面向工業互聯網領域的集約化安全運營解決方案——全面可靠的系統化解決方案
方案概述
中國移動通信集團有限公司信息安全管理與運行中心(以下簡稱“中國移動信安中心”)在安徽開展試點,聯合中國移動通信集團安徽有限公司打造面向工業互聯網安全縱深防御的安全運營解決方案,面向工業互聯網、能源、電力等垂直行業開展集約化安全運營服務,可從整體上提升工業互聯網系統內的安全保障能力,切實保障國家工業互聯網安全。在新時期、新形勢下,保障航空、紡織、家電、礦山、港口等國民經濟重點領域網絡安全,有助于提升行業內應對愈加復雜的網絡安全形勢,促進集約化安全運營中心模式的發展,加快我國集約化安全運營中心建設,抵御國內國外不斷增強的網絡攻擊態勢,保證工業互聯網領域內企業的業務穩定,為國家網絡安全保駕護航。
1. 方案背景
(1)網絡安全形勢日益嚴峻
當前,我國工業互聯網領域的網絡安全形勢異常嚴峻,復雜的網絡空間政治戰、輿論戰、信息戰和技術戰日趨激烈、公開化。政府網站及金融、能源、電力、通信、交通等領域關鍵信息基礎設施已經成為網絡攻擊的重點目標。
(2)網絡安全工作要求不斷提高
習近平總書記在全國網絡安全和信息化工作會議上提出:沒有網絡安全就沒有國家安全,就沒有經濟社會穩定運行,廣大人民群眾利益也難以得到保障。要樹立正確的網絡安全觀,加快構建關鍵信息基礎設施安全保障體系,全天候全方位感知網絡安全態勢,增強網絡安全防御能力和威懾能力。
從小安全到大安全、從安全風險檢測到安全手段建設、從監控防守到攻防實戰,從網絡安全到數據安全、從關基到車/物聯網。國家和行業對工業互聯網領域的網絡安全要求在不斷提高、范圍在不斷拓展、管控在不斷增強。對網絡安全從業人員的要求也在不斷加深,不僅僅要做到防的住,還要攻得出。
(3)網絡安全工作亟需調整
隨著網絡安全形勢日益嚴峻和內外部對網絡安全工作要求不斷提高,網絡安全的工作范圍也在不斷擴大。傳統的“信息孤島”、“各自為戰”的工作模式,安全風險監控與風險處理協同欠佳,無法實現全生命周期管理和處置。傳統工業互聯網的網絡安全運營模式碎片化嚴重,服務方式和流程標準不一,造成安全防護機制臃腫,應急響應不夠及時。以上問題導致防護力度保障不高、安全事件頻出等諸多問題存在。在一些工業互聯網企業內,許多已經建設好的安全防護資源處于邊緣化的境地,這樣的結果是:基礎通信設施安全岌岌可危,直接威脅國家安全,廣大人民群眾利益也難以得到保障,改變迫在眉睫!
2. 方案簡介
本方案為進一步提升工業互聯網領域的安全應急響應、安全運營能力,致力打造集約化安全運營中心,開展工業互聯網企業集中的安全應急響應與運營工作。從流程優化、手段完善、人員培養等方面入手,重點提升企業網絡安全技術能力和實戰能力。
3. 方案目標
(1)網絡安全運營的統籌
統籌和加強工業互聯網企業暴露面資產的安全風險管理,建立多級聯動應急保障與響應體系。
(2)數智化發展的護航
推進工業互聯網企業的安全防護從分散、點狀向集中、體系化轉變,組織開展網絡條線基礎設施安全防護。
(3)安全能力的創新
構建部署企業上下多級的實戰化防護能力,實現防護能力隨“算網”而動,研究推動多種新興技術比如:零信任、SOAR、內生安全等盡快落地。
構建常態化安全集中運營能力,實現重要網絡安全事件的集中監測、集中運營、集中處置;統籌安全保障,建立多級聯動應急保障體系;在實戰攻防、手段建設和安全賦能方面積極探索創新,為企業的數智化發展護航。
方案實施概況
中國移動信安中心圍繞“機制、能力、隊伍、管理、底線”,從三方面構建集中高效的網絡安全運營機制,從三方面提升智能敏捷的安全技術能力,培育一支攻守兼備的實戰化專家隊伍。強化全企業集中安全運營,強化極限風險系統應對、深化分類協同運營機制、提升標準化引領與科技創新實力、打造統一安全服務產品、提高攻防一體實戰對抗能力,統籌安全保障,形成多級聯動的安全對抗能力。
