奇安信助力中國電建 打造網(wǎng)絡(luò)安全的“四級跳”

午夜兩點(diǎn)，某個攻擊組織利用一個0day漏洞攻入企業(yè)內(nèi)網(wǎng)，正欲進(jìn)行橫向滲透之時，觸發(fā)報警，迅速被防火墻、終端EDR等聯(lián)合阻斷攔截，并被溯源鎖定，整個防護(hù)一氣呵成密不透風(fēng)，攻擊宣告完?。?/p>

如此不需要人工干預(yù)響應(yīng)的智能化網(wǎng)絡(luò)安全防護(hù)，就是中國電建（中國電力建設(shè)集團(tuán)有限公司）當(dāng)前正在構(gòu)建的整體防御體系。在中國電建看來，網(wǎng)絡(luò)安全需要“眼、腦、手”并用，應(yīng)該具備一定的AI水平，甚至可以在不依賴人的條件下，迅速完成檢測發(fā)現(xiàn)、阻斷攔截、溯源分析等防護(hù)措施。

中國電建成立于2011年，是全球清潔低碳能源、水資源與環(huán)境建設(shè)領(lǐng)域的引領(lǐng)者，服務(wù)“一帶一路”建設(shè)的龍頭企業(yè)。2021年《財富》世界500強(qiáng)企業(yè)第107位。

（圖片來自網(wǎng)絡(luò)）

中國電建擁有63家二級單位，業(yè)務(wù)涉及水利電力工程及基礎(chǔ)設(shè)施投融資、規(guī)劃設(shè)計、工程施工、裝備制造、運(yùn)營管理等等，引用中國電建董事長丁焰章的一句話說，就是“懂水熟電、擅規(guī)劃設(shè)計、長施工建造、能投資運(yùn)營”。

在“云大物移智”等新技術(shù)風(fēng)起云涌的數(shù)字時代，中國電建的數(shù)字化轉(zhuǎn)型走在了同行前列，借助數(shù)字技術(shù)不斷提升企業(yè)的精益化生產(chǎn)、數(shù)字化建造、現(xiàn)代化管理和智能化決策能力。在這個過程中，網(wǎng)絡(luò)安全的重要性日益凸顯，中國電建始終將網(wǎng)絡(luò)安全作為數(shù)字化轉(zhuǎn)型的底板工程，其中包括通過部署以奇安信態(tài)勢感知與運(yùn)營平臺（NGSOC）為基礎(chǔ)的“電建眼”，實(shí)現(xiàn)了從傳統(tǒng)防護(hù)到主動對抗檢測的跨越，為打造國資國企一體化網(wǎng)絡(luò)安全保障體系奠定基石。

一次域名事件 推動中國電建從基礎(chǔ)安全到縱深防御

回顧中國電建的網(wǎng)絡(luò)安全建設(shè)歷程，可以說從集團(tuán)2011年成立開始，網(wǎng)絡(luò)安全就已經(jīng)同步推進(jìn)。據(jù)中國電建信息化管理部副主任王海濤介紹，電建的網(wǎng)絡(luò)安全建設(shè)可以分為四個階段，其中第一階段是2011年到2013年，旨在為集團(tuán)構(gòu)筑網(wǎng)絡(luò)安全基礎(chǔ)能力。該階段，電建按照“急用先行”原則，圍繞網(wǎng)絡(luò)終端開展了主機(jī)安全、防病毒、主機(jī)加固、防篡改等安全能力的建設(shè)。

這些防護(hù)應(yīng)對一些日常的黑客、病毒攻擊可以說是游刃有余，但面對有組織、有預(yù)謀的復(fù)雜攻擊，還顯得有些力不從心。

“網(wǎng)絡(luò)攻擊曾給我們造成過切身之痛。” 王海濤回憶道。“大約在2014年北京APEC會議期間，我正在西安出差，突然接到電話，說網(wǎng)站被篡改了，替換成了不良圖片，影響非常惡劣。當(dāng)天晚上，我就改變行程飛回北京緊急處理。”

“經(jīng)過排查，原因是有一個域名被黑客篡改，導(dǎo)致該域名下的網(wǎng)站就出現(xiàn)故障。由于種種因素，通過各種措施都未能解決，最終找到了奇安信安服團(tuán)隊，借助后者提供的DNS解析故障修復(fù)方案，確保域名不被污染，官網(wǎng)很快恢復(fù)了正常，問題得以徹底解決。”

“從這個事情可以看出，網(wǎng)絡(luò)安全是一項非常專業(yè)的工作，僅依靠被動防守措施和自身安全力量還是不夠的。”

2014年到2016年，中國電建跨入了第二階段，即大規(guī)模建設(shè)階段：一方面是從管理的角度，完善組織機(jī)構(gòu)，包括搭建領(lǐng)導(dǎo)機(jī)構(gòu)，進(jìn)行人員意識培訓(xùn)管理提升等；另一方面，就是從技術(shù)角度，建設(shè)縱深防御的技防體系，包括：系統(tǒng)安全、應(yīng)用安全、身份安全、數(shù)據(jù)安全、邊界安全和分權(quán)分域等。

