奇安信助力中國(guó)電建 打造網(wǎng)絡(luò)安全的“四級(jí)跳”

午夜兩點(diǎn)，某個(gè)攻擊組織利用一個(gè)0day漏洞攻入企業(yè)內(nèi)網(wǎng)，正欲進(jìn)行橫向滲透之時(shí)，觸發(fā)報(bào)警，迅速被防火墻、終端EDR等聯(lián)合阻斷攔截，并被溯源鎖定，整個(gè)防護(hù)一氣呵成密不透風(fēng)，攻擊宣告完??！

如此不需要人工干預(yù)響應(yīng)的智能化網(wǎng)絡(luò)安全防護(hù)，就是中國(guó)電建（中國(guó)電力建設(shè)集團(tuán)有限公司）當(dāng)前正在構(gòu)建的整體防御體系。在中國(guó)電建看來(lái)，網(wǎng)絡(luò)安全需要“眼、腦、手”并用，應(yīng)該具備一定的AI水平，甚至可以在不依賴人的條件下，迅速完成檢測(cè)發(fā)現(xiàn)、阻斷攔截、溯源分析等防護(hù)措施。

中國(guó)電建成立于2011年，是全球清潔低碳能源、水資源與環(huán)境建設(shè)領(lǐng)域的引領(lǐng)者，服務(wù)“一帶一路”建設(shè)的龍頭企業(yè)。2021年《財(cái)富》世界500強(qiáng)企業(yè)第107位。

（圖片來(lái)自網(wǎng)絡(luò)）

中國(guó)電建擁有63家二級(jí)單位，業(yè)務(wù)涉及水利電力工程及基礎(chǔ)設(shè)施投融資、規(guī)劃設(shè)計(jì)、工程施工、裝備制造、運(yùn)營(yíng)管理等等，引用中國(guó)電建董事長(zhǎng)丁焰章的一句話說(shuō)，就是“懂水熟電、擅規(guī)劃設(shè)計(jì)、長(zhǎng)施工建造、能投資運(yùn)營(yíng)”。

在“云大物移智”等新技術(shù)風(fēng)起云涌的數(shù)字時(shí)代，中國(guó)電建的數(shù)字化轉(zhuǎn)型走在了同行前列，借助數(shù)字技術(shù)不斷提升企業(yè)的精益化生產(chǎn)、數(shù)字化建造、現(xiàn)代化管理和智能化決策能力。在這個(gè)過(guò)程中，網(wǎng)絡(luò)安全的重要性日益凸顯，中國(guó)電建始終將網(wǎng)絡(luò)安全作為數(shù)字化轉(zhuǎn)型的底板工程，其中包括通過(guò)部署以奇安信態(tài)勢(shì)感知與運(yùn)營(yíng)平臺(tái)（NGSOC）為基礎(chǔ)的“電建眼”，實(shí)現(xiàn)了從傳統(tǒng)防護(hù)到主動(dòng)對(duì)抗檢測(cè)的跨越，為打造國(guó)資國(guó)企一體化網(wǎng)絡(luò)安全保障體系奠定基石。

一次域名事件 推動(dòng)中國(guó)電建從基礎(chǔ)安全到縱深防御

回顧中國(guó)電建的網(wǎng)絡(luò)安全建設(shè)歷程，可以說(shuō)從集團(tuán)2011年成立開(kāi)始，網(wǎng)絡(luò)安全就已經(jīng)同步推進(jìn)。據(jù)中國(guó)電建信息化管理部副主任王海濤介紹，電建的網(wǎng)絡(luò)安全建設(shè)可以分為四個(gè)階段，其中第一階段是2011年到2013年，旨在為集團(tuán)構(gòu)筑網(wǎng)絡(luò)安全基礎(chǔ)能力。該階段，電建按照“急用先行”原則，圍繞網(wǎng)絡(luò)終端開(kāi)展了主機(jī)安全、防病毒、主機(jī)加固、防篡改等安全能力的建設(shè)。

這些防護(hù)應(yīng)對(duì)一些日常的黑客、病毒攻擊可以說(shuō)是游刃有余，但面對(duì)有組織、有預(yù)謀的復(fù)雜攻擊，還顯得有些力不從心。

