“零事故”的中国方案——吴云坤在BCS2022上的演讲
7月14日,在北京网络安全大会BCS2022战略峰会的主题演讲中,奇安信集团总裁吴云坤分享了北京冬奥会网络安全“零事故”的中国方案。他认为这些冬奥形成并成功验证的中国方案,可以有效运用在更广泛的关基保护,以及各类大型机构的网络安全防御当中;同时也可以为网络安全产业创新发展提供思路和方法。
“零事故”中国方案给关基保护的启示是当务之急做好六方面工作:保护好资产安全、收拢互联网出口、实战化检测响应、确保数据安全、增强应用安全、一体化安全运营。
零事故中国方案给安全产业的借鉴是实践四个模式创新:组织模式、建设模式、研发模式、运行模式。
以下为奇安信集团总裁吴云坤在BCS2022战略峰会上的演讲全文:
尊敬的各位嘉宾,各位新老朋友,大家好!
很高兴能再次在BCS这个平台上,跟朋友们一起分享网络安全实践,共同思考网络安全发展的趋势和方向。
在去年的BCS大会上,我谈到了网络安全产业的四种转变。
一是由于数据和应用缠绕产生的安全空白带来的安全范畴的转变;
二是由于安全与信息化需要三同步而带来的管理模式的转变;
三是由于安全从工具产品变成复杂系统的安全范式的转变;
四是由于安全融入信息化和业务运营的安全运行模式的转变。
过去一年,奇安信与广大政企客户以及产业界一起,通过不断创新,取得了很多实实在在的成果,尤其是作为北京冬奥会和冬残奥会网络安全官方赞助商,圆满完成了网络安全保障任务,兑现了冬奥网络安全零事故的承诺。其中很多成果都是应对四个转变所做的实践。
接下来我跟大家一起来回顾北京冬奥会网络安全保障工作和零事故中国方案。
压力巨大:冬奥防护面临五大挑战
首先,我们来梳理一下北京冬奥会面临的网络安全威胁和挑战。
奥运会是全球瞩目的焦点,也是黑客组织关注的重点,无论是以经济利益为目的的黑客组织,还是国家级黑客,都将奥运会作为网络攻击的主要目标,这也使得数字化时代的奥运会面临着巨大安全挑战。
从2012年开始的历届奥运会都发生了网络安全事件,2018年的平昌冬奥会因为国家级黑客攻击造成严重的安全事故,导致互联网和CATV系统中断;奥运会网站瘫痪数个小时,主场馆闸机短暂关闭,由于无法打印出门票,导致部分观众无法入场,开幕式出现了种种混乱。
由于时间点非常特殊,地缘政治和意识形态对抗升级,冬奥会期间还发生了俄乌冲突,北京冬奥会面临的威胁主体众多,且最需要应对的是有组织的、国家级的攻击,而不仅仅是一般小打小闹的黑客。多个APT组织在整个冬奥会的准备期异常活跃,频频针对多个涉奥机构进行探测试探,蠢蠢欲动。
除了这些外在的网络攻击威胁,冬奥保障还面临着很多内在的安全挑战,奥运会的业务环境高度复杂,技术系统复杂多样、境内外供应商众多、业务系统类型跨度大且不能中断、建设与运行快速交替,短时间经历全生命周期。
冬奥业务系统不是一个支撑系统,而是一个生产系统 。服务于8大类用户,很多业务是绝对不能中断,比如媒体直播要求国内国外信号全是实时的;赛事中的记分系统必须确保万无一失,整个过程中的连续性与平稳运行要求非常高。支撑这8大类客户的有60多种业务系统,包括网络、云数据中心、赛时计分系统、信息发布系统,还有媒体专线、无线对讲网络,还有人员住宿、抵离、医疗等。
这些业务系统横跨IT、CT、OT多个领域且存在交叉,由多家国内外供应商提供建设和运行,有源讯、欧米伽这些服务国际奥组委几十年的国外服务商,也有阿里、联通、联想、奇安信等国内服务商,这么多国内外服务商在一起合作,需要在整个工作过程、工作习惯上达成一致,要有对应的策略和流程支撑,才能协同一致完成任务。
