午夜两点,某个攻击组织利用一个0day漏洞攻入企业内网,正欲进行横向渗透之时,触发报警,迅速被防火墙、终端EDR等联合阻断拦截,并被溯源锁定,整个防护一气呵成密不透风,攻击宣告完败!
如此不需要人工干预响应的智能化网络安全防护,就是中国电建(中国电力建设集团有限公司)当前正在构建的整体防御体系。在中国电建看来,网络安全需要“眼、脑、手”并用,应该具备一定的AI水平,甚至可以在不依赖人的条件下,迅速完成检测发现、阻断拦截、溯源分析等防护措施。
中国电建成立于2011年,是全球清洁低碳能源、水资源与环境建设领域的引领者,服务“一带一路”建设的龙头企业。2021年《财富》世界500强企业第107位。
(图片来自网络)
中国电建拥有63家二级单位,业务涉及水利电力工程及基础设施投融资、规划设计、工程施工、装备制造、运营管理等等,引用中国电建董事长丁焰章的一句话说,就是“懂水熟电、擅规划设计、长施工建造、能投资运营”。
在“云大物移智”等新技术风起云涌的数字时代,中国电建的数字化转型走在了同行前列,借助数字技术不断提升企业的精益化生产、数字化建造、现代化管理和智能化决策能力。在这个过程中,网络安全的重要性日益凸显,中国电建始终将网络安全作为数字化转型的底板工程,其中包括通过部署以奇安信态势感知与运营平台(NGSOC)为基础的“电建眼”,实现了从传统防护到主动对抗检测的跨越,为打造国资国企一体化网络安全保障体系奠定基石。
一次域名事件 推动中国电建从基础安全到纵深防御
回顾中国电建的网络安全建设历程,可以说从集团2011年成立开始,网络安全就已经同步推进。据中国电建信息化管理部副主任王海涛介绍,电建的网络安全建设可以分为四个阶段,其中第一阶段是2011年到2013年,旨在为集团构筑网络安全基础能力。该阶段,电建按照“急用先行”原则,围绕网络终端开展了主机安全、防病毒、主机加固、防篡改等安全能力的建设。
这些防护应对一些日常的黑客、病毒攻击可以说是游刃有余,但面对有组织、有预谋的复杂攻击,还显得有些力不从心。
“网络攻击曾给我们造成过切身之痛。” 王海涛回忆道。“大约在2014年北京APEC会议期间,我正在西安出差,突然接到电话,说网站被篡改了,替换成了不良图片,影响非常恶劣。当天晚上,我就改变行程飞回北京紧急处理。”
“经过排查,原因是有一个域名被黑客篡改,导致该域名下的网站就出现故障。由于种种因素,通过各种措施都未能解决,最终找到了奇安信安服团队,借助后者提供的DNS解析故障修复方案,确保域名不被污染,官网很快恢复了正常,问题得以彻底解决。”
“从这个事情可以看出,网络安全是一项非常专业的工作,仅依靠被动防守措施和自身安全力量还是不够的。”
2014年到2016年,中国电建跨入了第二阶段,即大规模建设阶段:一方面是从管理的角度,完善组织机构,包括搭建领导机构,进行人员意识培训管理提升等;另一方面,就是从技术角度,建设纵深防御的技防体系,包括:系统安全、应用安全、身份安全、数据安全、边界安全和分权分域等。
自此,中国电建已经建成了从管理到技术的大纵深防御体系,极大提升了集团信息化平台的网络安全能力。
纵深防御难以应对高级威胁 “电建眼”应运而生
“道高一尺,魔高一丈。”自国内安全机构捕获海莲花APT组织攻击之后,2016年开始,各类APT(高级可持续威胁)屡次被发现,给政府、央企机构造成极大威胁,也给被动防护为主的纵深防御体系带来了新挑战。
据王海涛回忆,当时中国电建已完成了纵深防御的部署,安全能力得到显著提升,但实际运行中还存在五大方面问题:资产繁多难管理、运维数据巨大、威胁发现能力不足、安全威胁不可见、缺乏联动防御等。加上《十三五国家信息化规划》中重点强调了网络安全攻防的全面性,以及对动态网络安全的全天候全方位的态势感知能力,因此,构建积极主动的防御体系,被中国电建提上了日程。
从2017年起,中国电建迈入第三阶段,即精细化管理与运维阶段。该阶段充分采用云计算、大数据、态势感知和威胁情报等新技术,强化新IT环境下的安全防护和态势感知能力建设,提高网络安全的精细化管理水平。
为了在网络攻防对抗中变被动为主动,中国电建在符合国家要求、集团规划前提下,建立威胁可知、威胁可查、应急可控、服务可靠、管控可视的大数据预警监测分析及防御系统,即“电建眼”平台。
具体实现上,“电建眼”以态势感知与安全运营平台(NGSOC)为核心,汇集各类数据,包括原始流量日志、安全设备日志、系统日志、终端日志等,利用流量检测引擎、关联分析引擎、威胁情报等技术手段对政企内部网络进行持续安全监测。发现安全事件后,可进行研判及溯源,同时可通过NGSOC与EDR/NDR联动机制及专家服务对事件进行及时响应处置,实现安全运营能力的落地。
