基于实战化的集团企业网络安全主动防御技术研究与实践*

姚 卓

(北京启明星辰信息安全技术有限公司，北京 100193)

0 引言

集团化大型国有企业是我国数字经济的核心支柱，而当前网络攻击呈现组织化、专业化、商业化、国际化等严峻网络安全局势，大型国有企业成为网络攻击的重点对象。安全保障是国家深入推进工业智造企业数字化转型升级的前提，国资委2020年发布的《关于加快推进国有企业数字化转型工作的通知》明确提出：加快集团数据治理体系建设，提升数据洞察能力；建设集团级态势感知平台，强化安全检测评估，开展常态化攻防演练。5G、云计算、工业互联网等新一代信息技术与工业经济的深度融合，在促进数字经济发展的同时，也加剧了数字化转型中国有企业网络安全的风险，同时，随着集团化工业企业的部分运营系统、数据等上云，网络平台环境日趋技术复杂化、操作专业化、数据密集化、数据要素化、用户分布化、价值扩大化，导致网络空间攻击的战场逐渐从传统的网络环境转移到“云大物移工”的环境[1]，数据价值化应用的趋势也导致攻击的目标开始瞄准大数据场景。为应对当前网络空间攻击逐步呈现“手段专业化、目的商业化、源头国际化、载体移动化、攻击隐形化”等复杂多变的网络安全局势，亟待构建与之相适应的网络安全体系，采取基于实战化、常态化、系统化思维的主动防御技术，从设备安全、控制安全、网络安全、应用安全、数据安全、工业APP、供应链安全等多维考虑，实现“设备-云端-应用”的一体化纵深防御安全防护体系，同步建立数据流转规范和安全运营机制，实现“人、机、料、法、环”的统筹调配，形成以风险动态监测、分析、检查、安全事件处置等机制为一体的安全运营体系，切实保障集团化企业的生产运营安全运行。

1 集团化工业企业数字化转型面临的网络安全风险

国有集团化工业企业地域分散、结构复杂、经营多样，其在信息化建设和数字化转型过程中往往重视现代信息化建设，而弱化网络安全有效的“三同步”建设，一旦遭受网络攻击破坏，不仅仅会直接造成其生产经营的停滞，更有可能影响整个产业生态链的生产安全，乃至经济发展、社会稳定和国家安全。在集团化工业企业数字化转型的过程中网络风险呈现出新的趋势：

(1)工业互联网出入口网络安全风险：随着集团业务网络的逐步开放，工业互联网+、混合云、大数据平台等新型业务形态不断出现，随之而来的APT攻击、0Day漏洞、网络钓鱼、数据盗用、勒索病毒等攻击也越来越多样、复杂且难以防御。

(2)集团内部网络横向攻击风险：数字化转型导致集团的生产经营网络呈现出IP化、无线化、组网灵活与全局化的特点，生产经营网络平台化，带来大量的应用服务需要对互联网提供开放服务，有组织的攻击必然会利用存在隐患的应用服务器，尤其是一些集权类系统服务器的操作系统、中间件等漏洞以及弱口令等管理漏洞进行内网横向攻击，导致攻击面扩大。

(3)网络空间的供应链动态安全风险：大型服务器群组大都采用IOE构架(Intel、Oracle、EMC)，由于系统相对封闭，IOE的后门存在数据出境的隐形风险；部分关键工艺设备、工业设计软件与系统等强依赖国外企业，供应链存在后门、断供等威胁，具有一定隐蔽性和不受控性。

(4)数据泄密、核心数据出境风险：工业企业的大型实时数据库、APC/OPC应用服务器、工业控制系统等内部存在大量私有协议和“黑盒子运行程序”等，难以利用传输加密、身份认证、入侵检测等安全技术和端口管控进行协议异常的监控，面临恶意操作、核心数据泄露等风险。另外，一些企业过度相信设备原厂的技术服务，远程技术指导过程中，无任何安全措施，也会导致后门的注入以及核心数据出境的风险。

2 基于网络实战化对抗的网络安全主动防御

2.1 基于实战化和常态化的网络安全框架设计

集团企业的网络安全建设目标必须满足企业在当前数字与网络业务飞速发展下的安全防护保障要求，能够全面提升生产网络的整体安全，确保设备、系统、网络的可靠性、稳定性，减少安全维护人员的工作量。构建基于网络实战化对抗的安全防御体系[1-3]以全面提升生产网络的整体安全为目标，提高事件发现、分析、处置效率，降低安全风险和影响，提升安全生产管理水平和工作效率。集团化工业企业的网络安全建设架构如图1所示。

