“央企的网络安全普遍会面临这样的问题:集团太庞大了,组织机构非常分散和复杂,安全短板和漏洞防不胜防;国产化、上云和移动办公等在稳步推进,传统安全体系已经难以胜任;数字化转型加速,安全和业务发展之间难以平衡矛盾,更无法相辅相成、协同并进……”中国电子信息产业集团有限公司(简称“中国电子”)产业规划部副主任唐路表示,央企的数字化转型正在全面展开,但网络威胁随之与日俱增,构建适合央企的网络安全防护体系迫在眉睫。
中国电子是国有独资特大型集团公司,主要业务涵盖先进计算、网络安全、集成电路、高新电子、数据治理等战略性、基础性、先导性电子信息产业领域,已成为国内网络安全和信息化领域产业链布局完整的中央企业。目前,中国电子拥有19家上市公司,687家成员企业,21余万员工,总资产3993.4亿元,业务覆盖全球6大洲60多个国家,连续12年入选《财富》世界五百强。
从2020年开始,中国电子基于安全为先、全面上云、融入移动三大原则推动“数字CEC”战略。在安全方面,中国电子秉承自主化使命、系统化设计、工程化实践、项目化落地、服务化运营的理念,携手安全龙头奇安信,为央企网络安全探索一条可供借鉴的建设之路。
安全为先构筑一套基于PKS体系的数字化底座
网络安全圈经常有这样的比喻,数字化建设如同建高楼大厦一样,在打地基时,沙子做地基;图纸设计时没有考虑安全抗震;建造时安全措施没有同步施工,建成后再补救,无论投入再多成本,也很难坚固牢靠。
同样,中国电子全集团的网络安全也遇到类似情况,因为安全总是滞后于信息化,导致出现‘散、乱、弱、虚’等问题。具体包括:集团过于庞大和分散,很难形成统一的安全防护;海量IT资产部署杂乱,梳理难度极大;弱口令、初始口令、被钓鱼、开发代码漏洞等薄弱环节广泛存在;同时国内安全生态尚不成熟,防护体系仍需完善,等等。
要解决这些问题,中国电子深刻意识到,数字化建设如同建高楼大厦一样,在图纸设计、打地基、建造等各个环节,就需要提前将安全考虑在内,要始终坚持安全和信息化“同步规划、同步建设、同步运行”。
不过,“同步规划”对于中国电子这类信息化建设相对成熟的央企来说,并不是一件简单的事情。恰好这个时候,即2020年,中国电子启动“数字CEC”战略。
图:数字CEC的战略定位
据介绍,中国电子将“数字CEC”定义为一场管理变革,提出“提升能力,提升效率,控制成本,控制风险”建设目标,希望将“数字CEC”打造成为数字治理“样板间”、信创生态“试验田”和网信人才“练兵场”。
图:数字CEC的三坚持两聚焦两关注
“安全为先”是数字CEC建设的首要原则。一方面,数字化转型为重构网络安全体系提供了机会,安全能力能够内置到数字化环境中,实现内生安全;另一方面,数字化转型带来了组织管理变革升级的机会,为安全为先、体系化规划提供了多重保障,具体表现在以下几个方面:
首先在组织机制层面进行了保障。数字CEC具有良好健全的组织体系,确立了集团董事长亲自来抓的“一把手”责任制,确保让决策贯彻到全集团上上下下。而在执行层面,数字化和网络安全紧密协同、融为一体,打破了沟通隔阂。
图:“数字CEC”技术架构
其次是为安全规划赋予空前重要的地位。过去安全往往滞后于信息化建设,无法在之前就进行系统性设计和全局规划,数字CEC基于国产化平台的全新体系,网络安全可以在规划阶段就实现同步,真正落实了“安全为先”的理念。
最后是构建国产化底座,全面支撑网络安全体系建设。习近平总书记曾指出,“不掌握核心技术,我们就会被卡脖子、牵鼻子……网络强国建设就会成为空中楼阁,成为沙滩上的城堡,经不起半点风浪”。因此,数字化转型最重要的是数字底座的安全,中国电子作为唯一一家以“网络安全和信息化”为核心主业的中央企业,坚持自主与联合创新,积极探索基于PKS体系全链条生态产品,实现了从CPU、内存、操作系统,再到信创云的虚拟化资源、容器安全、微隔离,以及移动办公等各个环节的安全融入,全面支撑了集团从底层架构到应用环境的网络安全体系建设。
“安全并不是买两套设备,雇俩人就安全了。而是把整个安全和信息化运维一体化的考虑,从体系规划、系统设计、软件架构之初就融入安全,在开发过程中要融入安全,在上线过程中要融入安全,在运行过程中,整个全生命周期要考虑怎么去安全的运营它。”这就是数字CEC中“安全为先”的核心内涵。
从秦长城汲取灵感搭建一张覆盖600家分支机构的安全大网
中国电子拥有超过600家企业、21万员工遍布世界各地,互联网出口和信息系统数量更是十分庞大,漏洞、风险可能“潜伏”在集团的任何一个角落。因此,网络安全建设的第一件事,就是统一互联网出口、收敛暴露面、统一防护,避免太多的木桶短板直接暴露在攻击者面前。
在这个时候,安全访问服务边缘(SASE)出现在中国电子的视野。根据Gartner的定义,SASE可将广域网与网络安全结合起来,对移动用户、PC用户、云资源、数据中心资源、总部资源、分支资源等进行统一管理,并实现网络安全和信息化的深度融合和全面覆盖。在此基础上,中国电子联合奇安信为部署SASE做了如下三点规划:
