企業動態

    午夜兩點，某個攻擊組織利用一個0day漏洞攻入企業內網，正欲進行橫向滲透之時，觸發報警，迅速被防火牆、終端EDR等聯合阻斷攔截，並被溯源鎖定，整個防護一氣呵成密不透風，攻擊宣告完敗！

    如此不需要人工干預響應的智能化網絡安全防護，就是中國電建（中國電力建設集團有限公司）當前正在構建的整體防禦體系。在中國電建看來，網絡安全需要“眼、腦、手”並用，應該具備一定的AI水平，甚至可以在不依賴人的條件下，迅速完成檢測發現、阻斷攔截、溯源分析等防護措施。

    中國電建成立於2011年，是全球清潔低碳能源、水資源與環境建設領域的引領者，服務“一帶一路”建設的龍頭企業。2021年《財富》世界500強企業第107位。

    中國電建是國有資產監督管理委員會直接管理的中央企業，擁有63家二級單位，業務涉及水利電力工程及基礎設施投融資、規劃設計、工程施工、裝備製造、運營管理等等，引用中國電建董事長丁焰章的一句話説，就是“懂水熟電、擅規劃設計、長施工建造、能投資運營”。

    在“雲大物移智”等新技術風起雲湧的數字時代，中國電建的數字化轉型走在了同行前列，藉助數字技術不斷提升企業的精益化生產、數字化建造、現代化管理和智能化決策能力。

    在這個過程中，網絡安全的重要性日益凸顯，中國電建始終將網絡安全作為數字化轉型的底板工程，其中包括通過部署以奇安信態勢感知與運營平台（NGSOC）為基礎的“電建眼”，實現了從傳統防護到主動對抗檢測的跨越，為打造國資國企一體化網絡安全保障體系奠定基石。

    01

    一次域名事件

    推動中國電建從基礎安全到縱深防禦

    回顧中國電建的網絡安全建設歷程，可以説從集團2011年成立開始，網絡安全就已經同步推進。據中國電建信息化管理部副主任王海濤介紹，電建的網絡安全建設可以分為四個階段，其中第一階段是2011年到2013年，旨在為集團構築網絡安全基礎能力。該階段，電建按照“急用先行”原則，圍繞網絡終端開展了主機安全、防病毒、主機加固、防篡改等安全能力的建設。

    這些防護應對一些日常的黑客、病毒攻擊可以説是遊刃有餘，但面對有組織、有預謀的複雜攻擊，還顯得有些力不從心。

    “網絡攻擊曾給我們造成過切身之痛。”王海濤回憶道。“大約在2014年北京APEC會議期間，我正在西安出差，突然接到電話，説網站被篡改了，替換成了不良圖片，影響非常惡劣。當天晚上，我就改變行程飛回北京緊急處理。”“經過排查，原因是有一個域名被黑客篡改，導致該域名下的網站就出現故障。由於種種因素，通過各種措施都未能解決，最終找到了奇安信安服團隊，藉助後者提供的DNS解析故障修復方案，確保域名不被污染，官網很快恢復了正常，問題得以徹底解決。”“從這個事情可以看出，網絡安全是一項非常專業的工作，僅依靠被動防守措施和自身安全力量還是不夠的。”

    2014年到2016年，中國電建跨入了第二階段，即大規模建設階段：一方面是從管理的角度，完善組織機構，包括搭建領導機構，進行人員意識培訓管理提升等；另一方面，就是從技術角度，建設縱深防禦的技防體系，包括：系統安全、應用安全、身份安全、數據安全、邊界安全和分權分域等。

    自此，中國電建已經建成了從管理到技術的大縱深防禦體系，極大提升了集團信息化平台的網絡安全能力。

    02

    縱深防禦難以應對高級威脅

    “電建眼”應運而生

    “道高一尺，魔高一丈。”自國內安全機構捕獲海蓮花APT組織攻擊之後，2016年開始，各類APT（高級可持續威脅）屢次被發現，給政府、央企機構造成極大威脅，也給被動防護為主的縱深防禦體系帶來了新挑戰。

    據王海濤回憶，當時中國電建已完成了縱深防禦的部署，安全能力得到顯著提升，但實際運行中還存在五大方面問題：資產繁多難管理、運維數據巨大、威脅發現能力不足、安全威脅不可見、缺乏聯動防禦等。加上《十三五國家信息化規劃》中重點強調了網絡安全攻防的全面性，以及對動態網絡安全的全天候全方位的態勢感知能力，因此，構建積極主動的防禦體系，被中國電建提上了日程。

    從2017年起，中國電建邁入第三階段，即精細化管理與運維階段。該階段充分採用雲計算、大數據、態勢感知和威脅情報等新技術，強化新IT環境下的安全防護和態勢感知能力建設，提高網絡安全的精細化管理水平。

    為了在網絡攻防對抗中變被動為主動，中國電建在符合國家要求、集團規劃前提下，建立威脅可知、威脅可查、應急可控、服務可靠、管控可視的大數據預警監測分析及防禦系統，即“電建眼”平台。

