如此不需要人工干預(yù)響應(yīng)的智能化網(wǎng)絡(luò)安全防護,就是中國電建(中國電力建設(shè)集團有限公司)當前正在構(gòu)建的整體防御體系。在中國電建看來,網(wǎng)絡(luò)安全需要“眼、腦、手”并用,應(yīng)該具備一定的AI水平,甚至可以在不依賴人的條件下,迅速完成檢測發(fā)現(xiàn)、阻斷攔截、溯源分析等防護措施。
中國電建成立于2011年,是全球清潔低碳能源、水資源與環(huán)境建設(shè)領(lǐng)域的引領(lǐng)者,服務(wù)“一帶一路”建設(shè)的龍頭企業(yè)。2021年《財富》世界500強企業(yè)第107位。
(圖片來自網(wǎng)絡(luò))
中國電建是國有資產(chǎn)監(jiān)督管理委員會直接管理的中央企業(yè),擁有63家二級單位,業(yè)務(wù)涉及水利電力工程及基礎(chǔ)設(shè)施投融資、規(guī)劃設(shè)計、工程施工、裝備制造、運營管理等等,引用中國電建董事長丁焰章的一句話說,就是“懂水熟電、擅規(guī)劃設(shè)計、長施工建造、能投資運營”。
在“云大物移智”等新技術(shù)風起云涌的數(shù)字時代,中國電建的數(shù)字化轉(zhuǎn)型走在了同行前列,借助數(shù)字技術(shù)不斷提升企業(yè)的精益化生產(chǎn)、數(shù)字化建造、現(xiàn)代化管理和智能化決策能力。在這個過程中,網(wǎng)絡(luò)安全的重要性日益凸顯,中國電建始終將網(wǎng)絡(luò)安全作為數(shù)字化轉(zhuǎn)型的底板工程,其中包括通過部署以奇安信態(tài)勢感知與運營平臺(NGSOC)為基礎(chǔ)的“電建眼”,實現(xiàn)了從傳統(tǒng)防護到主動對抗檢測的跨越,為打造國資國企一體化網(wǎng)絡(luò)安全保障體系奠定基石。
一次域名事件 推動中國電建從基礎(chǔ)安全到縱深防御
回顧中國電建的網(wǎng)絡(luò)安全建設(shè)歷程,可以說從集團2011年成立開始,網(wǎng)絡(luò)安全就已經(jīng)同步推進。據(jù)中國電建信息化管理部副主任王海濤介紹,電建的網(wǎng)絡(luò)安全建設(shè)可以分為四個階段,其中第一階段是2011年到2013年,旨在為集團構(gòu)筑網(wǎng)絡(luò)安全基礎(chǔ)能力。該階段,電建按照“急用先行”原則,圍繞網(wǎng)絡(luò)終端開展了主機安全、防病毒、主機加固、防篡改等安全能力的建設(shè)。
這些防護應(yīng)對一些日常的黑客、病毒攻擊可以說是游刃有余,但面對有組織、有預(yù)謀的復(fù)雜攻擊,還顯得有些力不從心。
“網(wǎng)絡(luò)攻擊曾給我們造成過切身之痛。” 王海濤回憶道。“大約在2014年北京APEC會議期間,我正在西安出差,突然接到電話,說網(wǎng)站被篡改了,替換成了不良圖片,影響非常惡劣。當天晚上,我就改變行程飛回北京緊急處理。”
“經(jīng)過排查,原因是有一個域名被黑客篡改,導(dǎo)致該域名下的網(wǎng)站就出現(xiàn)故障。由于種種因素,通過各種措施都未能解決,最終找到了奇安信安服團隊,借助后者提供的DNS解析故障修復(fù)方案,確保域名不被污染,官網(wǎng)很快恢復(fù)了正常,問題得以徹底解決。”
“從這個事情可以看出,網(wǎng)絡(luò)安全是一項非常專業(yè)的工作,僅依靠被動防守措施和自身安全力量還是不夠的。”
2014年到2016年,中國電建跨入了第二階段,即大規(guī)模建設(shè)階段:一方面是從管理的角度,完善組織機構(gòu),包括搭建領(lǐng)導(dǎo)機構(gòu),進行人員意識培訓(xùn)管理提升等;另一方面,就是從技術(shù)角度,建設(shè)縱深防御的技防體系,包括:系統(tǒng)安全、應(yīng)用安全、身份安全、數(shù)據(jù)安全、邊界安全和分權(quán)分域等。