自此，中國電建已經(jīng)建成了從管理到技術(shù)的大縱深防御體系，極大提升了集團(tuán)信息化平臺的網(wǎng)絡(luò)安全能力。

縱深防御難以應(yīng)對高級威脅 “電建眼”應(yīng)運(yùn)而生

“道高一尺，魔高一丈。”自國內(nèi)安全機(jī)構(gòu)捕獲海蓮花APT組織攻擊之后，2016年開始，各類APT（高級可持續(xù)威脅）屢次被發(fā)現(xiàn)，給政府、央企機(jī)構(gòu)造成極大威脅，也給被動防護(hù)為主的縱深防御體系帶來了新挑戰(zhàn)。

據(jù)王海濤回憶，當(dāng)時中國電建已完成了縱深防御的部署，安全能力得到顯著提升，但實(shí)際運(yùn)行中還存在五大方面問題：資產(chǎn)繁多難管理、運(yùn)維數(shù)據(jù)巨大、威脅發(fā)現(xiàn)能力不足、安全威脅不可見、缺乏聯(lián)動防御等。加上《十三五國家信息化規(guī)劃》中重點(diǎn)強(qiáng)調(diào)了網(wǎng)絡(luò)安全攻防的全面性，以及對動態(tài)網(wǎng)絡(luò)安全的全天候全方位的態(tài)勢感知能力，因此，構(gòu)建積極主動的防御體系，被中國電建提上了日程。

從2017年起，中國電建邁入第三階段，即精細(xì)化管理與運(yùn)維階段。該階段充分采用云計算、大數(shù)據(jù)、態(tài)勢感知和威脅情報等新技術(shù)，強(qiáng)化新IT環(huán)境下的安全防護(hù)和態(tài)勢感知能力建設(shè)，提高網(wǎng)絡(luò)安全的精細(xì)化管理水平。

為了在網(wǎng)絡(luò)攻防對抗中變被動為主動，中國電建在符合國家要求、集團(tuán)規(guī)劃前提下，建立威脅可知、威脅可查、應(yīng)急可控、服務(wù)可靠、管控可視的大數(shù)據(jù)預(yù)警監(jiān)測分析及防御系統(tǒng)，即“電建眼”平臺。

具體實(shí)現(xiàn)上，“電建眼”以態(tài)勢感知與安全運(yùn)營平臺（NGSOC）為核心，匯集各類數(shù)據(jù)，包括原始流量日志、安全設(shè)備日志、系統(tǒng)日志、終端日志等，利用流量檢測引擎、關(guān)聯(lián)分析引擎、威脅情報等技術(shù)手段對政企內(nèi)部網(wǎng)絡(luò)進(jìn)行持續(xù)安全監(jiān)測。發(fā)現(xiàn)安全事件后，可進(jìn)行研判及溯源，同時可通過NGSOC與EDR/NDR聯(lián)動機(jī)制及專家服務(wù)對事件進(jìn)行及時響應(yīng)處置，實(shí)現(xiàn)安全運(yùn)營能力的落地。

可以說，“電建眼”完成了從威脅發(fā)現(xiàn)、研判、分析溯源到響應(yīng)處置的安全業(yè)務(wù)閉環(huán)，從而助力中國電建從縱深防御邁向主動防御階段。

“眼腦手”聯(lián)動實(shí)現(xiàn)五大能力 并向集團(tuán)分支機(jī)構(gòu)普及

目前，以NGSOC為基礎(chǔ)的電建眼，已經(jīng)在中國電建總部順利實(shí)施，逐步構(gòu)建了IT資產(chǎn)管理能力、安全大數(shù)據(jù)整合能力、智能分析與回溯能力、安全威脅可視化能力、協(xié)同防御聯(lián)動能力等五大能力。并在2018年的數(shù)博會上，獲得了“大數(shù)據(jù)安全優(yōu)秀案例”以及中國信息協(xié)會頒發(fā)的“電力企業(yè)信息安全管理創(chuàng)新成果三等獎”。

王海濤用“眼腦手”來形象的比喻中國電建的技術(shù)防護(hù)體系。“眼”主要指全方位的監(jiān)控和檢測能力。即需要“眼觀六路”，知道攻擊者“在哪兒干”、“誰在干”、“干了啥”、“啥結(jié)果”。例如是生產(chǎn)系統(tǒng)、客戶系統(tǒng)、供應(yīng)鏈系統(tǒng)、財務(wù)系統(tǒng)哪里受到攻擊，攻擊者的身份和行為是誰，造成什么結(jié)果等。這項工作主要由“電建眼”來完成。

“腦”主要指多維度的分析。由“智慧中樞”來完成，它主要完成用戶風(fēng)險分析，行為風(fēng)險分析、事后調(diào)查取證，實(shí)現(xiàn)分析溯源等，為響應(yīng)處置提供指揮決策基礎(chǔ)。這項工作既需要機(jī)器來自動化分析處理、直觀可視展現(xiàn)，更依賴于安全運(yùn)維、分析師的日常處置和分析研判，以及安全負(fù)責(zé)人和領(lǐng)導(dǎo)的指揮決策。

