午夜两点,某个攻击组织利用一个0day漏洞攻入企业内网,正欲进行横向渗透之时,触发报警,迅速被防火墙、终端EDR等联合阻断拦截,并被溯源锁定,整个防护一气呵成密不透风,攻击宣告完败!

如此不需要人工干预响应的智能化网络安全防护,就是中国电建(中国电力建设集团有限公司)当前正在构建的整体防御体系。在中国电建看来,网络安全需要“眼、脑、手”并用,应该具备一定的AI水平,甚至可以在不依赖人的条件下,迅速完成检测发现、阻断拦截、溯源分析等防护措施。

中国电建成立于2011年,是全球清洁低碳能源、水资源与环境建设领域的引领者,服务“一带一路”建设的龙头企业。2021年《财富》世界500强企业第107位。

(图片来自网络)

中国电建拥有63家二级单位,业务涉及水利电力工程及基础设施投融资、规划设计、工程施工、装备制造、运营管理等等,引用中国电建董事长丁焰章的一句话说,就是“懂水熟电、擅规划设计、长施工建造、能投资运营”。

在“云大物移智”等新技术风起云涌的数字时代,中国电建的数字化转型走在了同行前列,借助数字技术不断提升企业的精益化生产、数字化建造、现代化管理和智能化决策能力。在这个过程中,网络安全的重要性日益凸显,中国电建始终将网络安全作为数字化转型的底板工程,其中包括通过部署以奇安信态势感知与运营平台(NGSOC)为基础的“电建眼”,实现了从传统防护到主动对抗检测的跨越,为打造国资国企一体化网络安全保障体系奠定基石。

一次域名事件 推动中国电建从基础安全到纵深防御

回顾中国电建的网络安全建设历程,可以说从集团2011年成立开始,网络安全就已经同步推进。据中国电建信息化管理部副主任王海涛介绍,电建的网络安全建设可以分为四个阶段,其中第一阶段是2011年到2013年,旨在为集团构筑网络安全基础能力。该阶段,电建按照“急用先行”原则,围绕网络终端开展了主机安全、防病毒、主机加固、防篡改等安全能力的建设。

这些防护应对一些日常的黑客、病毒攻击可以说是游刃有余,但面对有组织、有预谋的复杂攻击,还显得有些力不从心。

“网络攻击曾给我们造成过切身之痛。” 王海涛回忆道。“大约在2014年北京APEC会议期间,我正在西安出差,突然接到电话,说网站被篡改了,替换成了不良图片,影响非常恶劣。当天晚上,我就改变行程飞回北京紧急处理。”

“经过排查,原因是有一个域名被黑客篡改,导致该域名下的网站就出现故障。由于种种因素,通过各种措施都未能解决,最终找到了奇安信安服团队,借助后者提供的DNS解析故障修复方案,确保域名不被污染,官网很快恢复了正常,问题得以彻底解决。”

“从这个事情可以看出,网络安全是一项非常专业的工作,仅依靠被动防守措施和自身安全力量还是不够的。”

2014年到2016年,中国电建跨入了第二阶段,即大规模建设阶段:一方面是从管理的角度,完善组织机构,包括搭建领导机构,进行人员意识培训管理提升等;另一方面,就是从技术角度,建设纵深防御的技防体系,包括:系统安全、应用安全、身份安全、数据安全、边界安全和分权分域等。

自此,中国电建已经建成了从管理到技术的大纵深防御体系,极大提升了集团信息化平台的网络安全能力。

纵深防御难以应对高级威胁  “电建眼”应运而生

“道高一尺,魔高一丈。”自国内安全机构捕获海莲花APT组织攻击之后,2016年开始,各类APT(高级可持续威胁)屡次被发现,给政府、央企机构造成极大威胁,也给被动防护为主的纵深防御体系带来了新挑战。

据王海涛回忆,当时中国电建已完成了纵深防御的部署,安全能力得到显著提升,但实际运行中还存在五大方面问题:资产繁多难管理、运维数据巨大、威胁发现能力不足、安全威胁不可见、缺乏联动防御等。加上《十三五国家信息化规划》中重点强调了网络安全攻防的全面性,以及对动态网络安全的全天候全方位的态势感知能力,因此,构建积极主动的防御体系,被中国电建提上了日程。

从2017年起,中国电建迈入第三阶段,即精细化管理与运维阶段。该阶段充分采用云计算、大数据、态势感知和威胁情报等新技术,强化新IT环境下的安全防护和态势感知能力建设,提高网络安全的精细化管理水平。

为了在网络攻防对抗中变被动为主动,中国电建在符合国家要求、集团规划前提下,建立威胁可知、威胁可查、应急可控、服务可靠、管控可视的大数据预警监测分析及防御系统,即“电建眼”平台。

