近日，《法制日報》記者深入天津市濱海新區(qū)公安局科技信息化支隊(以下簡稱科信支隊)，了解這支幕后隊伍與黑客不見面的交鋒。

上醫(yī)治未病

趕在黑客前修復(fù)網(wǎng)站漏洞

2019年全國兩會即將召開，科信支隊嚴陣以待。

去年全國兩會期間成功處置的一起案件，讓科信支隊科長楊連群記憶猶新。

當(dāng)時，科信支隊在網(wǎng)上巡查中發(fā)現(xiàn)某企業(yè)官網(wǎng)流量異常。訪問企業(yè)網(wǎng)站時，會在本機生成一個程序，自動鏈接到某境外惡意域名。

“經(jīng)進一步分析發(fā)現(xiàn)，這個網(wǎng)站被植入了木馬程序。我們立即通知相關(guān)部門，責(zé)令這家企業(yè)官網(wǎng)整改，堵塞漏洞。”楊連群說，如果公安機關(guān)沒有發(fā)現(xiàn)那個漏洞，不法分子很可能利用它鏈接到非法網(wǎng)站，甚至是暴恐音視頻網(wǎng)站，從而產(chǎn)生惡劣影響。

從2014年開始，濱海新區(qū)公安局建設(shè)第一期網(wǎng)絡(luò)安全系統(tǒng)，當(dāng)時是為了進行公安專網(wǎng)內(nèi)部管理。后來在實踐中發(fā)現(xiàn)，公安內(nèi)網(wǎng)也受到許多嗅探攻擊，物理隔離已不能滿足安全需求。于是建設(shè)了第二期互聯(lián)網(wǎng)安全防護體系，確保濱海新區(qū)公安系統(tǒng)內(nèi)網(wǎng)外網(wǎng)整體安全。參照前期建設(shè)思路，2016年在視頻物聯(lián)網(wǎng)建設(shè)時，設(shè)計了整體縱深防御體系。

縱深防御體系基礎(chǔ)安全防護覆蓋物理、網(wǎng)絡(luò)、主機、應(yīng)用、數(shù)據(jù)等方面，利用技術(shù)管控，形成事前防范、事中監(jiān)控、事后追溯全流程安全運維閉環(huán)。

0Day漏洞、勒索病毒、Kuzzle病毒……近年來，網(wǎng)絡(luò)安全對抗態(tài)勢愈演愈烈，攻擊變得更有針對性。面對重要行業(yè)、政府機關(guān)的攻擊數(shù)量增多，方式和手段翻新。

記者從科信支隊保留的截圖中看到一次網(wǎng)絡(luò)攻擊場景，縱深防御體系起到“上醫(yī)治未病”的效果。

2018年3月29日，監(jiān)控系統(tǒng)發(fā)出異常警告，某行政審批業(yè)務(wù)應(yīng)用系統(tǒng)主機收到來自某IP的網(wǎng)站頻繁登錄請求。一個登錄頁面，用戶名處簡單填寫了一個漢語拼音名字，密碼空白。

多年前，濱海新區(qū)成立行政審批局后，原來分散在18個不同單位的216項審批職責(zé)歸入一個部門，一枚公章取代了109枚公章。公安系統(tǒng)也推出網(wǎng)上便民舉措，開通網(wǎng)上行政審批功能。

“一般而言，對行政審批網(wǎng)站的訪問應(yīng)該來自轄區(qū)內(nèi)。域外的類似訪問，很有可能是在嘗試找到系統(tǒng)漏洞?！睏钸B群告訴記者，黑客發(fā)起攻擊前，往往先對網(wǎng)站是否存在漏洞進行嗅探，嘗試拿到高級權(quán)限進入后臺，實施違法行為。

“就像某種病原體尋找人群中免疫系統(tǒng)有問題的目標準備下手?！笨菩胖ш犆窬谓蛐裾f，警方迅速行動，對行政審批網(wǎng)進行體檢，趕在黑客前發(fā)現(xiàn)網(wǎng)站確實存在的漏洞。第一時間通知責(zé)任部門關(guān)閉這項功能，修復(fù)后再行上線，及時堵住漏洞。

網(wǎng)絡(luò)安全防護工作的要求不斷深化，濱海新區(qū)公安的工作方法和思路相應(yīng)發(fā)生很大變化?！翱v深防御體系由人工智能建模，積累大量數(shù)據(jù)實時進行安全分析，民警有針對性地添加安全策略，從事后處理轉(zhuǎn)變?yōu)槭孪阮A(yù)防?！睏钸B群說。

“這些還都是可視化的。”宋津旭補充道。

辯證論治

防止病毒縱向感染橫向傳播

“雖說上醫(yī)可以治未病，但是真地病了怎么辦？”面對記者的提問，楊連群操作手邊的電腦，調(diào)出兩次與WannaCry(意為想哭)勒索病毒交手的數(shù)據(jù)。在縱深防御體系的輔助下，民警猶如實施精準的手術(shù)治療中毒設(shè)備。