通常的信息化项目周期从构建到运行要3到5年,项目管理有明显的建设与运行的交接。但冬奥各类业务系统的生命周期会“浓缩”在两三年,而且是边建设边投产运行,然后再建设再投产运行,没有明显的交接期的。
复杂的业务环境、应用的多样性,以及数据在不同各业务系统中的流动,扩大了安全范畴,带来了安全防护的大量空白,冬奥防护面临着诸多的压力和难点。
一是安全责任的主体不同、需求不同、平台不同带来的挑战。北京冬奥组委是整个冬奥网络安全的责任主体,要统筹众多参与方,包括几十家国内外云上云下供应商和更广泛的供应链,要求安全能够真正做到全覆盖而且统筹管理;中央网信办是国家统筹指挥冬奥网络安全保障的责任主体,从监管方面要进行指导帮扶、指挥、调度。
二是场馆和场站众多、资产复杂带来的挑战。12个竞赛场馆,26个非竞赛场馆,200多个场站,还有公有云、供应链,要把资产盘清楚已经是一件非常复杂的事情,还要通过加固来保障“阵地”足够坚固,这也是一个巨大的挑战。
三是来自国外供应商和服务团队的挑战。这些团队对中国的技术、中国的产品、中国的服务缺乏了解和信任,这需要不断的沟通、对接、说服,帮他们建立信任。
四是疫情防控带来的挑战。疫情期间,真正能够进入到闭环内的人员非常少,如何确保做好一线运行工作,也是很大的挑战。
五是来自全球网络安全威胁的挑战。单靠北京奥组委技术部自身的力量,不足以应对这样的风险和压力,如何借助国家力量来汇集更多的安全资源,是网络安全保障工作中的又一巨大挑战。
最终,我们实现了冬奥网络安全的零事故,兑现了冬奥网络安全零事故的承诺,确保了北京冬奥会“业务不中断、数据不丢失、合规不碰线”。
在长达800多天时间里,我们经历了设计期、建设期、非关键运行期、关键运行期一直到清退期,抵御住了超过3.8亿次的攻击,跟踪、研判、处置了涉奥关键网络安全事件105起,累计发现和修复漏洞超过5700个,每天处理的日志量超过37亿条。这些数字的背后是数千人艰辛努力和踏踏实实的工作过程。
“零事故”经验:核心是中国方案。
总结冬奥会网络安全“零事故”的经验,核心是基于创新中国模式、落地中国架构、研发中国产品、部署中国服务所形成的中国方案。
第一个是创新了中国模式,应对冬奥安全范畴扩大带来的安全能力和覆盖度的挑战。
冬奥面对的是包含国家级攻击组织在内的复杂、多样的威胁主体,仅靠冬奥的防御体系和能力,不足以保障冬奥运行万无一失,必须统筹协调包括国家监管和网空对抗力量在内的多种能力和资源,通过机制和组织创新,实现最大范围、最快速、最高效的调用资源,我们通过在防御体系和网空对抗体系之间的拉通,落地形成一个“三级态势指挥体系”。
第一级在防御一线,是分布在网络中心、数据中心,还有30多个场馆,200多个场站的一线防御力量,这是最关键的“低位”能力,包括网络、主机、终端、应用系统的防护,所有这些防护系统所采集的告警和日志都会汇集到第一级的“冬奥网络安全监控指挥中心”,也就是NGSOC平台上,完成安全事件的快速发现、告警、及时响应和处置,闭环所有过程,然后再进行上报。
所有上报的数据再汇集到第二级的冬奥网络安全态势感知平台。这个工作平台衔接了两侧,一侧是冬奥组委技术部所构成的冬奥网络安全指挥中心;另一侧是衔接国家监管指挥工作平台。在二级平台上,除了一线所有核心业务系统的安全数据外,还会汇集委外的官网票务、邮件、CDN、供应商的全部网络安全事件和数据,这是一个态势感知和分析研判的协同工作平台。
