近日，《法制日?qǐng)?bào)》記者深入天津市濱海新區(qū)公安局科技信息化支隊(duì)(以下簡(jiǎn)稱科信支隊(duì))，了解這支幕后隊(duì)伍與黑客不見面的交鋒。

上醫(yī)治未病

趕在黑客前修復(fù)網(wǎng)站漏洞

2019年全國(guó)兩會(huì)即將召開，科信支隊(duì)嚴(yán)陣以待。

去年全國(guó)兩會(huì)期間成功處置的一起案件，讓科信支隊(duì)科長(zhǎng)楊連群記憶猶新。

當(dāng)時(shí)，科信支隊(duì)在網(wǎng)上巡查中發(fā)現(xiàn)某企業(yè)官網(wǎng)流量異常。訪問企業(yè)網(wǎng)站時(shí)，會(huì)在本機(jī)生成一個(gè)程序，自動(dòng)鏈接到某境外惡意域名。

“經(jīng)進(jìn)一步分析發(fā)現(xiàn)，這個(gè)網(wǎng)站被植入了木馬程序。我們立即通知相關(guān)部門，責(zé)令這家企業(yè)官網(wǎng)整改，堵塞漏洞?！睏钸B群說(shuō)，如果公安機(jī)關(guān)沒有發(fā)現(xiàn)那個(gè)漏洞，不法分子很可能利用它鏈接到非法網(wǎng)站，甚至是暴恐音視頻網(wǎng)站，從而產(chǎn)生惡劣影響。

從2014年開始，濱海新區(qū)公安局建設(shè)第一期網(wǎng)絡(luò)安全系統(tǒng)，當(dāng)時(shí)是為了進(jìn)行公安專網(wǎng)內(nèi)部管理。后來(lái)在實(shí)踐中發(fā)現(xiàn)，公安內(nèi)網(wǎng)也受到許多嗅探攻擊，物理隔離已不能滿足安全需求。于是建設(shè)了第二期互聯(lián)網(wǎng)安全防護(hù)體系，確保濱海新區(qū)公安系統(tǒng)內(nèi)網(wǎng)外網(wǎng)整體安全。參照前期建設(shè)思路，2016年在視頻物聯(lián)網(wǎng)建設(shè)時(shí)，設(shè)計(jì)了整體縱深防御體系。

縱深防御體系基礎(chǔ)安全防護(hù)覆蓋物理、網(wǎng)絡(luò)、主機(jī)、應(yīng)用、數(shù)據(jù)等方面，利用技術(shù)管控，形成事前防范、事中監(jiān)控、事后追溯全流程安全運(yùn)維閉環(huán)。

0Day漏洞、勒索病毒、Kuzzle病毒……近年來(lái)，網(wǎng)絡(luò)安全對(duì)抗態(tài)勢(shì)愈演愈烈，攻擊變得更有針對(duì)性。面對(duì)重要行業(yè)、政府機(jī)關(guān)的攻擊數(shù)量增多，方式和手段翻新。

記者從科信支隊(duì)保留的截圖中看到一次網(wǎng)絡(luò)攻擊場(chǎng)景，縱深防御體系起到“上醫(yī)治未病”的效果。

2018年3月29日，監(jiān)控系統(tǒng)發(fā)出異常警告，某行政審批業(yè)務(wù)應(yīng)用系統(tǒng)主機(jī)收到來(lái)自某IP的網(wǎng)站頻繁登錄請(qǐng)求。一個(gè)登錄頁(yè)面，用戶名處簡(jiǎn)單填寫了一個(gè)漢語(yǔ)拼音名字，密碼空白。

多年前，濱海新區(qū)成立行政審批局后，原來(lái)分散在18個(gè)不同單位的216項(xiàng)審批職責(zé)歸入一個(gè)部門，一枚公章取代了109枚公章。公安系統(tǒng)也推出網(wǎng)上便民舉措，開通網(wǎng)上行政審批功能。

“一般而言，對(duì)行政審批網(wǎng)站的訪問應(yīng)該來(lái)自轄區(qū)內(nèi)。域外的類似訪問，很有可能是在嘗試找到系統(tǒng)漏洞。”楊連群告訴記者，黑客發(fā)起攻擊前，往往先對(duì)網(wǎng)站是否存在漏洞進(jìn)行嗅探，嘗試拿到高級(jí)權(quán)限進(jìn)入后臺(tái)，實(shí)施違法行為。

