2022年3月13日,北京冬帕運會圓滿閉幕。這標誌著歷時800多天、奇安信為北京冬奧和冬帕運會提供的網絡安全保障工作,劃上了完美的句號。
12個競賽場館、26個非競賽場館、188個服務場站,超10000台終端,跨度百餘公里;日均監測日誌超37億條,累計監測日誌達1850億條,監測到各類網絡攻擊3.8億次(含社會面),發現、修復安全漏洞約5800個,發現惡意樣本54個,排查風險主機150台,跟蹤、研判、處置涉奧輿情和威脅事件105件,創造了奧運會網絡安全「零事故」的世界記錄……
這些成績,一方面,來源於3500餘位參與冬奧重保的奇安信員工的堅守與付出;另一方面,也離不開監管態勢感知(網絡安全態勢感知與協調指揮平台)、運營態勢感知(態勢感知與安全運營平台、簡稱NGSOC)、攻防態勢感知(新一代安全感知系統、簡稱天眼)在冬奧舞台上的「同框出鏡」。這不僅是「三合一」實戰化態勢感知在大型項目中的首次成功落地實踐,更是首次將「大禹」安全中台應用於國家級態勢感知指揮平台,平台量產帶來的效率紅利在本次冬奧中得以充分彰顯。
那麼,在這個規模空前、複雜度空前、高科技含量空前的冬奧項目中,這三類態勢感知是如何做到既各司其職、各放異彩,又能環環相扣、無縫協作,最終融為一個整體,打造出唯一經受住「實際網絡戰」檢驗、並確保「零事故」的北京冬奧網絡安保系統呢?
應用場景:從奧組委指揮中心到各場館、涉奧單位 全局聯動
管理學上有句話:「把合適的人放在合適的地方,各司其職,才能發揮最大的作用」,放在「三合一」態勢感知的協同聯動上同樣適用。
監管態勢感知相當於冬奧網絡安全保障的「大腦」,部署在冬奧組委的指揮中心,肩負著監管指揮、總攬全局、支撐決策的職責,它主要聚焦於關注高危告警、安全事件、通告等層面,支持決策者「抓方向、議大事、管全局」。
運營態勢感知充當著「軀幹」的作用,它同樣部署在冬奧組委的指揮中心,接入了冬奧組委信息技術網絡、數據中心、各個場館的安全數據,肩負著支撐保障比賽的關鍵系統的網絡安全監控和分析研判工作,為冬奧組委領導、技術部提供即時的網絡安全狀態信息,實現多個部門的實時協同。
相比之下,攻防態勢感知更像是無數敏銳的「眼睛」,它廣泛部署在兩個網絡中心、兩個數據中心、12個競賽場館、26個非競賽場館,以及給冬奧提供網絡及業務平台支持的多家運營商、合作夥伴、外部單位等,用於檢測與發現任何的網絡異常行為。這些「眼睛」既要「眼觀六路」,又要「慧眼識真」,最大程度降低漏報率和誤報率,實現全天候、全方位的安全威脅感知。
從三者部署場景來看,監管作為「大腦」,偏重於指揮和決策,運營作為「軀幹」,強調集中化管控和協同,而攻防作為「眼睛」,更貼近一線,觸達冬奧系統的每個角落,第一時間「看到」威脅。
使用者:滿足不同人群監管指揮、運行閉環、威脅發現等需求
戰爭中,不同兵種使用不同裝備:司令元帥需要全局地圖和沙盤,指揮全局;各級將官需要局部戰場地圖,以及無線電通信等,完成上傳下達、落實作戰任務;一線士兵需要最先進的武器,短兵相接克敵制勝。冬奧網絡安全保障也是如此。
在本次冬奧中,監管態勢感知的使用者是負責監管的領導和管理人員。
冬奧組委相關人員通過監管態勢感知監控了解全局安全態勢、分析結果,並及時向中央網信辦、公安部、工信部等提交報告。在平級層面,面向整個冬奧所涉及的所有信息系統,需要站在指揮層,及時發布安全通告、安全事件預警、工作部署要求等,完成指揮、管理和調度的職責。
運營態勢感知的使用者主要是安全運營人員。