具体实现上,“电建眼”以态势感知与安全运营平台(NGSOC)为核心,汇集各类数据,包括原始流量日志、安全设备日志、系统日志、终端日志等,利用流量检测引擎、关联分析引擎、威胁情报等技术手段对政企内部网络进行持续安全监测。发现安全事件后,可进行研判及溯源,同时可通过NGSOC与EDR/NDR联动机制及专家服务对事件进行及时响应处置,实现安全运营能力的落地。

可以说,“电建眼”完成了从威胁发现、研判、分析溯源到响应处置的安全业务闭环,从而助力中国电建从纵深防御迈向主动防御阶段。

“眼脑手”联动实现五大能力  并向集团分支机构普及

目前,以NGSOC为基础的电建眼,已经在中国电建总部顺利实施,逐步构建了IT资产管理能力、安全大数据整合能力、智能分析与回溯能力、安全威胁可视化能力、协同防御联动能力等五大能力。并在2018年的数博会上,获得了“大数据安全优秀案例”以及中国信息协会颁发的“电力企业信息安全管理创新成果三等奖”。

王海涛用“眼脑手”来形象的比喻中国电建的技术防护体系。“眼”主要指全方位的监控和检测能力。即需要“眼观六路”,知道攻击者“在哪儿干”、“谁在干”、“干了啥”、“啥结果”。例如是生产系统、客户系统、供应链系统、财务系统哪里受到攻击,攻击者的身份和行为是谁,造成什么结果等。这项工作主要由“电建眼”来完成。

“脑”主要指多维度的分析。由“智慧中枢”来完成,它主要完成用户风险分析,行为风险分析、事后调查取证,实现分析溯源等,为响应处置提供指挥决策基础。这项工作既需要机器来自动化分析处理、直观可视展现,更依赖于安全运维、分析师的日常处置和分析研判,以及安全负责人和领导的指挥决策。

“手”体现的最快速的响应和执行。一旦发现攻击,准确分析和定位之后,能够最短时间阻断攻击,并实现应急响应,将损失降至最低。该项工作需要由终端安全天擎、边界安全防火墙组成的电建盾来完成,通过协同联动实现纵深防护。

概括来说,电建眼负责看见威胁,大脑通过分析研判来揪出威胁,最终由电建盾阻断威胁,实现全天候全方位的感知网络安全态势,形成“人+机+服务” 的主动防御体系,提升整体安全综合能力。

“眼脑手”联动能力的实现,标志着中国电建已经完成网络安全建设的第四阶段:针对新IT环境安全防护风险态势感知。

中国电建集团邀请了公安部网络安全保卫局、国资委综合局、国家能源局安监司、工信部国家工业信息安全发展研究中心、公安部一所网络攻防实验室五个部委单位网络安全专家对“电建眼”项目进行了评审,专家组对项目取得的成果高度肯定,并一致认为电建眼的建设模式和应用实效在行业内,乃至央企范围内具有典型性和示范性,同意通过验收。

此后,为全面落实中央、国务院关于增强国企抗风险能力和保障国家安全的决策部署,中国电建按照“成员单位自身感知、数据本地采集、集团统一汇总、集中监控上报”的原则,逐步覆盖完成成员单位侧电建眼网络安全态势感知系统建设,并将成员单位本地采集数据上报至集团“电建眼”平台,实现数据统一汇总。集团总部“电建眼”平台按照《国资国企网络信息安全在线监管平台企业侧技术规范》要求的接口标准进行改造后,与集团总部本地部署的在线监管平台对接融合,向国资委监管平台上报所需数据,实现信息情报共享。由此,“电建眼”平台发挥了统一采集、统一上报、统一监测的关键作用。

国资国企网络信息安全在线监管平台融合架构图

电建眼在实战中屡立奇功 未来重点是增强AI能力

实战是效果的最好检验。在最近几年的实战攻防演习中,电建眼立下了赫赫战功,有70%-80%的攻击行为,都是由电建眼第一时间检测发现并告警,继而协同联动其他产品进行拦截,这也使得中国电建在连续3年实战攻防演习中,都取得了优异成绩。

“安全工作,永远在路上。”王海涛表示,“针对攻击手段日新月异的外部严峻环境,中国电建希望电建眼融入更多的AI能力,逐渐减少在实战攻防中对于人的过度依赖。尤其在流量和日志的数据分析方面,运用更多的机器学习、人工智能等技术,实现基于机器的分析研判,从而实现无人操控的‘眼脑手’联动。”

对于中国电建网络安全建设的当下和未来任务,王海涛表示,“目前电建眼已经完成了二级单位的全覆盖,未来2-3年将逐步下钻到更多成员单位和项目部,从而形成集团立体式的网络安全态势感知体系,补齐分支单位的安全短板,提升全集团的整体主动防御能力,保障数字化转型行稳致远。

关键词: 四级 网络安全 助力