2022年3月13日,北京冬殘奧會(huì)圓滿(mǎn)閉幕。這標(biāo)志著歷時(shí)800多天、奇安信為北京冬奧和冬殘奧會(huì)提供的網(wǎng)絡(luò)安全保障工作,劃上了完美的句號(hào)。
12個(gè)競(jìng)賽場(chǎng)館、26個(gè)非競(jìng)賽場(chǎng)館、188個(gè)服務(wù)場(chǎng)站,超10000臺(tái)終端,跨度百余公里;日均監(jiān)測(cè)日志超37億條,累計(jì)監(jiān)測(cè)日志達(dá)1850億條,監(jiān)測(cè)到各類(lèi)網(wǎng)絡(luò)攻擊3.8億次(含社會(huì)面),發(fā)現(xiàn)、修復(fù)安全漏洞約5800個(gè),發(fā)現(xiàn)惡意樣本54個(gè),排查風(fēng)險(xiǎn)主機(jī)150臺(tái),跟蹤、研判、處置涉奧輿情和威脅事件105件,創(chuàng)造了奧運(yùn)會(huì)網(wǎng)絡(luò)安全“零事故”的世界記錄……
圖: 奇安信圓滿(mǎn)完成北京冬奧、冬殘奧網(wǎng)絡(luò)安全保障工作
這些成績(jī),一方面,來(lái)源于3500余位參與冬奧重保的奇安信員工的堅(jiān)守與付出;另一方面,也離不開(kāi)監(jiān)管態(tài)勢(shì)感知(網(wǎng)絡(luò)安全態(tài)勢(shì)感知與協(xié)調(diào)指揮平臺(tái))、運(yùn)營(yíng)態(tài)勢(shì)感知(態(tài)勢(shì)感知與安全運(yùn)營(yíng)平臺(tái)、簡(jiǎn)稱(chēng)NGSOC)、攻防態(tài)勢(shì)感知(新一代安全感知系統(tǒng)、簡(jiǎn)稱(chēng)天眼)在冬奧舞臺(tái)上的“同框出鏡”。這不僅是“三合一”實(shí)戰(zhàn)化態(tài)勢(shì)感知在大型項(xiàng)目中的首次成功落地實(shí)踐,更是首次將“大禹”安全中臺(tái)應(yīng)用于國(guó)家級(jí)態(tài)勢(shì)感知指揮平臺(tái),平臺(tái)量產(chǎn)帶來(lái)的效率紅利在本次冬奧中得以充分彰顯。
圖:實(shí)戰(zhàn)化態(tài)勢(shì)感知需要“三合一”
那么,在這個(gè)規(guī)模空前、復(fù)雜度空前、高科技含量空前的冬奧項(xiàng)目中,這三類(lèi)態(tài)勢(shì)感知是如何做到既各司其職、各放異彩,又能環(huán)環(huán)相扣、無(wú)縫協(xié)作,最終融為一個(gè)整體,打造出唯一經(jīng)受住“實(shí)際網(wǎng)絡(luò)戰(zhàn)”檢驗(yàn)、并確保“零事故”的北京冬奧網(wǎng)絡(luò)安保系統(tǒng)呢?