第一是网络安全与信息化的深度融合与全面覆盖,在总部-所属企业互联互通的同时,实现统一安全管控。
第二是使所属企业和移动办公的用户能够高效和安全的接入安全资源池的服务节点。
第三是对互联网应用、公有云应用、内部应用进行分级分类的安全运营。
“这就好比秦始皇修长城。”唐路解释说,“战国时期各个国家所筑的长城之间有必然存在很多的间隙,这就给了北方游牧民族大量入侵的机会。所以秦始皇在统一六国之后,在原有的秦、赵、燕三国长城基础上,将长城连成了一片,并派出大将蒙恬统一驻防,这样就避免了遍地烽烟、顾首不顾尾的防守困境。”
图:统一收口的SASE体系
对于中国电子而言,SASE就如同为集团构建了统一安全边界的万里长城,它将网络和安全的功能融合为统一服务模式,从而使企业人员、移动办公员工能够高效安全的接入安全资源池服务节点,实现访问互联网应用、公有云应用、企业内部应用等的统一安全防护和安全运营。
图:统一互联网出口安全策略
基于SASE的互联网收口安全,仅仅是中国电子“工程化实践”的项目之一,据介绍,包括安全软件国产化适配、零信任身份安全、系统安全、供应链安全、密码专项等14个网络安全专项,都在有条不紊的推进,真正从过去局部整改为主的外挂式建设模式,走向深度融合的体系化建设模式。
平战结合成立一套覆盖19万员工的安全运营中心
不过,网络安全不是建设完就可以高枕无忧了。安全日志得有人分析、安全事件得有人处置、安全策略也得有人执行,这是一条永无止境的安全运营之路。
于是,中国电子安全运营中心成立了。
“在安全运营中心,我们建设了集团统一的安全防护运营团队,在平时执行5×8小时、战时执行7×24小时的监控,通过端口的收敛,集约化保护网络安全。”唐路说,“在SASE架构的基础上,安全运营中心为集团量身打造了安全运营的‘三驾马车’。”
第一驾马车是统一的安全运营分析平台,引入冬奥重保模式,确保流量日志“应接尽接”,威胁告警秒级处置。据统计,集团每日接入安全运营中心的日志数量可达十亿级,在实战攻防演习期间会更高,这就需要基于统一的安全分析平台对海量日志进行关联分析,找出其中隐藏的攻击行为。
中国电子通过引入奇安信冬奥重保模式,在冬奥NGSOC(态势感知与安全运营平台)1000多条策略规则不断优化和补充,通过“精准规则建模与自动告警处置”,该集团10亿级的海量日志及告警,转变为日均千余条可处置的告警,配合自动化响应设备SOAR,实现秒级的自动化处置,达到“零误封”、减少人员成本,提高防守体系的处置效率。
第二驾马车是平战融合的安全运行机制。针对平时的“管理态”,安全运营中心能够配合业务部门,做好日常的资产、策略、配置、权限、漏洞等相关工作,一旦发现问题,能够精准定位并及时修复,实现平战融合以及快速转换。
与此同时,安全运营中心还会定期组织实战攻防演练,一旦进入战时的“运行态”,就需要基于统一的安全运营分析平台,结合各类安全引擎、威胁情报、漏洞情报等技术手段,在平时资配漏补系统安全的基础上,快速修复漏洞、高危配置等安全风险,并且实现对入侵行为的精准定位、快速响应和全面溯源分析。
第三驾马车是构建专业的安全运营团队。网络安全本质是人与人的对抗,网安工作不只是战时保障,更是日常的持续运营。基于集团网络安全的监控分析及运营需求,在奇安信协同下,安全运营中心设置8类岗位、首批成立了22人的团队,在中心负责人、监控主管、运维主管的带领下,基于网络安全技术手段,开展常态化安全运营,持续监控分析与处置。
图:网络安全运行组织和岗位能力设计
得益于安全运营中心的稳定运转,最终中国电子形成了事件可预警、态势可感知、攻击可追溯、安全内生化、运营一体化、风险可控化的信创环境下的安全效果。
拥抱变化中国电子网络安全建设的进阶密码
实战是检验效果的最好标准。从2020年以来参与实战攻防演练活动结果看,中国电子完成了安全能力进阶的三级跳。尤其是在2022年,集团在确保业务应留尽留、平稳运行、基本不受影响的前提下,实现了重要目标“零失陷”。
同时,中国电子还经受了多次极端条件下的严苛考验。在2021年底集团总部南迁深圳中,网络安全确保了“零中断”、“零故障”,满足了“不掉线一秒”要求。
《周易》曰,“上下无常,刚柔相易,不可为典要,唯变所适”。世界上唯一不变的是变化本身,网络攻防尤其如此。如何面对一次次变化带来的冲击和考验?中国电子给出的答案是拥抱。其中包括拥抱国产化、自主化趋势,拥抱SASE、零信任等新技术理念,拥抱龙头企业如奇安信等作为合作伙伴……正是有这种不断拥抱新事物的探索精神,才推动“数字CEC”建设在坚持安全为先、全面上云、融入移动三大原则下不断深化,为广大央企打造了高标准、可参考借鉴的网络安全体系建设“样板间”。
注:本文刊登于《网安26号院》2023年1月刊
版权归原作者所有,如若转载,请注明出处:https://www.ciocso.com/article/463758.html
