文｜杨健 张斌 蒋行杰

一、研究背景

根据浙江省公安厅印发《浙江“公安大脑”建设发展规划（2022—2023年）》建设内容，结合《GA/DSJ 300-2019 公安大数据安全总体技术框架》要求，本文提出基于大数据驱动的网络安全监管体系和“网络安全大脑”建设。运用大数据技术汇聚全网安全数据，建立安全数据分析中台和安全指挥运营中心，提升内外部风险感知能力、协同安全防护能力、攻击检测分析能力、违规行为发现能力、应急事件响应能力和态势感知预警能力。

公安信息网网络安全监管体系包含应急指挥、制度规范、技术防御、安全监管、指挥运营5大方面内容，具体覆盖云、网、端、应用、数据等监测对象。其中安全指挥运营中心是安全监管体系的管理中枢即“网络安全大脑”。“网络安全大脑”综合集成算力、数据、算法、模型、业务智能模块等数字资源，实现网络安全风险监测、分析、处置、响应、指挥调度功能，并且赋予其智能化、自动化和可视化特性，实现内外部风险感知能力、协同安全防护能力、攻击检测分析能力、违规行为发现能力、应急事件响应能力和态势感知预警能力。从单一的围墙式技术防护，演变为集制度、技术、人员、资产、风险融合的多重、多维度防御，确保公安信息网资产、数据、行为、风险全程可知、可控、可管、可查。

二、任务目标

构建嘉兴公安信息网指挥、制度、技术、监管、运营融合的网络安全监管体系，实现资产“一网”归集、风险“一屏”掌控、告警“一键”响应、考核“一榜”晾晒，达到系统化、信息化、智能化安全监管目标。

建设基于体系化安全监管要求的安全指挥运营中心即“网络安全大脑”，实现动态化、智能化感知和监测能力，在网络攻击的早期阶段进行发现并阻断，通过联动整合多重防护能力，同时结合动态监测手段，逐步形成事前预警、事中取证、事后查处的新型体系化安全监管工作模式。

基于现有嘉兴公安信息网已建安全能力系统，完善安全监测系列手段，建设嘉兴公安信息网安全数据分析中台和安全指挥运营平台，采集和整合各类手段安全数据，制定统一安全数据标准，积累形成市级安全日志、资产、事件、特征数据库。为“网络安全大脑”提供基础数据能力。

三、实践思路

构建集网格单位管理、资产测绘、威胁预警、事件处置、运维管理、应急响应、安全态势感知于一体的网络安全指挥运营平台即“网络安全大脑”，具备对“云、网、端、数据、应用、行为”等多源的资产、隐患、事件等安全监管能力，汇聚和挖掘网络安全基础数据、威胁情报数据，建立安全日志、资产、事件、特征数据库，对接市级已建设的安全系统，实现安全数据集中共享、互融互通，支撑网络安全管理体系的落地实践。

技术上采用基于 Flink + Doris 的集群架构，作为实时大数据采集、存储和分析框架，构建极速、易用、可靠的实时数据仓库，实现安全数据的统一采集、归一化存储以及智能分析处理，同时利用关联分析、机器学习、威胁情报等技术完成对复杂网络环境中危险事件的评估、检测、防护及响应。

基于网络安全运营工作需要，通过建设安全指挥运营中心进行统一管理，配备专业指挥运营团队，制订指挥运营制度、明确指挥运营责任，强化监测、预警、通报、应急、考核考评、加固、运维等日常安全运营工作，落实常态化防控措施，并在工作过程中进行持续优化。

四、技术实现

公安信息网网络安全体系化治理框架包含制度规范、技术防御、指挥运营、安全监管和应急指挥5个方面内容，如图1所示。

图1 安全体系治理结构图

（一）安全体系治理结构

制度规范：以合规合法、责任到人为中心，涵盖网络安全责任、管理规范、安全合规建设、人员安全管理、服务外包管理等各项要素，确保网络安全各项工作有序进行，为网络安全工作体系建设奠定基础。

技术防御：基于安全基础设施和防御技术，实现网络资产动态管理、云安全监管、网络及边界安全监管、设备安全监管、应用安全监管、数据安全监管、行为安全监管、运维安全监管等功能，进一步完善安全数据采集、汇聚和分析能力。

指挥运营：按照制度规范要求，建设重要节点网络安全指挥运营中心和指挥运营平台，并依托技术防御体系，开展资产管理、监测预警、通报处置、整改加固、应急响应等网络安全运营工作，提升防控运营能力，有效保障网络安全管理制度规范要求落地。

应急指挥：通过应急指挥模块建设、健全机制、提升应急处置能力等方式，实现网络安全应急指挥统一化、协同化，同时进行快速响应、科学处置，提升网络安全应急响应水平。

（二）指挥运营平台架构

指挥运营平台整体架构可分为数据采集层、数据处理层、数据分析层和应用展示层，数据采集层和数据处理层基于大数据总线结构，可实现元数据集中采集、处理和存储；数据分析层基于日志、算法、模型实现数据挖掘和关联分析；应用展示层采用可视化组件技术实现实时动态展示，并且打通浙征钉接口，实现实时提醒和移动处置功能。