“就像某種病原體尋找人群中免疫系統(tǒng)有問題的目標(biāo)準(zhǔn)備下手?！笨菩胖ш?duì)民警宋津旭說(shuō)，警方迅速行動(dòng)，對(duì)行政審批網(wǎng)進(jìn)行體檢，趕在黑客前發(fā)現(xiàn)網(wǎng)站確實(shí)存在的漏洞。第一時(shí)間通知責(zé)任部門關(guān)閉這項(xiàng)功能，修復(fù)后再行上線，及時(shí)堵住漏洞。

網(wǎng)絡(luò)安全防護(hù)工作的要求不斷深化，濱海新區(qū)公安的工作方法和思路相應(yīng)發(fā)生很大變化?！翱v深防御體系由人工智能建模，積累大量數(shù)據(jù)實(shí)時(shí)進(jìn)行安全分析，民警有針對(duì)性地添加安全策略，從事后處理轉(zhuǎn)變?yōu)槭孪阮A(yù)防?！睏钸B群說(shuō)。

“這些還都是可視化的?！彼谓蛐裱a(bǔ)充道。

辯證論治

防止病毒縱向感染橫向傳播

“雖說(shuō)上醫(yī)可以治未病，但是真地病了怎么辦？”面對(duì)記者的提問，楊連群操作手邊的電腦，調(diào)出兩次與WannaCry(意為想哭)勒索病毒交手的數(shù)據(jù)。在縱深防御體系的輔助下，民警猶如實(shí)施精準(zhǔn)的手術(shù)治療中毒設(shè)備。

勒索病毒爆發(fā)時(shí)，銀行、教育、企業(yè)感染病毒的系統(tǒng)無(wú)法使用，面臨數(shù)據(jù)被破壞無(wú)法恢復(fù)的情況。

勒索病毒最早爆發(fā)時(shí)的安全管理監(jiān)控系統(tǒng)界面上，有一些粉色和紅色的圈，顏色越深、面積越大說(shuō)明異常越嚴(yán)重。

2017年5月13日10時(shí)20分許，科信支隊(duì)民警接到公安內(nèi)網(wǎng)一臺(tái)電腦無(wú)法使用的電話反映，現(xiàn)場(chǎng)查看發(fā)現(xiàn)，這臺(tái)電腦中了勒索病毒。一臺(tái)電腦從被攻擊到被攻陷大約需要14分鐘，14分鐘后，這臺(tái)電腦便會(huì)變成病毒源散播病毒。

科信支隊(duì)迅速召集全體民警進(jìn)行排查，確定新區(qū)公安機(jī)關(guān)有16臺(tái)終端及設(shè)備中毒，對(duì)中毒電腦采取斷網(wǎng)、斷電措施的同時(shí)，通過縱深防御體系全方位添加安全策略及防范措施。兩小時(shí)內(nèi)，值班工程師及各系統(tǒng)相關(guān)廠商人員陸續(xù)到場(chǎng)，完善安全策略，進(jìn)一步控制公安網(wǎng)內(nèi)病毒傳播途徑，同時(shí)對(duì)病毒進(jìn)行分析和處理。

此后的步驟類似于疫苗生產(chǎn)、疫苗注射，讓系統(tǒng)對(duì)病毒產(chǎn)生免疫力。病毒樣本立即被提取，送至殺毒軟件廠商手中。廠商完成分析并測(cè)試殺毒成功，把殺毒軟件升級(jí)包傳回，在公安網(wǎng)和互聯(lián)網(wǎng)中下發(fā)。

從科信支隊(duì)發(fā)現(xiàn)病毒到完成這些步驟，僅用時(shí)4小時(shí)10分鐘，而沒有類似縱深防御體系的大型網(wǎng)絡(luò)，要完全康復(fù)往往需要兩三周時(shí)間。

濱海新區(qū)公安網(wǎng)絡(luò)在縱深防御體系保護(hù)下，縱向防止從外向內(nèi)的感染，橫向防止機(jī)器間的傳播。出入境管理、人口辦證大廳等對(duì)外服務(wù)窗口業(yè)務(wù)沒有因病毒爆發(fā)停辦，保證了26套業(yè)務(wù)系統(tǒng)的正常運(yùn)行。

