奇安信助力中國(guó)電建 打造網(wǎng)絡(luò)安全的“四級(jí)跳”

午夜兩點(diǎn),某個(gè)攻擊組織利用一個(gè)0day漏洞攻入企業(yè)內(nèi)網(wǎng),正欲進(jìn)行橫向滲透之時(shí),觸發(fā)報(bào)警,迅速被防火墻、終端EDR等聯(lián)合阻斷攔截,并被溯源鎖定,整個(gè)防護(hù)一氣呵成密不透風(fēng),攻擊宣告完?。?/p>

如此不需要人工干預(yù)響應(yīng)的智能化網(wǎng)絡(luò)安全防護(hù),就是中國(guó)電建(中國(guó)電力建設(shè)集團(tuán)有限公司)當(dāng)前正在構(gòu)建的整體防御體系。在中國(guó)電建看來,網(wǎng)絡(luò)安全需要“眼、腦、手”并用,應(yīng)該具備一定的AI水平,甚至可以在不依賴人的條件下,迅速完成檢測(cè)發(fā)現(xiàn)、阻斷攔截、溯源分析等防護(hù)措施。

中國(guó)電建成立于2011年,是全球清潔低碳能源、水資源與環(huán)境建設(shè)領(lǐng)域的引領(lǐng)者,服務(wù)“一帶一路”建設(shè)的龍頭企業(yè)。2021年《財(cái)富》世界500強(qiáng)企業(yè)第107位。

(圖片來自網(wǎng)絡(luò))

中國(guó)電建擁有63家二級(jí)單位,業(yè)務(wù)涉及水利電力工程及基礎(chǔ)設(shè)施投融資、規(guī)劃設(shè)計(jì)、工程施工、裝備制造、運(yùn)營(yíng)管理等等,引用中國(guó)電建董事長(zhǎng)丁焰章的一句話說,就是“懂水熟電、擅規(guī)劃設(shè)計(jì)、長(zhǎng)施工建造、能投資運(yùn)營(yíng)”。

在“云大物移智”等新技術(shù)風(fēng)起云涌的數(shù)字時(shí)代,中國(guó)電建的數(shù)字化轉(zhuǎn)型走在了同行前列,借助數(shù)字技術(shù)不斷提升企業(yè)的精益化生產(chǎn)、數(shù)字化建造、現(xiàn)代化管理和智能化決策能力。在這個(gè)過程中,網(wǎng)絡(luò)安全的重要性日益凸顯,中國(guó)電建始終將網(wǎng)絡(luò)安全作為數(shù)字化轉(zhuǎn)型的底板工程,其中包括通過部署以奇安信態(tài)勢(shì)感知與運(yùn)營(yíng)平臺(tái)(NGSOC)為基礎(chǔ)的“電建眼”,實(shí)現(xiàn)了從傳統(tǒng)防護(hù)到主動(dòng)對(duì)抗檢測(cè)的跨越,為打造國(guó)資國(guó)企一體化網(wǎng)絡(luò)安全保障體系奠定基石。

一次域名事件 推動(dòng)中國(guó)電建從基礎(chǔ)安全到縱深防御

回顧中國(guó)電建的網(wǎng)絡(luò)安全建設(shè)歷程,可以說從集團(tuán)2011年成立開始,網(wǎng)絡(luò)安全就已經(jīng)同步推進(jìn)。據(jù)中國(guó)電建信息化管理部副主任王海濤介紹,電建的網(wǎng)絡(luò)安全建設(shè)可以分為四個(gè)階段,其中第一階段是2011年到2013年,旨在為集團(tuán)構(gòu)筑網(wǎng)絡(luò)安全基礎(chǔ)能力。該階段,電建按照“急用先行”原則,圍繞網(wǎng)絡(luò)終端開展了主機(jī)安全、防病毒、主機(jī)加固、防篡改等安全能力的建設(shè)。

這些防護(hù)應(yīng)對(duì)一些日常的黑客、病毒攻擊可以說是游刃有余,但面對(duì)有組織、有預(yù)謀的復(fù)雜攻擊,還顯得有些力不從心。

“網(wǎng)絡(luò)攻擊曾給我們?cè)斐蛇^切身之痛。” 王海濤回憶道。“大約在2014年北京APEC會(huì)議期間,我正在西安出差,突然接到電話,說網(wǎng)站被篡改了,替換成了不良圖片,影響非常惡劣。當(dāng)天晚上,我就改變行程飛回北京緊急處理。”