可以说,“电建眼”完成了从威胁发现、研判、分析溯源到响应处置的安全业务闭环,从而助力中国电建从纵深防御迈向主动防御阶段。
“眼脑手”联动实现五大能力 并向集团分支机构普及
目前,以NGSOC为基础的电建眼,已经在中国电建总部顺利实施,逐步构建了IT资产管理能力、安全大数据整合能力、智能分析与回溯能力、安全威胁可视化能力、协同防御联动能力等五大能力。并在2018年的数博会上,获得了“大数据安全优秀案例”以及中国信息协会颁发的“电力企业信息安全管理创新成果三等奖”。
王海涛用“眼脑手”来形象的比喻中国电建的技术防护体系。“眼”主要指全方位的监控和检测能力。即需要“眼观六路”,知道攻击者“在哪儿干”、“谁在干”、“干了啥”、“啥结果”。例如是生产系统、客户系统、供应链系统、财务系统哪里受到攻击,攻击者的身份和行为是谁,造成什么结果等。这项工作主要由“电建眼”来完成。
“脑”主要指多维度的分析。由“智慧中枢”来完成,它主要完成用户风险分析,行为风险分析、事后调查取证,实现分析溯源等,为响应处置提供指挥决策基础。这项工作既需要机器来自动化分析处理、直观可视展现,更依赖于安全运维、分析师的日常处置和分析研判,以及安全负责人和领导的指挥决策。
“手”体现的最快速的响应和执行。一旦发现攻击,准确分析和定位之后,能够最短时间阻断攻击,并实现应急响应,将损失降至最低。该项工作需要由终端安全天擎、边界安全防火墙组成的电建盾来完成,通过协同联动实现纵深防护。
概括来说,电建眼负责看见威胁,大脑通过分析研判来揪出威胁,最终由电建盾阻断威胁,实现全天候全方位的感知网络安全态势,形成“人+机+服务” 的主动防御体系,提升整体安全综合能力。
“眼脑手”联动能力的实现,标志着中国电建已经完成网络安全建设的第四阶段:针对新IT环境安全防护风险态势感知。
中国电建集团邀请了公安部网络安全保卫局、国资委综合局、国家能源局安监司、工信部国家工业信息安全发展研究中心、公安部一所网络攻防实验室五个部委单位网络安全专家对“电建眼”项目进行了评审,专家组对项目取得的成果高度肯定,并一致认为电建眼的建设模式和应用实效在行业内,乃至央企范围内具有典型性和示范性,同意通过验收。
此后,为全面落实中央、国务院关于增强国企抗风险能力和保障国家安全的决策部署,中国电建按照“成员单位自身感知、数据本地采集、集团统一汇总、集中监控上报”的原则,逐步覆盖完成成员单位侧电建眼网络安全态势感知系统建设,并将成员单位本地采集数据上报至集团“电建眼”平台,实现数据统一汇总。集团总部“电建眼”平台按照《国资国企网络信息安全在线监管平台企业侧技术规范》要求的接口标准进行改造后,与集团总部本地部署的在线监管平台对接融合,向国资委监管平台上报所需数据,实现信息情报共享。由此,“电建眼”平台发挥了统一采集、统一上报、统一监测的关键作用。
国资国企网络信息安全在线监管平台融合架构图
电建眼在实战中屡立奇功 未来重点是增强AI能力
实战是效果的最好检验。在最近几年的实战攻防演习中,电建眼立下了赫赫战功,有70%-80%的攻击行为,都是由电建眼第一时间检测发现并告警,继而协同联动其他产品进行拦截,这也使得中国电建在连续3年实战攻防演习中,都取得了优异成绩。
“安全工作,永远在路上。”王海涛表示,“针对攻击手段日新月异的外部严峻环境,中国电建希望电建眼融入更多的AI能力,逐渐减少在实战攻防中对于人的过度依赖。尤其在流量和日志的数据分析方面,运用更多的机器学习、人工智能等技术,实现基于机器的分析研判,从而实现无人操控的‘眼脑手’联动。”
对于中国电建网络安全建设的当下和未来任务,王海涛表示,“目前电建眼已经完成了二级单位的全覆盖,未来2-3年将逐步下钻到更多成员单位和项目部,从而形成集团立体式的网络安全态势感知体系,补齐分支单位的安全短板,提升全集团的整体主动防御能力,保障数字化转型行稳致远。
- 蜜度索骥:以跨模态检索技术助力“企宣”向上生长
- 李斌回应萤火虫三重奏大灯设计:没有参考iPhone
- 一周热点汇总:特斯拉下月量产改款Model Y,阿里“甩卖”银泰
- 蔚来第三品牌firefly萤火虫首款车型正式亮相 预售价14.88万元
- 首发线控转向等多项技术 蔚来旗舰车型ET9正式上市:78.8万元起
- 网信办:从严打击网上侵害未成年人合法权益行为
- 豆包大模型全面升级,相关概念股疯涨,字节发布紧急警示
- TechWeb微晚报:“小红书封号”冲上热搜,小米YU7无伪装实车首次曝光
- “小米SU7坠崖一家四口安然无恙”冲上热搜 车主回应
- 奇富科技发布AI产品小奇等金融AI大模型成果
- 消息称极越公关负责人被开除 当事人回应了
免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。