华润集团网络安全运营实践案例
2019年华润集团为推动全集团智能化发展,强化集团总部IT市场化管理意识和服务意识,根据集团十三五信息化战略落地需要,为适应市场及技术发展对集团转型升级的需要,2019年华润集团信息管理部单独成立了科技公司,为全社会提供IT服务,同时需要统管全部集团体系内的建设,并成立集团层面的安全运营中心。通过对华润集团及各利润中心网络出口的统一改造,对全网关键资产及关键节点的流量梳理监测,最终帮助华润集团建设基于态势感知平台为技术能力基座,以安全服务为能力依托,以相关法律法规等制度为保障的人机工共智的安全运营中心。
一、实施背景
随着近年云计算、大数据、物联网、人工智能、区块链等创新技术的快速迭代与发展,利用新一代IT技术实现生产、运营、管理、营销和服务全面的数字化转型,已成为推动企业业务模式和管理模式重构、商业模式与核心能力提升的重要方式。与此同时,数字化转型过程中也会面临各类网络安全风险,关系着重要以及业务的正常运营。国家网络安全相关法规的颁布、网络安全等级保护及其他信息安全国家标准的发布与实施有效的为企业安全防护体系的建立和安全防护框架的落地提供了依据,保障了企业业务的安全运营,促进了企业运营数字化和业务转型,规范了企业管理体系,有效提升了相关经济效益。
作为著名央企集团,华润集团以“引领商业进步,共创美好生活”为使命,通过不断创新生意模式,有效地促进了产业发展,为提高大众的生活品质作出了应有的贡献,2019年华润集团为推动全集团智能化发展,强化集团总部IT市场化管理意识和服务意识,根据集团十三五信息化战略落地需要,为适应市场及技术发展对集团转型升级的需要。2019年华润集团信息管理部单独成立了科技公司,为全社会提供IT服务,同时需要统管全部集团体系内的建设,并决定成立集团层面的安全运营中心。
二、实施目标
安全运营建设的核心目标是增强单位的整体安全运营能力、提升安全运维效率、体现安全工作效果和工作价值。建设的手段是融合“人员、工具、流程”三大核心要素,实现自动化及人机共智的持续运营与快速响应,构建起资产和脆弱性管理、监测预警与分析研判、响应闭环和沉淀优化三个维度的核心能力,满足集团在不同场景的安全运维需求。
三、建设内容
案例方案实施拓扑图
案例整体实施架构
基于华润集团系统现有的网络拓扑结构,根据业务保障原则及等级保护标准要求,按照业务系统的不同将网络划分为不同的安全区域。按照“一个中心、三重防护”的设计思路,具体如下:
1、广域网安全边界建设
集团及利润中心出口边界部署下一代防火墙,从网络访问、会话监控、日志审计、协议过滤等多个方面确保广域网安全互联网及代收费机构的安全接入,有效检测、防止或限制从外部和内部发起的网络攻击行为,一旦检测到攻击企图后,会自动地将攻击包丢掉或采取措施将攻击源阻断,从而达到网络安全等级保护建设中对安全区域边界的建设要求。
2、远程安全接入建设
集团汕尾机房及有自身业务的利润中心,机房部署SSL VPN、EMM设备,对远程接入终端提供安全保障,华润集团内部应用服务器和数据库服务器之间的交互,通过HTTPS协议进行通信。具备加密传输、身份认证,安全性高的有点,有效保障维护信息安全的同时满足等级保护在安全通信网络方面的要求。
3、网络威胁对抗措施建设
1)网络安全态势感知平台建设
集团部署一级态势感知系统,并在集团内网关键节点流量采集探针,下属利润中心部署二级态势感知系统及流量采集探针,通过全流量分析、多维度的有效数据采集和智能分析,实时监控全网的安全态势、内部横向威胁态势、业务外连风险和服务器风险漏洞等,并自动化告警并评估受损情况。同时二级平台所产生的安全事件上报一级平台,由相应安全专家进行进一步研判溯源。
基于态势感知系统,实现对定级系统的安全策略及安全计算环境、安全区域边界和安全通信网络的安全机制实施统一管控,确保系统安全可靠运行。同时建立了网络安全通报预警体系,对网络中发生的各类安全事件进行识别、报警和分析,一旦出现安全事件,应立即通过邮件、短信、声光等方式进行报警,形成快速告警、通报、响应、处置机制。
2)基线核查系统建设
部署基线核查系统,建立统一的安全配置核查和管理系统,准确、快速、及时地发现、汇总网络中不同厂商不同种类的网络设备、主机、防火墙、数据库、中间件的安全配置问题、漏洞情况。能够快速发现安全基线(账号类、口令类、授权类、日志配置类、路由配置类等等)的违规问题;检查计算机系统的文件、端口、进程等的变化信息,以监控系统的变更状况发现其中的异常;集中查看、统计系统存在的系统漏洞。制定扫描策略及任务,对资产进行周期性的扫描。
4、安全可信访问控制措施
华润集团对等级保护对象的终端、服务器、数据库和应用系统均设置安全审计措施,对系统内的相关安全事件、提供审计记录,记录内容包括用户、对象、时间、操作以及结果等,并提供审计记录的查询、分类、报表、存储和事件回放功能。通过二次开发对应用系统进行相应的审计,对系统不能独立处理的安全事件提供统一的调用接口,对应用系统发生的特定的安全事件进行报警,保证系统的安全性。具体的审计措施包括:
1)全网行为审计
在网络关键节点部署全网行为审计系统,对互联网访问行为和业务访问行为进行全面审计。针对不同用户(组)进行差异化的行为记录和审计,包括网页访问行为、邮件Email、文件传输等行为,并且记录相关行为的详细信息。审计对业务系统的操作,并对相关行为进行风险分析,审计记录的留存时间6个月以上且不中断。
2)日志审计系统
集团内部署日志审计系统,对各类信息资产及网络、安全设备的海量日志进行采集,对安全事件进行分析、处理和报告,实时获知异常安全事件或审计违规告警。按需展现各类关注事件的分布状况,集中管理各类安全事件和安全资产,智能化分析安全事件对业务系统可能产生的实际影响和危害,减轻通过人工甄别大量事件的工作难度,提高管理工作效率,降低运维工作负担。审计数据需留存六个月及以上时间。
5、安全服务控制措施
1)集团定期对信息资产进行全面梳理,根据资产类别、资产属性等指标进行分析和验证,发现未知资产,摸清真实家底,明确保护对象的重要性及优先顺序;
2)定期对已经入侵的潜伏威胁进行深度识别分析,降低现有安全隐患导致的安全事件发生几率;
3)通过安全云运营服务加强安全管理、技术防护和人才队伍建设,促进安全防护能力和水平提升;
4)定期对目前现有防御措施(包括可能的实时动态防御)进行深度评估,对重要系统、人员、软硬件设备、基础架构,进行多维度、多手段、对抗性模拟攻击,旨在发现可能被入侵的薄弱点,并以此为跳板将攻击渗透结果最大化(包括系统提权、控制业务、获取信息),进而检验现有防御措施的实际安全性和运营保障的有效性。
5)定期开展应急演练工作,发现应急预案问题,充分演练熟悉处置流程。
四、实施效果
本案例通过采用已有网络安全国家标准成果,明确建设方案整体架构以及产品技术要求、功能特点,基于需求场景给出符合华润集团的安全运营方案。同时,也保证了安全产品在开发、使用、运维、测试等过程的安全规范,及产品实际场景的正确使用。在推动企业数字化转型过程中,核心业务的安全保障程度,安全运营体系的建设,发挥着规范性和引领性的重要作用。
依据国家等级保护建设要求,帮助华润集团建立了统一的纵深防御体系,通过建立安全管理中心,实现对定级系统的安全策略及安全计算环境、安全区域边界和安全通信网络的安全机制实施统一管控,确保系统安全可靠运行。安全管理中心由安全管理区域态势感知平台实现,实现了所有安全机制的统一集中管理。
在等级保护对象网络中按照安全域分域防护原则,单独划分特定的运维管理域,该区域部署所有涉及到网络安全的设备或组件,包括终端接入控制系统、安全感知平台、日志审计系统、网络版防病毒软件、运维安全管理系统和基线核查系统等,对分布在网络中的安全设备或安全组件进行集中管控。
具体应用效果如下:
1、实现了集团全网资产可视化
通过搭建安全运营中心主动对汕尾数据中心资产做识别,对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测,并做资产暴露面可视,将已识别的资产进行安全评估,将资产的配置信息与暴露面进行呈现。
2、实现了集团全网访问关系可视化
对全网业务对象的访问关系的图形化展示,包括用户对业务、业务对业务、业务与互联网三者关系的完全展示,并提供快捷的搜索。供IT人员在业务迁移和梳理时直观的查看业务关系。
3、实现了安全风险实时告警
对华润集团资产存在的后门进行检测,对安全策略、恶意代码、补丁升级等安全相关事项进行集中管理,在关键网络节点处检测、防止或限制从外部发起的网络攻击行为,检测到攻击行为时,记录攻击源IP、攻击类型、攻击目标、攻击时间,在发生严重入侵事件时通过邮件方式向管理员提供报警,告知已失陷的安全事件并结合业务系统的漏洞信息,识别攻击成功的有效安全事件。
4、实现了全局视角态势可感知
对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测,通过系统管理员对系统的资源和运行进行配置、控制和管理,包括用户身份、资源配置、加载和启动、运行的异常处理、数据和设备的备份与恢复等,保证系统管理员通过管理工具或平台进行系统管理操作,并对这些操作进行审计,实现华润集团整体安全态势,结合攻击趋势、有效攻击、业务资产脆弱性对全网安全态势进行整体评价,以业务系统的视角进行呈现,可有效帮助客户把握整体安全态势进行安全决策分析。
5、建立起了集团安全管理制度
依据《网络安全等级保护基本要求》及组织网络安全管理工作的特点,华润集团从安全策略、管理制度、制定和发布以及评审和修订等方面进行安全管理制度设计。最终形成了《华润(集团)有限公司网络安全管理办法》及《华润(集团)有限公司信息安全标准(修订版)》等相关管理制度。