第三级是中央网信办的指挥协调平台,通过这个平台协同多方的力量,包括公安部、工信部和三大运营商、安全中心,以及多个技术支撑单位的资源共同参与保障。再根据专家研判的结果和对攻击来源进行画像,形成了指挥调度指令,通过平台下发,协同多方进行处置,实现了三级体系的无缝衔接和联动的过程。
这种新模式和技术平台的应用,可以最大范围、最快速、最高效的调用国家和社会的资源对冬奥会进行保障。
在整个冬奥过程中,我们还协同了更多的社会资源,包括利用“冬奥网络安全卫士”吸收众多“白帽子”一起来进行冬奥保障。国资委还协调集中了29家央企的300多名技术专家,与奇安信的安全服务团队一起构建了95015央企网络安全应急响应中心。
冬奥“中国模式”是一种新的组织模式,最大范围、最快速、最高效调集了大量国家和社会资源,形成体系化作战。这是一种“集中力量办大事”的组织模式。
第二个是落地“中国架构”,应对了冬奥安全与信息化同步规划、建设、运行的管理模式转变带来的挑战。
为保护冬奥服务8大类客户的60多种业务系统,管理其庞杂的供应链、众多的国内外供应商,我们在奥运历史上首次全局性、系统性采用内生安全框架开展网络安全规划建设和运行,这也是首次由一家安全企业来进行奥运会全局性网络安全规划建设工作。
规划采用了系统工程方法统筹整体,涵盖了管理、技术、运行。在设计开始盘点网络安全能力,进行安全能力的有机组合,而不是简单的产品堆砌。
在建设过程中,网络安全与信息化进行深度融合内生,而不是外挂。从2020年1月的建设初期我们就定了一个规则,所有信息系统要进入冬奥环境当中,必须经过安全设计和安全能力检查。没有安全设计的系统不允许进入到冬奥信息化环境中,安全先行的思想在整个建设过程当中无处不在。整个冬奥网络安全体系规划了十大工程,涵盖了一体化终端的建设、系统安全、云安全、应用与数据安全、特权访问、态势感知等,这些安全工程建设都与信息化环境进行整体的融合。
冬奥会还形成了平战融合的实战化运行组织体系。通常情况下,安全运行和安全建设是两拨人,北京冬奥会首创了“一个机构两块牌子”的机制,安全运行和安全建设是一拨人,这种无缝的衔接,使得安全体系的知识传递非常顺畅,工作思想转换也很顺畅,快速进入到一个真正的实战化运行。
“落地中国架构”是一种新的建设模式,这是一种面向信息化环境和业务系统的全局性、系统性、体系化的规划建设模式,每一个工程和任务设置要将管理、技术、运行等各方面的要素综合考虑,避免割裂。各工程和任务之间相互关联、能力互补,形成有机的整体,将多元、动态、零散的安全能力汇集到统一标准的安全能力体系,同步分布融入数字化业务各方面,实现信息化系统及基础设施本质安全,避免“两张皮”。
第三个是研发“中国产品”。应对冬奥中安全从工具产品变成复杂系统的安全范式转变带来的挑战。
北京冬奥会部署了9大类,55个品类的800多台硬件产品,还有大量的软件产品,这些不是简单的产品部署,而是一个庞大的安全应用系统。
在这个系统中,安全设备、软件、平台分为了“低位、中位、高位”。产品在“低位”上各自守好关键的安全控制点,还要把数据汇集到NGSOC这样的“中位”平台,进行安全监控与运营支撑,一线人员在这个平台上进行日常运行和安全事件处置工作。在“高位”上有态势感知平台、研判系统、情报体系,进行整体的联通。
这么多产品联动起来,大禹安全中台发挥了非常大的作用,既打通了不同设备和软件,还南北向打通了奥组委技术部跟中央网信办的指挥调度通道。这是一个完全开放架构的平台,我们的NGSOC、态势感知,白泽研判系统都构建在这个中台之上,可以快速的对功能进行调整。比如态势感知平台从2021年的11月开建,只用了2个多月已经完全建好,如果在传统研发模式下需要半年到1年的时间。