“經(jīng)過排查,原因是有一個(gè)域名被黑客篡改,導(dǎo)致該域名下的網(wǎng)站就出現(xiàn)故障。由于種種因素,通過各種措施都未能解決,最終找到了奇安信安服團(tuán)隊(duì),借助后者提供的DNS解析故障修復(fù)方案,確保域名不被污染,官網(wǎng)很快恢復(fù)了正常,問題得以徹底解決。”

“從這個(gè)事情可以看出,網(wǎng)絡(luò)安全是一項(xiàng)非常專業(yè)的工作,僅依靠被動(dòng)防守措施和自身安全力量還是不夠的。”

2014年到2016年,中國(guó)電建跨入了第二階段,即大規(guī)模建設(shè)階段:一方面是從管理的角度,完善組織機(jī)構(gòu),包括搭建領(lǐng)導(dǎo)機(jī)構(gòu),進(jìn)行人員意識(shí)培訓(xùn)管理提升等;另一方面,就是從技術(shù)角度,建設(shè)縱深防御的技防體系,包括:系統(tǒng)安全、應(yīng)用安全、身份安全、數(shù)據(jù)安全、邊界安全和分權(quán)分域等。

自此,中國(guó)電建已經(jīng)建成了從管理到技術(shù)的大縱深防御體系,極大提升了集團(tuán)信息化平臺(tái)的網(wǎng)絡(luò)安全能力。

縱深防御難以應(yīng)對(duì)高級(jí)威脅 “電建眼”應(yīng)運(yùn)而生

“道高一尺,魔高一丈。”自國(guó)內(nèi)安全機(jī)構(gòu)捕獲海蓮花APT組織攻擊之后,2016年開始,各類APT(高級(jí)可持續(xù)威脅)屢次被發(fā)現(xiàn),給政府、央企機(jī)構(gòu)造成極大威脅,也給被動(dòng)防護(hù)為主的縱深防御體系帶來了新挑戰(zhàn)。

據(jù)王海濤回憶,當(dāng)時(shí)中國(guó)電建已完成了縱深防御的部署,安全能力得到顯著提升,但實(shí)際運(yùn)行中還存在五大方面問題:資產(chǎn)繁多難管理、運(yùn)維數(shù)據(jù)巨大、威脅發(fā)現(xiàn)能力不足、安全威脅不可見、缺乏聯(lián)動(dòng)防御等。加上《十三五國(guó)家信息化規(guī)劃》中重點(diǎn)強(qiáng)調(diào)了網(wǎng)絡(luò)安全攻防的全面性,以及對(duì)動(dòng)態(tài)網(wǎng)絡(luò)安全的全天候全方位的態(tài)勢(shì)感知能力,因此,構(gòu)建積極主動(dòng)的防御體系,被中國(guó)電建提上了日程。

從2017年起,中國(guó)電建邁入第三階段,即精細(xì)化管理與運(yùn)維階段。該階段充分采用云計(jì)算、大數(shù)據(jù)、態(tài)勢(shì)感知和威脅情報(bào)等新技術(shù),強(qiáng)化新IT環(huán)境下的安全防護(hù)和態(tài)勢(shì)感知能力建設(shè),提高網(wǎng)絡(luò)安全的精細(xì)化管理水平。

為了在網(wǎng)絡(luò)攻防對(duì)抗中變被動(dòng)為主動(dòng),中國(guó)電建在符合國(guó)家要求、集團(tuán)規(guī)劃前提下,建立威脅可知、威脅可查、應(yīng)急可控、服務(wù)可靠、管控可視的大數(shù)據(jù)預(yù)警監(jiān)測(cè)分析及防御系統(tǒng),即“電建眼”平臺(tái)。

具體實(shí)現(xiàn)上,“電建眼”以態(tài)勢(shì)感知與安全運(yùn)營(yíng)平臺(tái)(NGSOC)為核心,匯集各類數(shù)據(jù),包括原始流量日志、安全設(shè)備日志、系統(tǒng)日志、終端日志等,利用流量檢測(cè)引擎、關(guān)聯(lián)分析引擎、威脅情報(bào)等技術(shù)手段對(duì)政企內(nèi)部網(wǎng)絡(luò)進(jìn)行持續(xù)安全監(jiān)測(cè)。發(fā)現(xiàn)安全事件后,可進(jìn)行研判及溯源,同時(shí)可通過NGSOC與EDR/NDR聯(lián)動(dòng)機(jī)制及專家服務(wù)對(duì)事件進(jìn)行及時(shí)響應(yīng)處置,實(shí)現(xiàn)安全運(yùn)營(yíng)能力的落地。

