首頁 > 企業動態 > 公司新聞 > 十年“四級跳” 中國電建如何打造網絡安全的“眼手腦”

十年“四級跳” 中國電建如何打造網絡安全的“眼手腦”

釋出日期:2022-01-04 作者:奇安信集团

分享到:


    午夜兩點,某個攻擊組織利用一個0day漏洞攻入企業內網,正欲進行橫向滲透之時,觸發報警,迅速被防火牆、終端EDR等聯合阻斷攔截,並被溯源鎖定,整個防護一氣呵成密不透風,攻擊宣告完敗!

    如此不需要人工干預響應的智能化網絡安全防護,就是中國電建(中國電力建設集團有限公司)當前正在構建的整體防禦體系。在中國電建看來,網絡安全需要“眼、腦、手”並用,應該具備一定的AI水平,甚至可以在不依賴人的條件下,迅速完成檢測發現、阻斷攔截、溯源分析等防護措施。

十年“四級跳” 中國電建如何打造網絡安全的“眼手腦”

    中國電建成立於2011年,是全球清潔低碳能源、水資源與環境建設領域的引領者,服務“一帶一路”建設的龍頭企業。2021年《財富》世界500強企業第107位。

    中國電建是國有資產監督管理委員會直接管理的中央企業,擁有63家二級單位,業務涉及水利電力工程及基礎設施投融資、規劃設計、工程施工、裝備製造、運營管理等等,引用中國電建董事長丁焰章的一句話説,就是“懂水熟電、擅規劃設計、長施工建造、能投資運營”。

    在“雲大物移智”等新技術風起雲湧的數字時代,中國電建的數字化轉型走在了同行前列,藉助數字技術不斷提升企業的精益化生產、數字化建造、現代化管理和智能化決策能力。

    在這個過程中,網絡安全的重要性日益凸顯,中國電建始終將網絡安全作為數字化轉型的底板工程,其中包括通過部署以奇安信態勢感知與運營平台(NGSOC)為基礎的“電建眼”,實現了從傳統防護到主動對抗檢測的跨越,為打造國資國企一體化網絡安全保障體系奠定基石。

    01

    一次域名事件

    推動中國電建從基礎安全到縱深防禦

    回顧中國電建的網絡安全建設歷程,可以説從集團2011年成立開始,網絡安全就已經同步推進。據中國電建信息化管理部副主任王海濤介紹,電建的網絡安全建設可以分為四個階段,其中第一階段是2011年到2013年,旨在為集團構築網絡安全基礎能力。該階段,電建按照“急用先行”原則,圍繞網絡終端開展了主機安全、防病毒、主機加固、防篡改等安全能力的建設。

    這些防護應對一些日常的黑客、病毒攻擊可以説是遊刃有餘,但面對有組織、有預謀的複雜攻擊,還顯得有些力不從心。

    “網絡攻擊曾給我們造成過切身之痛。”王海濤回憶道。“大約在2014年北京APEC會議期間,我正在西安出差,突然接到電話,説網站被篡改了,替換成了不良圖片,影響非常惡劣。當天晚上,我就改變行程飛回北京緊急處理。”“經過排查,原因是有一個域名被黑客篡改,導致該域名下的網站就出現故障。由於種種因素,通過各種措施都未能解決,最終找到了奇安信安服團隊,藉助後者提供的DNS解析故障修復方案,確保域名不被污染,官網很快恢復了正常,問題得以徹底解決。”“從這個事情可以看出,網絡安全是一項非常專業的工作,僅依靠被動防守措施和自身安全力量還是不夠的。”

    2014年到2016年,中國電建跨入了第二階段,即大規模建設階段:一方面是從管理的角度,完善組織機構,包括搭建領導機構,進行人員意識培訓管理提升等;另一方面,就是從技術角度,建設縱深防禦的技防體系,包括:系統安全、應用安全、身份安全、數據安全、邊界安全和分權分域等。


    自此,中國電建已經建成了從管理到技術的大縱深防禦體系,極大提升了集團信息化平台的網絡安全能力。

    02

    縱深防禦難以應對高級威脅

    “電建眼”應運而生

    “道高一尺,魔高一丈。”自國內安全機構捕獲海蓮花APT組織攻擊之後,2016年開始,各類APT(高級可持續威脅)屢次被發現,給政府、央企機構造成極大威脅,也給被動防護為主的縱深防禦體系帶來了新挑戰。

    據王海濤回憶,當時中國電建已完成了縱深防禦的部署,安全能力得到顯著提升,但實際運行中還存在五大方面問題:資產繁多難管理、運維數據巨大、威脅發現能力不足、安全威脅不可見、缺乏聯動防禦等。加上《十三五國家信息化規劃》中重點強調了網絡安全攻防的全面性,以及對動態網絡安全的全天候全方位的態勢感知能力,因此,構建積極主動的防禦體系,被中國電建提上了日程。

    從2017年起,中國電建邁入第三階段,即精細化管理與運維階段。該階段充分採用雲計算、大數據、態勢感知和威脅情報等新技術,強化新IT環境下的安全防護和態勢感知能力建設,提高網絡安全的精細化管理水平。

    為了在網絡攻防對抗中變被動為主動,中國電建在符合國家要求、集團規劃前提下,建立威脅可知、威脅可查、應急可控、服務可靠、管控可視的大數據預警監測分析及防禦系統,即“電建眼”平台。