勒索病毒爆發(fā)時，銀行、教育、企業(yè)感染病毒的系統(tǒng)無法使用，面臨數(shù)據(jù)被破壞無法恢復(fù)的情況。

勒索病毒最早爆發(fā)時的安全管理監(jiān)控系統(tǒng)界面上，有一些粉色和紅色的圈，顏色越深、面積越大說明異常越嚴重。

2017年5月13日10時20分許，科信支隊民警接到公安內(nèi)網(wǎng)一臺電腦無法使用的電話反映，現(xiàn)場查看發(fā)現(xiàn)，這臺電腦中了勒索病毒。一臺電腦從被攻擊到被攻陷大約需要14分鐘，14分鐘后，這臺電腦便會變成病毒源散播病毒。

科信支隊迅速召集全體民警進行排查，確定新區(qū)公安機關(guān)有16臺終端及設(shè)備中毒，對中毒電腦采取斷網(wǎng)、斷電措施的同時，通過縱深防御體系全方位添加安全策略及防范措施。兩小時內(nèi)，值班工程師及各系統(tǒng)相關(guān)廠商人員陸續(xù)到場，完善安全策略，進一步控制公安網(wǎng)內(nèi)病毒傳播途徑，同時對病毒進行分析和處理。

此后的步驟類似于疫苗生產(chǎn)、疫苗注射，讓系統(tǒng)對病毒產(chǎn)生免疫力。病毒樣本立即被提取，送至殺毒軟件廠商手中。廠商完成分析并測試殺毒成功，把殺毒軟件升級包傳回，在公安網(wǎng)和互聯(lián)網(wǎng)中下發(fā)。

從科信支隊發(fā)現(xiàn)病毒到完成這些步驟，僅用時4小時10分鐘，而沒有類似縱深防御體系的大型網(wǎng)絡(luò)，要完全康復(fù)往往需要兩三周時間。

濱海新區(qū)公安網(wǎng)絡(luò)在縱深防御體系保護下，縱向防止從外向內(nèi)的感染，橫向防止機器間的傳播。出入境管理、人口辦證大廳等對外服務(wù)窗口業(yè)務(wù)沒有因病毒爆發(fā)停辦，保證了26套業(yè)務(wù)系統(tǒng)的正常運行。

第一次爆發(fā)后，勒索病毒時不時出現(xiàn)變種。隨后又針對視頻專網(wǎng)發(fā)起攻擊。

楊連群指著屏幕上的幾個時間節(jié)點說，當(dāng)時公安視頻網(wǎng)綜合安防管控平臺警示，內(nèi)網(wǎng)主機出現(xiàn)異常。民警第一時間進行溯源分析和實際環(huán)境驗證工作，確認濱海新區(qū)公安視頻網(wǎng)爆發(fā)WannaCry勒索病毒。

“這個視頻專網(wǎng)有3萬余個點位，投資數(shù)億元，中毒設(shè)備不斷向外擴散病毒，視頻網(wǎng)可能完全癱瘓，后果嚴重?！彼谓蛐裾f，民警利用縱深防御系統(tǒng)，精準確認濱海新區(qū)公安視頻網(wǎng)內(nèi)3個分局50臺終端感染。添加策略屏蔽病毒入口并分析來源發(fā)現(xiàn)，這次病毒來自非濱海新區(qū)視頻網(wǎng)的4臺終端。

“以往人工挨個排查設(shè)備費時費力，大數(shù)據(jù)分析平臺的好處此時顯現(xiàn)出來，精準定位相當(dāng)于靶向治療?！彼谓蛐裾f，這次處置比第一次快得多，用時不到兩小時。

提升內(nèi)控

實現(xiàn)區(qū)內(nèi)公安網(wǎng)絡(luò)動態(tài)防護

記者采訪時，僅一上午時間，系統(tǒng)就發(fā)出195個警告。

“若發(fā)生違規(guī)行為，內(nèi)部管控就可能失效?！睏钸B群用激光筆指著大屏幕上的實時數(shù)據(jù)說，縱深防御體系不但意味著阻斷攻擊，還包括加強內(nèi)部的安全管理，防止城池從內(nèi)部被攻破。

不久前，科信支隊民警和工程師在某辦公室發(fā)現(xiàn)一臺未經(jīng)備案接入網(wǎng)絡(luò)的無線路由器，而且處于開機運行狀態(tài)。經(jīng)檢查，通過這臺路由器接入系統(tǒng)的電腦沒有安裝必備的安全管理軟件。

“濱海新區(qū)公安局依據(jù)系統(tǒng)記錄，處罰了當(dāng)事人，關(guān)閉了他的網(wǎng)絡(luò)使用權(quán)限?！睏钸B群說。

“網(wǎng)絡(luò)攻擊以一種代價較小的手段，影響政治、經(jīng)濟、國計民生。”宋津旭說，幾次病毒事件都顯示出加強內(nèi)部管控的重要性。

“通過構(gòu)建縱深防御體系，讓所有動作產(chǎn)生記錄并可以追訴，從抽樣數(shù)據(jù)分析到全部數(shù)據(jù)分析，從關(guān)注因果關(guān)系到相關(guān)關(guān)系，濱海新區(qū)公安局實現(xiàn)對區(qū)內(nèi)公安網(wǎng)絡(luò)的動態(tài)防護。”楊連群愈發(fā)強烈地感覺到，公安機關(guān)網(wǎng)絡(luò)安全是社會安全的基礎(chǔ)，是安全工作的重中之重。