网络安全保障是重大社会活动重要的保障面,是重要的公共安全能力。网络安保工作可以划分为活动侧和城市侧(社会面)两个层次。活动侧网络安保是围绕直接支撑活动的信息基础设施的运行保障,目标任务相对收敛。但重大活动依托于社会组织运行机制,依赖于城市基础设施。城市侧网络安全保障与重大活动密切相关,基础设施遭遇网络攻击等事故会影响活动运行,城市侧其他网络安全事件也会转化为活动的舆情影响。
安天针对龙江地方重大活动运行和常态化城市保障,在主管部门指导支持下,逐步完善了城市侧网络安全的运行概念、建设了运营基础设施、组建了安天网安护卫队。相关机制在支撑地方重要活动运行取得良好效果。在活动进行阶段,支撑两级主管部门,在城市侧累计监测发现境外网络攻击事件5076万次,基于攻击源地址统计,分布最多的三个国家分别为荷兰、美国、泰国。处置大量威胁,查杀政企机构电脑办公终端病毒木马文件30872个。发挥安天引擎几乎覆盖所有国产手机的优势,强化活动期内移动用户的安全保障,查杀拦截移动病毒1666万次。安天网安护卫队,历时493天,经历4个工作阶段,包括15天7×24小时安全值守,在主管部门的指导协调下,与各政企机构网络运营者协同配合,一起成功守护城市安全防线,实现了“重大隐患提前处置,活动关联风险即时清零,整体态势平稳可控”的既定目标。
与活动侧网络安全保障相比,城市侧网络安全保障覆盖范围极大,情况更为复杂,工作边界更为模糊,响应处置更为困难。被保护信息资产分散归属大量政企机构主体,同时也关联到公民个人安全层面,但同时相关资产和海量的人员又都与公共互联网连接。相关工作多主管部门协调共管,但保障体系层面往往缺失统一运行框架与配套协调机制,技术体系层面、公共安全层面感知能力难以到达保障目标内部,但各保障目标本身的运营体系包括已经部署的产品能力又难以有效互通,从全局工作层面缺少集约化能力抓手,缺少承载共性能力赋能的基础设施。一是保障任务高度复杂:城市侧网络安全是一个整体概念,但其组成包括城域网络体系所连接的大量政企机构的信息系统,在城市范围内与公共网络连接或隔离的生产网络或其他敏感信息系统。同时其既具有地理概念,但又不拘泥于物理空间限制。二是多主管部门间需要协调统筹。城市网络安全保障涉及多主管部门协同边界:网信部门负责统筹协调,同时也对政府机构评估考核;公安部门针对网络犯罪打击,并通过等级保护提升运行极限;通信管理局监管推进运营商能力提升;相关行业主管部门负责本领域监管;保密等部门也承担专项职能。保护对象涵盖城市运行关键基础设施、政务云和政府公共服务、通信运营商和基础网络、政企网站等多个层面。技术支撑层面依赖多厂商协作,分工对接、响应协同方面较为复杂,容易导致整体效能分散。三是缺失统一运行框架与配套协调机制。当前各地城市侧网络安全保障仍处于实验探索阶段,以数字化领先的广东为例,其重心仍局限于数字政府安全领域(据《广东数字政府网络安全指数报告》),尚未辐射到整个城市安全运营体系。因缺乏统一运行框架和协调机制,容易因部门职责交叉、协同低效、响应滞后,导致既无法建立全面威胁感知体系,也难以实现共性安全能力下沉及联防联控目标,使整体工作,低效无序。四是网络安全监测防御技术手段难以有效互通。城市侧网络安全监测防御体系依托多部门分别建设的网络安全监管平台,因不同时期、不同厂商承建等客观因素,导致跨平台数据标准、威胁情报规范不统一、多源异构数据难以融合,严重影响城市侧协同处置能力与整体防御效能。五是缺乏网络安全的公共共性能力赋能基础设施。城市网络安全因预算及人才不足,导致大量机构防御能力薄弱。而网络安全风险是典型的链式传导风险,如果没有面向城市侧的公共共性网络安全赋能基础设施和相应的资源体系来承担安全托管兜底和赋能保障,易导致一点失陷、影响全局的连锁风险隐患。
