时间:2023-11-03
编者按
大型机构安全建设系列文章,将围绕大型机构在安全规划、安全运营、攻击面管理、威胁情报体系建设方面的挑战,邀请奇安信集团安全专家进行深入分享,本期分享某大型央企的网络安全体系化建设实践。
3年3次实战攻防演习,从“人海战术”+“应下尽下”,到“人数减少75%”+“应留尽留” ,该央企如何短期内实现安全能力“三级跳”?
大型央企的体系化规划、系统化工程建设、常态化运营如何分步骤开展?
如何在数字化转型过程中协调好安全和发展的关系,让两者相辅相成、协同并进?
……
央企,是国民经济“稳定器”和“压舱石”,多是关乎国计民生的关键重要行业,一旦出现网络安全事件,就可能威胁国家安全、社会稳定和民众利益。“没有网络安全,就没有国家安全”,在央企身上体现得尤其明显。然而,央企通常规模庞大,分支机构众多且分布各地,网络安全水平层次不齐,潜在的薄弱环节无处不在,面对攻击时极容易顾此失彼,其网络安全建设,往往是难中之难。
某大型央企,系中央管理的国有重要骨干企业,拥有600多家成员企业,员工20余万,总资产4000余亿元,业务覆盖全球数十个国家,连续多年跻身《财富》世界五百强。近年来,该央企聚焦“两提两控”数字化转型目标,围绕“安全为先、全面上云、融入移动”等思想,加速数字化转型建设,并在网络安全方面,依托国内领先的网络安全企业奇安信,探索出一条适合大型央企的体系化建设跃升之路。
(1)深度把脉,发现问题
“网络安全百遍讲,不如一遍打”,近几年的国家级实战攻防演习活动,逐步验证着该央企的网络安全跃升之路。
时间回溯到2020年,该央企首次参与国家级实战攻防演习。在演习之前,该央企邀奇安信共同对其进行深度全面的“把脉”,发现该央企存在着管理建设分散、网络与资产不清、安全意识薄弱等三方面主要问题。
一是缺少体系规划与统一管理。
主要表现在各成员企业信息系统及网络安全各自建设、各自运维,重复投资多、效果参差不齐;没有集团统一的网络安全管理制度和标准,未做到“三同步”;未建立集团统一的网络安全监控体系、监督检查机制,安全要求难以落实。
二是网络与资产不清。
主要表现在没有一张能够真实呈现出网络安全状态的拓扑图,互联网出口众多、区域划分不明且防护能力不一,加上运行资产不清等因素,给安全防护带来极大挑战。
三是安全意识薄弱。
主要表现在自检自查过程中的弱口令问题频现、被钓鱼现象屡有发生、Nday漏洞久不修复等,极大增加了安全防护与监控难度。
基于以上短时间内无法快速解决的问题,该央企“无奈之下”制定了2020年实战攻防演习策略:“能关尽关,应下尽下,坚壁清野”。在此现状情况下,为快速达成防守监测效果,结合奇安信多年攻防实战经验,通过部署天眼新一代威胁感知系统等产品快速补充了监控措施,通过“人海战术”7×24小时紧盯每一个探针的告警、随时专家研判分析,最终惊险过关。
“一时”的应急处置并不是长久之计,实战攻防演习过程中发现的诸多问题点,不能一“堵”了之,不能头痛医头、脚痛医脚,应寻找问题根源。奇安信提出的系统安全观与内生安全框架得到该央企网络安全分管领导充分认可,使其在惊险过关后更加坚定了做好常态化网络安全保障的信念。2020年正值“十四五”规划之年,该央企集团战略及数字化转型目标对网络安全提出了新要求,目前状态无法支撑。综上原因,该央企委托奇安信开展了“十四五”网络安全规划与建设工作,其网络安全体系化建设之路就此开启。
(2)体系规划,分步实施
需求引领规划。
网络安全规划中参考奇安信内生安全框架与EA方法,根据该央企自身实际情况,通过需求管控,将多源、动态、零散的需求映射到统一标准的安全能力体系中,将体系化安全能力资源化、服务化,打散分部到信息化建设的各个方面,形成内生在该央企信息化系统及基础设施中的安全能力架构;之后,将该叠加演进的全量安全能力在不缺项的前提下经过挑选和组合,规划设计出可落地执行的网络安全建设工程路线图指引后续工程建设。
