石化盈科李超:大型央企的安全運營實踐

在8月22日,2019北京網絡安全大會上,中國石化攻防團隊負責人、石化盈科安全運營中心負責人李超分享大型央企安全運營實踐。

大型企業安全運營的難點和重點

李超談到,全球的網絡安全形勢非常嚴峻,不管是政治目的,還是商業利益目的,大型央企都是重點目標,尤其是石油化工行業和板塊。同時國家監管機構對中國石化為代表的關鍵基礎設施檢查的力度以及相應的處理措施是非常嚴格的。中石化每天面臨全球的威脅攻擊,從日常安全事件分析結果看,攻擊頻次非常高,尤其近幾年在東南亞地區發現了大量針對中石化的郵件詐騙事件,嚴峻的形勢對安全運營產生了非常大的挑戰。

中國石化作為世界500強排名第二的企業,全球分布非常龐大,網絡覆蓋面廣、數據中心眾多,整體網絡延伸到五大洲、30余個國家,國內32個省自治區直轄市,150多個企業,涉及用戶數量達百萬級。眾所周知,攻防對于攻擊者來說是一個點,而對于防守方來說是一個面,如果有一個點被突破,那么整個網絡可能就面臨全面失陷和數據丟失的嚴峻問題,這對大型企業來說是最難的。另外,中石化不僅僅是設備多,網絡環境復雜,業務場景也高度復雜,科研、工程、貿易、金融、電商等相應的業務信息系統復雜度也極高。未來,中石化的信息化將走向端、邊、管、云的一體化融合,這也給網絡安全運營帶來了全新的挑戰。

中國石化安全運營的探索與實踐

中國石化安全運營的建設是一個穩扎穩打的過程,先從運營平臺著手,平臺建設期間并行組建運營團隊,完善運營機制及流程,逐漸形成運營體系。目前中國石化安全運營中心以監控、分析、處置為三大關鍵點,形成安全運營主線。監控團隊負責總部及區域中心出口監控、各大數據中心及重點應用安全監控,監控發現威脅之后,接下來交由分析團隊進行威脅分析和研判。分析團隊主要負責對疑似攻擊行為、入侵影響范圍和攻擊態勢進行分析。分析研判完成之后,接著由處置團隊進行快速處置,包括:惡意IP封禁、阻斷惡意郵件、應用隔離、問題終端處置等。在處置方面,重點是以點帶面、全局處置。

同時,中石化內部各個團隊之間的依托總部即時通訊的平臺以及6000熱線,面向集團五大板塊進行全方位的運營支撐。運營團隊不僅向集團進行及時的匯報和通訊,也向國家主管機構輸送情報和安全事件,同時國家主管機構的數據、情報、通報也會及時落地到運營中心,通過運營中心給各企業及時輸送預警信息。目前中國石化運營中心已經完全運營起來。

在多年的運營工作中,團隊積累了豐富的運營經驗,尤其是在運營平臺的深化應用方面,始終堅持以實戰為導向,以實戰為檢驗的唯一標準。運營團隊持續針對日常發現的攻擊行為以及攻防演習中的攻擊場景進行溯源分析,依托態勢感知平臺結合威脅建模及大數據分析技術,通過對攻擊方法、攻擊路線、攻擊套路進行總結與提煉形成了中石化特有的攻擊檢測模型,這些規則精準的覆蓋了攻擊鏈的每一個關鍵環節,并經受住了國家級攻防演習的實戰考驗,大大降低了傳統安全設備的告警誤報及噪音問題,極大的提高了安全運營的實戰效果及工作效率。

在安全運營方面的思考

李超提到,未來安全運營希望能夠實現自動化、智能化、集中化和體系化。

自動化:態勢感知平臺雖然已經進行了精準關聯,基本上百分之七八十以上的精準關聯都是非常有效的,這其實相當不容易。業內的傳統平臺(或技術)還需要再進行大量的提升和改進,告警事件和誤報還是挺多的,未來希望能實現自動化分析,不能全部靠人去分析。

智能化:目前的分析方式主要是依托于攻擊行為進行溯源分析,未來應該結合用戶行為、業務場景實現自動化分析,同時融入機器學習、AI技術,實現自動化處理。

集中化:中石化下一步要打造三位一體的安全運營體系,總部、區域中心、企業這三個層級,每個層級的安全事件、告警會直接的通過總部聯動起來,真正實現集團集中化運營。

體系化:安全事件從告警、分析、處置,如果要成為一個閉環,除了技術主要還是依托集團完善的安全管理體系。“三分技術、七分管理”一直是落實好安全運營工作的核心指導思想。比如,中石化針對告警、攻擊等安全事件,都會形成一個安全通報文件,直接下發到相關的企業,通過安全通報和安全水平考核體系相結合的方式,真正把一個安全事件形成閉環,未來希望能夠繼續加強安全管理方面的建設。在這一點上,中石化的信息化考核體系走的比較靠前,效果非常好,但未必適合所有,對于業內的其他企業來說,安全運營還有很長的路要走,要一步一步建設,每一步都要走的扎實才行。