工業企業安全縱深防御新范式——為能源企業打造平戰結合的安全綜合能力管控平臺
方案概述
浙能集團網絡安全綜合能力管控平臺方案通過匯聚接入現有安全能力,面向浙能集團及下屬單位實現網絡安全脆弱性集中檢測、安全策略集中分析、安全要求集中下發、安全能力集中調度、安全威脅集中通報、安全事件集中處置、安全風險集中可視,提升企業安全運營及應急響應能力,打造集團級縱深防御網絡安全體系,積極應對網絡安全新形勢下的新變化、新威脅、新挑戰。
1.方案背景
隨著工業互聯網發展進程加快,浙能集團IT與OT網絡融合加速,互聯互通需求日益增多,安全邊界日益模糊,網絡邊界防護壓力與日俱增。另一方面,隨著數字化轉型的不斷深入,信息系統的資產數量、技術架構、應用場景等方面發生了巨大的變化,傳統以策略和產品防護的理念已無法適應業務云化動態防護要求。
在面對嚴峻復雜的網絡安全形勢下,浙能集團當前存在安全工具孤立建設、安全能力難以復用、安全運營聯動不足、能力難以服務化輸出等問題,安全防護體系建設面臨巨大挑戰。亟需通過梳理沉淀現有安全能力,適當補充新的安全能力,通過能力拉通、編排及服務化輸出,賦能集團與廠區安全防護,提升網絡安全應急響應及防護效率,抵御復雜網絡威脅,保障信息系統安全運行。
2.方案簡介
方案建成的網絡安全綜合能力管控平臺以信息系統資產為基礎,以安全能力管控為核心,實現安全合規集中檢測、安全策略集中審計、安全風險集中通報、安全事件集中處置、安全能力集中調度,賦能廠區網絡安全建設,實現企業降本增效,提升安全防護效率,打造集團級縱深防御體系。
3.方案目標
安全綜合能力管控平臺方案基于IPDRR模型實現浙能集團現有工具統一納管與安全能力接入,并通過能力編排與調度,構建日常安全運營及重大活動保障場景的安全服務,賦能集團和下屬單位,助力企業安全建設降本增效,提升安全防護效率。
從安全管理角度看,依托平臺能力,集團側可摸清下屬工業企業網絡安全現狀,明確安全責任、落實上級單位安全考核,安全策略的統一下發;下屬工業企業可依托平臺提供的開展安全自主服務,實現安全作業常態化執行、安全預警閉環管理,安全策略高效執行,為浙能集團產業高質量發展提供強有力的安全支撐。
方案實施概況
1. 方案總體架構和主要內容
安全綜合能力管控平臺采用集團集中部署,用戶分權分域模式建設,支持微服務架構,通過集團側安全工具的集中納管、安全能力的分類調用,以IPDRR模型為指引構建安全能力中心,為浙能集團及下屬單位安全運營人員提供安全服務。建設安全合規中心、安全監測中心、安全防護中心、應急響應中心,依托浙能集團數據中臺安全數據實現安全駕駛艙,在滿足安全監管要求的同時,具備網絡安全中臺演進能力,為浙能集團安全建設降本增效,解決浙能集團安全設備管理建設,安全運營缺乏協同等問題。
在技術方案設計上充分考慮風險識別、安全檢測、安全防護、安全響應、安全恢復5個階段能力的管控,通過API等接口實現對接,總體框架圖如下所示:
圖12-1 安全綜合能力管控平臺總體框架圖
(1)系統架構設計
平臺系統架構設計主要分為四部分,包括安全工具層、能力管控層、安全服務層、外部系統層。應急指揮、基線核查、安全邊界作為工具能力接入安全能力管控系統,分別部署至浙能集團總部兩個數據中心。在技術方案設計上充分考慮風險識別、安全檢測、安全防護、安全響應、安全恢復5個階段能力的管控,通過API接口實現基線配置核查系統、安全邊界防護系統、安全應急指揮系統、哨兵云、防火墻、堡壘機等安全能力接入,面向集團、板塊、下屬單位提供安全服務統一入口,與現有安全數據中臺實現數據同步及共享實現安全駕駛艙,并通過接口與浙能集團信息運維管理平臺、統一消息系統、統一認證系統等外部系統對接,在滿足安全監管要求的同時,具備網絡安全中臺演進能力。