规划确立目标。
结合需求制定与集团战略目标相匹配的网络安全发展目标:
一是遵循国家网络安全法律法规要求前提下,承接集团数字化转型发展战略,建成“实战化、体系化、常态化、服务化”的网络安全综合防护体系;
二是具备抵御有组织、大规模网络攻击的能力,具备及时发现国家级网络攻击并配合国家机关联合防御的能力;
三是基于国产架构的集团网络安全整体能力达到国内信创网络安全标杆水平。
规划确立架构。
基于目标、需求并参考框架,以国家、集团相关标准与政策方针为指引,设计该央企网络安全架构。架构设计采用一种信创体系底座、通过安全决策与安全监督考核两大机制加持,建设技术、管理、运营三大体系,形成一体化安全运营中心,输出平战双模服务能力,防护互联网托管业务专属区、普通商密专属云、核心商密专属云等三朵云安全。以安全建设为基础、以安全服务的模式保障该央企全级次单位接入安全,保障该央企数字化业务安全应用。网络安全目标能力架构是让建设者具备全局体系化视角,通过梳理网络安全能力实现与信息化系统融合内生,再通过合理的工程建设演进达成规划目标,避免抛弃全景、只讲局部而导致的以偏概全。
规划确立工程。
为使规划能力能够落地,需将规划的全局网络安全能力架构设计成系统性的可执行工程任务。因此,结合奇安信内生安全框架的“十大工程,五大任务”参考模型,结合该央企自身情况,设计形成了十四大建设工程,并根据该央企的数字化现状和建设规划统筹形成了面向“十四五”期间的建设演进路线。每一个工程任务设置要将管理、技术、运行等各方面的要素综合考虑,避免割裂,各任务之间相互关联、能力互补,形成有机的整体,具备体系化作战的能力。
“十四五”网络安全体系规划——十四大工程架构图
2020年底开始按照十四大工程演进路线逐步开展建设,率先在互联网收口、广域网建设、移动办公推广建设的过程中同步开展了相关工程建设,完成了基于天眼的网络威胁监测体系构建、完成了零信任访问通道的基础建设、形成了专属SASE的安全运营团队与机制,使该央企经受住了2021年建设未完善期间的国家级实战攻防演习考验。
得益于逐步的规划建设,该央企2021年国家级实战攻防演习策略从“坚壁清野”调整为“应下尽下”,即便面对有组织大规模攻击,也要确保重要业务正常运转。彼时正值数字化转型启动建设期,在广域网与互联网收口工作快速建设、移动办公用户超过5万、新旧业务并行使用等的过渡期数字化环境下,其防守复杂度和难度均比2020年大大增加,但即便如此,2021年演习成绩依然可圈可点,演习期间防守人员同比降低50%,安全能力持续提升。
(3)过程管控,常态运营
基于规划工程的建设转眼经过了两个年头,该央企非密广域网基本构建完成、绝大部分二三级单位已完成互联网收口接入、统建移动办公用户数超过10万、混合云数字化业务应用(统建业务+应用托管)具备一定规模,网络安全规划的十四大工程均按演进路线在端、网、云、应用等数字化建设中同步建设。
时间转眼又来到了2022年国家级实战攻防演习的前2个月,彼时北京冬奥会刚刚结束不久,在冬奥团队与规划团队再次进入评估该央企网络安全状态时,又提出了新的过程管控思路:一是通过攻防实战视角、结合冬奥实践经验,再去审视十四大工程建设是否有滞后?是否有遗漏?二是基于两年的规划建设基础,通过本次国家级实战攻防演习的特殊时期、结合冬奥实践经验,完成常态化安全运营中心的固化建设并形成“端到端”常态化运营体系。