自此,中國電建已經(jīng)建成了從管理到技術(shù)的大縱深防御體系,極大提升了集團信息化平臺的網(wǎng)絡(luò)安全能力。
縱深防御難以應(yīng)對高級威脅 “電建眼”應(yīng)運而生
“道高一尺,魔高一丈。”自國內(nèi)安全機構(gòu)捕獲海蓮花APT組織攻擊之后,2016年開始,各類APT(高級可持續(xù)威脅)屢次被發(fā)現(xiàn),給政府、央企機構(gòu)造成極大威脅,也給被動防護為主的縱深防御體系帶來了新挑戰(zhàn)。
據(jù)王海濤回憶,當時中國電建已完成了縱深防御的部署,安全能力得到顯著提升,但實際運行中還存在五大方面問題:資產(chǎn)繁多難管理、運維數(shù)據(jù)巨大、威脅發(fā)現(xiàn)能力不足、安全威脅不可見、缺乏聯(lián)動防御等。加上《十三五國家信息化規(guī)劃》中重點強調(diào)了網(wǎng)絡(luò)安全攻防的全面性,以及對動態(tài)網(wǎng)絡(luò)安全的全天候全方位的態(tài)勢感知能力,因此,構(gòu)建積極主動的防御體系,被中國電建提上了日程。
從2017年起,中國電建邁入第三階段,即精細化管理與運維階段。該階段充分采用云計算、大數(shù)據(jù)、態(tài)勢感知和威脅情報等新技術(shù),強化新IT環(huán)境下的安全防護和態(tài)勢感知能力建設(shè),提高網(wǎng)絡(luò)安全的精細化管理水平。
為了在網(wǎng)絡(luò)攻防對抗中變被動為主動,中國電建在符合國家要求、集團規(guī)劃前提下,建立威脅可知、威脅可查、應(yīng)急可控、服務(wù)可靠、管控可視的大數(shù)據(jù)預(yù)警監(jiān)測分析及防御系統(tǒng),即“電建眼”平臺。
具體實現(xiàn)上,“電建眼”以態(tài)勢感知與安全運營平臺(NGSOC)為核心,匯集各類數(shù)據(jù),包括原始流量日志、安全設(shè)備日志、系統(tǒng)日志、終端日志等,利用流量檢測引擎、關(guān)聯(lián)分析引擎、威脅情報等技術(shù)手段對政企內(nèi)部網(wǎng)絡(luò)進行持續(xù)安全監(jiān)測。發(fā)現(xiàn)安全事件后,可進行研判及溯源,同時可通過NGSOC與EDR/NDR聯(lián)動機制及專家服務(wù)對事件進行及時響應(yīng)處置,實現(xiàn)安全運營能力的落地。
可以說,“電建眼”完成了從威脅發(fā)現(xiàn)、研判、分析溯源到響應(yīng)處置的安全業(yè)務(wù)閉環(huán),從而助力中國電建從縱深防御邁向主動防御階段。
“眼腦手”聯(lián)動實現(xiàn)五大能力 并向集團分支機構(gòu)普及
目前,以NGSOC為基礎(chǔ)的電建眼,已經(jīng)在中國電建總部順利實施,逐步構(gòu)建了IT資產(chǎn)管理能力、安全大數(shù)據(jù)整合能力、智能分析與回溯能力、安全威脅可視化能力、協(xié)同防御聯(lián)動能力等五大能力。并在2018年的數(shù)博會上,獲得了“大數(shù)據(jù)安全優(yōu)秀案例”以及中國信息協(xié)會頒發(fā)的“電力企業(yè)信息安全管理創(chuàng)新成果三等獎”。
王海濤用“眼腦手”來形象的比喻中國電建的技術(shù)防護體系。“眼”主要指全方位的監(jiān)控和檢測能力。即需要“眼觀六路”,知道攻擊者“在哪兒干”、“誰在干”、“干了啥”、“啥結(jié)果”。例如是生產(chǎn)系統(tǒng)、客戶系統(tǒng)、供應(yīng)鏈系統(tǒng)、財務(wù)系統(tǒng)哪里受到攻擊,攻擊者的身份和行為是誰,造成什么結(jié)果等。這項工作主要由“電建眼”來完成。
“腦”主要指多維度的分析。由“智慧中樞”來完成,它主要完成用戶風險分析,行為風險分析、事后調(diào)查取證,實現(xiàn)分析溯源等,為響應(yīng)處置提供指揮決策基礎(chǔ)。這項工作既需要機器來自動化分析處理、直觀可視展現(xiàn),更依賴于安全運維、分析師的日常處置和分析研判,以及安全負責人和領(lǐng)導(dǎo)的指揮決策。
