................................
| 项目内容 content
天鉴关键信息基础设施安全防护管理平台是安恒信息依据《中华人民共和国网络安全法》、《关于加快推进网络与信息安全通报机制建设的通知》、《信息安全等级保护管理办法》等系列文件,在深入分析与研究常见安全漏洞及流行的攻击技术基础上,结合安恒信息安全团队攻防研究和风险评估项目经验,总结归纳大量的安全漏洞信息和攻防方式后,研制开发的一款针对网络信息安全态势感知、通报预警、应急处置、追踪溯源的综合管理平台。该平台还可以与等级保护监察管理系统、等级保护检查工具箱(备注:该系统和工具箱主要为等级保护检查工作开展提供技术保障)进行无缝对接。 该管理平台主要面向公安、政府以及企事业单位,利用技术手段帮助用户对其重要门户网站、网上重要信息系统进行全面的漏洞监测、可用性篡改监测、敏感词监测,并且结合风暴中心以及网络安全设备产生的数据进行态势分析。具有对爆发的网络安全事件进行通报预警、应急处置等功能。
等级保护 - 信息安全等级保护管理模块,结合《信息安全等级保护管理办法》的要求规范。严格按照定级、备案、信息安全等级测评、安全建设和整改、信息安全检查五个阶段,对重要信息系统进行等级保护建设工作。主要包括备案信息、测评信息、安全检查、统计分析、法律法规等功能模块。 该模块有助于推行国家信息安全等级保护制度的进一步建设,并通过通报预警模块追踪各级单位等保的建设和整改情况。
实时监测 - 实时监测能及时发现、识别网络攻击威胁,监测恐怖组织、黑客组织、不法份子等的攻击活动、攻击行为、攻击方法手段;监测重点保护对象所受的攻击威胁、破坏、窃密、渗透等情况,以及重点保护对象的网络、系统、大数据等安全状况、存在的漏洞、隐患等,为快速处置、通报预警提供支撑。
威胁感知 - 威胁感知系统是以网络安全事件与威胁风险监测为驱动,利用多维态势可视化技术和大数据分析挖掘技术对网络空间安全相关信息进行汇聚融合,形成针对“人、物、地、事”的多维视图,从不同视角出发感知网络安全态势,为研判、决策及重要时期的网络安全保障工作提供有效支撑。威胁感知系统主要包括总体态势、资产态势、隐患态势、攻击态势、事件态势和通报态势六大视角。
通报预警 - 通报预警模块是根据威胁感知、实时监测、追踪溯源、情报信息、侦查调查等模块获取的态势、趋势、攻击、威胁、风险、隐患、问题等情况,利用通报预警模块汇总、分析、研判,并及时将情况上报、通报、下达,进行预警及快速处置。
快速处置 - 根据实时监测发现的网络攻击、重大安全隐患等情况以及相关部门通报的情况,实现处置任务的下发、审核、处置和反馈。指令接收部门按照处置要求和规范进行事件处置,及时消除影响和危害,并利用应急处置工具箱开展现场勘察、固定证据、快速恢复。对事件处置情况、现场勘察情况以及证据等方面情况及时建档、归档并入库。
追踪溯源 - 追踪溯源模块采用大数据存储分析中心提供的计算能力和分析模型,基于用户掌握的各类数据,对安全事件进行追踪溯源。系统在发生网络攻击案(事)件或有线索情况下,对攻击者使用的攻击手法、攻击途径、攻击资源、攻击位置、攻击后果等进行追踪溯源和拓展分析,支持还原黑客的整个攻击过程,包括黑客首次入侵、黑客成功入侵、发现入侵事件、建立黑客画像等,为侦查打击、安全防范提供情报线索支撑。
侦查调查 - 该模块主要是用于平台执法监管工作的流程处理及相关业务集成,提升调查分析、情报挖掘、线索扩线、智能查询等能力,打击黑客类攻击破坏、钓鱼网站等案(事)件。同时,积累可疑攻击源ip、高危木马等数据,形成案件线索库。
情报信息 -情报信息模块是平台进行情报收集和统一管理的主要功能模块,该模块对平台原始监测数据、其他模块汇聚的威胁情报数据、行业部门报送的数据、第三方收集报送的数据,上级部门下发的数据,下级报送的数据等不同类型来源的情报数据采集汇总后进行数据处理、存储和分析研判,实现对威胁情报的标定、存储、检索、分析、关联、挖掘、应用、展示等,并与有关部门实现共享交换。
指挥调度 - 在重大安保活动期间,协助安保作战指挥,有效组织、调配活动参与人员,包括:公安、技术支撑单位、安全专家、安全厂商、电信基础运营商、协会团体、志愿者人群等。对重保企业进行全面监测,当企业自查发现安全隐患或者监测出了安全事件,企业可将事件上报到平台,指挥调度平台对相应事件进行通报预警、发起专项处置,基层民警接收、确认信息,携带专用工具前往现场取证分析、应急处置,协助相关单位处置事件,保障系统的正常运行。
..................................................................................................................................................................................................................................................................
| 项目价值value
目前建设公安部要求的九大模块中的威胁感知、等级保护、实时监测、通报预警、快速处置、情报信息等模块。其中,等级保护模块完全按照市局实际等级保护管理需求进行等保平台的功能改造,符合市局日常等级保护管理要求。其次,通过与其他安全厂商进行数据对接,进行多源数据融合、比对,建立大数据分析存储中心。接入数据种类全面,包括信息中心边界防护数据、信息中心apt流量分析(安恒apt检测)、soc、网防g01数据等,并组织从烽火索取流量信息(高可疑ip、僵木蠕主机、重点单位服务器)进行检测,分析恶意主机、恶意资产、黑客服务器等,并做流量还原证据固定,提供线索给网警办案。截止目前总计检测发现漏洞28502个、30天监测发现5171个、累计通报安全事件86起,其中反共事件4次,暗链19次,黑页、色情、博彩总计62次。
