冬奥 “零事故”背后:实战化态势感知首次经受“实际网络战”考验
2022年3月13日,北京冬残奥会圆满闭幕。这标志着历时800多天、奇安信为北京冬奥和冬残奥会提供的网络安全保障工作,划上了完美的句号。
12个竞赛场馆、26个非竞赛场馆、188个服务场站,超10000台终端,跨度百余公里;日均监测日志超37亿条,累计监测日志达1850亿条,监测到各类网络攻击3.8亿次(含社会面),发现、修复安全漏洞约5800个,发现恶意样本54个,排查风险主机150台,跟踪、研判、处置涉奥舆情和威胁事件105件,创造了奥运会网络安全“零事故”的世界记录……
图: 奇安信圆满完成北京冬奥、冬残奥网络安全保障工作
这些成绩,一方面,来源于3500余位参与冬奥重保的奇安信员工的坚守与付出;另一方面,也离不开监管态势感知(网络安全态势感知与协调指挥平台)、运营态势感知(态势感知与安全运营平台、简称NGSOC)、攻防态势感知(新一代安全感知系统、简称天眼)在冬奥舞台上的“同框出镜”。这不仅是“三合一”实战化态势感知在大型项目中的首次成功落地实践,更是首次将“大禹”安全中台应用于国家级态势感知指挥平台,平台量产带来的效率红利在本次冬奥中得以充分彰显。
图:实战化态势感知需要“三合一”
那么,在这个规模空前、复杂度空前、高 科技 含量空前的冬奥项目中,这三类态势感知是如何做到既各司其职、各放异彩,又能环环相扣、无缝协作,最终融为一个整体,打造出唯一经受住“实际网络战”检验、并确保“零事故”的北京冬奥网络安保系统呢?
应用场景:从奥组委指挥中心到各场馆、涉奥单位 全局联动
管理学上有句话:“把合适的人放在合适的地方,各司其职,才能发挥最大的作用”,放在“三合一”态势感知的协同联动上同样适用。
监管态势感知相当于冬奥网络安全保障的“大脑” ,部署在冬奥组委的指挥中心,肩负着监管指挥、总揽全局、支撑决策的职责,它主要聚焦于关注高危告警、安全事件、通告等层面,支持决策者“抓方向、议大事、管全局”。
图:监管态势感知(网络安全态势感知与协调指挥平台)
运营态势感知充当着“躯干”的作用 ,它同样部署在冬奥组委的指挥中心,接入了冬奥组委信息技术网络、数据中心、各个场馆的安全数据,肩负着支撑保障比赛的关键系统的网络安全监控和分析研判工作,为冬奥组委领导、技术部提供即时的网络安全状态信息,实现多个部门的实时协同。
图:运营态势感知(态势感知与安全运营平台、简称NGSOC)
相比之下,攻防态势感知更像是无数敏锐的“眼睛” ,它广泛部署在两个网络中心、两个数据中心、12个竞赛场馆、26个非竞赛场馆,以及给冬奥提供网络及业务平台支持的多家运营商、合作伙伴、外部单位等,用于检测与发现任何的网络异常行为。这些“眼睛”既要“眼观六路”,又要“慧眼识真”,最大程度降低漏报率和误报率,实现全天候、全方位的安全威胁感知。
图:攻防态势感知(新一代安全感知系统、简称天眼)
从三者部署场景来看,监管作为“大脑”,偏重于指挥和决策,运营作为“躯干”,强调集中化管控和协同,而攻防作为“眼睛”,更贴近一线,触达冬奥系统的每个角落,第一时间“看到”威胁。
使用者:满足不同人群监管指挥、运行闭环、威胁发现等需求
战争中,不同兵种使用不同装备:司令元帅需要全局地图和沙盘,指挥全局;各级将官需要局部战场地图,以及无线电通信等,完成上传下达、落实作战任务;一线士兵需要最先进的武器,短兵相接克敌制胜。冬奥网络安全保障也是如此。
在本次冬奥中,监管态势感知的使用者是负责监管的领导和管理人员。
冬奥组委相关人员通过监管态势感知监控了解全局安全态势、分析结果,并及时向中央网信办、公安部、工信部等提交报告。在平级层面,面向整个冬奥所涉及的所有信息系统,需要站在指挥层,及时发布安全通告、安全事件预警、工作部署要求等,完成指挥、管理和调度的职责。
运营态势感知的使用者主要是安全运营人员。
