摘要
气电集团网络安全监管与服务平台立足气电集团LNG资源贸易、LNG接收站、天然气管网、燃气电厂、城市燃气、车船加注等主要业务场景,汇聚气电集团总部及所属单位的资产数据、漏洞数据、日志数据、流量数据等7类基础数据,结合资产管理、监测分析、预警通报、应急处置4类安全运营应用场景,利用大数据、范式数据归一化、关联分析、AI降噪等技术,通过资产管理功能、实时监测功能、威胁分析、告警通报、可视化展示等功能模块,共同协助网络安全运营人员实现从安全事件监测、安全分析、安全溯源、响应处置的运营闭环,是气电集团安全运营的核心手段,支撑气电集团网络安全运营中心充分发挥“技术引领创新,运营引导行为”的重要作用,最终实现创新运营、智御风险的安全运营成效。
一、项目背景
数字化发展和产业变革向纵深推进,新技术的迅猛发展既带来了前所未有的机遇,信息化业务应用系统的数量变多,业务数据也呈几何级增长,,也使得网络攻击、数据窃取等事件频繁发生,气电集团的网络安全面临难以预知的威胁和挑战。党的二十大报告将推进国家安全体系和能力现代化作为重点任务,提出要强化网络、数据等安全保障体系建设;习近平总书记关于网络强国重要思想中强调“十个坚持”重要原则,深刻指明了要不断提高对网络安全的保障能力,要向着网络安全保障有力、网络攻防实力均衡的方向不断前进的正确道路。
为此,气电集团结合自身业务特点,通过建设集资产管理、监测分析、预警通报、应急处置四大核心职能为一体的网络安全监管与服务平台,同步与上下级单位协同共享打造合力,逐步形成态势能看见、风险能识别、事件能闭环的网络安全工作目标。平台一方面针对气电集团基础的网络、终端、应用、数据等建立一套整体的网络安全防护体系,持续加大网络安全威胁发现覆盖范围,精细化公司网络安全运营从整体上气电集团的提高安全防护与监测水平;另一方面,配合专业安全专家团队,通过平台输出网络安全服务能力,共享网络安全资源深入融合业务场景强化运营成效,形成具有气电特色的网络安全保护建设最佳实践。
二、建设内容
气电集团网络安全监管与服务平台安全深化应用项目遵循问题驱动、价值导向原则,以“补短板、扩范围、强识别、输能力”四步走为建设思路,通过弥补基础平台相对被动的防御手段,细化安全监测的颗粒度,智能化威胁识别和发现能力,加大对重要网络区域、业务系统、终端安全、移动应用等的风险发现覆盖面,深入分析气电集团各业务板块的网络安全状态与网络安全发展趋势,将看不见的安全威胁、安全漏洞、网络攻击、安全风险等掌握在手、可查可看,做到安全事件事前可防、事中可控、事后可溯。
以先进性、整体性、统一性为建设理念,通过信息安全技术上的变革促进管理上的变革,继而推动网络安全运营体系的完善,培养信息安全运行专业团队,输出专业的网络安全能力。主要包括如下方面内容:
(一)全局资产可视化:构建企业级标准资产库
按照集团公司资产库标准,优化平台现有资产管理模块的标段、界面,并与集团资产库对接,实现从集团公司资产库中自动实时获取气电集团资产信息,并具有动态更新、变更信息能力,形成与集团公司一致的、完整的气电集团网络资产台账。
(二)全局终端可视化:提升全局终端监测、可视化能力
本次项目提出开发一套完善的安全审计功能,专注于传统终端的行为事件审计与状态变化监测。通过执行统一的终端安全策略,将审计数据有效收集,并通过大屏进行集中展示,实现全网终端安全状态的透明化与可视化管理。
终端安全状态监测,终端画像功能突破了传统单一维度观察安全问题的局限性,采用画像分析的理念,从多维度刻画终端设备在安全领域的行为、状态变化及相关动作。
