首頁>要聞>沸點 沸點
網(wǎng)安警察智斗黑客探秘:實現(xiàn)區(qū)內(nèi)公安網(wǎng)絡動態(tài)防護
天津市濱海新區(qū)公安局有一群特殊的民警,他們像醫(yī)生一樣守護著公安網(wǎng)絡安全,與黑客過招,為警用網(wǎng)絡建立強大的免疫系統(tǒng)和疾控監(jiān)測,診治網(wǎng)絡病毒及安全問題。
近日,《法制日報》記者深入天津市濱海新區(qū)公安局科技信息化支隊(以下簡稱科信支隊),了解這支幕后隊伍與黑客不見面的交鋒。
上醫(yī)治未病
趕在黑客前修復網(wǎng)站漏洞
2019年全國兩會即將召開,科信支隊嚴陣以待。
去年全國兩會期間成功處置的一起案件,讓科信支隊科長楊連群記憶猶新。
當時,科信支隊在網(wǎng)上巡查中發(fā)現(xiàn)某企業(yè)官網(wǎng)流量異常。訪問企業(yè)網(wǎng)站時,會在本機生成一個程序,自動鏈接到某境外惡意域名。
“經(jīng)進一步分析發(fā)現(xiàn),這個網(wǎng)站被植入了木馬程序。我們立即通知相關(guān)部門,責令這家企業(yè)官網(wǎng)整改,堵塞漏洞?!睏钸B群說,如果公安機關(guān)沒有發(fā)現(xiàn)那個漏洞,不法分子很可能利用它鏈接到非法網(wǎng)站,甚至是暴恐音視頻網(wǎng)站,從而產(chǎn)生惡劣影響。
從2014年開始,濱海新區(qū)公安局建設第一期網(wǎng)絡安全系統(tǒng),當時是為了進行公安專網(wǎng)內(nèi)部管理。后來在實踐中發(fā)現(xiàn),公安內(nèi)網(wǎng)也受到許多嗅探攻擊,物理隔離已不能滿足安全需求。于是建設了第二期互聯(lián)網(wǎng)安全防護體系,確保濱海新區(qū)公安系統(tǒng)內(nèi)網(wǎng)外網(wǎng)整體安全。參照前期建設思路,2016年在視頻物聯(lián)網(wǎng)建設時,設計了整體縱深防御體系。
縱深防御體系基礎安全防護覆蓋物理、網(wǎng)絡、主機、應用、數(shù)據(jù)等方面,利用技術(shù)管控,形成事前防范、事中監(jiān)控、事后追溯全流程安全運維閉環(huán)。
0Day漏洞、勒索病毒、Kuzzle病毒……近年來,網(wǎng)絡安全對抗態(tài)勢愈演愈烈,攻擊變得更有針對性。面對重要行業(yè)、政府機關(guān)的攻擊數(shù)量增多,方式和手段翻新。
記者從科信支隊保留的截圖中看到一次網(wǎng)絡攻擊場景,縱深防御體系起到“上醫(yī)治未病”的效果。
2018年3月29日,監(jiān)控系統(tǒng)發(fā)出異常警告,某行政審批業(yè)務應用系統(tǒng)主機收到來自某IP的網(wǎng)站頻繁登錄請求。一個登錄頁面,用戶名處簡單填寫了一個漢語拼音名字,密碼空白。
多年前,濱海新區(qū)成立行政審批局后,原來分散在18個不同單位的216項審批職責歸入一個部門,一枚公章取代了109枚公章。公安系統(tǒng)也推出網(wǎng)上便民舉措,開通網(wǎng)上行政審批功能。
“一般而言,對行政審批網(wǎng)站的訪問應該來自轄區(qū)內(nèi)。域外的類似訪問,很有可能是在嘗試找到系統(tǒng)漏洞?!睏钸B群告訴記者,黑客發(fā)起攻擊前,往往先對網(wǎng)站是否存在漏洞進行嗅探,嘗試拿到高級權(quán)限進入后臺,實施違法行為。
“就像某種病原體尋找人群中免疫系統(tǒng)有問題的目標準備下手。”科信支隊民警宋津旭說,警方迅速行動,對行政審批網(wǎng)進行體檢,趕在黑客前發(fā)現(xiàn)網(wǎng)站確實存在的漏洞。第一時間通知責任部門關(guān)閉這項功能,修復后再行上線,及時堵住漏洞。
網(wǎng)絡安全防護工作的要求不斷深化,濱海新區(qū)公安的工作方法和思路相應發(fā)生很大變化?!翱v深防御體系由人工智能建模,積累大量數(shù)據(jù)實時進行安全分析,民警有針對性地添加安全策略,從事后處理轉(zhuǎn)變?yōu)槭孪阮A防。”楊連群說。
“這些還都是可視化的?!彼谓蛐裱a充道。
辯證論治
防止病毒縱向感染橫向傳播
“雖說上醫(yī)可以治未病,但是真地病了怎么辦?”面對記者的提問,楊連群操作手邊的電腦,調(diào)出兩次與WannaCry(意為想哭)勒索病毒交手的數(shù)據(jù)。在縱深防御體系的輔助下,民警猶如實施精準的手術(shù)治療中毒設備。