图1 集团化工业企业的网络安全建设架构

(1)建设集团级集中化的网络安全监测与大数据分析平台，依托集团级甚至省级工业互联网安全态势感知平台[4]的监管能力，提升集团全网的安全监测、风险预警和态势感知能力，支撑政府安全监管、落实企业安全责任。

(2)基于IT和OT一体化的安全监管和预警[5-7]，提升全网安全感知能力和风险识别能力，依靠主动/被动探测方式对全场景设备进行管理、安全分析，融合攻击模式、威胁影响度量、脆弱性关联分析等进行多维有机互补、统筹建设。

(3)采用集团-公司-分厂的分级建设思路，针对集团的二级企业采用分类分级建设思维[8]，进行基础级和增强级的网络安全建设，提升全集团的网络安全监测感知与精确预警能力，保障地理分域的集团企业的安全生产运营。

2.2 基于实战化的防范网络对抗的关键技术与策略

集团化企业在满足基本的网络安全建设要求中大都建设有SOC、SIEM等平台，可以应对日常的网络安全监测与运维，但为应对复杂多变的攻击态势，需构建内置SOAR和UEBA的全网安全威胁分析与运营中心，提高“全场景、可信任、实战化”的安全运营能力，实现“全面防护，智能分析，自动响应”的防护效果，尤其是将外部威胁情报与内网的异常行为、异常流量、异常访问等关联分析并形成快速联防，以此有效降低网络安全风险并控制安全事件的影响和范围。全场景、实战化的网络安全保障体系的场景架构如图2所示。

图2 全场景、实战化网络安全保障体系的场景架构

2.2.1 基于网络对抗的威胁主动诱捕系统的设计

针对集团企业不同的工作区域，尤其是互联网出入口处、重要信息系统、重要生产控制系统区域，通过重构不同功能的仿真系统模型，结合陷阱、诱捕、欺骗和软硬件特性利用等方法，设置有针对性的网络攻击“陷阱”，“诱捕”攻击者现身[9-11]。 这样不仅可以在攻击目标和攻击者两端获取高质量的关键溯源线索，而且可以通过获得攻击路径，快速部署防护策略达到对抗出击的纵深化主动防御目的。部署对抗性的诱捕系统首先是发现网络攻击，其次是延滞网络攻击,最后是溯源和反制，争取尽可能多的时间和空间部署安全措施和联动机制达到反制和保护真实环境的目的。

在集团经营网的入口以及二级、三级机构生产系统网络的关键节点分别部署仿真业务流程且具有目标特征诱饵的诱捕系统，根据实际应用，在集团生产运营的网络入口部署现行针对IT系统较为成熟的中度交互的蜜罐，而针对二级、三级单位的生产系统内网侧部署针对不同生产业务流程的中高交互的工控蜜罐。在诱捕系统部署时，首先需要对不同业务网络区域的内部设备端口进行扫描，对于需要开放的设备端口、服务等，将诱捕系统主动与此类设备端口建立通信连接，并在发送的探测包头的option字段中加载必要的特征字段，便于真实系统与蜜罐之间辨识为“友好协同”。在实际应用中，蜜罐进行端口扫描、探测数据包发送和攻击痕迹记录分析等操作，通过预设的蜜罐诱饵对攻击者进行误导，实施跟踪攻击者的轨迹达到保护目标系统并溯源的目的。具体步骤：

(1)诱捕系统对不同区域的生产业务网络内部设备脆弱性扫描，并重构模拟仿真系统。

(2)蜜罐通过诱饵引流攻击流量，分析攻击者特征，并与诱捕系统的分析中心交互，得到针对性的诱捕策略，通过预设的诱饵对其造成误导，使其攻击目标转向蜜罐。

(3)主动挖掘外部疑似攻击和内网潜伏的攻击威胁，启动必要的防护设备联动策略，实现早期预警防护，以此保护生产经营信息系统的资产。

(4)通过对攻击者的设备指纹、位置信息、IP地址、MAC地址、主体类型、操作系统信息、账户信息、攻击频率等快速、精准地获取，直接定位攻击者信息，与外部情报关联分析，以此达到主动诱捕、溯源和主动防御的多重目的。