圖12-2 安全綜合能力管控平臺架構圖
本期方案總體架構分為四層,自下而上分別為安全工具層、能力管控層、安全服務層、外部系統層
安全工具層:
安全工具層主要是指分布在浙能集團大樓以及海創園數據中心以及電廠的安全設備與系統,安全工具包括本期新建及存量設備。
能力管控層:
能力管控層主要包括安全能力網關、數據處理單元、安全能力中心,以及能力管控所需的安全對象管理及系統安全管理。依托數據處理單元抽取工具任務運行數據及數據中臺威脅數據構建安全駕駛艙。安全能力網關實現工具接口接入,同時北向創建API接口供能力中心調用。
安全服務層:
安全服務層基于安全能力中心能力,形成面向浙能集團及下屬單位安全管理員、安全運維人員提供漏洞掃描、基線合規掃描、弱口令掃描、應急處置、防護策略審計、安全威脅監測等服務,可在安全設備運維、安全能力運營、安全日常管理、安全應急保障等場景下發揮作用。
外部系統層:
外部系統層是指安全管控平臺需要對接的第三方平臺,主要包括CMDB、數據中臺、統一認證平臺、信息運維管理平臺、統一消息通知平臺。
圖12-3 平臺功能圖——個人工作臺
圖12-4 平臺功能圖——安全駕駛艙
2. 網絡、平臺或安全互聯架構
網絡安全綜合能力管控平臺支持集中式、分布式或混合模式部署方式,集中式部署時,分支機構可根據權限實現對本單位所轄資產及安全風險的管理。分布式部署時,支持三級平臺級聯,通過級聯實現統一處置、檢測、通報。
方案部署地點位于浙能集團數據中心,后續通過部署處置節點方式與管控大區、工控大區對接,實現集團統一管控,具體如下圖。
圖12-5 安全綜合能力管控平臺部署示意圖
3. 安全及可靠性
在集團統一的網絡與信息安全管理要求下,系統相關的物理安全、網絡結構安全、設備安全、系統安全、應用安全、數據安全等滿足等級保護三級要求,建立有效的安全機制,實現應用的安全訪問控制,同時保障數據在采集、傳輸、存儲、訪問中的安全性。傳輸過程中采用必要的國產商業加密算法對數據進行加密,并完成國產操作系統的兼容性測試。
4. 具體應用場景和安全應用模式
(1)應用場景
安全綜合能力管控平臺建設后,面向安全日常運營、重大活動保障等場景提供安全合規檢查、安全應急處置、安全策略審計、安全事件處理等安全服務入口。
日常運營:在日常安全運營期間,系統可提供安全設備合規掃描、弱口令掃描,支持對新入網設備進行合規基準檢查,針對不符合要求的策略項進行整改篩查;提供系統漏洞掃描、網站漏洞掃描等服務,針對集團內部資產進行定期漏洞掃描,并對中高危漏洞進行整改核查;提供防火墻策略審計服務,針對防火墻設備的策略進行在線/離線采集,通過多維分析算法進行策略解析,輸出審計報表,針對不合規策略問題項進行處理;提供安全事件通報預警服務,可對安全事件的上報、審核、通報、處置流程進行管理記錄,及時對安全事件進行響應處置;提供安全應急處置入口,針對日常發現的需要進行封堵操作IP地址進行一鍵封堵。
重保/護網:在提供重保模式安全駕駛艙,可針對重保護網期間產生的安全事件進行動態呈現,展示安全風險變化情況;提供應急處置入口,針對護網期間需要進行封堵的大批量IP地址進行極速封堵操作,快速完成攻擊阻斷。
(2)安全應用模式
系統可通過SaaS服務、本地建設等模式為工業企業提供安全應用。以應急響應場景為例,提供集團-板塊-下屬單位三級聯動應急處置,通過對接各單位/板塊公司的邊界防火墻實現處置策略的下發。通過HTTP接口實現多級平臺聯動,集團一級平臺收到上級單位處置指令后可下發處置工單至二級平臺,二級平臺可選擇自動處置或者人工審核是否進行處置,并將處置結果上報至集團的一級平臺。二級平臺可自主下發處置工單至三級平臺,三級平臺接收處置工單后可選擇處置方式并將結果反饋至二級平臺。