“手”體現(xiàn)的最快速的響應(yīng)和執(zhí)行。一旦發(fā)現(xiàn)攻擊，準(zhǔn)確分析和定位之后，能夠最短時間阻斷攻擊，并實(shí)現(xiàn)應(yīng)急響應(yīng)，將損失降至最低。該項工作需要由終端安全天擎、邊界安全防火墻組成的電建盾來完成，通過協(xié)同聯(lián)動實(shí)現(xiàn)縱深防護(hù)。

概括來說，電建眼負(fù)責(zé)看見威脅，大腦通過分析研判來揪出威脅，最終由電建盾阻斷威脅，實(shí)現(xiàn)全天候全方位的感知網(wǎng)絡(luò)安全態(tài)勢，形成“人+機(jī)+服務(wù)” 的主動防御體系，提升整體安全綜合能力。

“眼腦手”聯(lián)動能力的實(shí)現(xiàn)，標(biāo)志著中國電建已經(jīng)完成網(wǎng)絡(luò)安全建設(shè)的第四階段：針對新IT環(huán)境安全防護(hù)風(fēng)險態(tài)勢感知。

中國電建集團(tuán)邀請了公安部網(wǎng)絡(luò)安全保衛(wèi)局、國資委綜合局、國家能源局安監(jiān)司、工信部國家工業(yè)信息安全發(fā)展研究中心、公安部一所網(wǎng)絡(luò)攻防實(shí)驗室五個部委單位網(wǎng)絡(luò)安全專家對“電建眼”項目進(jìn)行了評審，專家組對項目取得的成果高度肯定，并一致認(rèn)為電建眼的建設(shè)模式和應(yīng)用實(shí)效在行業(yè)內(nèi)，乃至央企范圍內(nèi)具有典型性和示范性，同意通過驗收。

此后，為全面落實(shí)中央、國務(wù)院關(guān)于增強(qiáng)國企抗風(fēng)險能力和保障國家安全的決策部署，中國電建按照“成員單位自身感知、數(shù)據(jù)本地采集、集團(tuán)統(tǒng)一匯總、集中監(jiān)控上報”的原則，逐步覆蓋完成成員單位側(cè)電建眼網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)建設(shè)，并將成員單位本地采集數(shù)據(jù)上報至集團(tuán)“電建眼”平臺，實(shí)現(xiàn)數(shù)據(jù)統(tǒng)一匯總。集團(tuán)總部“電建眼”平臺按照《國資國企網(wǎng)絡(luò)信息安全在線監(jiān)管平臺企業(yè)側(cè)技術(shù)規(guī)范》要求的接口標(biāo)準(zhǔn)進(jìn)行改造后，與集團(tuán)總部本地部署的在線監(jiān)管平臺對接融合，向國資委監(jiān)管平臺上報所需數(shù)據(jù)，實(shí)現(xiàn)信息情報共享。由此，“電建眼”平臺發(fā)揮了統(tǒng)一采集、統(tǒng)一上報、統(tǒng)一監(jiān)測的關(guān)鍵作用。

國資國企網(wǎng)絡(luò)信息安全在線監(jiān)管平臺融合架構(gòu)圖

電建眼在實(shí)戰(zhàn)中屢立奇功 未來重點(diǎn)是增強(qiáng)AI能力

實(shí)戰(zhàn)是效果的最好檢驗。在最近幾年的實(shí)戰(zhàn)攻防演習(xí)中，電建眼立下了赫赫戰(zhàn)功，有70%-80%的攻擊行為，都是由電建眼第一時間檢測發(fā)現(xiàn)并告警，繼而協(xié)同聯(lián)動其他產(chǎn)品進(jìn)行攔截，這也使得中國電建在連續(xù)3年實(shí)戰(zhàn)攻防演習(xí)中，都取得了優(yōu)異成績。

“安全工作，永遠(yuǎn)在路上。”王海濤表示，“針對攻擊手段日新月異的外部嚴(yán)峻環(huán)境，中國電建希望電建眼融入更多的AI能力，逐漸減少在實(shí)戰(zhàn)攻防中對于人的過度依賴。尤其在流量和日志的數(shù)據(jù)分析方面，運(yùn)用更多的機(jī)器學(xué)習(xí)、人工智能等技術(shù)，實(shí)現(xiàn)基于機(jī)器的分析研判，從而實(shí)現(xiàn)無人操控的‘眼腦手’聯(lián)動。”

對于中國電建網(wǎng)絡(luò)安全建設(shè)的當(dāng)下和未來任務(wù)，王海濤表示，“目前電建眼已經(jīng)完成了二級單位的全覆蓋，未來2-3年將逐步下鉆到更多成員單位和項目部，從而形成集團(tuán)立體式的網(wǎng)絡(luò)安全態(tài)勢感知體系，補(bǔ)齊分支單位的安全短板，提升全集團(tuán)的整體主動防御能力，保障數(shù)字化轉(zhuǎn)型行穩(wěn)致遠(yuǎn)。

生成海報

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進(jìn)一步核實(shí)，并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實(shí)內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。