32万员工、17万终端······国家能源集团如何实现终端安全的“数字化运营”?
32.6万名员工,17万台终端,分布于全国各地乃至全球海外,这样超大规模的集团型组织,如何应对各种木马、病毒、以及APT攻击等新型攻击?如何对终端安全进行数字化的效果评估?如何构建一体化的闭环整体防护体系?实现全局整体的有效管控?······
面对这些问题,国家能源集团在历时8年的网络安全建设中,探索出一条“体系化防御、数字化运营”的终端安全运营之道。
01从8万到17万的跃迁终端安全运营问题凸显
国家能源集团,全称为国家能源投资集团有限责任公司,是由中国国电集团公司和神华集团有限责任公司联合重组而成的中央骨干能源企业,是全球规模最大的煤炭生产公司、火力发电公司、风力发电公司和煤制油煤化工公司。在国家能源集团的数字化过程中,终端作为必不可少的IT基础设施,是数据和应用的重要载体,更是攻防对抗的最后一道防线,其安全建设成为重中之重。
“从最初的时候,我们就秉承了体系化防御的理念,坚信网络安全一定不能靠单一的产品来解决问题,而是一个纵深防御的体系。” 国家能源信息技术有限公司网络与信息安全中心部门总经理韩鹏军这样表示。
据韩鹏军回忆,在2014年以前,集团终端侧均为各单位自行建设和管理,随着数字化转型的浪潮,这种单兵作战、事后补救的分散被动防御,无法应对各种木马、病毒、以及APT攻击等新型的攻击手段,体系化防御势在必行。2014年,集团通过天擎系统完成8万多终端的统一管理。此后,陆续上线的NGSOC(态势感知与安全运营平台)、VPN、天眼以及其他的防护手段,都基于体系化防御理念。
2017年,随着神华集团和国电集团的合并,国家能源集团正式挂牌成立,而终端规模也从接近9万,激增到16到17万的规模。韩鹏军表示,随着规模的激增,集团终端安全在日常运维、重要节日保障及攻防演练期间,陆续发现了很多运营方面的困扰与不足,具体表现在以下几个方面:
首先是终端资产难以掌控。
由于集团规模庞大,终端资产繁多,不了解实际网内终端数量,无法确定终端防护范围;终端安装率提高缓慢,各单位缺少专门的终端安全运营,资产台账难以及时更新。
其次是数据利用相对低效。
由于终端安全数据繁多,大量的终端行为数据,难以快速进行有价值、高效的安全分析;杂乱的数据往往无法直接成为管理办法制订及修改的依据。
第三是安全基线无法统一。
具体表现为终端用户业务行为差异,终端安全基线无法统一,缺少判定安全基线策略的实用性的方法。
最后是高阶病毒防不胜防。
随着高级威胁、勒索等病毒花样繁多,在高阶对抗的新形势下,对于很多灰色文件无法有效判定,下属单位安全能力相对薄弱,无法有效处置。
这些问题归纳起来,侧面说明,终端安全防线并不是简单的安装部署就能永久生效的,进化的威胁、管理的疏漏、失调的策略等,都可能导致终端安全产品失效,使得终端无法获得持续有效的保护,重新建、轻运营的思维亟待扭转。
02终端安全四步走真正实现可视、可管、可量化
回顾终端安全的建设历程,国家能源信息技术有限公司网络与信息安全中心部门副总经理曹慧划分了四个阶段:
•第一阶段是2014年开始的基础平台建设期,核心是启动防病毒项目建设,并建立考核体系;
•第二阶段是2016年完成的全集团覆盖,推动各子公司安全管理水平达到预期水平;
•第三阶段为2018年启动的平台数据深化应用,旨在建立数据分析平台,对信息化决策提供数据支撑;
•第四阶段是2019年至今,持续的终端安全深化运营,为集团信息化的精细化管理提供抓手。
在建设思路方面,根据集团提出的“统一基线策略、分级管理、分级授权”的终端安全管理建设模式,采用“大统一”式架构,采用模块分离、集中部署的方式,集群统一部署于集团总部,各级单位终端通过集团广域网连接到系统管理控制中心,接受集团统一管理。
图 国家能源集团终端安全概况