此次基于国家级实战攻防演习的同步过程管理和促进,是规划建设过程的必要纠偏、是能力固化的必要有效手段。得益于两年的安全设施建设,再充分借鉴2022年北京冬奥网络安全保障“零事故”经验,通过演习前2个月开展的分析识别、架构分析、加固建设、运营中心建设等工作,快速完成了面向攻防、结合冬奥实践经验、关联规划工程的17个子项工作任务,快速成立网络安全运营中心并配套了参考冬奥模式的平台工具、组织机构、关键流程机制,使该央企两年的建设成果得到了固化,使其面对2022年国家级实战攻防演习时有了巨大底气,演习策略从“应下尽下”调整为“应留尽留”,即面对有组织大规模攻击所有业务正常运转,这是一次巨大的能力本质提升的飞跃。
在此数字化环境和“应留尽留”策略的背景下,在防守覆盖面比过往历年均大大增强的情况下,在演习期间防守人员同比又降低了50%的前提下,该央企网络安全运营中心及机制经受住了实战考验、过往网络安全建设取得了巨大收获、网络安全能力水平获得了质的提升。
实战攻防演习是检验网络安全能力的最好舞台,如何不让这种演习变成“走过场”、“运动式”的阶段行为,如何不让演习后的网络安全状态又回到“解放前”,是提升持续高水平安全能力的关键。为此,基于此次演习形成的网络安全运营中心及机制,该央企固化了形成了平战融合的22人运营团队、制定了常态化的工作机制、SOP与SLA指标,以保障建设安全、检测评估、教育培训等日常管理态工作以及安全运维、监控闭环、资产维护、持续提升等日常运行态工作,常态化运营期间能够保证告警的持续清零,并通过规则建模、架构分析等持续提升相关安全能力。
安全运营中心组织人员机构图
该央企在体系化规划、系统化工程建设、常态化运营过程中,形成了以下实践经验,对同行网络安全建设具有极强的借鉴意义。
(1)网络收口及零信任构建专属SASE
该央企在全国有数百家成员单位,存在“互联网出口众多、区域划分不明且防护能力不一”等诸多问题,尤其非密广域网构建连通后,各单位终端到集团统建数据中心业务的安全访问通道亟需构建,否则“带病”连通反而会成为重大隐患。
在终端层面,识别数字化终端,实现一体化安全。
在信创PC终端层面,通过“一体化终端安全工程”建设,在集团全面部署天擎和EDR,形成具备接入控制、身份鉴别、病毒防治、安全审计、行为分析(部分)、可视化呈现等的一体化终端安全能力,实现统一安全运行管理、一体化安全防护以及协同联动处置。在移动终端层面,通过“基于蓝信的移动安全工程”建设,围绕蓝信设计具备环境感知、应用沙箱、设备管控等的一体化封装或SDK嵌入内生能力,并完善实现文件不落地阅读、安全水印、数据加密等自身安全能力。实际运行中,还需关注不同分类终端的天擎管控策略以及网络区域访问策略。
在网络层面,缩小网络暴露面,优化网络纵深防御。
基于整体安全形势与集团网信战略支撑需要,该央企开展互联网出口工作、同步建设“一张”互联网与商密网共同组成的非密广域网,通过“互联网收口安全工程”与“重构网络纵深防御工程”建设,集中优势力量对收口后的非密广域网进行统一监管、统一防护、统一运营。
该工程采用面向失效的设计思想,考量基础结构安全,重新设计网络分区分域并进行网络边界重构优化;考量纵深防御,设计贴合全覆盖的安全能力并纵深部署落地,重构网络纵深防御体系,强化网络边界防护、增加网络防御纵深、提高网络结构安全性;考量安全运营,在纵深分区缩小暴露面、多层级部署防护措施的基础上,形成策略异构、协同联动的防护机制,提升网络安全运营管理质量与效率,规避局部失效对整体网络的影响,有效保障网络关键资产的安全。实际运行中,还需关注不同网络区域的不同访问策略以及“真”收口步骤。
互联网收口与SD-WAN广域网示意图
在业务层面,应用零信任体系,安全打通数字化业务通道。
结合集团业务应用实际、IT规划设计,结合蓝信、中台等集团核心业务以及身份认证体系现状,在数字化开放面临不可信的网络环境下,构建以身份为基石的业务动态可信访问控制机制。将零信任及相关组件分别放置在互联网区、普通商密业务区、核心商密业务区的对应位置,与关联系统深度对接,使该央企员工在任何地点、任意时间,通过被检测安全的设备、被验证可信的身份、被评估安全的网络环境,通过移动端蓝信、PC端奇安天信访问被检测安全的应用系统,并实时监测。