1. 方案總體架構和主要內容
(1)整體框架設計
中國移動信安中心以多年安全領域沉淀為基礎,通過統一標準體系、統一技術平臺、統一安全防護、統一風險監控、統一運維監管、集中人才培養,多措并舉,融合安全資源、統一支撐服務,建立安全可信的集約化安全運營平臺,具有較強的創新性和示范性,為全國工業互聯網集約化安全運營中心的建立貢獻“安徽方案”。
整體運營機制如圖所示:
圖9-1 集約化安全中心運營解決方案
內部運作:
中國移動信安中心打造的集約化安全運營中心,面向工業互聯網端到端,對內統一負責企業內各部門的全部安全工作,并積極落實基礎安全運維、數據安全管控、安全手段運營、安全攻防團隊的建設等工作,落實國家和工業互聯網領域的工作要求,構建常態化安全集中運營能力。總體發展下面兩方面的內容。
強化基礎安全運營:具備安全資產、安全威脅管控能力,重點強化安全資產梳理、暴露面收緊等工作。實現安全事件全流程調度、快速處置和閉環管理,開展安全系統運維、漏洞掃描、合規審計和態勢分析等基礎運營工作。
強化手段能力建設:落實構建集約化安全運營中心網絡安全防護能力的改造落地,構建多級的實戰化防護能力,實現防護能力隨“算網”而動。夯實安全漏洞、安全事件等基礎性安全防護處置,研究推動各種安全新技術盡快落地。
外部協同:
對標工信部遠程檢測要求,對新發現的軟硬件漏洞進行處置,建立企業上下多級聯動應急保障與響應體系。
打造面向工業互聯網企業暴露面資產風險的集中發現、及時預警與跟蹤閉環機制。實現重要網絡安全事件的集中監測、集中運營、集中處置。
2. 網絡、平臺或安全互聯架構
(1)打造企業集約化安全運營中心解決方案
沒有規矩,不成方圓。中國移動信安中心致力打造一個全面、有效、快速反應的集約化安全運營中心。通過中國移動通信集團整體規劃,在企業安全應急響應、安全運營能力兩方面上建設打造安全運營中心,開展企業集中的安全應急響應與運營工作。從流程優化、手段完善、人員培養等方面入手,重點提升網絡安全技術能力和實戰能力。
圖9-2 總體網絡安全運行體系
(2)梳理整合企業安全系統總體工作
知己知彼,百戰不殆。面向工業互聯網領域,深入挖掘、梳理并整合企業內安全系統的所有工作,納入集約化安全運營中心,做到規范流程、統一編排、集中處理。對上落實上級單位考核要求,大力積極推進企業安全運維系統的落成。在建設集約化安全運營中心時,根據企業內安全工作需求,針對性的建設安全管控、日志留存等重要安全運維系統,整合梳理網絡攻擊、安全防護等方面9類53項工作。在工業互聯網領域內真正打造出一個內外兼修的高效集約化安全運營中心工作體系。
圖9-3 集約化安全運營中心工作體系
(3)加強安全資產管理
千里之堤,毀于蟻穴。面對愈發嚴重的網絡攻擊態勢,即使只有一個安全資產的遺漏都會迅速打碎企業努力構建的防護罩。通過多舉措夯實安全資產管理,一是已知資產的收集、梳理、上報,二是未知資產的掃描、對比、發現,盡力實現全條線安全資產全覆蓋。
圖9-4 安全資產管理
3.具體應用場景和安全應用模式
(1)建立實時監測響應體系
聚焦快、準、清,開展實時安全監測,實現統一調度,安全事件從分散、點狀監測到建立體系化的實時監測體系,推動千萬級攻擊從按天級“粗”分析到分鐘級“精”處理能力。
圖9-5 實時監測響應體系
(2)強化全企業集中的暴露面風險管理
強化全企業集中管控、集中運營,實現安全運營從“分散的事后分析”到“集中的常態化實時處置”轉變。
面向互聯網暴露面資產,開展資產的統籌管理與報備更新,資產歸屬部門負網絡安全主體責任,網絡安全運營中心集中開展掃描滲透與預警跟蹤,上級主管部門負責監督考核。各部門協作,嚴格落實網絡安全相關工作要求。
圖9-6 暴露面風險分工管理
(3)實現安全產品服務支撐能力