    具體實現上,“電建眼”以態勢感知與安全運營平台(NGSOC)為核心,彙集各類數據,包括原始流量日誌、安全設備日誌、系統日誌、終端日誌等,利用流量檢測引擎、關聯分析引擎、威脅情報等技術手段對政企內部網絡進行持續安全監測。發現安全事件後,可進行研判及溯源,同時可通過NGSOC與EDR/NDR聯動機制及專家服務對事件進行及時響應處置,實現安全運營能力的落地。

    可以説,“電建眼”完成了從威脅發現、研判、分析溯源到響應處置的安全業務閉環,從而助力中國電建從縱深防禦邁向主動防禦階段。

    03

    “眼腦手”聯動實現五大能力

    並向集團分支機構普及

    目前,以NGSOC為基礎的電建眼,已經在中國電建總部順利實施,逐步構建了IT資產管理能力、安全大數據整合能力、智能分析與回溯能力、安全威脅可視化能力、協同防禦聯動能力等五大能力。並在2018年的數博會上,獲得了“大數據安全優秀案例”以及中國信息協會頒發的“電力企業信息安全管理創新成果三等獎”。

十年“四級跳” 中國電建如何打造網絡安全的“眼手腦”

十年“四級跳” 中國電建如何打造網絡安全的“眼手腦”

    王海濤用“眼腦手”來形象的比喻中國電建的技術防護體系。

    “眼”主要指全方位的監控和檢測能力。即需要“眼觀六路”,知道攻擊者“在哪兒幹”、“誰在幹”、“幹了啥”、“啥結果”。例如是生產系統、客户系統、供應鏈系統、財務系統哪裏瘦受到攻擊,攻擊者的身份和行為是誰,造成什麼結果等。這項工作主要由“電建眼”來完成。

十年“四級跳” 中國電建如何打造網絡安全的“眼手腦”

    “腦”主要指多維度的分析。由“智慧中樞”來完成,它主要完成用户風險分析,行為風險分析、事後調查取證,實現分析溯源等,為響應處置提供指揮決策基礎。這項工作既需要機器來自動化分析處理、直觀可視展現,更依賴於安全運維、分析師的日常處置和分析研判,以及安全負責人和領導的指揮決策。

    “手”體現的最快速的響應和執行。一旦發現攻擊,準確分析和定位之後,能夠最短時間阻斷攻擊,並實現應急響應,將損失降至最低。該項工作需要由終端安全天擎、邊界安全防火牆組成的電建盾來完成,通過協同聯動實現縱深防護。

十年“四級跳” 中國電建如何打造網絡安全的“眼手腦”

    概括來説,“電建眼”負責看見威脅,大腦通過分析研判來揪出威脅,最終由電建盾阻斷威脅,實現全天候全方位的感知網絡安全態勢,形成“人+機+服務”的主動防禦體系,提升整體安全綜合能力。

    “眼腦手”聯動能力的實現,標誌着中國電建已經完成網絡安全建設的第四階段:針對新IT環境安全防護風險態勢感知。

十年“四級跳” 中國電建如何打造網絡安全的“眼手腦”

十年“四級跳” 中國電建如何打造網絡安全的“眼手腦”

十年“四級跳” 中國電建如何打造網絡安全的“眼手腦”

    中國電建集團邀請了公安部網絡安全保衞局、國資委綜合局、國家能源局安監司、工信部國家工業信息安全發展研究中心、公安部一所網絡攻防實驗室五個部委單位網絡安全專家對“電建眼”項目進行了評審,專家組對項目取得的成果高度肯定,並一致認為電建眼的建設模式和應用實效在行業內,乃至央企範圍內具有典型性和示範性,同意通過驗收。

十年“四級跳” 中國電建如何打造網絡安全的“眼手腦”

    國資國企網絡信息安全在線監管平台融合架構圖

    此後,為全面落實中央、國務院關於增強國企抗風險能力和保障國家安全的決策部署,中國電建按照“成員單位自身感知、數據本地採集、集團統一彙總、集中監控上報”的原則,逐步覆蓋完成成員單位側電建眼網絡安全態勢感知系統建設,並將成員單位本地採集數據上報至集團“電建眼”平台,實現數據統一彙總。

    集團總部“電建眼”平台按照《國資國企網絡信息安全在線監管平台企業側技術規範》要求的接口標準進行改造後,與集團總部本地部署的在線監管平台對接融合,向國資委監管平台上報所需數據,實現信息情報共享。由此,“電建眼”平台發揮了統一採集、統一上報、統一監測的關鍵作用。

    04

    “電建眼”在實戰中屢立奇功

    未來重點是增強AI能力

    實戰是效果的最好檢驗。在最近幾年的實戰攻防演習中,“電建眼”立下了赫赫戰功,有70%~80%的攻擊行為,都是由“電建眼”第一時間檢測發現並告警,繼而協同聯動其他產品進行攔截,這也使得中國電建在連續3年實戰攻防演習中,都取得了優異成績。

    “安全工作,永遠在路上。”王海濤表示,“針對攻擊手段日新月異的外部嚴峻環境,中國電建希望電建眼融入更多的AI能力,逐漸減少在實戰攻防中對於人的過度依賴。尤其在流量和日誌的數據分析方面,運用更多的機器學習、人工智能等技術,實現基於機器的分析研判,從而實現無人操控的‘眼腦手’聯動。”

    對於中國電建網絡安全建設的當下和未來任務,王海濤表示,目前“電建眼”已經完成了二級單位的全覆蓋,未來2~3年將逐步下鑽到更多成員單位和項目部,從而形成集團立體式的網絡安全態勢感知體系,補齊分支單位的安全短板,提升全集團的整體主動防禦能力,保障數字化轉型行穩致遠。