该央企还在互联网出口侧建立了替代原VPN的零信任系统,为各下属单位上云托管应用以及尚未上云应用的提供远程安全访问支撑。实际运行中,还需关注不同集权系统自身安全以及不同等级访问权限策略,例如:在零信任系统各组件中部署椒图主机安全防护系统,在操作系统层面再构建一层监控防护措施。
在服务化运营层面,通过工程融合形成专属SASE体系,服务化保障业务访问通道安全。
SASE是Gartner在2019年推出的一套新的企业网络安全服务架构。2021年,通过网络安全规划的关联工程建设与融合,该央企建成了全国首个企业专属SASE服务体系,通过将网络和网络安全的功能融合为统一服务的模式,使分支机构人员和移动办公用户能够高效且安全的接入安全资源池服务节点,实现访问互联网应用、公有云应用、企业内部应用等的统一安全防护和安全运营,为全集团提供网络安全接入与业务安全访问通道保障,并同步提供持续的安全运营服务,使接入单位放心接入、集团安心收口。实际运行中,还需关注与接入单位的服务责任划分以及协同响应处置机制。
(2)信创混合云数据中心纵深防御
和众多大型央企一样,该央企属于公有云、多个专属云的混合信创云场景,非常复杂,在云特性的“不可见混沌”情况下,如何构建云上网络安全纵深防御体系,成为新的挑战。
解构不同类型云,分层融入安全能力。规划建设“内生云安全工程”时完整识别云安全相关能力,贴合该央企云、网建设情况以及业务需求,全面服务化保障该央企商密专属云上各单位托管应用及集团统建应用的整体安全;协同保障公有云的该央企互联网区上托管应用以及租用应用的安全。
商密专属云能力构建,在商密专属云相关接入点、云边界、云基础平台、云服务交付、云安全管理等层面,构建全面覆盖、深度融合的云原生安全防护体系;通过体系化安全运营,保障云数据中心安全,向云租户提供安全服务化交付,全面满足安全合规管控要求,提供信创环境下商密专属云整体服务化安全保障。
公有云互联网区能力构建,以云安全整体视角提出公有云互联网区安全防护要求,落实服务水平协议,执行安全监管责任,使在该央企互联网区上的托管互联网应用及租用应用的安全防护有效落地,满足安全合规管控要求,达成该央企托管互联网应用与租用应用的服务化运营保障要求。
充分“打开”云,组合形成最佳防护效果。为实现安全能力与云的进一步融合,云平台与云安全管理平台进行了深入的接口调度以及部分组件内嵌融合开发,实现信创云管理平台与安全管理一体化,将安全组件内生于云内。在实际运行中,需将安全资源池组件功能(例如虚拟防火墙)与云基础安全组件功能(例如安全组)进行策略协同设计,使策略统一配置、纵深协同支撑;需将云网建设“透明打开”,将虚拟网络链路充分识别出来(例如不走北向出口的云专线),将安全措施与能力融入其中;需做好云内东西向的访问控制与“透明监视”,该央企在实践中快速补充了云天眼威胁监测、云椒图主机防护等措施;需做好云安全责任分担设计,使云平台、云安全提供者与运营者各司其职,该央企云基础平台安全由云运营者承担责任、云租户安全由云安全运营者奇安信承担责任,并且由于奇安信承担的“端到端”安全责任,因此云运营者安全相关日志与告警需同步奇安信做统一监控。
(3)全方位无死角全透明监控分析
“看的见、看的全、看的懂”是安全监测的核心关键点,只有这样才能“防的住”。“看的见”需要具备相关的安全监测措施,而“看的全”需要清晰的知道监测的边界与核心,也就是资产及资产属性要清晰;“看的懂”需要在“看的见、看的全”的基础上都能解析相关内容,否则将处于“半盲”状态。
