天津市濱海新區(qū)公安局有一群特殊的民警,他們像醫(yī)生一樣守護(hù)著公安網(wǎng)絡(luò)安全,與黑客過(guò)招,為警用網(wǎng)絡(luò)建立強(qiáng)大的免疫系統(tǒng)和疾控監(jiān)測(cè),診治網(wǎng)絡(luò)病毒及安全問(wèn)題。
近日,記者深入天津市濱海新區(qū)公安局科技信息化支隊(duì)(以下簡(jiǎn)稱(chēng)科信支隊(duì)),了解這支幕后隊(duì)伍與黑客不見(jiàn)面的交鋒�����。
上醫(yī)治未病
趕在黑客前修復(fù)網(wǎng)站漏洞
2019年全國(guó)兩會(huì)即將召開(kāi),科信支隊(duì)嚴(yán)陣以待���。
去年全國(guó)兩會(huì)期間成功處置的一起案件,讓科信支隊(duì)科長(zhǎng)楊連群記憶猶新�����。
當(dāng)時(shí),科信支隊(duì)在網(wǎng)上巡查中發(fā)現(xiàn)某企業(yè)官網(wǎng)流量異常����。訪問(wèn)企業(yè)網(wǎng)站時(shí),會(huì)在本機(jī)生成一個(gè)程序,自動(dòng)鏈接到某境外惡意域名�����。
“經(jīng)進(jìn)一步分析發(fā)現(xiàn),這個(gè)網(wǎng)站被植入了木馬程序�。我們立即通知相關(guān)部門(mén),責(zé)令這家企業(yè)官網(wǎng)整改,堵塞漏洞。”楊連群說(shuō),如果公安機(jī)關(guān)沒(méi)有發(fā)現(xiàn)那個(gè)漏洞,不法分子很可能利用它鏈接到非法網(wǎng)站,甚至是暴恐音視頻網(wǎng)站,從而產(chǎn)生惡劣影響��。
從2014年開(kāi)始,濱海新區(qū)公安局建設(shè)第一期網(wǎng)絡(luò)安全系統(tǒng),當(dāng)時(shí)是為了進(jìn)行公安專(zhuān)網(wǎng)內(nèi)部管理���。后來(lái)在實(shí)踐中發(fā)現(xiàn),公安內(nèi)網(wǎng)也受到許多嗅探攻擊,物理隔離已不能滿(mǎn)足安全需求����。于是建設(shè)了第二期互聯(lián)網(wǎng)安全防護(hù)體系,確保濱海新區(qū)公安系統(tǒng)內(nèi)網(wǎng)外網(wǎng)整體安全��。參照前期建設(shè)思路,2016年在視頻物聯(lián)網(wǎng)建設(shè)時(shí),設(shè)計(jì)了整體縱深防御體系��。
縱深防御體系基礎(chǔ)安全防護(hù)覆蓋物理�����、網(wǎng)絡(luò)���、主機(jī)�、應(yīng)用�、數(shù)據(jù)等方面,利用技術(shù)管控,形成事前防范、事中監(jiān)控���、事后追溯全流程安全運(yùn)維閉環(huán)���。
0Day漏洞���、勒索病毒���、Kuzzle病毒……近年來(lái),網(wǎng)絡(luò)安全對(duì)抗態(tài)勢(shì)愈演愈烈,攻擊變得更有針對(duì)性�。面對(duì)重要行業(yè)�、政府機(jī)關(guān)的攻擊數(shù)量增多,方式和手段翻新。
記者從科信支隊(duì)保留的截圖中看到一次網(wǎng)絡(luò)攻擊場(chǎng)景,縱深防御體系起到“上醫(yī)治未病”的效果����。
2018年3月29日,監(jiān)控系統(tǒng)發(fā)出異常警告,某行政審批業(yè)務(wù)應(yīng)用系統(tǒng)主機(jī)收到來(lái)自某IP的網(wǎng)站頻繁登錄請(qǐng)求����。一個(gè)登錄頁(yè)面,用戶(hù)名處簡(jiǎn)單填寫(xiě)了一個(gè)漢語(yǔ)拼音名字,密碼空白。
多年前,濱海新區(qū)成立行政審批局后,原來(lái)分散在18個(gè)不同單位的216項(xiàng)審批職責(zé)歸入一個(gè)部門(mén),一枚公章取代了109枚公章����。公安系統(tǒng)也推出網(wǎng)上便民舉措,開(kāi)通網(wǎng)上行政審批功能。