應(yīng)用場(chǎng)景:從奧組委指揮中心到各場(chǎng)館、涉奧單位 全局聯(lián)動(dòng)
管理學(xué)上有句話:“把合適的人放在合適的地方,各司其職,才能發(fā)揮最大的作用”,放在“三合一”態(tài)勢(shì)感知的協(xié)同聯(lián)動(dòng)上同樣適用。
監(jiān)管態(tài)勢(shì)感知相當(dāng)于冬奧網(wǎng)絡(luò)安全保障的“大腦”,部署在冬奧組委的指揮中心,肩負(fù)著監(jiān)管指揮、總攬全局、支撐決策的職責(zé),它主要聚焦于關(guān)注高危告警、安全事件、通告等層面,支持決策者“抓方向、議大事、管全局”。
圖:監(jiān)管態(tài)勢(shì)感知(網(wǎng)絡(luò)安全態(tài)勢(shì)感知與協(xié)調(diào)指揮平臺(tái))
運(yùn)營(yíng)態(tài)勢(shì)感知充當(dāng)著“軀干”的作用,它同樣部署在冬奧組委的指揮中心,接入了冬奧組委信息技術(shù)網(wǎng)絡(luò)、數(shù)據(jù)中心、各個(gè)場(chǎng)館的安全數(shù)據(jù),肩負(fù)著支撐保障比賽的關(guān)鍵系統(tǒng)的網(wǎng)絡(luò)安全監(jiān)控和分析研判工作,為冬奧組委領(lǐng)導(dǎo)、技術(shù)部提供即時(shí)的網(wǎng)絡(luò)安全狀態(tài)信息,實(shí)現(xiàn)多個(gè)部門(mén)的實(shí)時(shí)協(xié)同。
圖:運(yùn)營(yíng)態(tài)勢(shì)感知(態(tài)勢(shì)感知與安全運(yùn)營(yíng)平臺(tái)、簡(jiǎn)稱(chēng)NGSOC)
相比之下,攻防態(tài)勢(shì)感知更像是無(wú)數(shù)敏銳的“眼睛”,它廣泛部署在兩個(gè)網(wǎng)絡(luò)中心、兩個(gè)數(shù)據(jù)中心、12個(gè)競(jìng)賽場(chǎng)館、26個(gè)非競(jìng)賽場(chǎng)館,以及給冬奧提供網(wǎng)絡(luò)及業(yè)務(wù)平臺(tái)支持的多家運(yùn)營(yíng)商、合作伙伴、外部單位等,用于檢測(cè)與發(fā)現(xiàn)任何的網(wǎng)絡(luò)異常行為。這些“眼睛”既要“眼觀六路”,又要“慧眼識(shí)真”,最大程度降低漏報(bào)率和誤報(bào)率,實(shí)現(xiàn)全天候、全方位的安全威脅感知。
圖:攻防態(tài)勢(shì)感知(新一代安全感知系統(tǒng)、簡(jiǎn)稱(chēng)天眼)
從三者部署場(chǎng)景來(lái)看,監(jiān)管作為“大腦”,偏重于指揮和決策,運(yùn)營(yíng)作為“軀干”,強(qiáng)調(diào)集中化管控和協(xié)同,而攻防作為“眼睛”,更貼近一線,觸達(dá)冬奧系統(tǒng)的每個(gè)角落,第一時(shí)間“看到”威脅。
使用者:滿(mǎn)足不同人群監(jiān)管指揮、運(yùn)行閉環(huán)、威脅發(fā)現(xiàn)等需求
戰(zhàn)爭(zhēng)中,不同兵種使用不同裝備:司令元帥需要全局地圖和沙盤(pán),指揮全局;各級(jí)將官需要局部戰(zhàn)場(chǎng)地圖,以及無(wú)線電通信等,完成上傳下達(dá)、落實(shí)作戰(zhàn)任務(wù);一線士兵需要最先進(jìn)的武器,短兵相接克敵制勝。冬奧網(wǎng)絡(luò)安全保障也是如此。
在本次冬奧中,監(jiān)管態(tài)勢(shì)感知的使用者是負(fù)責(zé)監(jiān)管的領(lǐng)導(dǎo)和管理人員。
冬奧組委相關(guān)人員通過(guò)監(jiān)管態(tài)勢(shì)感知監(jiān)控了解全局安全態(tài)勢(shì)、分析結(jié)果,并及時(shí)向中央網(wǎng)信辦、公安部、工信部等提交報(bào)告。在平級(jí)層面,面向整個(gè)冬奧所涉及的所有信息系統(tǒng),需要站在指揮層,及時(shí)發(fā)布安全通告、安全事件預(yù)警、工作部署要求等,完成指揮、管理和調(diào)度的職責(zé)。
