從四個轉(zhuǎn)變看能源巨頭 國家電投的網(wǎng)絡(luò)安全運營之路

張文

“在網(wǎng)絡(luò)安全運營這條道路上，國內(nèi)幾乎沒有能借鑒的行業(yè)成熟先例，沒有可參考的成功經(jīng)驗?zāi)Ｊ?，只有通過自己的探索，才能找到適合集團自身的運營模式?！?國家電投集團信息技術(shù)有限公司網(wǎng)絡(luò)安全部副總經(jīng)理（國家電投集團網(wǎng)絡(luò)信息安全實驗室副主任）張萌說。

從合規(guī)驅(qū)動到實戰(zhàn)導向

2019年，國家電投在思路上有了顯著的變化。那一年，“三化六防”的新思想被提出，即以“實戰(zhàn)化，體系化，常態(tài)化”為新理念，以“動態(tài)防御，主動防御，縱深防御，精準防護，整體防護，聯(lián)防聯(lián)控”為新舉措，構(gòu)建國家網(wǎng)絡(luò)安全綜合防控系統(tǒng)，深入推進等級保護和關(guān)鍵信息基礎(chǔ)設(shè)施保護的積極實踐。在網(wǎng)絡(luò)安全防護體系建設(shè)中，國家電投不僅單純考慮政策監(jiān)管和合規(guī)需求，更要將 “三化六防”理念貫穿進去，其中率先落地的就是實戰(zhàn)化和常態(tài)化。

張萌認為，區(qū)別于過去面向合規(guī)的安全運維，安全運營更強調(diào)網(wǎng)絡(luò)安全與信息化的融合，通過運營過程，讓網(wǎng)絡(luò)安全人員與設(shè)備發(fā)揮出應(yīng)有的效果，從而實現(xiàn)網(wǎng)絡(luò)安全風險可控可接受的目標。在這一年，國家電投部署了奇安信態(tài)勢感知與安全運營平臺（NGSOC），以NGSOC作為安全運營工作的核心威脅感知支撐工具，在實戰(zhàn)化安全運營方面邁出了重要一步。

“實戰(zhàn)化安全運營體系的建設(shè)不是一蹴而就的，我們上線NGSOC，首先要解決誰來攻擊，用什么方式的問題，讓安全威脅可見、可知、可控。否則就是兩眼一抹黑，被動挨打?！?/p>

NGSOC上線的效果也是立竿見影。安全運營團隊借助奇安信NGSOC平臺的技術(shù)支撐能力，同期構(gòu)建無縫協(xié)同聯(lián)動機制，國家電投在安全監(jiān)測預(yù)警、威脅分析和主動防御方面的能力大幅提升。自上線來，月均采集和存儲約89億條安全日志，月均發(fā)現(xiàn)約75起威脅攻擊，包括webshell上傳、挖礦木馬、勒索軟件、遠控木馬等破壞性強、影響范圍大的高威脅安全事件。

在資產(chǎn)梳理及漏洞修復(fù)方面，NGSOC上線至今，持續(xù)梳理總部資產(chǎn)及下級單位資產(chǎn)、網(wǎng)段信息，對多個系統(tǒng)進行漏洞檢測、修復(fù)及復(fù)測，修復(fù)率高達91%。

而在2020年網(wǎng)絡(luò)攻防實戰(zhàn)演習中，運營團隊通過NGSOC對威脅告警進行監(jiān)測分析，發(fā)現(xiàn)并處置安全威脅事件65件，結(jié)合威脅情報信息共封禁攻擊IP地址74667個，提交防守報告16份，圓滿完成了防守任務(wù)。

從局部實踐到規(guī)?；茝V

當國家電投通過集團數(shù)據(jù)中心以及數(shù)家二級單位，完成探索成功的第一步之后，下一步的任務(wù)，就是按照集團公司統(tǒng)籌規(guī)劃，將該模式推廣到整個集團。

據(jù)介紹，目前安全運營中心主要覆蓋了數(shù)家單位，包括集團數(shù)據(jù)中心、中國電力、成套公司、山東核電、姚孟電廠、橫琴熱電、重燃公司等。按照集團規(guī)劃，2021年，計劃在集團范圍全面擴展覆蓋，力爭實現(xiàn)近百倍級的量級擴張。

“量變勢必帶來質(zhì)變，隨著未來集團安全運營中心的建立，將面臨效果和效率的雙重挑戰(zhàn)。”張萌表示。

首先是效率方面的挑戰(zhàn)。目前，網(wǎng)絡(luò)安全系統(tǒng)在集團數(shù)據(jù)中心已經(jīng)穩(wěn)定運營，每天產(chǎn)生2億多條日志，告警歸并之后，大約2000多條告警。這些告警主要依賴于專業(yè)人員來分析處理，效率比較低。

在規(guī)?；?，預(yù)估日均告警數(shù)量將有數(shù)十倍甚至百倍的提升，投入數(shù)十倍的員工當然是不現(xiàn)實的，因此必須提升安全運營的效率。例如整合NGSOC平臺和主機安全系統(tǒng)，實現(xiàn)安全威脅告警自動化分析判斷;再例如面對歷史同類的告警，系統(tǒng)按照現(xiàn)有的SOP執(zhí)行自動化的分析判斷。

“在這個問題上，我們也在測試最近比較火熱的SOAR產(chǎn)品。從技術(shù)理念上來說，我們將所有的安全產(chǎn)品劃分為三個階段使用，‘感知階段、‘分析與輔助決策階段、‘行動階段。SOAR能提供自動化安全編排和響應(yīng)能力，我們將SOAR定位為‘ 分析與輔助決策階段和‘ 行動階段的‘執(zhí)行管家，希望能在規(guī)?；\營時期，大幅度提升安全運營的分析與行動效率?！睆埫日f。

第二是來自效果的挑戰(zhàn)。隨著規(guī)模越來越大，網(wǎng)絡(luò)環(huán)境越來越復(fù)雜，威脅數(shù)量、攻擊形式都會激烈增加，安全運營需要對威脅預(yù)警和脆弱性，實現(xiàn)更全面、更精準的發(fā)現(xiàn)和處理。在日常和實戰(zhàn)攻防演習期間，國家電投優(yōu)先修補有公開POC或者EXP的漏洞（即已驗證可被利用的漏洞），而不是追求大而全、修補所有漏洞，這樣能在投入（工作量）和安全風險之間尋求相對平衡，在盡量降低安全風險的同時，又符合安全運營的投入產(chǎn)出比原則。

張萌表示，沒有絕對的網(wǎng)絡(luò)安全，將所有未知的威脅全部阻斷是非常不現(xiàn)實的，因此我們的重點目標，是避免系統(tǒng)被相同的攻擊手法打穿兩次，不能在一個問題上反復(fù)栽跟頭。所以遇到一類問題，一類場景，都將其沉淀下來，形成標準化的SOP積累，為將來全面走向系統(tǒng)化提供基礎(chǔ)。截至目前，國家電投安全運營團隊總結(jié)出了12類大場景，若干個小場景，并將其運營工作固化下來，以便能夠讓新的安全運營人員快速上手復(fù)用，滿足規(guī)模增長和人數(shù)增長的需求。同時為系統(tǒng)功能更新、SOAR自動化編排等做準備，實現(xiàn)自動化編排，顯著提升效率。