哑终端发现和识别,通过精确识别网络中无直接人机交互的设备(如网络打印机、摄像头、传感器等),实现对这些设备的动态管理与实时监控,确保全面发现与精确分析,为网络环境的安全性和运行效率提供有力支持。本项引入多种技术手段,包括流量分析、SNMP扫描以及MAC厂商规则匹配,确保对哑终端设备的全面发现和准确识别。
终端紧急阻断能力,通过自适应微隔离技术,提升气电集团本部的网络安全能力与管理效率。
(三)全局日志标准化:构建日志统一标准,融入安全技术
通过在总部机关部署智能化威胁态势综合分析模块,实现网络设备、安全设备、主机操作系统、中间件、数据库、应用系统、虚拟化和云等在内的设备及系统的全面日志审计,推动平台实现统一采集、统一处理、统一标准,用来增强气电网络安全监管与服务平台统一监测及分析能力。
(四)全局分析一体化:覆盖前、中、后全过程的安全预警和监测分析能力
依托安全大数据平台的安全数据治理能力,建立覆盖事前、事中、事后全过程的安全预警和监测分析能力,通过预警防范、威胁感知、攻击发现和分析研判的多层监测手段,快速发现未知威胁和未知攻击,即时阻断攻击链条,提升对网络空间中高级可持续威胁的“看见”能力。
(五)全局运营自动化:引入AI技术,强化机器自主运营能力,辅助决策
深化现有态势感知平台的自主运营能力,不断深耕系统规则场景,通过模块及规则的不断优化,持续提升运营自主能力,可自动匹配各类攻击规则和新型攻击手段特征,实现对安全风险的综合发现、识别、评判和智能化分析,为人员分析提供关键支撑,减少人员分析时间,提升安全运营工作效率。
(六)咨询规划前瞻性:引入外部咨询力量,贴合自身实际,开展未来5年安全规划
分析调研气电网络安全现状,结合气电网络安全现状及网络安全发展趋势,制定气电集团网络安全未来5年的建设方案;根据集团公司和气电集团网络安全管理制度和流程,结合气电现有基础设施、人员等制定气电网络安全运营中心建设目标,构建气电网络安全运营体系。
三、建设效果
(一)终端资产全局监测、可视化运营
通过引入多种技术手段,精确识别哑终端设备,达到100%,同步启动终端全局监测及审计功能,通过执行统一的终端安全策略,实现对于网内各类不同类型终端的全局安全状态的掌握,实现由独立分散向集中统一的架构转变。
(二)聚焦业务场景,发挥平台智能化应用优势
针对“平时”、“战时”两类业务场景,在持续丰富安全基础数据基础上,从系统漏洞挖掘、告警日志降噪、原始流量威胁检测、可疑外联发现、恶意软件检测等应用角度出发,以业务场景为导向,为安全运营提供可用、好用、易用的智能化运营模型,并在使用中逐步优化,提升安全运营与公司业务粘度,为数字化发展提供坚实的网络安全技术保障。目前已实现重要系统扫描覆盖率100%,已知系统漏洞整改率100%,场景类型覆盖率100%。
(三)引入新技术、新模式,发挥数智创新引领作用
引入AI等人工智能前沿技术,聚焦“数智引领,智御风险”,基本具备构建自动化运营技术条件,并开展安全运营,实现网络安全状态监测应用场景覆盖率100%,安全风险识别告警准确率80%+,实现降低安全运营、运维的人员成本。
(四)前瞻性规划,明确公司网络安全建设工作方向
通过气电集团网络安全未来5年的建设方案,为气电集团未来5年建设确立了治理思路,从分散到统一,分独立作战到统一战线,从全局长远出发,为气电集团安全运营体系建设注入了建设动力,对于实现平台自动化、智能化建设打下了基础。
气电集团网络安全监管与服务平台充分发挥“技术引领创新,运营引导行为”的重要作用,助力气电集团在数字化浪潮中乘风破浪,行稳致远。
完成单位:中海石油气电集团有限责任公司
完成人:黄毅、张晔、余茜