“大统一”式架构的优点显而易见,它适用于集团大型/复杂/跨广域网环境的用户,同时统一集中化管理模式,运维管理更高效;尤其是全网终端统一的安全策略防护,更高效提升全网终端防护水平;而整体项目工程周期短,见效更快,维护投入更低。
曹慧表示,终端安全管理运营平台建设完成后,目前已经实现了可视化、可管控和可量化三大目标。
- 其中在可视方面,通过搭建终端安全综合展示平台,可以多维度进行终端信息展示,全面掌控终端安全态势情况,尤其是多层次的安全态势视角,为领导决策指挥提供量化数据支撑。
- 在可管方面,通过与安全管理工作平台实现整合,实现告警监控与处置的全生命周期管理。
- 而在可量化方面,通过安全指标来量化当前终端用户面临的威胁、以及自身的安全建设情况。
通过可视化、可管理和可量化,分别满足了决策者、管理者、运营者等不同层级使用者的需求。决策者可以通过平台了解全局终端安全态势以及终端安全建设工作,帮助更快做出安全决策。管理者可以通过平台提高终端安全运营工作的效率,梳理运营流程。运营者则可通过平台进行安全监控并获取安全事件处置的佐证。
当然,对于32多万员工的超大集团型企业而言,终端安全运营的模式探索之路曲折而艰辛,绝非一朝一夕就能达到目标,为此,曹慧总结了四方面经验:
第一是充分整合已有平台的安全能力,发挥更大价值。
很多单位在使用安全防护软件时,仅使用了平台推荐的功能。但我们的思路是尽可能挖掘平台深层的能力,尽可能用全、用到位,充分发挥出系统应有的价值。
图 病毒治理监测视图
第二建立安全事件通报机制,持续提升执行效率。
由于集团的下属单位安全能力薄弱,很多攻击事件无法及时研判和有效处置,通过建立安全事件通报机制,通过定义终端安全事件规则,实现安全事件协同通报处置,持续提升终端安全运营的执行效率。
第三是逐步细化考核评价指标,让安全效果可量化。
在过去,终端安全的效果多是感性描述,很难进行数字化考核。凭借终端运营平台持续的数据分析,集团制定了终端安全考核制度,通过技术手段对全集团终端安全情况进行评价,结合集团管理要求逐步细化调整考核评价指标,让整个安全效果可量化、可考核。
第四是深化终端安全数据处理,实现高效利用。
终端安全运营中会产生海量数据,如果不能将其充分收集利用,其价值就无法被发挥出来。“我们充分提升了终端数据分析效能,增加了多个维度和分析,对于平台所采集的多维度终端数据进行高效利用。”
03打造平台化底座实现从安全到管理的跃迁
“始于安全,不止安全”,这是国家能源信息技术有限公司网络与信息安全中心安全运维经理钱隆对于终端运营最深刻的感受。“经过这么多年对天擎不断的使用、不断的运营,我们发现它不仅仅是防病毒,安全管理是它更大的功能,完全可以承担平台化底座的角色。”
第一个典型场景是软件正版化。
过去集团经常头疼的事情是:第一,不知道所有的计算机都装了什么软件?第二,装了这些软件哪些是正版的、哪些是盗版的。依托于“天擎”的软件管家,这些信息可以一目了然。
另一个典型场景是整改违规互联网出口。
依靠传统手段,很难发现隐蔽的违规互联网访问,通过天擎加入了一个定制开发功能,可以让终端不断地检测互联网出口IP,并把这个IP信息报给“天擎”管理控制台,“天擎”上面录入了合规的出口的IP地址来进行比对,这样一来,违规互联网出口问题迎刃而解。
“终端安全管理具有得天独厚的优势,因为它是可以管到最末端的一个环节的。不仅上面出现的这些安全风险可以第一时间得知和处理,更重要的是,这些17万台终端散落的有价值信息,可以第一手获取,从而对信息化管理提供强大的支撑。”钱隆如此总结到。
终端安全通常是企业最先部署的安全产品,然而也容易让很多客户对其价值的理解,停留在防病毒等基础层面。显然,国家能源集团通过在“数字化运营、体系化防御”方面的实践探索,进一步挖掘了终端安全在管理和运营层面的深层价值,使其成为数字化建设中不可或缺的平台化底座,这也是该项目最大的标杆意义所在。
