从四个转变看能源巨头 国家电投的网络安全运营之路

张文

“在网络安全运营这条道路上，国内几乎没有能借鉴的行业成熟先例，没有可参考的成功经验模式，只有通过自己的探索，才能找到适合集团自身的运营模式。” 国家电投集团信息技术有限公司网络安全部副总经理（国家电投集团网络信息安全实验室副主任）张萌说。

从合规驱动到实战导向

2019年，国家电投在思路上有了显著的变化。那一年，“三化六防”的新思想被提出，即以“实战化，体系化，常态化”为新理念，以“动态防御，主动防御，纵深防御，精准防护，整体防护，联防联控”为新举措，构建国家网络安全综合防控系统，深入推进等级保护和关键信息基础设施保护的积极实践。在网络安全防护体系建设中，国家电投不仅单纯考虑政策监管和合规需求，更要将 “三化六防”理念贯穿进去，其中率先落地的就是实战化和常态化。

张萌认为，区别于过去面向合规的安全运维，安全运营更强调网络安全与信息化的融合，通过运营过程，让网络安全人员与设备发挥出应有的效果，从而实现网络安全风险可控可接受的目标。在这一年，国家电投部署了奇安信态势感知与安全运营平台（NGSOC），以NGSOC作为安全运营工作的核心威胁感知支撑工具，在实战化安全运营方面迈出了重要一步。

“实战化安全运营体系的建设不是一蹴而就的，我们上线NGSOC，首先要解决谁来攻击，用什么方式的问题，让安全威胁可见、可知、可控。否则就是两眼一抹黑，被动挨打。”

NGSOC上线的效果也是立竿见影。安全运营团队借助奇安信NGSOC平臺的技术支撑能力，同期构建无缝协同联动机制，国家电投在安全监测预警、威胁分析和主动防御方面的能力大幅提升。自上线来，月均采集和存储约89亿条安全日志，月均发现约75起威胁攻击，包括webshell上传、挖矿木马、勒索软件、远控木马等破坏性强、影响范围大的高威胁安全事件。

在资产梳理及漏洞修复方面，NGSOC上线至今，持续梳理总部资产及下级单位资产、网段信息，对多个系统进行漏洞检测、修复及复测，修复率高达91%。

而在2020年网络攻防实战演习中，运营团队通过NGSOC对威胁告警进行监测分析，发现并处置安全威胁事件65件，结合威胁情报信息共封禁攻击IP地址74667个，提交防守报告16份，圆满完成了防守任务。

从局部实践到规模化推广

当国家电投通过集团数据中心以及数家二级单位，完成探索成功的第一步之后，下一步的任务，就是按照集团公司统筹规划，将该模式推广到整个集团。

据介绍，目前安全运营中心主要覆盖了数家单位，包括集团数据中心、中国电力、成套公司、山东核电、姚孟电厂、横琴热电、重燃公司等。按照集团规划，2021年，计划在集团范围全面扩展覆盖，力争实现近百倍级的量级扩张。

“量变势必带来质变，随着未来集团安全运营中心的建立，将面临效果和效率的双重挑战。”张萌表示。

首先是效率方面的挑战。目前，网络安全系统在集团数据中心已经稳定运营，每天产生2亿多条日志，告警归并之后，大约2000多条告警。这些告警主要依赖于专业人员来分析处理，效率比较低。

在规模化后，预估日均告警数量将有数十倍甚至百倍的提升，投入数十倍的员工当然是不现实的，因此必须提升安全运营的效率。例如整合NGSOC平台和主机安全系统，实现安全威胁告警自动化分析判断;再例如面对历史同类的告警，系统按照现有的SOP执行自动化的分析判断。

“在这个问题上，我们也在测试最近比较火热的SOAR产品。从技术理念上来说，我们将所有的安全产品划分为三个阶段使用，‘感知阶段、‘分析与辅助决策阶段、‘行动阶段。SOAR能提供自动化安全编排和响应能力，我们将SOAR定位为‘ 分析与辅助决策阶段和‘ 行动阶段的‘执行管家，希望能在规模化运营时期，大幅度提升安全运营的分析与行动效率。”张萌说。

第二是来自效果的挑战。随着规模越来越大，网络环境越来越复杂，威胁数量、攻击形式都会激烈增加，安全运营需要对威胁预警和脆弱性，实现更全面、更精准的发现和处理。在日常和实战攻防演习期间，国家电投优先修补有公开POC或者EXP的漏洞（即已验证可被利用的漏洞），而不是追求大而全、修补所有漏洞，这样能在投入（工作量）和安全风险之间寻求相对平衡，在尽量降低安全风险的同时，又符合安全运营的投入产出比原则。

张萌表示，没有绝对的网络安全，将所有未知的威胁全部阻断是非常不现实的，因此我们的重点目标，是避免系统被相同的攻击手法打穿两次，不能在一个问题上反复栽跟头。所以遇到一类问题，一类场景，都将其沉淀下来，形成标准化的SOP积累，为将来全面走向系统化提供基础。截至目前，国家电投安全运营团队总结出了12类大场景，若干个小场景，并将其运营工作固化下来，以便能够让新的安全运营人员快速上手复用，满足规模增长和人数增长的需求。同时为系统功能更新、SOAR自动化编排等做准备，实现自动化编排，显著提升效率。