在整个系统中,安全产品的自身安全性非常重要。为此我们设立了三道防线机制:第一道防线动用了公司内外一流测试、攻防团队、众测机制、漏洞悬赏等十二种方式寻找产品安全缺陷。第二道防线,在奇安信建立了和冬奥1:1的环境,所有设备入网或是升级之前,先在1:1环境中测试通过,再部署到实际环境。第三道防线,在现场的入网与升级部署中,现场人员再进行一次完整性验证。三道防线确保了的安全产品安全可靠,这样的方法已经成为冬奥会高标准要求的成果,用于公司产品自身安全性的常态化保障。
冬奥“研发中国产品”是一种新研发模式,将多种安全能力、安全功能组件化、模块化,用平台化方式输出到产品,形成一个应用系统,这是冬奥网络安全零事故的关键,也是提升网络安全产品能力和研发效率的有效途径。
第四个创新是部署“中国服务”,应对安全运行融入信息化和业务运营的安全运行模式转变带来的挑战。
冬奥的安全运行其实跟其他短期的重保不太一样 ,我们面对的是一个面向赛事,不分平时战时,全天候、全方位、全周期的实战化的安全运行的服务过程,这其中有三个点非常关键。
第一个关键点是“平战结合”,即不分平时和战时,因为在网络空间里面,攻击是随时发生的,业务系统不能中断。冬奥会的整个系统从建设那一天开始,就在跟运行不断切换,构建成了一个全面覆盖、深度融合的安全服务体系。
第二个关键点是“肌肉记忆”,所有的安全服务工作都一定要有章可循,要有流程与规程。我们在运行上设置了四级流程,第一级确立了方针策略5个;第二级策略有30多个;第三级流程有40多个;第四级规程SOP 60多个。所有一线工作,比如改一个配置、做一个漏洞修补加固、处理一个安全事件,都有对应的流程与规程指导,所有动作都有章可循,在不断的训练形成条件反射的情况下,形成“肌肉记忆”,85%~90%的事件发生时,一线值守人员立刻知道该怎么办。
第三个关键点是“形成预案”,对于可能发生的重大事件类型,比如大规模DDOS攻击、勒索蠕虫、APT都形成了预案,并且进行了反复演练,实现了面向赛事的分钟级的应急响应,北京冬奥闭环运行以后,做到了10分钟之内解决所有问题。
北京冬奥会组织了15次以上的攻防演练,其中包括国际奥组委进行的各类测试,他们在不通知任何人的情况下,突然拔掉网线或者把IAM身份管理系统搞瘫,考察反应能力,对于奇安信的应急响应速度与业务恢复速度,国际奥委会官员给予了高度评价,相信这些经验对重点单位的安全运营实战化是非常有价值的。
冬奥“部署中国服务”是一种新运行模式。是一种全天候、全周期、平战结合的全新的实战化运行,面向业务,立足威胁应对和事件处置实战,将安全运行与IT和业务运营全面覆盖、深度融合。
北京冬奥会还做到了一点,就是从防御往前多迈一步,从攻击来源和攻击者的视角看问题,这个过程叫做重保研判,通过重保研判连通冬奥防御体系和国家指挥、监管与网空对抗体系。
从北京冬奥组委整体的防御体系里面,我们找到一些可疑的行为,然后用大网上的海量数据看谁在攻击我们?它在大网上还干过什么?当转接到攻击源视角以后,就要找出背后的攻击组织、攻击手法和攻击资源,最终明确其攻击意图,研判之后把它交给国家监管和网空对抗力量做处置。
在整个冬奥重保期间,我们看到的攻击来源IP数,从1月份的每天四五千个,到3月份每天只有四五十个了,实际攻击告警数量也大幅度下降。就像新冠疫情防控中的“动态清零”,并不是把所有攻击来源绝对都清掉,但一定是在我们的掌控之中,并且持续下降,使得防守侧的压力大幅缓解。这样的研判方法,也是在这次冬奥会第一次所使用。
