股票簡稱:奇安信 股票程式碼:688561
如何購買 7*24小時應急響應 +86(10)57836300 中文-繁体 登入 註冊
奇安信集團
首頁 > 企業動態 > 公司新聞 > 四個轉變 看能源巨頭國家電投的網絡安全運營之路

企業動態

四個轉變 看能源巨頭國家電投的網絡安全運營之路

釋出日期:2021-03-01 作者:奇安信

分享到:

“在網絡安全運營這條道路上,國內幾乎沒有能借鑑的行業成熟先例,沒有可參考的成功經驗模式,只有通過自己的探索,才能找到適合集團自身的運營模式。”

國家電投集團信息技術有限公司網絡安全部副總經理(國家電投集團網絡信息安全實驗室副主任)張萌多次提及“探索”這個詞語,概括了這家清潔能源巨頭在安全運營實踐中的心路歷程。


作為我國五大發電集團之一,國家電投集團(全稱為國家電力投資集團有限公司),是中央直接管理的特大型國有重要骨幹企業,肩負保障國家能源安全的重大責任,致力於建設具有全球競爭力的世界一流清潔能源企業。

2020年,國家電投在世界500強企業中位列316位,業務範圍覆蓋46個國家和地區,現有員工總數13萬人,擁有62家二級單位,其中5家A股上市公司、1家香港紅籌股公司和2家新三板掛牌交易公司。

在信息化和網絡安全方面,國家電投一直按照價值導向、問題導向砥礪前行。早在2016年,當網絡安全防護建設仍處於設備堆砌階段之時,國家電投就已意識到運營的緊迫性和必要性,並率先開啓了安全運營探索之路。

從產品堆疊到運營為先

在運營為先的思想指導下,2016年開始,國家電投逐步建立了覆蓋全集團大部分單位的SIEM(安全信息和事件管理)平台,以大數據作為底層架構,採集全量系統日誌,實現安全事件的監控和應急處理。

然而,安全團隊很快發現,SIEM想要充分發揮自身的價值有着很大的侷限性:作為彼時最炙手可熱的安全產品和技術之一,SIEM需要依賴高質量的日誌,從中找出潛在的非法行為。

很快一個難題就出現了,也就是日誌採集。日誌採集絕非“眉毛鬍子一把抓”的過程,這其中涉及到日誌的類型、內容、存儲、檢索、分析,以及跨部門的協調、管理等等諸多挑戰,都需要安全團隊一一解決。

在當時的情況下,這些問題都很棘手。” 張萌表示,“不能否認SIEM是好產品,但缺乏有效的安全運營手段。就像一個廚師,應當按着自己心中的菜譜搭配食材,而不是對着雜亂無章的廚房,構思着虛無縹緲的滿漢全席。”

從合規驅動到實戰導向


圖 國家電投綜合安全態勢大屏

在資產梳理及漏洞修復方面,NGSOC上線至今,持續梳理總部資產及下級單位資產、網段信息,對多個系統進行漏洞檢測、修復及複測,修復率高達91%。
而在2020年網絡攻防實戰演習中,運營團隊通過NGSOC對威脅告警進行監測分析,發現並處置安全威脅事件65件,結合威脅情報信息共封禁攻擊IP地址74667個,提交防守報告16份,圓滿完成了防守任務。

從局部實踐到規模化推廣

當國家電投通過集團數據中心以及數家二級單位,完成探索成功的第一步之後,下一步的任務,就是按照集團公司統籌規劃,將該模式推廣到整個集團。


圖 國家電投安全運營框架圖

據介紹,目前安全運營中心主要覆蓋了數家單位,包括集團數據中心、中國電力、成套公司、山東核電、姚孟電廠、橫琴熱電、重燃公司等等。按照集團規劃,2021年,計劃在集團範圍全面擴展覆蓋,堪稱近百倍級的量級擴張。

“量變勢必帶來質變,隨着未來集團安全運營中心的建立,將面臨效果和效率的雙重挑戰。”張萌表示。

首先是效率方面的挑戰。

目前,網絡安全運營在集團數據中心已經穩定,每天產生2億多條日誌,告警歸併之後,大約2000多條告警。這些告警主要依賴於專業人員來分析處理,效率比較低。

在規模化後,預估日均告警數量將有數十倍甚至百倍的提升,投入數十倍的員工當然是不現實的,因此必須提升安全運營的效率。例如整合NGSOC平台和主機安全系統,實現安全威脅告警自動化分析判斷;再例如面對歷史同類的告警,系統按照現有的SOP執行自動化的分析判斷。

“在這個問題上,我們也在測試最近比較火熱的SOAR產品。從技術理念上來説,我們將所有的安全產品劃分為三個階段使用,‘ 感知’階段、‘ 分析與輔助決策’階段、‘ 行動’階段。SOAR能提供自動化安全編排和響應能力,我們將SOAR定位為‘ 分析與輔助決策’階段和‘ 行動’階段的‘ 執行管家’,希望能在規模化運營時期,大幅度提升我們安全運營的分析與行動效率。”

第二是來自效果的挑戰。

隨着規模越來越大,網絡環境越來越複雜,威脅數量、攻擊形式都會激烈增加,安全運營需要對威脅預警和脆弱性,實現更全面、更精準的發現和處理。

如何解決這些問題,國家電投已探索了很多經驗。舉例來説,在日常和實戰攻防演習期間,國家電投優先修補有公開POC或者EXP的漏洞(即已驗證可被利用的漏洞),而不是追求大而全、修補所有漏洞,這樣能在投入(工作量)和安全風險之間尋求相對平衡,在儘量降低安全風險的同時,又符合安全運營的投入產出比原則。

同時,國家電投非常注重場景積累和經驗複用。張萌表示,沒有絕對的網絡安全,將所有未知的威脅全部阻斷是非常不現實的,因此我們的重點目標,是避免系統被相同的攻擊手法打穿兩次,不能在一個問題上反覆栽跟頭。所以遇到一類問題,一類場景,都將其沉澱下來,形成標準化的SOP積累,為將來全面走向系統化提供基礎。

截至目前,國家電投安全運營團隊總結出了12類大場景,若干個小場景,並將其運營工作固化下來,以便能夠讓新的安全運營人員快速上手複用,滿足規模增長和人數增長的需求。同時為系統功能更新、SOAR自動化編排等做準備,實現自動化編排,顯著提升效率。

從能力輸出到價值共鳴

“沿着舊地圖,找不到新大陸”。

探索的道路註定佈滿荊棘,在網絡安全運營這條路上,有國內領先安全企業的持續參與,國家電投走的並不孤獨。

張萌表示,“我們選擇合作伙伴,不單考慮對方的產品和技術能力,更要考慮雙方是否有共同的運營價值觀和運營理念。”

展望“十四五”期間,張萌提到,國家電投將繼續堅持高標準要求、高目標定位、高水準建設理念,在“十三五”基礎上,構建一體化的安全管控體系、安全技防體系、安全運行體系,全面實現“由被動防護轉向主動防禦、由靜態保護轉向動態保障、由加固監測轉向安全可控”的三個轉變,打造“精細化安全管控、體系化主動防禦、實戰化安全運行”的總體效果,為集團公司建設具有全球競爭力的世界一流清潔能源企業,提供強有力的支撐保障。