勒索病毒爆發(fā)時,銀行、教育、企業(yè)感染病毒的系統(tǒng)無法使用,面臨數(shù)據(jù)被破壞無法恢復的情況。
勒索病毒最早爆發(fā)時的安全管理監(jiān)控系統(tǒng)界面上,有一些粉色和紅色的圈,顏色越深、面積越大說明異常越嚴重。
2017年5月13日10時20分許,科信支隊民警接到公安內(nèi)網(wǎng)一臺電腦無法使用的電話反映,現(xiàn)場查看發(fā)現(xiàn),這臺電腦中了勒索病毒。一臺電腦從被攻擊到被攻陷大約需要14分鐘,14分鐘后,這臺電腦便會變成病毒源散播病毒。
科信支隊迅速召集全體民警進行排查,確定新區(qū)公安機關(guān)有16臺終端及設備中毒,對中毒電腦采取斷網(wǎng)、斷電措施的同時,通過縱深防御體系全方位添加安全策略及防范措施。兩小時內(nèi),值班工程師及各系統(tǒng)相關(guān)廠商人員陸續(xù)到場,完善安全策略,進一步控制公安網(wǎng)內(nèi)病毒傳播途徑,同時對病毒進行分析和處理。
此后的步驟類似于疫苗生產(chǎn)、疫苗注射,讓系統(tǒng)對病毒產(chǎn)生免疫力。病毒樣本立即被提取,送至殺毒軟件廠商手中。廠商完成分析并測試殺毒成功,把殺毒軟件升級包傳回,在公安網(wǎng)和互聯(lián)網(wǎng)中下發(fā)。
從科信支隊發(fā)現(xiàn)病毒到完成這些步驟,僅用時4小時10分鐘,而沒有類似縱深防御體系的大型網(wǎng)絡,要完全康復往往需要兩三周時間。
濱海新區(qū)公安網(wǎng)絡在縱深防御體系保護下,縱向防止從外向內(nèi)的感染,橫向防止機器間的傳播。出入境管理、人口辦證大廳等對外服務窗口業(yè)務沒有因病毒爆發(fā)停辦,保證了26套業(yè)務系統(tǒng)的正常運行。
第一次爆發(fā)后,勒索病毒時不時出現(xiàn)變種。隨后又針對視頻專網(wǎng)發(fā)起攻擊。
楊連群指著屏幕上的幾個時間節(jié)點說,當時公安視頻網(wǎng)綜合安防管控平臺警示,內(nèi)網(wǎng)主機出現(xiàn)異常。民警第一時間進行溯源分析和實際環(huán)境驗證工作,確認濱海新區(qū)公安視頻網(wǎng)爆發(fā)WannaCry勒索病毒。
“這個視頻專網(wǎng)有3萬余個點位,投資數(shù)億元,中毒設備不斷向外擴散病毒,視頻網(wǎng)可能完全癱瘓,后果嚴重?!彼谓蛐裾f,民警利用縱深防御系統(tǒng),精準確認濱海新區(qū)公安視頻網(wǎng)內(nèi)3個分局50臺終端感染。添加策略屏蔽病毒入口并分析來源發(fā)現(xiàn),這次病毒來自非濱海新區(qū)視頻網(wǎng)的4臺終端。
“以往人工挨個排查設備費時費力,大數(shù)據(jù)分析平臺的好處此時顯現(xiàn)出來,精準定位相當于靶向治療。”宋津旭說,這次處置比第一次快得多,用時不到兩小時。
提升內(nèi)控
實現(xiàn)區(qū)內(nèi)公安網(wǎng)絡動態(tài)防護
記者采訪時,僅一上午時間,系統(tǒng)就發(fā)出195個警告。
“若發(fā)生違規(guī)行為,內(nèi)部管控就可能失效?!睏钸B群用激光筆指著大屏幕上的實時數(shù)據(jù)說,縱深防御體系不但意味著阻斷攻擊,還包括加強內(nèi)部的安全管理,防止城池從內(nèi)部被攻破。
不久前,科信支隊民警和工程師在某辦公室發(fā)現(xiàn)一臺未經(jīng)備案接入網(wǎng)絡的無線路由器,而且處于開機運行狀態(tài)。經(jīng)檢查,通過這臺路由器接入系統(tǒng)的電腦沒有安裝必備的安全管理軟件。
“濱海新區(qū)公安局依據(jù)系統(tǒng)記錄,處罰了當事人,關(guān)閉了他的網(wǎng)絡使用權(quán)限。”楊連群說。
“網(wǎng)絡攻擊以一種代價較小的手段,影響政治、經(jīng)濟、國計民生。”宋津旭說,幾次病毒事件都顯示出加強內(nèi)部管控的重要性。
“通過構(gòu)建縱深防御體系,讓所有動作產(chǎn)生記錄并可以追訴,從抽樣數(shù)據(jù)分析到全部數(shù)據(jù)分析,從關(guān)注因果關(guān)系到相關(guān)關(guān)系,濱海新區(qū)公安局實現(xiàn)對區(qū)內(nèi)公安網(wǎng)絡的動態(tài)防護。”楊連群愈發(fā)強烈地感覺到,公安機關(guān)網(wǎng)絡安全是社會安全的基礎,是安全工作的重中之重。
編輯:李敏杰
關(guān)鍵詞:病毒 網(wǎng)絡 公安