面对城市侧安保的困难挑战,安天深度参与城市侧工作规划统筹,提出了整体保障运行概念框架和配套工作资源体系。安天组建了组建跨部门的安天网安护卫队,划分成协调管理、平台支撑、运营保障等十个作战组织单元,细化保障任务目标并责任到人,调动全集团资源全力做好网络安保支撑工作。安天网安护卫队根据不同工作阶段提供互联网资产暴露面梳理、安全基线检查、安全加固、网络安全监测分析、应急响应等专业化网络安全服务;提供网络安全垂直响应平台、恶意代码在线分析服务、安全DNS等公共服务资源;提供、、安天可扩展威胁检测响应平台等工具装备。同时规范网络安全事件处置流程、标准化网络安全操作手册。通过明确职责、细化步骤,确保网络安全工作高效、有序开展,为网络安全提供坚实保障。监管面能力建设方面,安天支撑了省市两级多个主管部门相关平台建设,为统一数据和任务格式形成较好的技术基础。推动平台间基于统一技术规格和标准能够实现无缝连接、快速联动和联防联控。为做好重大活动网络安保,网络安全巡查工作专班将应急指挥中心设立在安天。中心建筑面积400平米,支撑研判、监测、分析、评估等安全职能,依托安天开发的城市侧网络安全监测平台,实现多方联席值守。依托平台,实现向省市网络安全监管单位推送日志告警、事件、统计、报告等实时或定时推送相关数据。为各级监管值守人员开放威胁情报系统、战略信息情报系统等平台服务。
社会面方面,安天协同中国联合网络通信集团有限公司、黑龙江省数字安全运营有限公司等合作伙伴,对城市侧公众移动设备、办公终端、关键节点流量等开展持续监测与响应。确立数十个外部值守点位,覆盖主要政府部门、主要关基设施、医院和卫生机构、重点高校等。安全工程师联合值守,在威胁监测、分析研判、溯源处置等各工作环节形成有效的协助机制,达成技术和管理的有效融合,多方资源联动闭环。支撑面方面,安天作为整体城市侧网络安全保障协调调度的枢纽和技术兜底队伍,依托安天完善的威胁检测分析处置体系,构建标准化作业流程,打造高效监测与应急响应机制。确保第一时间响应各主管部门及关键点位需求,提供全天候(7×24小时)网络应急响应服务,全力保障城市侧重要系统安全稳定运行。形成了由安天的统一的资源池体系和响应标准体系来支撑兜底的运行模式,并在协同上贯通省市两级主管部门,通过平台和联合值守进行链接的体系化保障机制。
4.1 基于统一标准的技术平台进行联合值守,支持主管部门间的敏捷协同响应
城市侧网络安全保障工作涉及网信、公安等网络安全监管单位,通管、交通、医疗等行业主管单位,以及各行业的网络安全运营者等多方面。由于部分政企机构网络安全预算投入不足、网络安全运营缺少常态编制,往往没有专职安全人员,更需要借助网络安全监管单位、行业主管单位的统筹协调、资源调度,以及技术资源赋能,才能够提升自身安全保障能力和水平。通过承建城市侧网络安全指挥中心,形成向地方网信、公安、通管的事件研判报送、数据推送能力。探索多中心体系的有效联动。同时,通过安全工程师联合值守,在威胁监测、分析研判、溯源处置等各工作环节形成有效的协助机制,达成技术和管理的有效融合,多方资源联动闭环。4.2 基于探针抵近部署模式,实现抵达防御场景的深度感知能力