運(yùn)營(yíng)態(tài)勢(shì)感知的使用者主要是安全運(yùn)營(yíng)人員。
運(yùn)營(yíng)態(tài)勢(shì)感知是最依賴(lài)于“人”和團(tuán)隊(duì)的平臺(tái)。在本次冬奧項(xiàng)目中,各場(chǎng)館的一線安全運(yùn)營(yíng)工程師共計(jì)達(dá)數(shù)百人,通過(guò)運(yùn)營(yíng)態(tài)勢(shì)感知構(gòu)建的“全閉環(huán)、標(biāo)準(zhǔn)化運(yùn)行體系”,摸清了冬奧所有上萬(wàn)IT資產(chǎn)情況,支撐風(fēng)險(xiǎn)處置流程、應(yīng)急處置流程、安全操作規(guī)程(SOP)。同時(shí)通過(guò)針對(duì)總體應(yīng)急預(yù)案和七個(gè)專(zhuān)項(xiàng)應(yīng)急預(yù)案的演練,以及NGSOC和SOAR的流程管理,實(shí)現(xiàn)安全編排自動(dòng)化與響應(yīng),縮短問(wèn)題和事件響應(yīng)時(shí)間,將風(fēng)險(xiǎn)處置時(shí)間縮短到了分鐘級(jí)。
用奇安信冬奧保障總架構(gòu)師尹智清的話說(shuō),“安全運(yùn)營(yíng)團(tuán)隊(duì)中心的建設(shè)首先是建立團(tuán)隊(duì),確定工作目標(biāo)、工作范圍、工作流程,進(jìn)而才是產(chǎn)品和工具。沒(méi)有團(tuán)隊(duì)和流程規(guī)范,運(yùn)營(yíng)則無(wú)從談起。”
攻防態(tài)勢(shì)感知對(duì)人依賴(lài)度最低,自動(dòng)化更強(qiáng)。
在冬奧項(xiàng)目中,各場(chǎng)館的攻防態(tài)勢(shì)感知可以自動(dòng)檢測(cè)發(fā)現(xiàn)威脅、自動(dòng)上報(bào),不太依賴(lài)于人的干預(yù)。當(dāng)需要分析研判時(shí),它會(huì)給分析人員提供數(shù)據(jù)支撐。
采集分析數(shù)據(jù):發(fā)揮大禹平臺(tái)效能 實(shí)現(xiàn)海量異構(gòu)數(shù)據(jù)處理
監(jiān)管態(tài)勢(shì)感知主要關(guān)注安全事件、高危告警、研判分析等,實(shí)現(xiàn)“抓大放小”。
在冬奧中,作為國(guó)家級(jí)指揮平臺(tái)的監(jiān)管態(tài)勢(shì)感知,依托大禹平臺(tái),匯集了包括運(yùn)營(yíng)態(tài)勢(shì)感知等在內(nèi)的安全事件、告警分析、通告等。它立足宏觀和戰(zhàn)略視角,不太關(guān)注流量、日志等底層數(shù)據(jù),聚焦決策支撐和指揮平臺(tái)需要的事件層面,讓監(jiān)管或主管部門(mén)能夠總攬全局、運(yùn)籌帷幄,實(shí)現(xiàn)更高效的指揮和調(diào)度。
運(yùn)營(yíng)態(tài)勢(shì)感知兼顧了數(shù)據(jù)的采集和分析工作,負(fù)責(zé)匯聚各類(lèi)日志、告警信息,并生成研判分析、安全事件報(bào)告,實(shí)現(xiàn)“承上啟下”。
在“三合一”實(shí)戰(zhàn)化態(tài)勢(shì)感知中,運(yùn)營(yíng)態(tài)勢(shì)感知充當(dāng)“承上啟下”的作用:“承上”,它向監(jiān)管態(tài)勢(shì)感知傳遞運(yùn)營(yíng)人員分析加工后的有效告警、安全事件等數(shù)據(jù);“啟下”,它從攻防態(tài)勢(shì)感知中獲取所有的流量告警信息,并結(jié)合其它安全設(shè)備的告警和日志以及操作系統(tǒng)和應(yīng)用系統(tǒng)的日志,通過(guò)安全運(yùn)營(yíng)人員的研判分析、評(píng)估篩選,加工成為有價(jià)值的告警和安全事件匯總。