可以說,“電建眼”完成了從威脅發(fā)現(xiàn)、研判、分析溯源到響應(yīng)處置的安全業(yè)務(wù)閉環(huán),從而助力中國(guó)電建從縱深防御邁向主動(dòng)防御階段。

“眼腦手”聯(lián)動(dòng)實(shí)現(xiàn)五大能力 并向集團(tuán)分支機(jī)構(gòu)普及

目前,以NGSOC為基礎(chǔ)的電建眼,已經(jīng)在中國(guó)電建總部順利實(shí)施,逐步構(gòu)建了IT資產(chǎn)管理能力、安全大數(shù)據(jù)整合能力、智能分析與回溯能力、安全威脅可視化能力、協(xié)同防御聯(lián)動(dòng)能力等五大能力。并在2018年的數(shù)博會(huì)上,獲得了“大數(shù)據(jù)安全優(yōu)秀案例”以及中國(guó)信息協(xié)會(huì)頒發(fā)的“電力企業(yè)信息安全管理創(chuàng)新成果三等獎(jiǎng)”。

王海濤用“眼腦手”來形象的比喻中國(guó)電建的技術(shù)防護(hù)體系。“眼”主要指全方位的監(jiān)控和檢測(cè)能力。即需要“眼觀六路”,知道攻擊者“在哪兒干”、“誰在干”、“干了啥”、“啥結(jié)果”。例如是生產(chǎn)系統(tǒng)、客戶系統(tǒng)、供應(yīng)鏈系統(tǒng)、財(cái)務(wù)系統(tǒng)哪里受到攻擊,攻擊者的身份和行為是誰,造成什么結(jié)果等。這項(xiàng)工作主要由“電建眼”來完成。

“腦”主要指多維度的分析。由“智慧中樞”來完成,它主要完成用戶風(fēng)險(xiǎn)分析,行為風(fēng)險(xiǎn)分析、事后調(diào)查取證,實(shí)現(xiàn)分析溯源等,為響應(yīng)處置提供指揮決策基礎(chǔ)。這項(xiàng)工作既需要機(jī)器來自動(dòng)化分析處理、直觀可視展現(xiàn),更依賴于安全運(yùn)維、分析師的日常處置和分析研判,以及安全負(fù)責(zé)人和領(lǐng)導(dǎo)的指揮決策。

“手”體現(xiàn)的最快速的響應(yīng)和執(zhí)行。一旦發(fā)現(xiàn)攻擊,準(zhǔn)確分析和定位之后,能夠最短時(shí)間阻斷攻擊,并實(shí)現(xiàn)應(yīng)急響應(yīng),將損失降至最低。該項(xiàng)工作需要由終端安全天擎、邊界安全防火墻組成的電建盾來完成,通過協(xié)同聯(lián)動(dòng)實(shí)現(xiàn)縱深防護(hù)。

概括來說,電建眼負(fù)責(zé)看見威脅,大腦通過分析研判來揪出威脅,最終由電建盾阻斷威脅,實(shí)現(xiàn)全天候全方位的感知網(wǎng)絡(luò)安全態(tài)勢(shì),形成“人+機(jī)+服務(wù)” 的主動(dòng)防御體系,提升整體安全綜合能力。

“眼腦手”聯(lián)動(dòng)能力的實(shí)現(xiàn),標(biāo)志著中國(guó)電建已經(jīng)完成網(wǎng)絡(luò)安全建設(shè)的第四階段:針對(duì)新IT環(huán)境安全防護(hù)風(fēng)險(xiǎn)態(tài)勢(shì)感知。

中國(guó)電建集團(tuán)邀請(qǐng)了公安部網(wǎng)絡(luò)安全保衛(wèi)局、國(guó)資委綜合局、國(guó)家能源局安監(jiān)司、工信部國(guó)家工業(yè)信息安全發(fā)展研究中心、公安部一所網(wǎng)絡(luò)攻防實(shí)驗(yàn)室五個(gè)部委單位網(wǎng)絡(luò)安全專家對(duì)“電建眼”項(xiàng)目進(jìn)行了評(píng)審,專家組對(duì)項(xiàng)目取得的成果高度肯定,并一致認(rèn)為電建眼的建設(shè)模式和應(yīng)用實(shí)效在行業(yè)內(nèi),乃至央企范圍內(nèi)具有典型性和示范性,同意通過驗(yàn)收。