传统网络安全监测保障工作中攻击检测探针部署多数以城域网关键节点分光引流为主,但由于城域网流量巨大,设备资源和人力资源的有限性很难实现全域有效覆盖,特别是没有针对重点点位实现资源的聚焦。而基于“抵近部署”的建设思想,将探针抵近部署到政务云、关键厅局、关基单位等政企机构和关键信息基础设施互联网出口,打破传统的“撒大网,捞小鱼”模式,应对目前关键信息基础设施防护中面临的攻击者易于找到暴露面和攻击点,而监管侧难以有效感知的问题。4.3 基于终端安全托管模式,实现到达关键政企网络内部的端到端治理能力
传统城市侧安保的数据和资源支撑高度依赖于骨干网的流量感知和对互联网暴露面的扫描,无法对政企机构达成纵深感知。而政企机构内网运行情况,特别是终端安全情况一直是重大安全隐患。我省网信主管单位考虑活动顺利举办以及全省各政企单位的稳定运行,全面提升我省各政企单位的终端安全防护水平,为重大活动成功举办筑牢网络安全防线,网信主管单位积极行动,大力推广各政企单位部署终端安全防护产品,借此安天推出公益性的,为各政企单位提供终端安全防护服务。快速覆盖数百家单位,部署数万余点,实现对政企机构的快速覆盖和抵近到达。快速摸清政企单位终端安全现状,识别潜在风险,为提升我省各政企单位内网整体安全防护能力,制定针对性的安全策略与改进措施提供依据。相关工作模式堪称在重大活动保障中首创。4.4 基于蜜网引流,实现了关键政企机构的暴露面收敛与威胁主动感知能力
互联网暴露面是城市侧网络安全保障的突出难点,随着业务服务多样化,互联网暴露面不断增加,潜在风险也日益凸显。精准发现潜在风险、有效降低负面影响,是提升城市网络安全水平的关键任务。安天对城市侧高价值目标的暴露面,部署蜜罐云,利用高交互仿真技术,构建高度逼真的蜜网环境。通过精准引流,将攻击者引入蜜网,有效收敛关键政企机构的暴露面,降低被攻击风险。同时,蜜罐云能够实时感知威胁,主动捕捉攻击行为,为安全团队提供精准情报,助力提前预警与精准处置,提升城市关键基础设施的整体网络安全防御能力。4.5 基于专用安全DNS部署,实现了城市面更大范围的威胁感知纵深穿透与响应拒止能力
基于域名的互联网访问交互是通过DNS协议来完成域名解析,安天为城市侧网络安全保障提供安全DNS部署,实现城市面更大范围的威胁感知,威胁实时检测与阻断,精准定位受害资产,即刻斩断恶意通讯链路,让隐患无处遁形,为城市构建起从威胁感知到纵深穿透、再到响应拒止的全方位安全闭环,全方位守护城市网络安全。4.6 同步分析本时段重大网络安全事件,进行联动研判
在城市侧网络安全保障时间,如果发生非直接相关的重大风险和威胁事件。需要进行联动分析和研判,分析严重漏洞的风险隐患在保障范围内的分布,重大威胁事件背后的威胁行为体是否会进行目标迁移等活动。在本次保障实施期间,同步发生了DeepSeek遭遇网络攻击事件。安天按照“第一时间启动,同时应对多线威胁”的应急原则,跟进了样本分析、IoC监测特征提取、攻击组织和攻击动机研判等工作任务,安天网安护卫队结合攻击者“行为动机背景”、“心理兴奋周期”特征,分析其在攻击DeepSeek未充分达成预期后,是否可能转向本次保障目标。4.7 积极应用大模型人工智能技术,提升保障自动化水平