構建集中化智能服務平臺,引入高效的資源整合和編排能力,實現企業各網絡節點的一體化、靈活調度。
圖9-7 安全產品服務支撐能力
以集中化安全服務面向各類網絡攻擊事件,以穩定的安全防護打造工業互聯網企業的安全防護壁壘。
(4)完善網絡安全防護技術體系
工業互聯網體系中,網絡體系是基礎,平臺體系是核心,安全體系是保障,數據是核心的核心。
中國移動通信集團安徽有限公司以網絡為基礎,從安全防護平臺和設備上構建企業安全防護壁壘,全面覆蓋網絡設備、關鍵業務,強化公網暴露面的集中分析、研判和一鍵處置能力。實現防護能力的靈活性,做好對企業內賦能各部門、對外服務各類客戶、對上落實國家行業監管要求。
圖9-8 工業互聯網體系要求
(5)探索自動編排及處置
為了減輕流程化的工作任務,大力推進AI能力落地,基于網絡安全態勢感知能力開發實現安全能力自動編排,支撐實現海量告警壓減80%和超過70%的安全事件自動處置,降低人員重復性勞動,避免人為操作失誤,保障在網絡規模不斷擴大、安全告警數量激增情況下,安全監測分析人員不大幅增加。
下降70%
圖9-9 自動編排及處置降低工作量
(6)精細管控,提升數據安全防護能力
面向全企業網絡資產,圍繞“規范化操作、自動化審計、流程化處理”目標,開展精細化安全管理。以網絡安全管控平臺為抓手,實現安全接入、身份驗證、金庫管控、日志審計等管控能力,落實數據全生命周期管理。
圖9-10 數據全生命周期管理
(7)知守善攻,打造高水平實戰隊伍
集約化安全運營中心需要一支知守善攻的安全保障團隊。中國移動通信集團安徽有限公司認真規劃安全保障團隊的建設計劃,通過創建團隊、提升能力、全面支撐三個階段,穩步提升人員的綜合實力,并成立專門面向競賽的種子隊,針對性的培養行業頂尖的網絡安全人才,打造一支高水平安全攻防技術隊伍,積極參加企業內外專項行動及重大活動的網絡安全保障工作,覆蓋全公司的網絡安全各領域。
圖9-11 安全保障團隊培養體系
4. 安全及可靠性
集約化安全運營中心是中國移動通信集團安徽有限公司面向工業互聯網領域傾力打造的安全,可靠的安全運營解決方案。在建立網絡安全運營中心時,推進建設網絡安全運維系統的建設工作,統合開展多個平臺總計9類53項網絡運維工作,依托全方面的安全運維工具對安全工作進行系統性的梳理和解決。在運維平臺建設的同時,對網絡安全工作人員進行重新劃分,細化人員培養路徑,降低傳統網絡安全工作模式所造成的疏忽和錯誤。不斷完善重大活動期間網絡安全的保障能力,建成分鐘級應急響應能力。在完善集約化網絡安全運營中心時也為工業互聯網企業帶來全方位、安全、可靠的集約化安全運營解決方案。
(1)全方位、安全、可靠的網絡安全運營中心建設
細分終端、網元、業務、出口,統籌構建網絡安全“集中+分布”協同防護能力。依托網絡安全感知平臺,提升網絡安全集中監控水平。針對重保場景,健全網絡安全風險檢測與處置能力。
檢測型設備:系統/Web漏掃、防火墻、防病毒、IPS、堡壘機、WAF、抗D、VPN、網頁防篡改、網站安全監測、蜜罐等。
圖9-12 全面的風險管控機制
(2)全面、敬業、專業的安全保障團隊
中國移動通信集團安徽有限公司積極探索網絡安全隊伍培養新模式,組建面向網絡安全保障的聯合團隊——“徽盾”網絡安全團隊。常態化開展攻防實訓與實戰,已經成為保衛企業的中堅力量。
集約化安全運營中心的保障團隊不僅要做好團隊的工作計劃安排,穩步推進各項工作:重大活動保障、應急演練、技能培訓、競賽組織等,也要承擔安全運營中心內各類常態化、臨時性安全防護任務。中國移動通信集團安徽有限公司開發的集約化安全運營中心采取依托安全攻防平臺的形式,落實常態化競賽培訓,并取得了突出成績。一方面,此項舉措鍛煉了安全保障團隊的技術能力,另一方面也對外營造了集約化安全運營中心的專業形象,為企業榮譽添磚加瓦。