攻防態(tài)勢(shì)感知進(jìn)行全網(wǎng)、云平臺(tái)的流量采集、檢測(cè)和分析,實(shí)時(shí)生成告警,追求“纖毫畢現(xiàn)”。
流量異常是發(fā)現(xiàn)威脅最快的檢測(cè)方式。攻防態(tài)勢(shì)感知會(huì)對(duì)全網(wǎng)流量數(shù)據(jù)進(jìn)行分析,第一時(shí)間發(fā)現(xiàn)異常行為,形成告警,并同步到運(yùn)營(yíng)態(tài)勢(shì)感知,供安全運(yùn)營(yíng)人員分析和研判。攻防態(tài)勢(shì)感知也會(huì)對(duì)流量進(jìn)行分析,和運(yùn)營(yíng)態(tài)勢(shì)感知不同的是,它是基于機(jī)器的大數(shù)據(jù)分析,不太依賴(lài)于人工。
首次大禹平臺(tái)量產(chǎn) 實(shí)現(xiàn)“大腦”、“軀干”、“眼睛”無(wú)縫協(xié)同
網(wǎng)絡(luò)空間的攻防博弈,牽一發(fā)而動(dòng)全身,上到?jīng)Q策層的監(jiān)管指揮,中到整體的運(yùn)營(yíng)調(diào)度,再到一線的攻防近戰(zhàn),需要三級(jí)態(tài)勢(shì)感知無(wú)縫聯(lián)動(dòng),協(xié)同配合,真正形成“大腦”、“軀干”、“眼睛”并用的實(shí)戰(zhàn)化態(tài)勢(shì)感知。下圖能夠直觀體現(xiàn)三者的定位和分工:
當(dāng)然,將監(jiān)管、運(yùn)營(yíng)、攻防這三類(lèi)態(tài)勢(shì)感知有機(jī)協(xié)同在一起,并不是一件很容易的事情,它需要構(gòu)建統(tǒng)一的計(jì)算平臺(tái)、標(biāo)準(zhǔn)和運(yùn)營(yíng)系統(tǒng)。因此,奇安信一直在大力打造研發(fā)平臺(tái),先后發(fā)布了 “鯤鵬”、“諾亞”、“雷爾”、“錫安”、“川陀”、“大禹”、“玄機(jī)”、“千星”等八大研發(fā)平臺(tái),同時(shí)還有十多個(gè)安全應(yīng)用平臺(tái)正在抓緊研發(fā),這些平臺(tái)已經(jīng)掀起了一場(chǎng)研發(fā)組件與安全大數(shù)據(jù)共享、以及個(gè)性化定制和研發(fā)效率的革命。
通過(guò)“大禹”平臺(tái)的量產(chǎn),奇安信實(shí)戰(zhàn)化態(tài)勢(shì)感知擁有了海量異構(gòu)的數(shù)據(jù)采集分析和處理能力,以及安全設(shè)備橫向打通的核心能力,通過(guò)將安全產(chǎn)品所需的共性核心能力平臺(tái)化、標(biāo)準(zhǔn)化,把這些產(chǎn)品有效連接起來(lái),真正實(shí)現(xiàn)“大腦”、“軀干”、“眼睛”的協(xié)同聯(lián)動(dòng)和無(wú)縫整合。
《IDC MarketScape: 中國(guó)態(tài)勢(shì)感知解決方案市場(chǎng) 2021,廠商評(píng)估》顯示,奇安信位居IDC MarketScape模型領(lǐng)導(dǎo)者象限,這也證明了奇安信在態(tài)勢(shì)感知領(lǐng)域的國(guó)內(nèi)領(lǐng)先地位。
結(jié)束語(yǔ):
面向全球200余個(gè)國(guó)家,數(shù)十億人開(kāi)放的北京冬奧會(huì)及冬殘奧會(huì),是“三合一”實(shí)戰(zhàn)化態(tài)勢(shì)感知落地實(shí)踐最好的試金石,更是大禹平臺(tái)量產(chǎn)、大幅度提升研發(fā)效率和協(xié)同能力的檢驗(yàn)場(chǎng),對(duì)于未來(lái)國(guó)內(nèi)重大安保活動(dòng)、關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)提供了重要實(shí)踐和標(biāo)桿范本。