“一般而言,對(duì)行政審批網(wǎng)站的訪問(wèn)應(yīng)該來(lái)自轄區(qū)內(nèi)��。域外的類(lèi)似訪問(wèn),很有可能是在嘗試找到系統(tǒng)漏洞�。”楊連群告訴記者,黑客發(fā)起攻擊前,往往先對(duì)網(wǎng)站是否存在漏洞進(jìn)行嗅探,嘗試拿到高級(jí)權(quán)限進(jìn)入后臺(tái),實(shí)施違法行為。
“就像某種病原體尋找人群中免疫系統(tǒng)有問(wèn)題的目標(biāo)準(zhǔn)備下手����。”科信支隊(duì)民警宋津旭說(shuō),警方迅速行動(dòng),對(duì)行政審批網(wǎng)進(jìn)行體檢,趕在黑客前發(fā)現(xiàn)網(wǎng)站確實(shí)存在的漏洞���。第一時(shí)間通知責(zé)任部門(mén)關(guān)閉這項(xiàng)功能,修復(fù)后再行上線,及時(shí)堵住漏洞�。
網(wǎng)絡(luò)安全防護(hù)工作的要求不斷深化,濱海新區(qū)公安的工作方法和思路相應(yīng)發(fā)生很大變化��。“縱深防御體系由人工智能建模,積累大量數(shù)據(jù)實(shí)時(shí)進(jìn)行安全分析,民警有針對(duì)性地添加安全策略,從事后處理轉(zhuǎn)變?yōu)槭孪阮A(yù)防�。”楊連群說(shuō)���。
“這些還都是可視化的���。”宋津旭補(bǔ)充道����。
辯證論治
防止病毒縱向感染橫向傳播
“雖說(shuō)上醫(yī)可以治未病,但是真地病了怎么辦?”面對(duì)記者的提問(wèn),楊連群操作手邊的電腦,調(diào)出兩次與WannaCry(意為想哭)勒索病毒交手的數(shù)據(jù)�����。在縱深防御體系的輔助下,民警猶如實(shí)施精準(zhǔn)的手術(shù)治療中毒設(shè)備����。
勒索病毒爆發(fā)時(shí),銀行���、教育、企業(yè)感染病毒的系統(tǒng)無(wú)法使用,面臨數(shù)據(jù)被破壞無(wú)法恢復(fù)的情況����。
勒索病毒最早爆發(fā)時(shí)的安全管理監(jiān)控系統(tǒng)界面上,有一些粉色和紅色的圈,顏色越深、面積越大說(shuō)明異常越嚴(yán)重���。
2017年5月13日10時(shí)20分許,科信支隊(duì)民警接到公安內(nèi)網(wǎng)一臺(tái)電腦無(wú)法使用的電話(huà)反映,現(xiàn)場(chǎng)查看發(fā)現(xiàn),這臺(tái)電腦中了勒索病毒。一臺(tái)電腦從被攻擊到被攻陷大約需要14分鐘,14分鐘后,這臺(tái)電腦便會(huì)變成病毒源散播病毒���。
科信支隊(duì)迅速召集全體民警進(jìn)行排查,確定新區(qū)公安機(jī)關(guān)有16臺(tái)終端及設(shè)備中毒,對(duì)中毒電腦采取斷網(wǎng)�、斷電措施的同時(shí),通過(guò)縱深防御體系全方位添加安全策略及防范措施����。兩小時(shí)內(nèi),值班工程師及各系統(tǒng)相關(guān)廠商人員陸續(xù)到場(chǎng),完善安全策略,進(jìn)一步控制公安網(wǎng)內(nèi)病毒傳播途徑,同時(shí)對(duì)病毒進(jìn)行分析和處理。
此后的步驟類(lèi)似于疫苗生產(chǎn)���、疫苗注射,讓系統(tǒng)對(duì)病毒產(chǎn)生免疫力。病毒樣本立即被提取,送至殺毒軟件廠商手中���。廠商完成分析并測(cè)試殺毒成功,把殺毒軟件升級(jí)包傳回,在公安網(wǎng)和互聯(lián)網(wǎng)中下發(fā)����。
從科信支隊(duì)發(fā)現(xiàn)病毒到完成這些步驟,僅用時(shí)4小時(shí)10分鐘,而沒(méi)有類(lèi)似縱深防御體系的大型網(wǎng)絡(luò),要完全康復(fù)往往需要兩三周時(shí)間。
濱海新區(qū)公安網(wǎng)絡(luò)在縱深防御體系保護(hù)下,縱向防止從外向內(nèi)的感染,橫向防止機(jī)器間的傳播。出入境管理����、人口辦證大廳等對(duì)外服務(wù)窗口業(yè)務(wù)沒(méi)有因病毒爆發(fā)停辦,保證了26套業(yè)務(wù)系統(tǒng)的正常運(yùn)行�����。