圖9-13 優秀安全保障團隊
(3)系統化、分鐘級的重大活動網絡安全保障
中國移動通信集團安徽有限公司的集約化安全運營中心通過整合資源,協調分工,在重大活動期間,成立網絡安全領導小組辦公室統籌組織,協調企業內“徽盾”網絡安全團隊專家優勢資源,組建專家隊伍參與保障活動。
為保證重保行動順利開展,統籌工作組下設事件協調組、事件監控組、事件處置組和應急響應組分別開展工作。
圖9-14 重大活動網絡安全統籌
在面對網絡攻擊時,積極應對“侵”、“擾”、“竊”,深化IPDRR動態防護理念在現網攻防實戰中落地,突出強化保障中響應速度快的能力,提升網絡和數據安全端到端安全防護水平。
圖9-15 分鐘級應急響應
5. 其他亮點
中國移動通信集團安徽有限公司面向工業互聯網領域打造的集約化安全運營解決方案,主要從三個方面為企業打造安全防護壁壘。一是梳理網絡安全條線的工作,面向全企業互聯網暴露面資產開展風險的集中發現、及時預警與跟蹤閉環,實現重要網絡安全事件的全企業集中監測、集中運營、集中處置,建立多級聯動應急保障與響應體系。二是全方位的網絡安全防護,梳理了網絡攻擊、安全防護方面9類53項工作。通過對標分析,推進安全防護從分散、點狀向集中、體系化轉變。組織開展網絡條線基礎設施安全防護,加強手段建設,強化攻防能力。三是組織結構的優化,打破傳統網絡安全人員的防衛性工作模式,細化分工,研究更加專業,系統,高效的集約化安全運營中心人才培養體系,培養各方面的網絡安全人才,建立一個攻防兼備的安全保障團隊。
下一步實施計劃
1. 算力網絡安全探索實踐
當前,隨著新一輪科技革命和產業變革的深入發展,算力已成為信息社會的核心生產力,將直接影響數字經濟的發展速度,直接決定社會智能的發展高度。網絡作為連接用戶、數據、服務的主動脈,與算力結合日益緊密,融合共生已成趨勢。算力網絡的不斷發展,帶來新的安全威脅,需要相應的安全保障措施。中國移動通信集團安徽有限公司集約化安全運營中心積極開展算力網絡安全技術探索,推進相關工作落地。
圖9-16 算力網絡安全防護
2. 5G專網安全服務標準化推進
面向5G端到端,提升安全風險告警、IP溯源、快速處置能力。面向5G垂直行業客戶,積極推進安全服務產品化,形成服務標準化流程、輸出安全服務能力清單,提升集約化安全運營中心對新業務的保障能力,目前已實現多個方案落地試點。
圖9-17 5G專網安全服務標準化
3. 5G應用安全創新示范中心籌備
5G網絡引入網絡功能虛擬化、網絡切片、邊緣計算、網絡能力開放等關鍵技術,一定程度上帶來了新的安全威脅和風險,對集約化網絡安全運營中心的數據保護、安全防護和運營部署等方面提出了更高要求。
定位及方向:面向重點行業5G應用發展中的安全需求,旨在打造5G安全產品、設計5G安全端到端解決方案、輸出5G安全服務、開展5G安全人才培養,形成標準化、可復制、易推廣的5G應用安全解決方案的研發供給、試點示范和推廣應用能力。
圖9-18 5G應用安全創新示范中心
方案創新點和實施效果
1. 方案先進性及創新點
(1)創新點1:創新資產安全風險發現方法
采用自動化掃描、人工滲透相結合方式,開展暴露面資產的發現、風險的檢測,實現多種掃描器交叉掃描、不同人員交叉滲透,依托網絡安全運維平臺,派發預警工單、跟蹤閉環。
圖9-19 資產安全風險發現體系
(2)創新點2:創新全流量安全風險檢測方法
提升集約化安全運營中心對新業務的保障能力,在企業重要數據出口處部署全流量安全檢測系統,開展安全風險深度挖掘。對網絡鏈路全流量采集存儲、全數據分析,引入AI檢測引擎,基于規則+行為分析,為識別發現漏洞利用、高級木馬通訊、APT攻擊、數據竊密等提供更有效的監測手段。
圖9-20 全流量安全風險檢測方法
(3)創新點3:創新網絡數據安全管控方法
