国网数科控股公司:数字技术自主创新 红蓝督研机制保障
戈韶如 刘明
“有疑似攻击人员访问‘任务调度中心’!”5月9日,国家电网公司第二期网络安全实战攻防对抗的第2天,国网数科控股公司网络安全团队从蜜罐系统捕捉到这样一条告警提示。全体队员严阵以待,迅速反应,第一时间捕获账号信息,展开攻击溯源。
这样的演练,已经成为该公司网络安全团队的“家常便饭”。在这种持续练兵、持续完善的过程中,一支嗅觉灵敏、处置迅速地队伍正在茁壮成长。“能源电力行业是国家支柱产业,这个领域的网络安全和数据安全关系到国计民生、国家安全。当前的网络安全形势不容小视,不断升级的各种攻击手段在时刻考验着我们的防护水平和应对能力,需要强化常态攻防演练,强化技术创新引领,优化安全技防体系,为能源电力行业的网络安全保障提供有力支撑。”国网数科控股公司运维中心主任郭宝贤表示。
使命光荣,责任重大。作为数字科技平台企业,面对社会用户多、业务形态多、网络威胁多的互联网业务特点,国网数科控股公司深挖数字科技潜能,稳扎稳打,厚积薄发,在网络安全领域走出一条自主可控、精准赋能的创新之路。
超前预判 全景感知危险源
据统计,国网数科控股公司平台个人用户占总用户数的95%以上,一些恶意用户看似正常的访问行为背后隐藏的潜在攻击风险在前期很难及时有效发现,同时,由于互联网业务需广泛使用开源组件,从而带来了组件资产梳理难、漏洞排查不及时的痛点。为此,国网数科控股公司自主创新研制出了“大禹”大数据全景感知系统以及安全管理及漏洞免疫系统,已经得到了业务侧的多次成功验证。
“公司部分业务系统的重要功能模块疑似遭受到了攻击,大家分头行动!”3月3日,国网数科控股公司运维中心网安科技处高级安全工程师、网络安全创新工作室成员承复明通过“大禹”大数据全景感知系统的“看板”功能,发现某业务的用户访问量数据异常激增,安全团队立刻进入“作战”状态:安全运维工程师、网络安全创新工作室成员马占祥对流量进行回溯分析,运维工程师、网络安全创新工作室成员李峻联络相关业务运营单位的“安全员”,与业务系统研发人员协同开展系统漏洞排查。
“我们所面对的网络攻击行为是动态变化的,从面向设备漏洞、应用漏洞和第三方组件漏洞的传统攻击方式,转变为面向业务逻辑、系统健壮性和人员安全意识的新攻击方式。”李峻如是说。网络安全工作的目标是确保网络和业务系统在面对各种攻击和威胁时能够保持稳定、可靠的运行。好比一栋房子,“系统健壮性”就是房子的稳固程度。该公司在数据、算力和算法上不断积累迭代,结合业务场景,关联历史指标,俯瞰全局,放大细节,研发出了“大禹”大数据全景感知系统。面对种种隐藏在正常业务访问当中的隐蔽攻击行为,“大禹”如同警觉的哨兵一般,实时监测业务运行态势,针对异常指标趋势进行“吹哨”,使得安全人员能够在对抗过程中实时掌握黑客变换IP、转移攻击目标和攻击强度趋势等情况,极大提高了风险发现能力和事件分析效率。
此外,针对开源组件资产梳理难、漏洞发现不及时等问题,国网数科控股公司自主研发了安全管理及漏洞免疫系统,利用数据挖掘技术,自动采集业务系统中的开源组件成分信息,快速定位开源组件所在的具体路径,快速梳理开源组件资产;利用程序分析技术,实现开源组件漏洞预警的高精准性和高时效性,降低排查开源组件漏洞的时间;形成常态化持续监控机制,第一时间预警新发布的漏洞,真正实现了对开源组件漏洞应急响应的闭环管理。该系统于2022年获评国网企协调可持续性管理示范项目。
目前,安全管理及漏洞免疫系统为国网数科控股公司各业务系统所使用的开源组件提供自动化预警服务。2021年12月初,该系统及时发现了某平台Log4j2“核弹级”开源组件漏洞,第一时间发布预警,完成漏洞修复,充分彰显了智能化网络安全防护的专业水准和应用成效。
有效应对 系统处置攻击点
据统计,国网数科控股公司平台2022年遭受的网络攻击较2021年同比增长251%,特别是随着新技术的快速发展,针对业务应用的攻击手段变得愈加复杂,传统的基于网络层攻击特征的边界阻断防护模式已经不能满足高隐蔽性攻击的安全防护需求。对此,国网数科控股公司建设了应用自保护系统。
该系统利用应用程序运行探针获取程序执行的上下文,融合了代码级的安全防护理念,可以在不更新安全防护策略和不升级应用代码的情况下检测和防御未知漏洞,有效监测和阻断各种隐蔽的攻击方式,是传统安全防护设备的有力补充。今年2月,该系统在国网商城等业务投入使用后,成功阻断了来自境外绕过边界防护设备后利用业务系统漏洞进行攻击的行为。该系统于2022年荣获中国创新方法大赛(天津赛区)暨第七届天津市创新方法大赛优胜奖。
