武汉市公安局智慧警务全网威胁监测与管控系统

　　一、适用业务
 

　　本设计可适用于以下业务场景：1、适用于数据中心业务或者单位终端数量过多的场景，该业务场景下无法对全网业务和终端进行全局的入侵监测与防护，难以定位攻击；2、适用于存在多分支的业务场景，如市公安局下接多个分局机关，在该场景下分支的安全接入、病毒防护和全网的监测以及各分支安全事件的快速闭环是急需解决的难题。

　　二、核心技术
 

　　本设计创新采用全流量检测、UEBA用户行为分析为主，安全特征库为辅的思路进行威胁检测，更好的对变种的、未知的新型病毒攻击进行防御。同时结合人工智能的先进技术不断为网络中安全设备进行赋能，使安全设备具备可生长的能力；在响应机制方面，创新采用全网智能联动技术实现全网安全事件的一屏运维、一键处理、快速闭环，以及全网安全策略和设备的统一管理，快速排障；还可使用自动编排的技术实现事件和流程的自动闭环，提高响应速度和质量。

　　三、可解决的问题
 

　　2019年10月第七届世界军人运动会在武汉举办，为应对全局16个分局23000余台服务器及各类应用系统安全防护要求，对公安信息网进行了安全评估发现：

　　1、现有设备未能实现全局安全态势可视化运维，无法实现对全局网络攻击威胁情况进行实时告警及精准定位；

　　2、各分局的安全设备分散，现有的平台无法进行全网安全的统一管理，无法统一的分析安全日志，也无法了解各分局的安全状况；

　　3、现有防护手段难以防护来自分局的攻击行为，下属分局内部的服务器或PC如果成为肉鸡，发起大量攻击流量，可以在整个区的公安网中传染病毒，可以攻击到其他分局公安网内的服务器和PC，甚至能攻击到市局数据中心或省公安厅；

　　4、武汉市公安信息网内拥有海量PC，这些PC在日常工作中很可能感染病毒，但是我局对于各分局、包括我局夹杂在数据流中的病毒、木马、蠕虫没有良好的检测能力，很难避免在业务交互过程中由于数据中包含病毒、木马、蠕虫等威胁对业务系统造成的危害；

　　5、安全事件的响应存在滞后性，缺乏一种快速响应的机制，安全事件发生后只能采用人为手段去登录不同的设备进行攻击定位、策略处置，整个周期下来需耗费大量精力和时间，安全事件的影响也难以把控。

　　四、运用成效
 

　　该系统建设至今，持续保障着我局公安信息网的网络安全：

　　1、在军运会期间，“全网威胁监测与管控系统”能直观定位到有问题的分局和流量，发现并阻断了全市三万余次的网络病毒攻击，保障了各项庆祝活动和群众旅游出行相关业务的安全运行，实现了军运会期间0事故，并被公安部荣记集体一等功；

　　2、在疫情期间，通过该系统对分局进行无接触式安全运维管理，实现对全市16个分局防病毒网关单点登录和策略配置，在保障安全的基础上，避免了人与人的接触，实现了疫情期间系统0故障、人员0感染，获评“全国公安机关抗击疫情先进集体” 并记集体一等功；

　　3、在日常工作过程中，我局实现了对全市公安信息网安全可视化，直观呈现安全工作和效果，采用安全分析大屏从内到外、从外到内展示多维度病毒风险，如我局或分局发生病毒感染、恶意入侵，能直接一键联动全网的防病毒网关进行快速处置，减轻了科信处的运维压力，提高工作效率。

　　五、可复制推广性

　　本次设计在传统安全建设方案的基础上，结合武汉市公安局公安信息网面临的安全技术挑战提出了一种新的解决思路；该设计在以下多个维度存在可复制推广性，可解决多类用户和场景需求。

　　1、首先从方案维度来看，本次设计采用“纵深防护、全局联动”的先进安全建设模型，能有效保障网络的安全可靠，该方案模型可引用于其他客户场景，为客户提供纵深的、全局的安全防护能力；

　　2、其次该设计还可在其他业务警种复制，除公安信息网外，视频专网、交通网、各警种业务专网等都面临类似安全挑战，可通过该设计为其他业务警种提供全面的安全防护能力；

　　3、最后从应用场景来看，该设计还可延伸到有多个分支机关的单位，从分支接入安全、全网监测响应等维度进行设计。

　　六、方案创新
 

　　1）本次设计摒弃传统安全仅依赖于规则库、特征库或安全设备日志来检测网络中安全威胁的方式，采用以全流量检测并结合UEBA用户行为分析为主，安全特征库为辅的思路进行威胁检测，能更好的对变种的、未知的新型攻击进行防御；

　　2）通过威胁检测平台对网络中传输的数据以聚类算法、随机森林算法、LSTM算法等方式进行建模分析与机器学习，实现精准判断网络中存在的未知威胁。同时关联各单位网络区域边界部署的防病毒网关对内部网络攻击源进行联动封锁，快速阻断攻击；

　　3）各分局网络区域边界使用的防病毒网关，采用“融合安全”技术，将AV杀毒、IPS入侵防护、Web应用防护、僵尸网络检测等主流网络安全功能相结合，一次性对数据包拆解，各个功能模块并行分析，同时多模块之间建立安全威胁灰度模型，当威胁值达到人工预设的阈值时，确认为风险主机并对攻击源的恶意请求进行拦截。从最大程度上保证了攻击检测的准确率，同时降低了误报率与网络延迟抖动；

　　4）本次设计在响应机制方面采用联动、编排的技术，可在事件发生后快速联动全网安全设备对网络入侵行为进行响应，阻断网络攻击，大幅缩短威胁在公安网的停留时间，降低了安全事件的影响面；

　　5）在运维管理机制方面，传统解决方案在购买设备后需通过多个管理平台对设备进行运维，每次策略的配置、系统的升级都会耗费管理员大量精力；本次设计采用统一运维平台可对全网安全设备进行状态监测、事件告警、远程登录、一键配置、一键升级等操作。

　　责任编辑：广汉