2.2.2 基于分级分类的安全自动编排技术

目前集团企业部署SOC、SIEM等平台基本能够及时地感知安全威胁，在日常的安全运维中触发安全事件工单，完成IP封禁、接口关闭等基础日常防控功能。为提升诸如网络对抗演习、重大安保等场景对安全事件响应的速度、质量，针对应急状态、安全保障等采用分类分级思路，并采用将“人员组织、告警处置、快速响应、专家知识、整合协作”融为一体的联动机制，形成“人机共智”。基于SOAR机制的“人-平台-流程”一体化机制流程如图3所示，运营系统必须考虑安全运营的主体“人”在实际工程中的决定性作用，避免过度自动化导致的人工决策失效进而引起误判等。

图3 基于分类分级思维的SOAR技术

(1)一层运营：通过已部署的监测场景及SOAR能力自动完成安全防御和自动封堵等工作，基本可以完成90%以上的日常网络安全运维。

(2)二层运营：针对一些新型的网络攻击信息，尤其是蜜罐反馈的信息，网络安全专家需要至少投入50%以上时间和精力对其进行监测建模和响应逻辑设计，实施精准防御。

(3)三层运营：在一些重大安保、演练活动期间，高级专家针对平台预警的一些突发攻击信息(而专家知识库中又缺乏必要的策略)，需要快速进行安全事件分析并快速响应，并添加到平台的SOAR联动防御策略中，全面提升安全运营的效率。

2.2.3 基于轻量级零信任策略的设备监控技术

新一代信息技术促进边缘计算能力下沉，安全边界越来越模糊，加剧了网络安全对抗性。针对集团全域的资产安全管控，必须重构“以身份为基石，以业务安全访问、持续信任评估、动态访问控制为主要关键能力”的“云管边端”一体化零信任安全架构，保证对所有资源的所有请求都要从零开始建立信任，始终保持校验和持续的评估以期保障资产的运行安全。在集团企业实际应用过程中：(1)在OT系统，尤其是工控生产系统，由于对业务连续性、实时性、可用性等有较高要求，采用轻量级零信任机制；而在IT系统中，对数据泄密等要求较高，采用强认证模式。(2)采用已有的网络安全防御架构体系和零信任架构相结合的方式，使用一种或两种策略组件作为主要驱动元素，如SDP(软件定义边界)、增强型身份认证IAM和EDR微隔离等不同工作流组合方式引入零信任架构，通过身份、环境、动态权限等3个层面，缓解身份滥用、非授权和越权访问、数据泄密等风险。(3)构筑动态虚拟的身份边界为数据安全访问、共享提供解决方法，缓解外部攻击和内部威胁，收缩攻击面，构建具有对抗思维的数据安全防护体系。

2.2.4 全生命周期管控的数据安全防护技术

工业数据是数字经济时代提高企业生产力的关键要素[12]，工业数据资源化、资产化、资本化的数据要素化已成必然。集团企业的数据按照其属性特征分为：设备数据、业务系统数据、知识库数据、用户个人数据等；根据其敏感程度分为：一般数据、重要数据和核心数据。涉及数据采集、传输、存储、处理等各个环节。对于工业数据安全防护，采取数据著权、数据加密、访问控制、业务隔离、接入认证、数据脱敏等多种防护措施，覆盖包括数据收集、传输、存储、处理等在内的全生命周期的各个环节，如图4所示。

图4 全周期管控的数据安全防护

2.2.5 网络供应链的安全防护与管控技术

尽管《网络安全审查办法》《网络安全产业高质量发展三年行动计划(2021～2023年)》等多项政策文件从知识产权布局、信创产业建设、技术安全保障等方面给出了应对网络供应链断供和网络攻击的技术手段，但对集团企业存量系统的供应链安全缺乏比较有效的方式。对于集团企业供应链安全：

(1)采用具有国家独立知识产权的数通产品，并在良好适配的情况下快速替代，尤其是核心区域的实时数据库、存储设备、核心交换机等。

(2)融合AI、区块链、可信计算等新技术，采用工业安全标识、安全审查、产品溯源、逆向分析、威胁评估、攻防演练等手段，加强对不同应用系统的工业设备(系统)的深度安全检测和防御，尤其是协议逆向分析、大流量安全分析等。