“網(wǎng)絡(luò)攻擊曾給我們?cè)斐蛇^(guò)切身之痛。” 王海濤回憶道。“大約在2014年北京APEC會(huì)議期間，我正在西安出差，突然接到電話，說(shuō)網(wǎng)站被篡改了，替換成了不良圖片，影響非常惡劣。當(dāng)天晚上，我就改變行程飛回北京緊急處理。”

“經(jīng)過(guò)排查，原因是有一個(gè)域名被黑客篡改，導(dǎo)致該域名下的網(wǎng)站就出現(xiàn)故障。由于種種因素，通過(guò)各種措施都未能解決，最終找到了奇安信安服團(tuán)隊(duì)，借助后者提供的DNS解析故障修復(fù)方案，確保域名不被污染，官網(wǎng)很快恢復(fù)了正常，問(wèn)題得以徹底解決。”

“從這個(gè)事情可以看出，網(wǎng)絡(luò)安全是一項(xiàng)非常專業(yè)的工作，僅依靠被動(dòng)防守措施和自身安全力量還是不夠的。”

2014年到2016年，中國(guó)電建跨入了第二階段，即大規(guī)模建設(shè)階段：一方面是從管理的角度，完善組織機(jī)構(gòu)，包括搭建領(lǐng)導(dǎo)機(jī)構(gòu)，進(jìn)行人員意識(shí)培訓(xùn)管理提升等；另一方面，就是從技術(shù)角度，建設(shè)縱深防御的技防體系，包括：系統(tǒng)安全、應(yīng)用安全、身份安全、數(shù)據(jù)安全、邊界安全和分權(quán)分域等。

自此，中國(guó)電建已經(jīng)建成了從管理到技術(shù)的大縱深防御體系，極大提升了集團(tuán)信息化平臺(tái)的網(wǎng)絡(luò)安全能力。

縱深防御難以應(yīng)對(duì)高級(jí)威脅 “電建眼”應(yīng)運(yùn)而生

“道高一尺，魔高一丈。”自國(guó)內(nèi)安全機(jī)構(gòu)捕獲海蓮花APT組織攻擊之后，2016年開(kāi)始，各類APT（高級(jí)可持續(xù)威脅）屢次被發(fā)現(xiàn)，給政府、央企機(jī)構(gòu)造成極大威脅，也給被動(dòng)防護(hù)為主的縱深防御體系帶來(lái)了新挑戰(zhàn)。

據(jù)王海濤回憶，當(dāng)時(shí)中國(guó)電建已完成了縱深防御的部署，安全能力得到顯著提升，但實(shí)際運(yùn)行中還存在五大方面問(wèn)題：資產(chǎn)繁多難管理、運(yùn)維數(shù)據(jù)巨大、威脅發(fā)現(xiàn)能力不足、安全威脅不可見(jiàn)、缺乏聯(lián)動(dòng)防御等。加上《十三五國(guó)家信息化規(guī)劃》中重點(diǎn)強(qiáng)調(diào)了網(wǎng)絡(luò)安全攻防的全面性，以及對(duì)動(dòng)態(tài)網(wǎng)絡(luò)安全的全天候全方位的態(tài)勢(shì)感知能力，因此，構(gòu)建積極主動(dòng)的防御體系，被中國(guó)電建提上了日程。

從2017年起，中國(guó)電建邁入第三階段，即精細(xì)化管理與運(yùn)維階段。該階段充分采用云計(jì)算、大數(shù)據(jù)、態(tài)勢(shì)感知和威脅情報(bào)等新技術(shù)，強(qiáng)化新IT環(huán)境下的安全防護(hù)和態(tài)勢(shì)感知能力建設(shè)，提高網(wǎng)絡(luò)安全的精細(xì)化管理水平。

為了在網(wǎng)絡(luò)攻防對(duì)抗中變被動(dòng)為主動(dòng)，中國(guó)電建在符合國(guó)家要求、集團(tuán)規(guī)劃前提下，建立威脅可知、威脅可查、應(yīng)急可控、服務(wù)可靠、管控可視的大數(shù)據(jù)預(yù)警監(jiān)測(cè)分析及防御系統(tǒng)，即“電建眼”平臺(tái)。