運營態勢感知是最依賴於「人」和團隊的平台。在本次冬奧項目中,各場館的一線安全運營工程師共計達數百人,通過運營態勢感知構建的「全閉環、標準化運行體系」,摸清了冬奧所有上萬IT資產情況,支撐風險處置流程、應急處置流程、安全操作規程(SOP)。同時通過針對總體應急預案和七個專項應急預案的演練,以及NGSOC和SOAR的流程管理,實現安全編排自動化與響應,縮短問題和事件響應時間,將風險處置時間縮短到了分鐘級。
用奇安信冬奧保障總架構師尹智清的話說,「安全運營團隊中心的建設首先是建立團隊,確定工作目標、工作範圍、工作流程,進而才是產品和工具。沒有團隊和流程規範,運營則無從談起。」
攻防態勢感知對人依賴度最低,自動化更強。
在冬奧項目中,各場館的攻防態勢感知可以自動檢測發現威脅、自動上報,不太依賴於人的干預。當需要分析研判時,它會給分析人員提供數據支撐。
採集分析數據:發揮大禹平台效能 實現海量異構數據處理
監管態勢感知主要關注安全事件、高危告警、研判分析等,實現「抓大放小」。
在冬奧中,作為國家級指揮平台的監管態勢感知,依託大禹平台,匯集了包括運營態勢感知等在內的安全事件、告警分析、通告等。它立足宏觀和戰略視角,不太關注流量、日誌等底層數據,聚焦決策支撐和指揮平台需要的事件層面,讓監管或主管部門能夠總攬全局、運籌帷幄,實現更高效的指揮和調度。
運營態勢感知兼顧了數據的採集和分析工作,負責匯聚各類日誌、告警信息,並生成研判分析、安全事件報告,實現「承上啟下」。
在「三合一」實戰化態勢感知中,運營態勢感知充當「承上啟下」的作用:「承上」,它向監管態勢感知傳遞運營人員分析加工後的有效告警、安全事件等數據;「啟下」,它從攻防態勢感知中獲取所有的流量告警信息,並結合其它安全設備的告警和日誌以及作業系統和應用系統的日誌,通過安全運營人員的研判分析、評估篩選,加工成為有價值的告警和安全事件匯總。
攻防態勢感知進行全網、雲平台的流量採集、檢測和分析,實時生成告警,追求「纖毫畢現」。
流量異常是發現威脅最快的檢測方式。攻防態勢感知會對全網流量數據進行分析,第一時間發現異常行為,形成告警,並同步到運營態勢感知,供安全運營人員分析和研判。攻防態勢感知也會對流量進行分析,和運營態勢感知不同的是,它是基於機器的大數據分析,不太依賴於人工。
首次大禹平台量產 實現「大腦」、「軀幹」、「眼睛」無縫協同
網絡空間的攻防博弈,牽一髮而動全身,上到決策層的監管指揮,中到整體的運營調度,再到一線的攻防近戰,需要三級態勢感知無縫聯動,協同配合,真正形成「大腦」、「軀幹」、「眼睛」並用的實戰化態勢感知。
當然,將監管、運營、攻防這三類態勢感知有機協同在一起,並不是一件很容易的事情,它需要構建統一的計算平台、標準和運營系統。因此,奇安信一直在大力打造研發平台,先後發布了 「鯤鵬」、「諾亞」、「雷爾」、「錫安」、「川陀」、「大禹」、「玄機」、「千星」等八大研發平台,同時還有十多個安全應用平台正在抓緊研發,這些平台已經掀起了一場研發組件與安全大數據共享、以及個性化定製和研發效率的革命。
通過「大禹」平台的量產,奇安信實戰化態勢感知擁有了海量異構的數據採集分析和處理能力,以及安全設備橫向打通的核心能力,通過將安全產品所需的共性核心能力平台化、標準化,把這些產品有效連接起來,真正實現「大腦」、「軀幹」、「眼睛」的協同聯動和無縫整合。
《IDC MarketScape: 中國態勢感知解決方案市場 2021,廠商評估》顯示,奇安信位居IDC MarketScape模型領導者象限,這也證明了奇安信在態勢感知領域的國內領先地位。
結束語:
面向全球200餘個國家,數十億人開放的北京冬奧會及冬帕運會,是「三合一」實戰化態勢感知落地實踐最好的試金石,更是大禹平台量產、大幅度提升研發效率和協同能力的檢驗場,對於未來國內重大安保活動、關鍵信息基礎設施安全保護提供了重要實踐和標杆範本。
來源:消費日報網