(3)在关键工艺和关键环节实施强安全性评估，防止因配置错误导致后门、漏洞等安全威胁。

3 面向集团化企业的实战化网络安全运营实践

3.1 全面收敛攻击暴露面和平战结合的对抗性网络应急实训

工业互联网是集团化企业数字化转型的必然途径，由此也增加了依赖工业互联网经营的集团化企业的网络攻击暴露面，加强对工业互联网出入口深度监测与管控至关重要。

(1)全面收敛面向工业互联网的攻击暴露面，通过调整、重建原有外网结构，优化全域专线连接方式，迁移改造应用系统等技术措施，对包含二、三级子公司的互联出口实现统一监测与管控，并加强与平台的联动与封堵措施；

(2)规范不同组织之间、上下机构互联的访问方式，启用至少双因子认证；

(3)遵循“准入必合规”原则，建设统一部署的基于零信任的身份认证及行为监测体系，强化全网设备、终端、服务器等网络准入控制；

(4)构建覆盖全生命周期的风险发现与处置机制，形成设备系统上线前的测试验证与审计、运行中的威胁风险实时监测和评估机制，并开展平战结合对抗性的网络应急实训；

(5)搭建与实际业务环境近似的模拟靶场训练系统，通过策略验证、上线前产品测试、运行中的实战化防御策略修正、实时模拟攻防训练，提升集团公司的运维与应急能力以及网络安全工作人员的实战化操作能力，扩充有效的实战化应急知识库。

3.2 不同安保时期的网络应急措施与安全运营实践

集团化企业网络安全运营的核心就是针对全网威胁进行“检测、研判、溯源和响应”，针对不同的应急级别，采用不同颗粒度监测，基于“人-平台-流程”一体化机制，通过自动或半自动的威胁处置[13-15]，将流程处理工具化、平台化，为企业网络安全运营工作和员工技能提升提供技术支撑。

为使SOAR编排系统更加有效地适应更宽的领域和更复杂的场景，并提高其执行效率，从安全保障场景(重大安保活动、演练、日常维护等)、报警级别、报警区域(生产、管理、平台、监控中心等)三个维度，按照分类分级的管理思路，得到预警威胁的级别，实现分级分类的安全剧本编排，并将各类安全威胁和安全事件与用户异常行为特征库和用户画像等进行关联分析，对安全保障场景按照分级剧本逻辑进行执行，全面满足不同需求的保障任务。

(1)在重大安保活动期间，通过缩短设定时限、降低非法访问的频次以及强化异常网络行为分析等更细颗粒度策略实现更为严格的自动封堵或者禁止访问，达到快速应急处置的目的。

(2)在大型演练保障活动中，快速封堵成为首要的防御策略，一旦发现疑似攻击，依赖出入口的蜜网系统和安全运营平台，基于AI和大数据分析的威胁关联分析，对集团全域不同出口的安全设备快速下发封禁任务，实现对疑似攻击快速批量封禁，缩短攻击横向蔓延、提权等动作的时间。

(3)针对日常安全运维，充分利用外部情报，结合疑似攻击的危害级别以及预警进行分类分级，进行时限与频次等动态调整，并不断完善应急等专家知识库的策略，降低人工成本。

基于实战化的集团化企业的网络安全运营和日常运维可实现事前依据有效精准的预测对网络系统进行加固；事中依据精准分析对攻击快速有效地封杀；事后依据完整精确的取证信息对系统进行快速隔离、清除、加固，并形成实战化的应急专家知识库。利用以上安全运营联动体系与策略，不仅可保证安全运营流程的闭环过程，同时保证了安全运营闭环的实时性和高效性，有效地做到了事中的拦截和封堵，事后的隔离、清除，并在下一次的攻击前做到事前的加固。

4 结论

为了应对集团级工业企业内网可能长期潜伏存在的内外结合的网络攻击行为威胁，开展基于实战化、常态化、系统化的主动防御工作。借助集团公司融合IT和IOT一体化的态势感知平台，实现集团企业IT和OT网络安全的关联分析和综合态势感知、安全运营，形成IT和OT一体化的“感知-预警-评估-处置”，基于SOAR、UEBA等技术的闭环管控机制，有力提升了企业的网络安全整体防御能力，提升安全运营工作的效率，降低安全事故发生概率，并在国家实施的实战化网络安全演练和对域外组织的网络攻击监测过程中，能够全面、精准、实时捕捉攻击行为，预警准确度高，联动效果良好，系统设计的有效性得到了良好的验证。该研究对强化国家关键信息基础设施保护，提升行业网络安全整体防护水平具有借鉴意义，也为国家推行工业企业网络安全分类分级建设管理进行了良好的实践，并提供了参考依据。