基于防护视角,开展面向资配漏补的系统安全工作。安全防护目标是资产,该央企通过“系统安全工程”,明确资产及资产关联属性(漏洞、配置、补丁),进而明确监控对象或防护对象,做好系统安全工作将有助于“有的放矢”的投入防护力量、有助于出现问题后的快速应急溯源。该央企开展这项复杂、耗时且很难持续动态保持的工作时,也是费了一些周折,在尚无有效技术措施的情况下,采用人工表单的方式进行梳理,涵盖集团互联网暴露资产表、下属企业互联网暴露资产表、集团及接入SD-WAN下属企业IP地址信息表及相关信息,共14类资产,过程中付出了大量的心力,云上资产仍不能及时的更新。在后续补充奇安信CAASM系统后,大大提升了工作效率的同时,能将资产、配置、漏洞、补丁等工作通过平台接口自动化获取、通过平台引擎自动化关联,再结合资配漏补岗,使得在“战时”发现漏洞情报时、发现攻击动作时能准确对应资产,协助快速采取措施。“技术+机制流程+人员”让该央企资产获得了持续有效的管理。
基于攻击视角,构建无死角全透明监控体系。尽管通过“平战一体化安全运营工程”的建设,在2021年该央企已经将天眼逐步部署到各级网络环境下,具备了监控能力,但在2022年国家级实战攻防演习的前期评估分析中仍发现了问题:规划时对加密流量解密分析的考虑不足。该央企的评估数据统计显示,互联网流量至少有30%~40%属于加密流量,集团超过60%应用采用HTTPS访问,此时未进行解密分析的流量监控措施处于“半盲”状态,隐藏在加密流量中的攻击,将轻松逃过流量监测。基于此风险,结合北京冬奥会网络安全实践经验,进行了如下措施:一是梳理天眼监控盲区,补齐天眼监控设备,并做全网流量监测的全面性验证;二是部署采用硬件加解密卡的流量解密编排器,对SSL流量进行解密卸载并编排提供给天眼、WAF、DLP等分析设备,实现“透明”监测;三是新增部署API监测系统,对蓝信、中台等大量应用API接口的系统进行针对API访问的监测;四是在构建蜜点与蜜罐组合的“蜜环境”。以上措施产生的监测告警汇集到NGSOC平台上,做针对性的规则建模分析,通过异常行为去发现可疑攻击,再结合SOAR做自动化处置。
(4)精细化白名单策略与监督检查
技术措施的部署只是安全能力实现的一小步,好用的工具需要配套结合好的管控策略以及持续的配置优化运营。众所周知,白名单策略是一项非常严格、难度极高的策略,它会和业务直接碰撞,会导致很多业务短时间内可能无法使用,因此很多企业不敢尝试。在互联网收口集中后的安全风险激增,该央企出于更强安全防护的考虑,结合北京冬奥会网络安全实践经验,大胆采用了“平时黑名单、重保白名单”的激进策略。
即在重保、实战攻防演习期间,在统一互联网出口的SWG设备中配置集团及二级单位访问互联网白名单,这样既能控制该期间上网非法访问,又能使终端或服务器失陷后的C2地址反连,为重要时期安全增加了又一层保障。事实证明,白名单策略极大降低了重保时期被钓鱼、被攻击的可能性,效果非常出色。
重要时期构建统一互联网出口白环境是一个阶段的安全策略,但运维终端和集权系统的白名单访问是需要常态化执行的安全策略,需要构建运维终端与集权系统的双向白名单访问策略:一是在运维终端至目标管理设备的所有网络防火墙中配置策略,仅允许被指定运维终端访问;二是在目标管理设备/系统中配置“可信管理主机”策略;三是不允许目标管理设备主动发起非必要的对外访问。这样即使集权终端/系统被攻击,其之后的攻击蔓延将被大大遏制,也能降低其受损面。
(5)应接尽接后的全量告警清零
网络安全的持续最佳状态是将全网相关设备/系统的关联日志和安全告警全部清零处置,而这需要好用的平台工具与人员的持续运营保障。