从全局视角看,在整个冬奥的保障过程中,通过内生安全体系,由冬奥组委和奇安信、国家力量构建了一个非常完善的防御体系,拉通了国家网空监管和对抗体系与冬奥网络安全防御体系。
在冬奥会重保中,我们找到了网络空间安全防御和国家监管力量之间的一种协同,拉通了“安全防御”与“网空对抗”的双体系, 让多方力量能够在重保过程中协同处置,形成了特有的“中国道路”。
推广中国方案:当前需做好六项工作
这些冬奥形成并成功验证的中国方案,可以有效运用在更广泛的关基保护,以及各类大型机构的网络安全防御当中,同时也可以为网络安全产业创新发展提供思路和方法。
尤其是即将到来的国家级实网攻防演习,还有年底的重大活动保障,总结一下,有六个当务之急的工作需要做好。
一是保护资产安全,首先盘清家底,构建动态资产清单,解决资配漏补问题,进行资产安全纳管,同时建立软件供应链安全管理机制。
二是互联网出口收拢,构建网络防御纵深,对网络出口收拢,拉出纵深,缩小暴露面,精细化分区保护,分支机构通过SASE架构进行边界接入防护。
三是实战化威胁检测与响应,在全流量高级威胁检测基础上,综合主机防护、终端防护,通过SOAR进行安全编排。
四是强化基础数据安全,通过云数据中心的基础安全防护、关键系统特权管理+堡垒机进行行为防护、关键业务系统的API安全防护、开展全过程数据审计、建立数据安全态势感知等手段确保基础数据安全。
五是增强应用与数据安全,通过对核心应用系统权限管理、API权限管理,对重要数据流转进行精细化管控,实现动态细粒度访问控制。
六是一体化实战安全运营,做好资配漏补的系统安全;基于大数据中台的安全运营与态势感知平台支撑;制定并落实安全运营策略、流程、SOP规程;实现三层网络安全运营指挥的协同架构;通过实战演练,检验安全运行体系有效性等,建设重保研判系统,从攻击者视角开展分析研判、溯源等积极防御工作。
结语
无论是冬奥的零事故,还是关基安全保护,背后支撑的都是网络安全产业的持续创新和发展,在这里我向网络安全行业的所有同仁呼吁,网络安全保障必须拥抱变化,从组织模式、管理模式、研发模式、运行模式四个方面转变思想,落实行动,共建数字化安全新生态。
一是转变角色、融合发展。面对国家数字化发展,和应对国际形势高度不确定性带来的安全威胁升级,需要新的组织模式来高效协同各方安全力量形成体系化作战能力,也需要新建设模式来实现安全与信息化、业务的融合内生。从网络安全监管、政企机构防护、安全厂商能力供给到所有从业者,都需要转变角色和发展方式,从旁观者转变为参与者和共同建设者,以内生的方式,通过同步规划、同步建设和同步运营全程参与到数字化建设中,这需要产业链中的各环节融合发展,共同构建新安全生态,既需要安全圈内的融合,也需要安全与信息化、业务的融合。
二是持续创新、共同发展。数字化的安全保障是一个复杂的系统工程,在这个复杂系统工程中需要应用越来越多的新技术来发展新的安全能力和安全能力供给模式,在这个过程中需要安全大厂和大平台的创新规划设计牵引,也需要细分领域的安全技术创新来替补空白,更需要产业界的合作,来共同营造面向创新的产业环境和产业生态。
奇安信愿意将冬奥保障形成的创新成果与产业分享,更愿意分享作为行业领头羊的能力和资源,也希望与产业界共同行动,为国家经济社会的数字化发展护航,为中国网络安全产业的发展壮大贡献力量!
谢谢大家。
END