5. 其他亮點
(1)安全資產集中納管,為資產安全風險定位提供追蹤溯源基礎
安全資產管理模塊對浙能集團及下屬單位資產信息進行管理,包含對主機、數據庫、中間件、網絡設備等IT資產以及網站資產的管理,為安全基線檢測、漏掃檢測、防火墻策略核查、安全監測通報等安全能力提供資產庫信息,為安全駕駛艙、安全事件風險定位提供追蹤溯源依據。
(2)安全風險集中可視,可全局掌握集團網絡安全風險運行情況
將獲取到的威脅數據、脆弱性數據與資產數據進行關聯,形成網絡安全決策依據,構建安全駕駛艙,從日常模式、巡檢模式、護網模式多維度展現安全工作的重點關注指標,反映網絡運行及安全狀態,將安全風險形象、直觀地呈現給安全決策者和管理人員,方便安全運營管理者全局掌握浙能集團網絡安全風險及運行情況,為安全工作提供決策支撐。
(3)安全策略集中下發,實現防火墻安全防護策略精細化管理
面向浙能集團數據中心以及下屬單位提供防火墻策略核查能力及處置能力,防火墻自動化審計功能可對存量策略進行分析檢索并給出審計報告,大幅提升防火墻策略審計效率;應急處置能力可針對IP地址、域名、URL等進行快速封堵處置,通過上下級聯動的方式,實現“一點下發,全局防控”提升安全應急響應效率。
(4)安全能力集中調度,實現浙能集團安全能力調度編排共享
通過安全綜合能力管控平臺統一納管基線合規、資產檢索、漏洞掃描、弱口令掃描、策略審計、態勢感知、應急處置等能力,并通過安全編排與智能調度有效支撐浙能集團及下屬單位常態化安全運營工作開展,集約化地將人、技術、流程深度融合,實現安全能力與服務的集中輸出。
下一步實施計劃
計劃1:在浙能集團下屬板塊及單位推廣,實現安全能力全面應用
方案后續計劃在浙能集團下屬板塊及單位進行分階段推廣。目前已在電力板塊及下屬長興電廠、鎮海電廠,燃氣股份,科工服務多個單位應用,后續計劃在集團下屬煤炭運輸、石油、可再生能源等多個行業板塊推廣應用,提供應急處置、策略審計、合規檢查、威脅監測、漏洞掃描等安全能力,實現安全能力服務化輸出。
計劃2:在金融、電力、水利等行業推廣,實現安全能力行業賦能
方案后續計劃在金融、電力、水利等行業開展推廣,安全綜合管控平臺提供的標準化安全事件研判與處置流程、沉淀安全策略知識庫,自建的應急處置、策略審計、合規檢查、威脅監測、漏洞掃描等安全能力可復制推廣應用于各關鍵信息基礎設施領域,實現安全能力行業賦能。
方案創新點
和實施效果
1. 方案先進性及創新點
(1)創新點1:基于異構策略庫模型實現安全應急響應智能編排
在構建安全綜合能力管控平臺過程中引入playbook原子化設計理念,將事件捕捉、特征識別、策略封堵、策略恢復、策略驗證等腳本封裝成原子能力并進行智能編排,三層異構模型,可支持基于特征規則的策略識別,也可支持基于行為模型(閾值、基線)的策略加載,同步引入大數據算法完成安全事件處置規則的自學習能力,進而提高策略庫的準確性和完整性。
(2)創新點2:基于場景化AI算法實現安全風險智能研判預警
基于傳統的樣本特征比對和正則匹配的檢測方式面臨極大的挑戰,攻擊者一旦繞過或直接使用非特征庫中的攻擊載荷,傳統的檢測防護模式將不再生效。通過引入基于AI的輕量級數據處理及分析框架,對安全數據進行采集、預處理、富化,并采用神經網絡、NLP、KNN、SVN等模型進行訓練和分析,生成的結果匹配威脅情報后輸出安全事件,根據置信度選擇不同的處置流程,可有效提升安全事件的智能分析與自動化處置水平。
