AiLPHA大数据智能安全平台公安案例集.docxVIP

AiLPHA大数据智能安全平台 公安案例集 杭州安恒信息技术有限公司 2018年5月  温岭公安大数据智能安全分析平台项目案例 项目背景 根据业务类型不同，温岭市公安网络分为三个部分：公安专网、互联网、视频接入专网。三个网络之间业务互相隔离，通过数据交换平台进行必要的业务数据互通互访。其中视频天网项目始建于2007年，迄今已完成三期项目建设，覆盖主城区主要街道和下属各个乡镇。在市区建立总监控中心，下属各派出所建立分监控中心。所有项目建成之后实现天网视频互联互通，并预留社会视频接入通道，全面保障温岭市的公共治安。 三套网络各自独立部署防火墙、IPS、WAF等设备，各安全设备基于策略对网络进行防护，彼此之间互相孤立。需要部署一套大数据平台，收集异构安全设备的日志和全网流量进行分析，实现集中监控和安全事件预警。 安恒解决方案 在温岭公安大楼机房部署日志采集引擎，通过syslog协议方式采集安全设备、网络设备、主机、服务器的日志数据。部署全流量解析引擎，通过实时镜像的方式采集流量数据。公安专网、视频专网和互联网之间的数据交换平台开通映射端口进行日志和流量的数据传输，数据传送至大数据平台的Kafka模块。 通过AILPHA大数据智能安全平台对采集到的日志、流量数据进行分析，快速识别各种风险漏洞，达到安全态势要素的输出和整体安全态势可视化感知的效果。实现对公安专网、视频专网、互联网三套业务网络统一分析呈现，为温岭公安网络的安全管理员和决策人员提供可靠的数据支撑与保障。 部署示意图 项目价值 建成了具备安全大数据采集、汇总、分析、事件处置等功能的一体化通报预警平台，同时实现了对公安专网、视频专网和互联网流量的深度解析。平台着重建设安全生产网络多节点信息采集功能、安全大数据规范化存储功能、安全大数据关联分析功能、安全事件态势感知展示功能、安全事件通报预警及处置功能等。通过对所有资产输出的日志告警数据、性能监测数据、服务质量监测数据、安全监测数据进行整合，通过分布式的计算框架进行威胁识别，从安全视角多维度进行可视化，让风险、威胁以及趋势一览无余。平台完成建设后，实现安全信息的采集存储分析及事件的通报预警机制，实现基于信息安全全要素的存储分析和通报预警，为公安网络信息安全检查的常态化、日常化奠定基础。 台州公安网边界接入平台项目案例 项目背景 随着公安信息化建设的不断深入开展，公安信息化资源不但要服务于公安机关本身，还必须为整个社会提供及时有效的信息服务，与其他政法部门、政府机关、社会单位实现安全、有效的信息共享。台州市公安局自2008年起开展边界接入平台建设，目前运行有2条链路一条电子政务接入链路（包括网上办事大厅业务、互联网信息采集等业务）；一条专网接入链路（社会单位业务接入、党政军机关接入业务等）。目前，台州市局边界接入平台安全防护存在如下问题： 边界接入平台同时为受公安管理的社会行业部门、党政军各部门、国家机关各单位、公安机关驻地外以及监控视频提供接入，针对不同的接入对象需要部署不同的安全设备实现隔离与防护； 边界接入平台自2008年开始建设，在建设过程中分多个批次采购网络与安全设备，系统目前存在多种品牌与型号的安全设备，缺乏有效的手段对安全设备的告警信息进行统一管理和处理； FW、IPS等安全设备在部署的时候采用默认策略进行防护，受单台设备性能限制，容易出现漏掉的攻击；设备告警日志非常多，存在大量误报现象，给安全运维人员造成很大工作压力。 安恒解决方案 部署一套AiLPHA大数据平台，对边界防护区和安全隔离区的设备日志与流量进行统一的采集、清洗、加载、分析与呈现。通过安恒多年的技术积累，平台能够支持对200多种设备2000多种型号的日志数据进行采集、解析、标准化，能够兼容接入边界建设过程中所使用的各个厂家的设备。 通过Syslog、SNMP Trap等方式收集设备的日志数据，对收集到的重复的日志进行自动的聚合归并，减少日志量，应用大数据分析手段，降低告警数量。通过流量探针的方式对内外网的流量文件进行旁路镜像采集、审计和还原，还原后的流量日志会加密传输至安全大数据中心。流量探针支持全协议审计，包含网络第2层至第7层数据流量，并支持特定的协议或IP进行自定义检测以及支持自定义IP地址、URL、域名与文件的访问监控的方式收集流量日志。对安全事件进行监控、分析、溯源、处置、报告，使安全管理形成一个完整的闭环。 部署示意图 项目价值 AiLPHA大数据平台实现了安全威胁实时分析秒级预警安全事件取证、深度分析安全事件、全面感知有效安全事件的功能。不仅可以分析出当前存在的威胁，还可以记录威胁的来源、攻击手段、攻击过程、攻击目标、攻击影响等信息，实现对攻击的过程分析和溯源分析，并通过对威胁的实时检测和分析，跟踪安全威胁的趋势和规律，及时掌握