首先是建设好用的平台工具。 结合“平战一体化安全运营工程”中关于平台的设计以及北京冬奥安全运营平台的实践经验,该央企采用了奇安信态势感知与安全运营平台(简称:NGSOC)以及配套分析溯源服务,形成了该央企平战一体化安全运营平台。
该平台纵向低位对接各接入区域中心、各统建出口中心、各数据中心等 “端、网、云、应用、数据”的安全设备/系统,使这些系统成为平台分析的日志与告警的贡献点、协同策略应用的执行点;该平台横向对接天眼、SOAR、CAASM等平台系统,协同精准判断告警、协同自动化处置告警,通过平台工具与执行点的衔接全面支撑安全运营工作。
其次是平台对日志与告警的应接尽接。秉承日志“应接尽接”思路,需将安全系统/设备告警、网络设备日志、应用系统日志、重要操作系统日志等尽数汇集至NGSOC平台中,否则会出现漏处置而导致的假清零。日志与告警的接入不仅仅需要网络可达、不仅仅需要NGSOC提供标准接口,还需要考虑日志与告警的采集方式、采集路径,还需要考虑多区域、多云环境下的网络策略开放安全以及安全管理难度,还需要考虑平台日志的合规存储等。
该央企的NGSOC平台部署架构采用可扩展的分布式集群架构(每台也均部署椒图主机安全),在不同的区域以及云VPC内部署日志采集节点,由日志采集节点汇聚本区域日志与告警,一对一的采取传输加密、接口校验等安全传输方式向NGSOC平台传输,由平台进行解析与预处理。
最后是基于平台的威胁建模、自动化联动与挂图闭环处置。NGSOC作为该央企安全运营的中心平台,基于采集的全量日志与告警做关联分析、规则优化。例如:2022年攻防演习期间,该央企NGSOC平台每天接入10亿余日志、产生成百上千万条告警),针对集权系统、重点业务等开展威胁建模,之后协同SOAR等平台开展自动化处置工作,具体如下:
1️⃣ 平台经过规则过滤后的告警发送至SOAR,例如2022年攻防演习期间,每天仍有近5000条告警发送至SOAR);
2️⃣ 通过SOAR制定剧本、联动关联防火墙设备进行自动化封禁;
3️⃣ 封禁告警处置信息及无法自动化封禁的告警返回NGSOC平台,例如2022年攻防演习期间,每天SOAR又回到NGSOC的告警大概有1000条左右;
4️⃣ 监控人员针对无法自动化处理的告警进行分析,在冬奥版定制清零挂图大屏中进行“告警评论”处置;
5️⃣ 监控人员无法处置的告警,通过NGSOC工单发送至研判人员,研判人员进行“告警评论”处置,例如2022年攻防演习期间,保障10分钟之内告警全部清零处置;
6️⃣ 处置决策需要进行应急或通报或二线反馈等操作,通过内部蓝信或集团工单系统进行协同。目前,在常态化过程中,通过NGSOC+SOAR联动的自动化处置率能达到85%,下阶段目标要达到90%。
基于NGSOC的冬奥版定制清零挂图大屏
(6)可应对平战的常态化运行机制
该央企在“平战一体化安全运营工程”建设的同时,参照冬奥平战融合网络安全运行模式,建立实体网络安全运营中心、平战融合安全运行组织与机制,汇聚形成“平时运营、随时应战”的安全运营姿态与机制,将战时机制融入平时运营阶段,“招之即来,来之能战”,平战结合,有效、高效的持续安全运营。
首先建成常态化实体网络安全运营中心。基于集团原运营体系、结合冬奥模式和标准,建设形成了集团实体网络安全运营中心,设置40余个运营工位、1个挂图作战研讨室、1个决策指挥室,优化形成了“平战融合”的组织机构、运营流程,在实战攻防期间发挥了重大作用。在2022年国家级实战攻防演习前的2个月能快速建成,也得益于明确的目标与高要求的建设过程:确定实战攻防演习 “零失分”“零事故”并固化构建常态化运营体系为目标,过程中通过项目机制管控,保障责任落实、工作落地。