(3)創新點3:通過建立平戰結合安全駕駛艙支撐安全管理決策
為全方位掌握浙能集團網絡安全運行狀況,理解安全能力運行數據背后規律,挖掘安全數據蘊含的風險信息,進而快速發現潛在的網絡威脅,通過建立安全能力指標體系,建立日常模式、巡查模式、護網模式等場景下的安全駕駛艙,多維度分析數據聯系,反映網絡運行及安全狀態,支持多維安全數據聯動交互,將安全風險形象、直觀地呈現給安全管理人員,為安全提供決策。
(4)創新點4:依托微服務安全網關技術實現安全能力解耦集成
基于微服務能力網關技術,通過接口技術標準化,能力輸出標準化、流程標準化,實現平臺側安全能力解耦與集成,依托編排引擎實現能力的的拉通與智能調度,實現安全能力增強互補,同時建立能力評估體系,在提高安全工具接入的同時,便于對安全采購部門能力選型提供依據。
(5)先進性說明
方案已服務浙能集團及下屬單位共12家,在電力、天然氣、科服多個板塊推廣應用,累計授權專利8項,并發表多篇論文。平臺中的網絡安全邊界防護子系統及網絡安全應急指揮子系統已完成龍芯處理器、中標麒麟的操作系統、華為鯤鵬服務器、信創云完成兼容互認證測試并獲得多項認證證書,實現安全自主可控。
2. 實施效果
(1)依托安全事件工作臺,實現安全事件閉環高效管理
通過建設安全事件工作臺,以安全事件的發現、上報、分析、通報、處置的安全事件應急響應流程為導向,將日常及重保期間的線下工作流程全面轉到線上,實現安全事件的閉環管理,上線運營后,日均處理安全事件百條,平臺完整記錄了安全事件的上報過程、處理過程、處置責任人、處置時間等信息,實現安全事件閉環高效管理。
(2)依托安全研判知識庫,大幅提升安全事件處理效率
安全專家可針對上報的安全事件,通過溯源取證、威脅情報、IP資產歸屬查詢等輔助手段,評估該安全事件的威脅情況,給出處置方案進行處置。同時,安全綜合能力管控平臺通過沉淀浙能集團一線專家研判規則形成分級分析算法,提供自動化研判手段,給出研判結果,輔助專家進行研判決策,對日常及護網期間產生的安全事件進行快速的分級分類處理,在大批量的安全事件中輔助分析團隊進行快速研判與精準決策,提升響應效率與研判質量,平臺上線運行后,人力效率提升約30%,每次重保期間節省人力成本約200萬。
(3)依托極速封堵模式,大幅提升安全應急處置能力
在浙能集團本部建立的統一封堵能力,兼容異構邊界防護設備,針對深信服、天融信、綠盟等異構防火墻設備進行策略管控,通過地址集自動擴展方式實現大批量IP地址的快速處置,單日可完成10萬以上IP的封堵操作,滿足演練和突發安全事件時攻擊IP的快速封堵。通過重保期間的極速處置模式,大幅度提升應急處置效率,封堵速度提升10倍以上。
(4)依托多級聯動機制,實現集團一點監控,全局防御
面向浙能集團下屬單位,通過安全綜合能力管控平臺可實現封堵指令集中下發,實現“一點發現、全局封堵”,大大提升重大活動保障期間的應急處置效率,通過多級聯動機制為重保防護提供堅實保障,優化管控流程,減輕運維壓力。依托平臺提供的安全能力及自動化服務,2022年在國家級護網演習中只人員數量大幅減少,并獲得主管部門認可。
(5)提升企業安全基線,大幅減少工業企業安全合規問題
方案運行后,浙能集團及下屬工業企業積極開展安全基線、弱口令、漏洞等常態化風險檢查,并發現多處基線配置、弱口令、漏洞等安全風險,通過整改,目前高危漏洞和弱口令已清零,基線配置合規率達到90%以上,集團側在例行安全檢查過程發現的安全風險大幅減低,有效提升企業安全基線。
(6)安全工具集中納管,沉淀安全能力實現行業內外賦能