此后,為全面落實(shí)中央、國(guó)務(wù)院關(guān)于增強(qiáng)國(guó)企抗風(fēng)險(xiǎn)能力和保障國(guó)家安全的決策部署,中國(guó)電建按照“成員單位自身感知、數(shù)據(jù)本地采集、集團(tuán)統(tǒng)一匯總、集中監(jiān)控上報(bào)”的原則,逐步覆蓋完成成員單位側(cè)電建眼網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)建設(shè),并將成員單位本地采集數(shù)據(jù)上報(bào)至集團(tuán)“電建眼”平臺(tái),實(shí)現(xiàn)數(shù)據(jù)統(tǒng)一匯總。集團(tuán)總部“電建眼”平臺(tái)按照《國(guó)資國(guó)企網(wǎng)絡(luò)信息安全在線監(jiān)管平臺(tái)企業(yè)側(cè)技術(shù)規(guī)范》要求的接口標(biāo)準(zhǔn)進(jìn)行改造后,與集團(tuán)總部本地部署的在線監(jiān)管平臺(tái)對(duì)接融合,向國(guó)資委監(jiān)管平臺(tái)上報(bào)所需數(shù)據(jù),實(shí)現(xiàn)信息情報(bào)共享。由此,“電建眼”平臺(tái)發(fā)揮了統(tǒng)一采集、統(tǒng)一上報(bào)、統(tǒng)一監(jiān)測(cè)的關(guān)鍵作用。

國(guó)資國(guó)企網(wǎng)絡(luò)信息安全在線監(jiān)管平臺(tái)融合架構(gòu)圖

電建眼在實(shí)戰(zhàn)中屢立奇功 未來重點(diǎn)是增強(qiáng)AI能力

實(shí)戰(zhàn)是效果的最好檢驗(yàn)。在最近幾年的實(shí)戰(zhàn)攻防演習(xí)中,電建眼立下了赫赫戰(zhàn)功,有70%-80%的攻擊行為,都是由電建眼第一時(shí)間檢測(cè)發(fā)現(xiàn)并告警,繼而協(xié)同聯(lián)動(dòng)其他產(chǎn)品進(jìn)行攔截,這也使得中國(guó)電建在連續(xù)3年實(shí)戰(zhàn)攻防演習(xí)中,都取得了優(yōu)異成績(jī)。

“安全工作,永遠(yuǎn)在路上。”王海濤表示,“針對(duì)攻擊手段日新月異的外部嚴(yán)峻環(huán)境,中國(guó)電建希望電建眼融入更多的AI能力,逐漸減少在實(shí)戰(zhàn)攻防中對(duì)于人的過度依賴。尤其在流量和日志的數(shù)據(jù)分析方面,運(yùn)用更多的機(jī)器學(xué)習(xí)、人工智能等技術(shù),實(shí)現(xiàn)基于機(jī)器的分析研判,從而實(shí)現(xiàn)無人操控的‘眼腦手’聯(lián)動(dòng)。”

對(duì)于中國(guó)電建網(wǎng)絡(luò)安全建設(shè)的當(dāng)下和未來任務(wù),王海濤表示,“目前電建眼已經(jīng)完成了二級(jí)單位的全覆蓋,未來2-3年將逐步下鉆到更多成員單位和項(xiàng)目部,從而形成集團(tuán)立體式的網(wǎng)絡(luò)安全態(tài)勢(shì)感知體系,補(bǔ)齊分支單位的安全短板,提升全集團(tuán)的整體主動(dòng)防御能力,保障數(shù)字化轉(zhuǎn)型行穩(wěn)致遠(yuǎn)。

極客網(wǎng)企業(yè)會(huì)員

免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。

2022-01-05
奇安信助力中國(guó)電建 打造網(wǎng)絡(luò)安全的“四級(jí)跳”
中國(guó)電建成立于2011年,是全球清潔低碳能源、水資源與環(huán)境建設(shè)領(lǐng)域的引領(lǐng)者,服務(wù)“一帶一路”建設(shè)的龍頭企業(yè)。

長(zhǎng)按掃碼 閱讀全文