從四個轉變看能源巨頭 國家電投的網絡安全運營之路

張文

“在網絡安全運營這條道路上，國內幾乎沒有能借鑒的行業成熟先例，沒有可參考的成功經驗模式，只有通過自己的探索，才能找到適合集團自身的運營模式。” 國家電投集團信息技術有限公司網絡安全部副總經理（國家電投集團網絡信息安全實驗室副主任）張萌說。

從合規驅動到實戰導向

2019年，國家電投在思路上有了顯著的變化。那一年，“三化六防”的新思想被提出，即以“實戰化，體系化，常態化”為新理念，以“動態防御，主動防御，縱深防御，精準防護，整體防護，聯防聯控”為新舉措，構建國家網絡安全綜合防控系統，深入推進等級保護和關鍵信息基礎設施保護的積極實踐。在網絡安全防護體系建設中，國家電投不僅單純考慮政策監管和合規需求，更要將 “三化六防”理念貫穿進去，其中率先落地的就是實戰化和常態化。

張萌認為，區別于過去面向合規的安全運維，安全運營更強調網絡安全與信息化的融合，通過運營過程，讓網絡安全人員與設備發揮出應有的效果，從而實現網絡安全風險可控可接受的目標。在這一年，國家電投部署了奇安信態勢感知與安全運營平臺（NGSOC），以NGSOC作為安全運營工作的核心威脅感知支撐工具，在實戰化安全運營方面邁出了重要一步。

“實戰化安全運營體系的建設不是一蹴而就的，我們上線NGSOC，首先要解決誰來攻擊，用什么方式的問題，讓安全威脅可見、可知、可控。否則就是兩眼一抹黑，被動挨打。”

NGSOC上線的效果也是立竿見影。安全運營團隊借助奇安信NGSOC平臺的技術支撐能力，同期構建無縫協同聯動機制，國家電投在安全監測預警、威脅分析和主動防御方面的能力大幅提升。自上線來，月均采集和存儲約89億條安全日志，月均發現約75起威脅攻擊，包括webshell上傳、挖礦木馬、勒索軟件、遠控木馬等破壞性強、影響范圍大的高威脅安全事件。

在資產梳理及漏洞修復方面，NGSOC上線至今，持續梳理總部資產及下級單位資產、網段信息，對多個系統進行漏洞檢測、修復及復測，修復率高達91%。

而在2020年網絡攻防實戰演習中，運營團隊通過NGSOC對威脅告警進行監測分析，發現并處置安全威脅事件65件，結合威脅情報信息共封禁攻擊IP地址74667個，提交防守報告16份，圓滿完成了防守任務。

從局部實踐到規模化推廣

當國家電投通過集團數據中心以及數家二級單位，完成探索成功的第一步之后，下一步的任務，就是按照集團公司統籌規劃，將該模式推廣到整個集團。

據介紹，目前安全運營中心主要覆蓋了數家單位，包括集團數據中心、中國電力、成套公司、山東核電、姚孟電廠、橫琴熱電、重燃公司等。按照集團規劃，2021年，計劃在集團范圍全面擴展覆蓋，力爭實現近百倍級的量級擴張。

“量變勢必帶來質變，隨著未來集團安全運營中心的建立，將面臨效果和效率的雙重挑戰。”張萌表示。

首先是效率方面的挑戰。目前，網絡安全系統在集團數據中心已經穩定運營，每天產生2億多條日志，告警歸并之后，大約2000多條告警。這些告警主要依賴于專業人員來分析處理，效率比較低。

在規模化后，預估日均告警數量將有數十倍甚至百倍的提升，投入數十倍的員工當然是不現實的，因此必須提升安全運營的效率。例如整合NGSOC平臺和主機安全系統，實現安全威脅告警自動化分析判斷;再例如面對歷史同類的告警，系統按照現有的SOP執行自動化的分析判斷。

“在這個問題上，我們也在測試最近比較火熱的SOAR產品。從技術理念上來說，我們將所有的安全產品劃分為三個階段使用，‘感知階段、‘分析與輔助決策階段、‘行動階段。SOAR能提供自動化安全編排和響應能力，我們將SOAR定位為‘ 分析與輔助決策階段和‘ 行動階段的‘執行管家，希望能在規模化運營時期，大幅度提升安全運營的分析與行動效率。”張萌說。

第二是來自效果的挑戰。隨著規模越來越大，網絡環境越來越復雜，威脅數量、攻擊形式都會激烈增加，安全運營需要對威脅預警和脆弱性，實現更全面、更精準的發現和處理。在日常和實戰攻防演習期間，國家電投優先修補有公開POC或者EXP的漏洞（即已驗證可被利用的漏洞），而不是追求大而全、修補所有漏洞，這樣能在投入（工作量）和安全風險之間尋求相對平衡，在盡量降低安全風險的同時，又符合安全運營的投入產出比原則。

張萌表示，沒有絕對的網絡安全，將所有未知的威脅全部阻斷是非常不現實的，因此我們的重點目標，是避免系統被相同的攻擊手法打穿兩次，不能在一個問題上反復栽跟頭。所以遇到一類問題，一類場景，都將其沉淀下來，形成標準化的SOP積累，為將來全面走向系統化提供基礎。截至目前，國家電投安全運營團隊總結出了12類大場景，若干個小場景，并將其運營工作固化下來，以便能夠讓新的安全運營人員快速上手復用，滿足規模增長和人數增長的需求。同時為系統功能更新、SOAR自動化編排等做準備，實現自動化編排，顯著提升效率。