（1）安全数据采集

安全数据源包括各类安全系统产生的告警数据，安全审计日志、安全取证日志/文件、安全配置策略等数据及基础数据、特征数据。采集对象包括安全基础设施、网络、终端、云平台、应用、数据库等。

终端：通过已安装的一机两用、安全助手等终端软件，由终端数据采集探针自动采集终端产生的安全日志数据，具体包括终端基础配置数据、日志审计数据、实时行为数等。

网络：包括网络设备和安全系统日志数据、网络流量数据，其中，网络设备包括路由器、交换机、负载均衡、VPN、堡垒机、网闸等；安全系统包括防火墙、边界准入系统、IDS/IPS、防病毒系统、漏洞检测系统、资产发现系统、服务器安全防护系统等。网络流量数据通过在核心交换机、重要节点交换机部署流量探针获取。

云平台：通过接口读取或推送的方式，采集云平台告警信息、运维操作信息和安全审计日志。

应用：通过客户端和网络流量探针采集应用系统访问日志，包括访问源、目标、请求和响应内容。

数据库：通过客户端和网络流量探针采集数据库访问日志，包括访问源、目标、请求和响应内容。

（2）安全数据处理

通过数据总线系统对元数据进行集中采集、处理和存储，同时制定数据采集标准与数据接口规范，利用数据过滤、去重、格式化、标准化等数据清洗操作，将其转化为满足标准要求的格式数据。

并且根据安全业务需要，对标准化数据进行必要的业务关联，包括警员信息、设备信息、应用信息关联。对数据进行分级分类标注，包括基础类、行为类、告警类，高危、中危、低危级别标注。

（3）安全数据分析

根据安全业务需求，对安全数据进行统计、分析、规律性探索及安全风险预测等，支持安全业务场景应用。技术上采用阈值分析、序列分析、碰撞分析、关联组合分析、机器学习分析、实体行为分析技术，实现安全威胁监测、风险预警、异常行为监测、事件溯源功能。

（4）指挥运营能力

依托技术防御体系，定期实施资产排查厘清家底，全面掌握并管理管辖范围内资产情况，同时结合等保合规管理业务，对重要信息系统进行精细化管理。对网络安全事件及隐患建立常态化的检测监测机制，横向协同多部门、纵向打通云、网、端、应用、数据等监测对象，对各类安全事件及隐患进行实时的监测预警、通报处置、整改加固等网络安全运营工作，形成事前预警、事中取证、事后查处的新型体系化安全监管工作模式。

采用各类可视化技术并结合安全分析建立态势感知能力，全方位呈现全网网格单位、资产、事件、隐患、流程处置等安全总体运营情况，让网络安全看得见、让流程处置可跟踪、让网络安全威胁及隐患可管可控可查。

基于安全指挥运营中心打造统一管理、专业化的指挥运营团队，制订指挥运营制度、明确指挥运营责任，强化监测、预警、通报、应急、考核考评、加固、运维等日常安全运营工作，实现指令一键智达、指挥一屏调度、处置一网协同能力，落实常态化防控措施，并在工作过程中进行持续优化。并通过应急指挥能力建设、健全机制、提升应急处置能力等方式，实现网络安全应急指挥统一化、协同化，提升网络安全应急响应水平。

五、预期成效

通过公安信息网安全体系化建设和治理，以及“网络安全大脑”建设，建立安全责任清楚、资产台账清晰、风险监测实时、事件处置高效、考核评价全面的体系化指挥运营机制。

一是安全责任清楚。明确安全管理职责，要求谁主管谁负责、谁建设谁负责、谁运行谁负责、谁使用谁负责、业务管理以安全管理为前提，按业务部门和属地单位划分安全责任网格，组建技术支撑队伍，常态化组织风险隐患排查、评估和处置工作，做到安全隐患快速处置、安全事件立即上报、应急联动及时响应。

二是资产台账清晰。通过技术采集和人工维护，形成清晰的资产台账，包括网络内使用的硬件资产和软件资产，根据组织架构和资产类别进行分类划分，明确资产的重要级别和安全属性，逐步形成嘉兴公安信息网网络资产数据库。

三是风险监测实时。通过各类安全监测探针，实时监测和采集安全数据，依赖大数据分析，匹配已有的风险模型，快速发现存在的安全风险，通过指挥运营平台实时上报和告警，形成常态化实时安全监测手段和数据上报通道。

四是事件处置高效。对监测发现的安全事件和隐患通过指挥运营平台自动发起处置流程，建立“派单—整改—反馈—审核—归档”的跟踪处置机制，强化多主体协同处置，提高处置效率。

五是考核评价全面。从安全管理、资产注册管理、安全事件监测处置、安全隐患监测处置、日常安全运营管理等五个维度，建立对各网格单位网络安全工作开展成效的考核评价机制，将考核评价结果纳入年度网络安全工作责任制考核，并根据各个阶段不同的网络安全工作管控重点，对考核指标权重、考核方式进行动态调整，起到“以考促建、以考促管”的目的，推动网络安全工作落实落细。