具體實(shí)現(xiàn)上，“電建眼”以態(tài)勢(shì)感知與安全運(yùn)營(yíng)平臺(tái)（NGSOC）為核心，匯集各類數(shù)據(jù)，包括原始流量日志、安全設(shè)備日志、系統(tǒng)日志、終端日志等，利用流量檢測(cè)引擎、關(guān)聯(lián)分析引擎、威脅情報(bào)等技術(shù)手段對(duì)政企內(nèi)部網(wǎng)絡(luò)進(jìn)行持續(xù)安全監(jiān)測(cè)。發(fā)現(xiàn)安全事件后，可進(jìn)行研判及溯源，同時(shí)可通過(guò)NGSOC與EDR/NDR聯(lián)動(dòng)機(jī)制及專家服務(wù)對(duì)事件進(jìn)行及時(shí)響應(yīng)處置，實(shí)現(xiàn)安全運(yùn)營(yíng)能力的落地。

可以說(shuō)，“電建眼”完成了從威脅發(fā)現(xiàn)、研判、分析溯源到響應(yīng)處置的安全業(yè)務(wù)閉環(huán)，從而助力中國(guó)電建從縱深防御邁向主動(dòng)防御階段。

“眼腦手”聯(lián)動(dòng)實(shí)現(xiàn)五大能力 并向集團(tuán)分支機(jī)構(gòu)普及

目前，以NGSOC為基礎(chǔ)的電建眼，已經(jīng)在中國(guó)電建總部順利實(shí)施，逐步構(gòu)建了IT資產(chǎn)管理能力、安全大數(shù)據(jù)整合能力、智能分析與回溯能力、安全威脅可視化能力、協(xié)同防御聯(lián)動(dòng)能力等五大能力。并在2018年的數(shù)博會(huì)上，獲得了“大數(shù)據(jù)安全優(yōu)秀案例”以及中國(guó)信息協(xié)會(huì)頒發(fā)的“電力企業(yè)信息安全管理創(chuàng)新成果三等獎(jiǎng)”。

王海濤用“眼腦手”來(lái)形象的比喻中國(guó)電建的技術(shù)防護(hù)體系。“眼”主要指全方位的監(jiān)控和檢測(cè)能力。即需要“眼觀六路”，知道攻擊者“在哪兒干”、“誰(shuí)在干”、“干了啥”、“啥結(jié)果”。例如是生產(chǎn)系統(tǒng)、客戶系統(tǒng)、供應(yīng)鏈系統(tǒng)、財(cái)務(wù)系統(tǒng)哪里受到攻擊，攻擊者的身份和行為是誰(shuí)，造成什么結(jié)果等。這項(xiàng)工作主要由“電建眼”來(lái)完成。

“腦”主要指多維度的分析。由“智慧中樞”來(lái)完成，它主要完成用戶風(fēng)險(xiǎn)分析，行為風(fēng)險(xiǎn)分析、事后調(diào)查取證，實(shí)現(xiàn)分析溯源等，為響應(yīng)處置提供指揮決策基礎(chǔ)。這項(xiàng)工作既需要機(jī)器來(lái)自動(dòng)化分析處理、直觀可視展現(xiàn)，更依賴于安全運(yùn)維、分析師的日常處置和分析研判，以及安全負(fù)責(zé)人和領(lǐng)導(dǎo)的指揮決策。

“手”體現(xiàn)的最快速的響應(yīng)和執(zhí)行。一旦發(fā)現(xiàn)攻擊，準(zhǔn)確分析和定位之后，能夠最短時(shí)間阻斷攻擊，并實(shí)現(xiàn)應(yīng)急響應(yīng)，將損失降至最低。該項(xiàng)工作需要由終端安全天擎、邊界安全防火墻組成的電建盾來(lái)完成，通過(guò)協(xié)同聯(lián)動(dòng)實(shí)現(xiàn)縱深防護(hù)。

概括來(lái)說(shuō)，電建眼負(fù)責(zé)看見(jiàn)威脅，大腦通過(guò)分析研判來(lái)揪出威脅，最終由電建盾阻斷威脅，實(shí)現(xiàn)全天候全方位的感知網(wǎng)絡(luò)安全態(tài)勢(shì)，形成“人+機(jī)+服務(wù)” 的主動(dòng)防御體系，提升整體安全綜合能力。

“眼腦手”聯(lián)動(dòng)能力的實(shí)現(xiàn)，標(biāo)志著中國(guó)電建已經(jīng)完成網(wǎng)絡(luò)安全建設(shè)的第四階段：針對(duì)新IT環(huán)境安全防護(hù)風(fēng)險(xiǎn)態(tài)勢(shì)感知。