此外,国网数科控股公司研发的攻击联动处置系统,对各类网络安全设备的数据进行集中采集管理,实现了安全监测及防护能力的归集。一方面,可以建立“战时”和“平时”防护策略,通过自动化手段实现安全风险自动阻断和“一键封禁”;另一方面,可以使运维人员不需要频繁登录不同安全设备去被动的应对攻击,从而可以集中精力开展攻击技战法分析、攻击意图研判和攻防对抗。该系统解决了各类安全设备中的安全数据分散、需要多设备查询操作的痛点,具备互联网安全威胁秒级感知和自动化处置能力,于2021年获得电力安全与应急管理技术优秀成果奖。
谈起前沿技术,国网数科控股公司运维中心网安科技处处长、网络安全创新工作室成员任毅说:“网络安全从人人对抗、人机对抗逐渐向更实时的算法对抗演化。基于此,混沌工程、人工智能深度学习等前沿技术的应用显得尤为重要。”任毅提到的“混沌工程”技术,是为了发现系统风险与提升故障处置能力而进行的工程实验,通过主动关闭进程、依赖异常、数据库宕机、断电等多层面的操作,模拟真实情况下的服务失效,再从故障中发现软硬件运行风险,是当前故障预防阶段重要的技术及管理实践,可以充分验证网络和信息系统软件架构的韧性,丰富突发事件应急手段,推动应急演练从“演管理、演机制、演场景”向“练分析、练处置、练协同”演进。
2月3日,国网数科控股公司运维中心开展信息系统数据库双机改造,通过“混沌工程”技术完成了系统架构健壮性测试。值班员仅用短短5分钟就发现了系统运行告警,并根据国网数科控股公司网络和信息系统突发事件应急处置要求,进行了故障通报与业务稳定性评估,积极组织了现场故障分类研判处置。
红蓝督研 四维一体新防线
在这些前沿技术加持下,国网数科控股公司建立了攻防实战化、响应智能化、情报多源化的网络安全体系,实战、演练、重保等多情景下的全天候、全场景、全链路的网络安全保障能力得到了全面提升。国网数科控股公司在国家电网公司2023年一季度网络安全实战攻防演练中成绩位列直属单位第一。
坚持科技创新、管理优化“两条腿走路”,国网数科控股公司提出了打造“红蓝督研”安全管理体系的新思路。国网数科控股公司拥有两支具备CNAS能力认可资质的测试机构,分布在下属国网汇通金财公司和国网电商科技公司,红队队员主要集中在此两家单位,负责各业务系统的上线前安全检测和线上业务系统漏洞挖掘;蓝队队员主要集中在下属运维中心,负责公司各大业务平台的网络安全和系统运行监测保障与事件处置;督查队伍负责确保公司的各项安全管理要求和技防手段切实发挥实效;研究/研发队伍负责进一步从网络攻防对抗的事前和事中加强技术管控手段。
国家电网公司网络安全蓝队作战指挥官、国网数科电力工匠、国网数科网络安全创新工作室负责人彭轼说:“我们的‘红蓝督研’体系,汇聚锻造了一支知攻善防、一专多能的实战型网络安全技术人才队伍,切实提高了网络安全协同作战水平,圆满完成了各项重大活动的保障任务。”
目前,国网数科控股公司拥有国家电网公司级网络安全蓝队作战指挥官1名和红队队员3名,吸纳了直接参与攻防对抗和相关工具研发的8名骨干,包括从互联网头部企业引进的高端技术人才,组成了12人规模的“网络安全创新工作室”,重点关注网络攻防对抗创新工具研制和网络攻防对抗及溯源反制技术研究,持续紧跟网络安全前沿课题和技术。同时,国网数科控股公司还在各部门、各单位设置“安全员”,共同组成了一体化的安全监督管理柔性团队,常态化开展日常安全督导检查工作。在技术创新和队伍建设的双重保障下,国网数科控股公司极大提升了网络安全攻防能力,安全团队曾多次在重大活动保障中支援省公司等兄弟单位,屡屡收到上级单位和兄弟单位的感谢信和表扬信。
通过不懈努力,国网数科控股公司已初步实现了“外部攻击有效阻断、内生安全有效构建”的网络安全防御目标,有力有效支撑了企业的经营安全和战略执行。“接下来,我们将优化完善‘研发-测试-运营’一体化队伍保障体系,持续提升本质安全,以实战攻防对抗为手段持续完善自动化安全运营管控机制,持续开展风险溯源技术研究,构建业务安全威胁主动发现和自适应响应模型,探索从单一网络防控向纵深防御转变,为‘一体’赋智、为‘四翼’赋能、为‘全要素’赋值,为电网转型升级保驾护航。”国网数科控股公司数字创新部(安全监察部)主任王栋表示。
责任编辑:于彤彤