城市侧网络安全保障工作涉及复杂的任务分工、面向海量的威胁事件与安全日志处理与分析任务、多类型前端网络安全设施与软件系统的敏捷联动响应需求。特别是重大活动网络安保整体周期长,活动期间负载重,压力大极大程度挑战保障人员的心智能力和专注度。本次城市侧网络安全保障体系中,安天作为整体支撑单位,发挥长期建设“赛博超脑”平台的运营基础,包括依托,提升威胁样本分析能力和分析效率、面向网安工程师的检测规则(YARA等)自动化生成等,对海量多源日志数据进行关联分析,使用大模型平台辅助进行分析报告编写等方式,提升了保障质量运营。这些实践探索为后续开展基于协同修正的算力网络、AI赋能与联邦学习,构筑多部位协同、超越传统威胁情报共享的AI驱动的联防体系构建了良好的工作基础。但同时也要看到,相对于后端的特征工程、知识工程等应用,和具体产品对象的判定等需求,城市侧安保场景更为复杂,需要更扎实的感知数据获取和响应能力落地支撑,不能迷信“人工智能,一抓即灵”。5.1 城市侧网络安全保障要贯彻总体国家安全观,强化大安全理念
现代城市是一个开放式复杂巨系统,平安城市是社会、物理、网络、认知的多域整体安全。网络是现代城市运行的连接筋脉,城市侧网络安全既是平安城市的有机组成部分,也是实现平安城市的必要条件。特别是随着城市数字化、智能化水平的提升,城市在低空开放、无人驾驶、无人物流等方面,需要应对更为复杂的风险挑战。更需要深入领悟总体国家观,以系统思维、底线思维,基于大安全理念,在平安城市的规划中,将网络空间安全融于其中。
5.2 网络安全的公共服务属性不断强化,城市侧网络安全保障工作要更多的与公共安全融合
当前网络安全产品和服务主要采用市场化供给模式,但网络安全具有鲜明的对抗性、外部性、非排他性、非竞争性等公共产品属性和特点,单纯依靠市场调节的供给机制,使网络安全保障支撑能力、技术和产业体系建设均无法有效遏制安全威胁。
近年来,国内外对网络安全公共安全化理论研究和实践试点探索越来越多,城市侧管理机构亦渐渐重视网络安全的共性能力和基础设施建设。城市侧网络安全保障工作涉及面广、连带风险影响面宽,特别是地缘安全热点区域省份预期将进一步开展网络安全公共服务化支撑能力试点、强化网络安全领域的国家安全基础设施建设。
5.3 城市侧网络安全保障工作应从重大活动应急保障驱动转化为常态化运营模式
网络安全建设必然存在周期性,对网络安全的重视也往往是与安全事件相关的应激反应。但从信息系统到社会体系都是常态化运行的,城市侧网络安全也需要形成常态化运营能力。随着大型政治活动、社会活动、体育赛事等网络安全保障工作,以及部委和行业主管部门组织的常态化攻防演练等活动的驱动下,常态化开展城市侧网络安全保障工作具有一定基础。未来各城市预期将持续巩固活动安保保障成果,构建常态化城市网络安全运行机制,将专班应急指挥中心转化为城市侧网络安全常态化指挥中心,建立长效运行机制,持续保障城市侧网络安全,使网络安全成为“平安城市”的关键支撑和优势亮点。
5.4 城市侧网络安全保障工作将走向“人智协同”的新模式
伴随城市侧网络安全的基础能力建设和相关政企机构的基础安全能力与协同能力改善。城市侧网络安全保障将面临更丰富的数据处理,更广泛的资源协调,需要更高速的响应处置。这为大模型等人工智能技术运用带来很好的场景空间,网络安全领域的智能化发展预期也将基于通用大模型、垂直大模型和传统小模型结合为基础,走入智能体为核心的人智协同新阶段,城市侧网络安全保障工作也将以监管侧协同、人员协同、平台和产品协同,进一步叠加人与多智能体间、多智能体间、多智能体与网安平台间的协同的人智协同新模式。安天网安护卫队在网络安全巡查工作专班应急指挥中心工作时的照片。
2月15日城市侧网络安全保障任务顺利完成后,安天网安护卫队的合影留念视频。
还没有评论,来说两句吧...