“手”體現(xiàn)的最快速的響應(yīng)和執(zhí)行。一旦發(fā)現(xiàn)攻擊,準確分析和定位之后,能夠最短時間阻斷攻擊,并實現(xiàn)應(yīng)急響應(yīng),將損失降至最低。該項工作需要由終端安全天擎、邊界安全防火墻組成的電建盾來完成,通過協(xié)同聯(lián)動實現(xiàn)縱深防護。
概括來說,電建眼負責看見威脅,大腦通過分析研判來揪出威脅,最終由電建盾阻斷威脅,實現(xiàn)全天候全方位的感知網(wǎng)絡(luò)安全態(tài)勢,形成“人+機+服務(wù)” 的主動防御體系,提升整體安全綜合能力。
“眼腦手”聯(lián)動能力的實現(xiàn),標志著中國電建已經(jīng)完成網(wǎng)絡(luò)安全建設(shè)的第四階段:針對新IT環(huán)境安全防護風險態(tài)勢感知。
中國電建集團邀請了公安部網(wǎng)絡(luò)安全保衛(wèi)局、國資委綜合局、國家能源局安監(jiān)司、工信部國家工業(yè)信息安全發(fā)展研究中心、公安部一所網(wǎng)絡(luò)攻防實驗室五個部委單位網(wǎng)絡(luò)安全專家對“電建眼”項目進行了評審,專家組對項目取得的成果高度肯定,并一致認為電建眼的建設(shè)模式和應(yīng)用實效在行業(yè)內(nèi),乃至央企范圍內(nèi)具有典型性和示范性,同意通過驗收。
此后,為全面落實中央、國務(wù)院關(guān)于增強國企抗風險能力和保障國家安全的決策部署,中國電建按照“成員單位自身感知、數(shù)據(jù)本地采集、集團統(tǒng)一匯總、集中監(jiān)控上報”的原則,逐步覆蓋完成成員單位側(cè)電建眼網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)建設(shè),并將成員單位本地采集數(shù)據(jù)上報至集團“電建眼”平臺,實現(xiàn)數(shù)據(jù)統(tǒng)一匯總。集團總部“電建眼”平臺按照《國資國企網(wǎng)絡(luò)信息安全在線監(jiān)管平臺企業(yè)側(cè)技術(shù)規(guī)范》要求的接口標準進行改造后,與集團總部本地部署的在線監(jiān)管平臺對接融合,向國資委監(jiān)管平臺上報所需數(shù)據(jù),實現(xiàn)信息情報共享。由此,“電建眼”平臺發(fā)揮了統(tǒng)一采集、統(tǒng)一上報、統(tǒng)一監(jiān)測的關(guān)鍵作用。
國資國企網(wǎng)絡(luò)信息安全在線監(jiān)管平臺融合架構(gòu)圖
電建眼在實戰(zhàn)中屢立奇功 未來重點是增強AI能力
實戰(zhàn)是效果的最好檢驗。在最近幾年的實戰(zhàn)攻防演習中,電建眼立下了赫赫戰(zhàn)功,有70%-80%的攻擊行為,都是由電建眼第一時間檢測發(fā)現(xiàn)并告警,繼而協(xié)同聯(lián)動其他產(chǎn)品進行攔截,這也使得中國電建在連續(xù)3年實戰(zhàn)攻防演習中,都取得了優(yōu)異成績。
“安全工作,永遠在路上。”王海濤表示,“針對攻擊手段日新月異的外部嚴峻環(huán)境,中國電建希望電建眼融入更多的AI能力,逐漸減少在實戰(zhàn)攻防中對于人的過度依賴。尤其在流量和日志的數(shù)據(jù)分析方面,運用更多的機器學習、人工智能等技術(shù),實現(xiàn)基于機器的分析研判,從而實現(xiàn)無人操控的‘眼腦手’聯(lián)動。”
對于中國電建網(wǎng)絡(luò)安全建設(shè)的當下和未來任務(wù),王海濤表示,“目前電建眼已經(jīng)完成了二級單位的全覆蓋,未來2-3年將逐步下鉆到更多成員單位和項目部,從而形成集團立體式的網(wǎng)絡(luò)安全態(tài)勢感知體系,補齊分支單位的安全短板,提升全集團的整體主動防御能力,保障數(shù)字化轉(zhuǎn)型行穩(wěn)致遠。