第一次爆發(fā)后,勒索病毒時(shí)不時(shí)出現(xiàn)變種。隨后又針對(duì)視頻專(zhuān)網(wǎng)發(fā)起攻擊�����。
楊連群指著屏幕上的幾個(gè)時(shí)間節(jié)點(diǎn)說(shuō),當(dāng)時(shí)公安視頻網(wǎng)綜合安防管控平臺(tái)警示,內(nèi)網(wǎng)主機(jī)出現(xiàn)異常。民警第一時(shí)間進(jìn)行溯源分析和實(shí)際環(huán)境驗(yàn)證工作,確認(rèn)濱海新區(qū)公安視頻網(wǎng)爆發(fā)WannaCry勒索病毒�����。
“這個(gè)視頻專(zhuān)網(wǎng)有3萬(wàn)余個(gè)點(diǎn)位,投資數(shù)億元,中毒設(shè)備不斷向外擴(kuò)散病毒,視頻網(wǎng)可能完全癱瘓,后果嚴(yán)重���。”宋津旭說(shuō),民警利用縱深防御系統(tǒng),精準(zhǔn)確認(rèn)濱海新區(qū)公安視頻網(wǎng)內(nèi)3個(gè)分局50臺(tái)終端感染��。添加策略屏蔽病毒入口并分析來(lái)源發(fā)現(xiàn),這次病毒來(lái)自非濱海新區(qū)視頻網(wǎng)的4臺(tái)終端。
“以往人工挨個(gè)排查設(shè)備費(fèi)時(shí)費(fèi)力,大數(shù)據(jù)分析平臺(tái)的好處此時(shí)顯現(xiàn)出來(lái),精準(zhǔn)定位相當(dāng)于靶向治療�。”宋津旭說(shuō),這次處置比第一次快得多,用時(shí)不到兩小時(shí)�。
提升內(nèi)控
實(shí)現(xiàn)區(qū)內(nèi)公安網(wǎng)絡(luò)動(dòng)態(tài)防護(hù)
記者采訪時(shí),僅一上午時(shí)間,系統(tǒng)就發(fā)出195個(gè)警告�����。
“若發(fā)生違規(guī)行為,內(nèi)部管控就可能失效��。”楊連群用激光筆指著大屏幕上的實(shí)時(shí)數(shù)據(jù)說(shuō),縱深防御體系不但意味著阻斷攻擊,還包括加強(qiáng)內(nèi)部的安全管理,防止城池從內(nèi)部被攻破。
不久前,科信支隊(duì)民警和工程師在某辦公室發(fā)現(xiàn)一臺(tái)未經(jīng)備案接入網(wǎng)絡(luò)的無(wú)線路由器,而且處于開(kāi)機(jī)運(yùn)行狀態(tài)。經(jīng)檢查,通過(guò)這臺(tái)路由器接入系統(tǒng)的電腦沒(méi)有安裝必備的安全管理軟件�����。
“濱海新區(qū)公安局依據(jù)系統(tǒng)記錄,處罰了當(dāng)事人,關(guān)閉了他的網(wǎng)絡(luò)使用權(quán)限。”楊連群說(shuō)。
“網(wǎng)絡(luò)攻擊以一種代價(jià)較小的手段,影響政治���、經(jīng)濟(jì)、國(guó)計(jì)民生���。”宋津旭說(shuō),幾次病毒事件都顯示出加強(qiáng)內(nèi)部管控的重要性��。
“通過(guò)構(gòu)建縱深防御體系,讓所有動(dòng)作產(chǎn)生記錄并可以追訴,從抽樣數(shù)據(jù)分析到全部數(shù)據(jù)分析,從關(guān)注因果關(guān)系到相關(guān)關(guān)系,濱海新區(qū)公安局實(shí)現(xiàn)對(duì)區(qū)內(nèi)公安網(wǎng)絡(luò)的動(dòng)態(tài)防護(hù)����。”楊連群愈發(fā)強(qiáng)烈地感覺(jué)到,公安機(jī)關(guān)網(wǎng)絡(luò)安全是社會(huì)安全的基礎(chǔ),是安全工作的重中之重�����。(記者 張昊 張弛 見(jiàn)習(xí)記者 劉欣)
關(guān)鍵詞:
全球最新:沈陽(yáng):紓困解難服務(wù)企業(yè)真心貼心暖心