运营态势感知是最依赖于“人”和团队的平台。在本次冬奥项目中,各场馆的一线安全运营工程师共计达数百人,通过运营态势感知构建的“全闭环、标准化运行体系”,摸清了冬奥所有上万IT资产情况,支撑风险处置流程、应急处置流程、安全操作规程(SOP)。同时通过针对总体应急预案和七个专项应急预案的演练,以及NGSOC和SOAR的流程管理,实现安全编排自动化与响应,缩短问题和事件响应时间,将风险处置时间缩短到了分钟级。
用奇安信冬奥保障总架构师尹智清的话说,“安全运营团队中心的建设首先是建立团队,确定工作目标、工作范围、工作流程,进而才是产品和工具。没有团队和流程规范,运营则无从谈起。”
攻防态势感知对人依赖度最低,自动化更强。
在冬奥项目中,各场馆的攻防态势感知可以自动检测发现威胁、自动上报,不太依赖于人的干预。当需要分析研判时,它会给分析人员提供数据支撑。
采集分析数据:发挥大禹平台效能 实现海量异构数据处理
监管态势感知主要关注安全事件、高危告警、研判分析等,实现“抓大放小” 。
在冬奥中,作为国家级指挥平台的监管态势感知,依托大禹平台,汇集了包括运营态势感知等在内的安全事件、告警分析、通告等。它立足宏观和战略视角,不太关注流量、日志等底层数据,聚焦决策支撑和指挥平台需要的事件层面,让监管或主管部门能够总揽全局、运筹帷幄,实现更高效的指挥和调度。
运营态势感知兼顾了数据的采集和分析工作,负责汇聚各类日志、告警信息,并生成研判分析、安全事件报告,实现“承上启下”。
在“三合一”实战化态势感知中,运营态势感知充当“承上启下”的作用:“承上”,它向监管态势感知传递运营人员分析加工后的有效告警、安全事件等数据;“启下”,它从攻防态势感知中获取所有的流量告警信息,并结合其它安全设备的告警和日志以及操作系统和应用系统的日志,通过安全运营人员的研判分析、评估筛选,加工成为有价值的告警和安全事件汇总。
攻防态势感知进行全网、云平台的流量采集、检测和分析,实时生成告警,追求“纤毫毕现”。
流量异常是发现威胁最快的检测方式。攻防态势感知会对全网流量数据进行分析,第一时间发现异常行为,形成告警,并同步到运营态势感知,供安全运营人员分析和研判。攻防态势感知也会对流量进行分析,和运营态势感知不同的是,它是基于机器的大数据分析,不太依赖于人工。
首次大禹平台量产 实现“大脑”、“躯干”、“眼睛”无缝协同
网络空间的攻防博弈,牵一发而动全身,上到决策层的监管指挥,中到整体的运营调度,再到一线的攻防近战,需要三级态势感知无缝联动,协同配合,真正形成“大脑”、“躯干”、“眼睛”并用的实战化态势感知。下图能够直观体现三者的定位和分工:
当然,将监管、运营、攻防这三类态势感知有机协同在一起,并不是一件很容易的事情,它需要构建统一的计算平台、标准和运营系统。因此,奇安信一直在大力打造研发平台,先后发布了 “鲲鹏”、“诺亚”、“雷尔”、“锡安”、“川陀”、“大禹”、“玄机”、“千星”等八大研发平台,同时还有十多个安全应用平台正在抓紧研发,这些平台已经掀起了一场研发组件与安全大数据共享、以及个性化定制和研发效率的革命。
通过“大禹”平台的量产,奇安信实战化态势感知拥有了海量异构的数据采集分析和处理能力,以及安全设备横向打通的核心能力,通过将安全产品所需的共性核心能力平台化、标准化,把这些产品有效连接起来,真正实现“大脑”、“躯干”、“眼睛”的协同联动和无缝整合。
《IDC MarketScape: 中国态势感知解决方案市场 2021,厂商评估》显示,奇安信位居IDC MarketScape模型领导者象限,这也证明了奇安信在态势感知领域的国内领先地位。
结束语:
面向全球200余个国家,数十亿人开放的北京冬奥会及冬残奥会,是“三合一”实战化态势感知落地实践最好的试金石,更是大禹平台量产、大幅度提升研发效率和协同能力的检验场,对于未来国内重大安保活动、关键信息基础设施安全保护提供了重要实践和标杆范本。