其次建立冬奥模式安全运营组织与运营机制。北京冬奥的网络安全运营组织是一个机构两块牌子,有专门的领导小组,管理人员和运行人员归属于一个机构。一个团队,平时既承担日常态工作,战时又承担运行态工作,这样平战融合的组织机构,有助于常态化工作的有效运转与高效执行。该央企参考冬奥模式,设置了平战融合的组织机构,执行日常管理态工作以及运行态工作,实现了真正的常态化平战一体运营。
参照的北京冬奥网络安全运营架构图
最后是落实标准动作支撑长期高质量运营。网络安全运营是长期持续开展工作,过程中的人员更迭、工具更新、策略变化等不可避免,落实责任、落实标准SOP是保障持续高质量运行效果的关键。充分借鉴北京冬奥模式,在2022年国家级实战攻防演习期间,优先完成20余个二、三、四级制度、流程表单、SOP并内部发布运行,同时还制定了完整的标准制度编制计划,为持续的标准化运营提供了标准制度支撑。不仅如此,该央企结合攻防演习期间的问题与尚未大规模开展的“业务纵深分层与应用安全工程”,将安全纳入应用系统的全生命周期中,以网络安全运营中心为抓手,严格执行应用系统上线安全管理规范及流程,最小化的降低应用安全整改成本,防止应用系统“带病”上线、“将就”运行、重保“下线”的问题。
四大提升,从“量变”迈向“质变”
可以说,在实战中不断汲取经验和成长进阶,是该央企网络安全建设的重要收获。从2020年到2022年,该央企网络安全迎来了“三级跳”,真正实现了从“量变”到“质变”的完美跃迁。其主要能力提升可以归纳为四个方面:
第一个提升,是从事件驱动的“缝缝补补”,到提升为能力驱动的体系化建设。过去是遇到攻击后再“兵来将挡、水来土掩”,基本是由事件驱动。但随着2020-2022持续的全局规划和能力体系构建,逐渐形成由能力驱动的体系化建设。
第二个提升,是由单靠人员进行问题处置,变化为基于数据的智能化、自动化处置。过去,遇到问题主要靠增加人手解决,各种产品告警,基本靠人工研判分析。到目前,通过把所有告警数据全部收集上来,进行智能化的分析、研判和自动化处置,实现了从原来“纯靠专家”到自动化处置的极大进阶,大大节省了人力。
第三个提升,是由各自为战的基础运维,提升为有条不紊的组织化、流程化运营。过去从终端运维到网络运维,从集团总部到分支单位,都处于很少沟通、没有协同、各自为战的状态。通过实战攻防演习,分支单位、总部,云、网、端,彼此之间的距离迅速拉近了,尤其是广域网建设将大家拉到一张网、纳入一盘棋中,同时进一步通过建立运营中心,实现了拓扑网的组织和流程化的运营。
第四个提升,是由数字化开放的谨小慎微,转变为大步开展数字化转型工作。当前,数字化转型在各个行业全面展开,很多央企担心数字化业务开放和移动办公的普及等,是否会带来更多、更严重的安全问题。为此,该央企充分协调好业务、信息化和安全部门之间的关系,让安全不再是数字化的桎梏和阻力,而是发展的保障和助力,推动安全和数字化相辅相成、协同并进。
五大经验,打造央企典范
回顾该央企的网络安全体系化建设之路,可以归纳为五方面经验:
一是全局规划设计,需要全局体系化能力设计,形成可落地执行的工程化行动项并按路线图实施;
二是全维度汇聚分析,需要建设支持全维度安全数据汇聚与分析的安全运营平台,通过做规则优化、设计建模、自动化处置等,实现挂图作战与自动化响应一体化;
三是平战融合机制,需要建设平战融合的常态化安全运行组织与流程机制,支撑日常管理态与运行态工作;
四是持续过程管控,在规划、设计落地过程中,需要“规划---建设---运营”的持续过程管控,真正结合实际情况及时地纠偏、优化;
五是周期性评估优化,建设完成之后,仍需要开展周期性网络安全架构评估,包括技术、管理、运营等层面,因为只有持续地提升和改进,才能不断改进运营效果,让企业赢得更大收益。
纸上终觉浅,实战见真章。可以看出,该大型央企通过三年多的实战探索和验证,最终完成了安全能力进阶的三级跳,更为广大央企打造了高标准、可参考借鉴的网络安全体系建设“样板间”。