平臺通過納管集團本部安全設備,可實現安全工具的集中化運維,同時基于IPDRR模型形成安全能力中心,為集團本部及下屬工業企業提供開箱即用的安全能力與服務,包含安全資產管理、安全風險檢測、安全合規檢測、安全應急響應、安全策略審計、安全事件通報等,后續平臺安全能力及建設模式可復制推廣至其他行業,實現行業賦能。
單位基本信息
浙能集團成立于2001年2月,總部位于中國杭州,主要從事電源建設、電力熱力生產、石油煤炭天然氣開發貿易流通、能源科技、能源服務和能源金融等業務,是浙江省委、省政府能源產業發展的主抓手、能源合作的主平臺、能源供應的主渠道、能源安全保障的主力軍、環境保護的主戰場和能源科技創新的主引擎,為浙江經濟社會持續健康發展提供了有力的能源供應保障。截至2022年底,浙能集團資產總額2991.8億元,所有者權益1382.9億元,控股管理發電裝機容量3905.1萬千瓦;全年實現營業收入1667.2億元、利潤總額60.2億元。
近幾年,浙能集團每年科研投入約為20億元,其中信息化投入每年約4億元,取得了一系列科技創新和數字產業化成果,擁有國家技術發明一等獎一項,省部級科技進步獎多項。浙能集團高度關注網絡安全工作,統籌指導下屬工業企業實踐網絡安全防護方案,其中“大型火電廠網絡安全綜合防護研究與實踐”方案獲2020年國有企業數字化轉型優秀案例,“大型能源企業基于數據中臺的態勢感知平臺”方案獲2022年度浙江省數字化改革網絡安全優秀案例。
浙江鵬信信息科技股份有限公司(以下簡稱:鵬信科技)是新三板掛牌的國家高新技術企業、國家級專精特新“小巨人”企業、浙江省網絡安全行業創新型十強企業。公司專注于網絡信息安全領域,公司具有中國信息安全測評中心、中國通信企業協會安全委員會、中國網絡安全審查技術與認證中心多項安全資質。2019年成為浙江省工業控制系統信息安全應急支撐單位,已通過CMMI5級軟件成熟度國際認證,授權發明專利30余項,參與國家標準制訂7項,行業標準制訂14項;承擔浙江省重點研發計劃項2項、杭州市重大科技研發方案1項。獲得工信部網絡安全試點示范方案共4項。
鵬信科技公司產品已成功服務于全國20多省份,超過1000家企業,參與了多個省部級方案、工信部的工業互聯網創新發展工程方案3個。公司自主研發的安全能力底座、安全一鍵應急平臺、基線配置核查系統、安全漏洞管理平臺、安全策略可視化分析、安全運營管理平臺、安全態勢感知平臺等系列產品,為中大型企業提供網絡安全運營全流程解決方案。
結束語
“編制優秀試點示范推廣案例集”是工信部 2022年推動工業互聯網加快發 展的工作方向之一。本報告從工業互聯網安全的優秀實踐層面,響應國家的決策 部署,著眼于新技術融合帶來的安全問題以及固有的安全風險,匯編了業內優秀 安全解決方案,為工業企業提供安全建設參考。
本報告面向5G+量子安全、新能源等新技術、新場景提供優秀安全實踐,同時涵蓋能源、汽車、地鐵等重要行業的安全解決方案,以及安全服務綜合平臺、安全綜合防護系統的建設方案,與往年案例匯編共同豐富工業企業安全最佳實踐。
未來,工業互聯網這一新興基礎設施建設將向更廣范圍、更深程度、更高水 平不斷推進,助力經濟發展新動能,推動產業升級。新基建中 5G 與工業互聯網 的融合發展乘數效應顯著,5G+工業互聯網也將加檔提速,漸行漸近。
安全,作為工業互聯網建設的重要組成部分之一,將不斷面臨新的挑戰,新 的安全解決方案也會不斷誕生。唯有安全行業與工業行業互相協作,攻堅克難,深耕工業互聯網安全,協同打造安全的工業互聯網,才可共同促進工業互聯網的 繁榮與發展。
AII微信公眾號
AII頭條號