第一次爆發(fā)后，勒索病毒時(shí)不時(shí)出現(xiàn)變種。隨后又針對(duì)視頻專網(wǎng)發(fā)起攻擊。

楊連群指著屏幕上的幾個(gè)時(shí)間節(jié)點(diǎn)說(shuō)，當(dāng)時(shí)公安視頻網(wǎng)綜合安防管控平臺(tái)警示，內(nèi)網(wǎng)主機(jī)出現(xiàn)異常。民警第一時(shí)間進(jìn)行溯源分析和實(shí)際環(huán)境驗(yàn)證工作，確認(rèn)濱海新區(qū)公安視頻網(wǎng)爆發(fā)WannaCry勒索病毒。

“這個(gè)視頻專網(wǎng)有3萬(wàn)余個(gè)點(diǎn)位，投資數(shù)億元，中毒設(shè)備不斷向外擴(kuò)散病毒，視頻網(wǎng)可能完全癱瘓，后果嚴(yán)重?！彼谓蛐裾f(shuō)，民警利用縱深防御系統(tǒng)，精準(zhǔn)確認(rèn)濱海新區(qū)公安視頻網(wǎng)內(nèi)3個(gè)分局50臺(tái)終端感染。添加策略屏蔽病毒入口并分析來(lái)源發(fā)現(xiàn)，這次病毒來(lái)自非濱海新區(qū)視頻網(wǎng)的4臺(tái)終端。

“以往人工挨個(gè)排查設(shè)備費(fèi)時(shí)費(fèi)力，大數(shù)據(jù)分析平臺(tái)的好處此時(shí)顯現(xiàn)出來(lái)，精準(zhǔn)定位相當(dāng)于靶向治療?！彼谓蛐裾f(shuō)，這次處置比第一次快得多，用時(shí)不到兩小時(shí)。

提升內(nèi)控

實(shí)現(xiàn)區(qū)內(nèi)公安網(wǎng)絡(luò)動(dòng)態(tài)防護(hù)

記者采訪時(shí)，僅一上午時(shí)間，系統(tǒng)就發(fā)出195個(gè)警告。

“若發(fā)生違規(guī)行為，內(nèi)部管控就可能失效。”楊連群用激光筆指著大屏幕上的實(shí)時(shí)數(shù)據(jù)說(shuō)，縱深防御體系不但意味著阻斷攻擊，還包括加強(qiáng)內(nèi)部的安全管理，防止城池從內(nèi)部被攻破。

不久前，科信支隊(duì)民警和工程師在某辦公室發(fā)現(xiàn)一臺(tái)未經(jīng)備案接入網(wǎng)絡(luò)的無(wú)線路由器，而且處于開機(jī)運(yùn)行狀態(tài)。經(jīng)檢查，通過這臺(tái)路由器接入系統(tǒng)的電腦沒有安裝必備的安全管理軟件。

“濱海新區(qū)公安局依據(jù)系統(tǒng)記錄，處罰了當(dāng)事人，關(guān)閉了他的網(wǎng)絡(luò)使用權(quán)限。”楊連群說(shuō)。

“網(wǎng)絡(luò)攻擊以一種代價(jià)較小的手段，影響政治、經(jīng)濟(jì)、國(guó)計(jì)民生。”宋津旭說(shuō)，幾次病毒事件都顯示出加強(qiáng)內(nèi)部管控的重要性。

“通過構(gòu)建縱深防御體系，讓所有動(dòng)作產(chǎn)生記錄并可以追訴，從抽樣數(shù)據(jù)分析到全部數(shù)據(jù)分析，從關(guān)注因果關(guān)系到相關(guān)關(guān)系，濱海新區(qū)公安局實(shí)現(xiàn)對(duì)區(qū)內(nèi)公安網(wǎng)絡(luò)的動(dòng)態(tài)防護(hù)。”楊連群愈發(fā)強(qiáng)烈地感覺到，公安機(jī)關(guān)網(wǎng)絡(luò)安全是社會(huì)安全的基礎(chǔ)，是安全工作的重中之重。