    具體實現上，“電建眼”以態勢感知與安全運營平台（NGSOC）為核心，彙集各類數據，包括原始流量日誌、安全設備日誌、系統日誌、終端日誌等，利用流量檢測引擎、關聯分析引擎、威脅情報等技術手段對政企內部網絡進行持續安全監測。發現安全事件後，可進行研判及溯源，同時可通過NGSOC與EDR/NDR聯動機制及專家服務對事件進行及時響應處置，實現安全運營能力的落地。

    可以説，“電建眼”完成了從威脅發現、研判、分析溯源到響應處置的安全業務閉環，從而助力中國電建從縱深防禦邁向主動防禦階段。

    03

    “眼腦手”聯動實現五大能力

    並向集團分支機構普及

    目前，以NGSOC為基礎的電建眼，已經在中國電建總部順利實施，逐步構建了IT資產管理能力、安全大數據整合能力、智能分析與回溯能力、安全威脅可視化能力、協同防禦聯動能力等五大能力。並在2018年的數博會上，獲得了“大數據安全優秀案例”以及中國信息協會頒發的“電力企業信息安全管理創新成果三等獎”。

    王海濤用“眼腦手”來形象的比喻中國電建的技術防護體系。

    “眼”主要指全方位的監控和檢測能力。即需要“眼觀六路”，知道攻擊者“在哪兒幹”、“誰在幹”、“幹了啥”、“啥結果”。例如是生產系統、客户系統、供應鏈系統、財務系統哪裏瘦受到攻擊，攻擊者的身份和行為是誰，造成什麼結果等。這項工作主要由“電建眼”來完成。

    “腦”主要指多維度的分析。由“智慧中樞”來完成，它主要完成用户風險分析，行為風險分析、事後調查取證，實現分析溯源等，為響應處置提供指揮決策基礎。這項工作既需要機器來自動化分析處理、直觀可視展現，更依賴於安全運維、分析師的日常處置和分析研判，以及安全負責人和領導的指揮決策。

    “手”體現的最快速的響應和執行。一旦發現攻擊，準確分析和定位之後，能夠最短時間阻斷攻擊，並實現應急響應，將損失降至最低。該項工作需要由終端安全天擎、邊界安全防火牆組成的電建盾來完成，通過協同聯動實現縱深防護。

    概括來説，“電建眼”負責看見威脅，大腦通過分析研判來揪出威脅，最終由電建盾阻斷威脅，實現全天候全方位的感知網絡安全態勢，形成“人+機+服務”的主動防禦體系，提升整體安全綜合能力。

    “眼腦手”聯動能力的實現，標誌着中國電建已經完成網絡安全建設的第四階段：針對新IT環境安全防護風險態勢感知。

    中國電建集團邀請了公安部網絡安全保衞局、國資委綜合局、國家能源局安監司、工信部國家工業信息安全發展研究中心、公安部一所網絡攻防實驗室五個部委單位網絡安全專家對“電建眼”項目進行了評審，專家組對項目取得的成果高度肯定，並一致認為電建眼的建設模式和應用實效在行業內，乃至央企範圍內具有典型性和示範性，同意通過驗收。

    國資國企網絡信息安全在線監管平台融合架構圖

    此後，為全面落實中央、國務院關於增強國企抗風險能力和保障國家安全的決策部署，中國電建按照“成員單位自身感知、數據本地採集、集團統一彙總、集中監控上報”的原則，逐步覆蓋完成成員單位側電建眼網絡安全態勢感知系統建設，並將成員單位本地採集數據上報至集團“電建眼”平台，實現數據統一彙總。

    集團總部“電建眼”平台按照《國資國企網絡信息安全在線監管平台企業側技術規範》要求的接口標準進行改造後，與集團總部本地部署的在線監管平台對接融合，向國資委監管平台上報所需數據，實現信息情報共享。由此，“電建眼”平台發揮了統一採集、統一上報、統一監測的關鍵作用。

    04

    “電建眼”在實戰中屢立奇功

    未來重點是增強AI能力

    實戰是效果的最好檢驗。在最近幾年的實戰攻防演習中，“電建眼”立下了赫赫戰功，有70%~80%的攻擊行為，都是由“電建眼”第一時間檢測發現並告警，繼而協同聯動其他產品進行攔截，這也使得中國電建在連續3年實戰攻防演習中，都取得了優異成績。

    “安全工作，永遠在路上。”王海濤表示，“針對攻擊手段日新月異的外部嚴峻環境，中國電建希望電建眼融入更多的AI能力，逐漸減少在實戰攻防中對於人的過度依賴。尤其在流量和日誌的數據分析方面，運用更多的機器學習、人工智能等技術，實現基於機器的分析研判，從而實現無人操控的‘眼腦手’聯動。”

    對於中國電建網絡安全建設的當下和未來任務，王海濤表示，目前“電建眼”已經完成了二級單位的全覆蓋，未來2~3年將逐步下鑽到更多成員單位和項目部，從而形成集團立體式的網絡安全態勢感知體系，補齊分支單位的安全短板，提升全集團的整體主動防禦能力，保障數字化轉型行穩致遠。