“以數據為中心,融合零信任理念,基于場景化的思路”進行設計,在對數據資產自動發現并分類分級的基礎上,根據不同場景的安全需求和安全風險,統一制定安全策略并調配底層能力組件,實現數據全生命周期管理。
資產自動發現功能設計:
圖9-21 資產自動發現功能設計
敏感數據發現:
敏感數據自動掃描,自動識別不同資產上的敏感數據。支持識別數據庫:MySQL、DB2、Oracle、SqlServer、SQLite、Sybase、Teradata、Greenplum、MongoDB、PostgreSQL等。支持識別大數據平臺:HDFS、Hive、HBASE。
數據脫敏處理流程:
圖9-22 數據脫敏處理流程
數據防泄露:
終端數據防泄漏:對接入終端防泄漏進行策略管控和可視化審計視圖展示。
網絡數據防泄露:維護區到生產區之間的交換機中接入靜態流量,管理監控維護人員的流量數據。
主機數據防泄漏:通過數據安全管控系統下發主機敏感數據發現策略,通過自定義路徑遍歷掃描,識別到敏感文件并進行分類分級展示。
2. 實施效果
(1)成效1:提升了對安全事件的處理速度
集約化網絡安全運營中心對安全系統,安全設備,安全事件的統一安全服務、集中管理運營維護、統一把控網絡安全風險,減少了各部門人員之間的溝通成本,大大提升了對安全事件的處理速度。
圖9-23 風險閉環時間減少
(2)成效2:減少了網絡安全人員的工作量
集約化網絡安全運營中心通過對各類安全運維系統的建設,研發AI能力,提高自動編排及處置能力,減少網絡運維人員對常見安全事件的處理量。
圖9-24 安全事件處理情況
單位基本信息
1、中國移動通信集團有限公司信息安全管理與運行中心
本方案由中國移動通信集團有限公司信息安全管理與運行中心牽頭。2011年11月,中國移動通信集團有限公司信息安全管理與運行中心成立(以下簡稱“信安中心”),具備“管理+生產”雙重職能,負責歸口信息安全管理與不良信息治理,開展不良信息集中治理與信息安全集中運營。2018年8月,集團成立中國移動網絡安全領導小組,領導小組辦公室設在我中心,負責集團網絡安全相關工作統籌和協調。信安中心深入學習貫徹習近平總書記關于網信工作的重要指示精神,以建設網絡強國為己任,工作范圍覆蓋終端安全、網絡安全、應用安全、業務安全、內容安全等多領域,形成了全國“一盤棋”的工作格局,相關工作整體能力與水平始終保持行業領先。近年來,信安中心在開展網絡安全重保、防范打擊電信詐騙、組織網絡安全攻防競賽、開展網絡安全研發等方面卓有成效。在工業互聯網方面,特別成立了專門的研發中心,開展工業互聯網業務及工業互聯網安全防護解決方案的研制和推廣。
2、中國移動通信集團安徽有限公司
中國移動通信集團安徽有限公司下轄16個市分公司、64個縣(市)分公司及1個全資子公司,擁有各類員工16700余人。公司以滿意服務為宗旨,以創無限通信世界,做信息社會棟梁為使命,全面實施服務與業務領先戰略,努力為安徽經濟的騰飛服務。中國移動安徽公司自成立以來,運營收入平均增速達20%,成為區域主導通信運營企業。2002年上市以來,累計上繳中央和地方稅收達119億元。移動通信網絡已全面覆蓋全省各市、縣、鄉、村。中國移動安徽公司大力推進行業應用,助推政府和企業信息化建設。公司一直致力于以移動信息化助推當地經濟社會發展。企業發展不忘回報,積極開展教育扶貧、捐資助學,支持農村教育、科技和文化事業發展。公司近年的發展得到了社會各界充分肯定,先后獲得“全國五一勞動獎狀”、“中央企業先進集體”、“全國履行社會責任貢獻突出獎”、“全國通信行業用戶滿意企業”、國家級“誠信維權單位”、“全國優秀外商投資企業”、“全國內部審計先進單位”、“全省外商投資經濟效益先進企業、經濟效益最好企業”、“全省模范勞動關系和諧企業”等榮譽稱號。
AII微信公眾號
AII頭條號