安全运营中心建设情况及规划思路
AI智能总结
01中国海油安全运营中心基本情况 02安全运营中心平台现阶段主要成果 03未来规划蓝图 Ø中国海洋石油集团有限公司是中国最大的海上油气生产商。 Ø公司成立于1982年,总部设在北京。经过30多年的改革与发展,中国海油已经发展成主业突出、产业链完整、业务遍及40多个国家和地区的国际能源公司。公司形成了油气勘探开发、专业技术服务、炼化与销售、天然气及发电、金融服务等五大业务板块,可持续发展能力显著提升。 国内外网络安全形势十分严峻,高级持续性网络攻击背后体现的是国家间的博弈和较量,特别是作为国家命脉的能源行业逐渐成为主要被攻击目标。2020年12月4日,中国海洋石油集团有限公司被美国列入“与中国军方关联企业”名单,2021年1月14日, 进一步被列入“实体清单”。中国海油长期将会面临以霸权国家为代表的政治网络超限战、以敌对势力为代表的能源资源战、以黑客组织为代表的商业情报战。 国外顶尖黑客攻击——APT 国内安全事件频发——0day与社工 霸权国家挑战——实体清单 面对霸权国家,中国海油不具备监测能力。2020年各类活动中,未明确发现由霸权国家发起的任何非法攻击行为。现阶段监测手段以监测操作系统和应用的攻击为主,通过硬件指令集的攻击操作无法尚没有有效手段进行监测发现。 虽然HW难度越来越高,技术性越来越强,但是由于时间等因素,HW整体攻击相对APT攻击痕迹较大。目前APT攻击越发难以追溯,针对主流的 2020年以来,疫情期间国内网络黑产利用新冠病毒热词进行网络攻击,大肆窃取情报。随着0Day漏洞大量曝出,配合社会工程学攻 击,导致攻击越来越难以被追溯,网络攻击逐渐呈现攻击目标明确,潜伏周期长,攻击痕迹极难被发现的特型。 流量主机监测都有较好的应对,目标明确,潜伏周期极长,攻击痕迹极难被发现。 安全运营中心平台建设目标:建成威胁可知、应急可控、服务可靠、管控可视的中国海油网络安全运营中心,实现安全数据分析、安全系统集成、事件应急处置、安全监督管理、风险集中管控,建立安全应急预案,完善信息安全服务体系。 整体建设计划 各片区建设 第二期(2021年-2024年) 深化建设 第三期(2024年-2025年) 情报收集渗透测试物理入侵社会工程 咨询测评安全运营中心安全技术中心工业互联网安全 体系文件编写对外技术交流组织培训通告管理与发布 01中国海油安全运营中心基本情况 02安全运营中心平台现阶段主要成果 03未来规划蓝图 基础性成果 平台性成果 通过对中国海油8大片区互联网暴露面进行实时、动态的监测与分析,发现中国海油在互联网上暴露的IP、组件、端口,并与业务系统实时关联,及时发现业务系统在互联网上暴露的风险情况,8大片区互联网暴露IP总计为469个,其中总部(北京片区)IP地址为310个,开放组件232个、协议717个、服务端口有30888个,已清晰关联35个互联网业务/134个IP,持续梳理关联中。 对中国海油的被保护对象按照重要程度进行统一梳理,划分为三类: 已梳理完成共计883个业务系统、865个数据类别,占比约85%,仍在持续动态梳理中。 l中国海油关键信息基础设施(管理云、销售云、生产云、云平台及核心生产系统等) l中国海油统建信息系统、重要信息系统、重要公共服务 l中国海油下属二级单位重要信息系统 截止目前,已经完成自动化资产探测(北京片区5320个)+手工录入(非北京片区1824个),经确认平台已准入数字化资产为3483个,其中关联业务系统数量为695个,关联率为78%,关联资产数量为2201,关联率为63%,尚在持续梳理中 资产探测、暴露面、全流量、威胁情报、防病毒、主机安全、安全策略、入侵防护等共计18类(39个)安全能力的对接,正在对接中的能力有4类,正在逐步完善与总部安全运营中心平台对接的能力库。 HY现有安全能力(9) 集团总部安全管理及运营中心平台功能已初步实现(北京片区),安全运营一体化中心、防御中心、情报中心、监测中心、响应中心以及信息共享、预警通报和指挥协同,共计7个主功能,约180个子功能。 2020年7月中国海油开展总部安全管理及运营中心试运行工作,8月进入实战演习状态,9月经历了实战,平台每日收集17类安全能力约几十万条的初步信息,经分析过滤(平台+人工),形成降噪后<1000条的关键告警信息,由指挥部统一指挥协同,将安全事件通报至响应处置中心和防御中心,由各单位负责具体执行、反馈,初步实现全集团安全管理及运营组织的一体化。 在2021年HW行动防守过程中,通过严防互联网入口的网络攻击、DMZ边界封堵、系统层攻击主动拦截等 自动化响应与处置的纵深防御措施,在互联网入口自动阻断16万余威胁IP,安全运营中心平台自动封堵4324个威胁IP,在主机层自动阻断350万余个攻击IP/事件。根据统计,演习期间基于主动防御技术,通过自动化、精准化封堵拦截了90%以上的网络攻击行为,日均拦截1500万余次攻击,使中国海油防守团队可以集中优势资源和足够的时间去分析、处置、溯源高级别攻击行为。 01中国海油安全运营中心基本情况 02安全运营中心平台现阶段主要成果 03未来规划蓝图 网络安全永远在路上,中国海油网络安全运营中心平台将持续依据《网络安全法》、《关键信息基础设施相关条例》、《等级保护2.0政策与标准》等相关要求,落实实战化、体系化、常态化作战,形成主动防御、纵深防御、动态防御、精准防护、整体防护、联防联控的网络安全防护体系。从保护对象的要素可视化、关系的可视化,结合作战行为的可视化实现的挂图作战。 基础支撑层:建立网络安全三大库的基础运行体系,梳理被保护对象,确保资产清晰可视,风险动态可控,能力生态可调用。安全运营一体化层:完善全维全域监测、快速持续响应、精准研判预测、动态纵深防御以及智能分析能力,在一体化对抗蓝方平台落实强化重点保护。指挥与决策层:由战略决策协同指挥平台进行统一指挥协同,实现实时攻击、实时防御可视,进行态势感知、意图研判、预警通报与信息共享,在平战结合的安全管理运营与指挥协同机制下。 安全运营团队:持续加强专业技术团队建设,结合平台应用,对网络及系统形成全天候监控和响应的机制,提升网络防御能力。 谢 谢!