中國(guó)電建集團(tuán)邀請(qǐng)了公安部網(wǎng)絡(luò)安全保衛(wèi)局、國(guó)資委綜合局、國(guó)家能源局安監(jiān)司、工信部國(guó)家工業(yè)信息安全發(fā)展研究中心、公安部一所網(wǎng)絡(luò)攻防實(shí)驗(yàn)室五個(gè)部委單位網(wǎng)絡(luò)安全專家對(duì)“電建眼”項(xiàng)目進(jìn)行了評(píng)審，專家組對(duì)項(xiàng)目取得的成果高度肯定，并一致認(rèn)為電建眼的建設(shè)模式和應(yīng)用實(shí)效在行業(yè)內(nèi)，乃至央企范圍內(nèi)具有典型性和示范性，同意通過(guò)驗(yàn)收。

此后，為全面落實(shí)中央、國(guó)務(wù)院關(guān)于增強(qiáng)國(guó)企抗風(fēng)險(xiǎn)能力和保障國(guó)家安全的決策部署，中國(guó)電建按照“成員單位自身感知、數(shù)據(jù)本地采集、集團(tuán)統(tǒng)一匯總、集中監(jiān)控上報(bào)”的原則，逐步覆蓋完成成員單位側(cè)電建眼網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)建設(shè)，并將成員單位本地采集數(shù)據(jù)上報(bào)至集團(tuán)“電建眼”平臺(tái)，實(shí)現(xiàn)數(shù)據(jù)統(tǒng)一匯總。集團(tuán)總部“電建眼”平臺(tái)按照《國(guó)資國(guó)企網(wǎng)絡(luò)信息安全在線監(jiān)管平臺(tái)企業(yè)側(cè)技術(shù)規(guī)范》要求的接口標(biāo)準(zhǔn)進(jìn)行改造后，與集團(tuán)總部本地部署的在線監(jiān)管平臺(tái)對(duì)接融合，向國(guó)資委監(jiān)管平臺(tái)上報(bào)所需數(shù)據(jù)，實(shí)現(xiàn)信息情報(bào)共享。由此，“電建眼”平臺(tái)發(fā)揮了統(tǒng)一采集、統(tǒng)一上報(bào)、統(tǒng)一監(jiān)測(cè)的關(guān)鍵作用。

國(guó)資國(guó)企網(wǎng)絡(luò)信息安全在線監(jiān)管平臺(tái)融合架構(gòu)圖

電建眼在實(shí)戰(zhàn)中屢立奇功 未來(lái)重點(diǎn)是增強(qiáng)AI能力

實(shí)戰(zhàn)是效果的最好檢驗(yàn)。在最近幾年的實(shí)戰(zhàn)攻防演習(xí)中，電建眼立下了赫赫戰(zhàn)功，有70%-80%的攻擊行為，都是由電建眼第一時(shí)間檢測(cè)發(fā)現(xiàn)并告警，繼而協(xié)同聯(lián)動(dòng)其他產(chǎn)品進(jìn)行攔截，這也使得中國(guó)電建在連續(xù)3年實(shí)戰(zhàn)攻防演習(xí)中，都取得了優(yōu)異成績(jī)。

“安全工作，永遠(yuǎn)在路上。”王海濤表示，“針對(duì)攻擊手段日新月異的外部嚴(yán)峻環(huán)境，中國(guó)電建希望電建眼融入更多的AI能力，逐漸減少在實(shí)戰(zhàn)攻防中對(duì)于人的過(guò)度依賴。尤其在流量和日志的數(shù)據(jù)分析方面，運(yùn)用更多的機(jī)器學(xué)習(xí)、人工智能等技術(shù)，實(shí)現(xiàn)基于機(jī)器的分析研判，從而實(shí)現(xiàn)無(wú)人操控的‘眼腦手’聯(lián)動(dòng)。”

對(duì)于中國(guó)電建網(wǎng)絡(luò)安全建設(shè)的當(dāng)下和未來(lái)任務(wù)，王海濤表示，“目前電建眼已經(jīng)完成了二級(jí)單位的全覆蓋，未來(lái)2-3年將逐步下鉆到更多成員單位和項(xiàng)目部，從而形成集團(tuán)立體式的網(wǎng)絡(luò)安全態(tài)勢(shì)感知體系，補(bǔ)齊分支單位的安全短板，提升全集團(tuán)的整體主動(dòng)防御能力，保障數(shù)字化轉(zhuǎn)型行穩(wěn)致遠(yuǎn)。

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。