基于實戰化的集團企業網絡安全主動防御技術研究與實踐*

姚 卓

(北京啟明星辰信息安全技術有限公司，北京 100193)

0 引言

集團化大型國有企業是我國數字經濟的核心支柱，而當前網絡攻擊呈現組織化、專業化、商業化、國際化等嚴峻網絡安全局勢，大型國有企業成為網絡攻擊的重點對象。安全保障是國家深入推進工業智造企業數字化轉型升級的前提，國資委2020年發布的《關于加快推進國有企業數字化轉型工作的通知》明確提出：加快集團數據治理體系建設，提升數據洞察能力；建設集團級態勢感知平臺，強化安全檢測評估，開展常態化攻防演練。5G、云計算、工業互聯網等新一代信息技術與工業經濟的深度融合，在促進數字經濟發展的同時，也加劇了數字化轉型中國有企業網絡安全的風險，同時，隨著集團化工業企業的部分運營系統、數據等上云，網絡平臺環境日趨技術復雜化、操作專業化、數據密集化、數據要素化、用戶分布化、價值擴大化，導致網絡空間攻擊的戰場逐漸從傳統的網絡環境轉移到“云大物移工”的環境[1]，數據價值化應用的趨勢也導致攻擊的目標開始瞄準大數據場景。為應對當前網絡空間攻擊逐步呈現“手段專業化、目的商業化、源頭國際化、載體移動化、攻擊隱形化”等復雜多變的網絡安全局勢，亟待構建與之相適應的網絡安全體系，采取基于實戰化、常態化、系統化思維的主動防御技術，從設備安全、控制安全、網絡安全、應用安全、數據安全、工業APP、供應鏈安全等多維考慮，實現“設備-云端-應用”的一體化縱深防御安全防護體系，同步建立數據流轉規范和安全運營機制，實現“人、機、料、法、環”的統籌調配，形成以風險動態監測、分析、檢查、安全事件處置等機制為一體的安全運營體系，切實保障集團化企業的生產運營安全運行。

1 集團化工業企業數字化轉型面臨的網絡安全風險

國有集團化工業企業地域分散、結構復雜、經營多樣，其在信息化建設和數字化轉型過程中往往重視現代信息化建設，而弱化網絡安全有效的“三同步”建設，一旦遭受網絡攻擊破壞，不僅僅會直接造成其生產經營的停滯，更有可能影響整個產業生態鏈的生產安全，乃至經濟發展、社會穩定和國家安全。在集團化工業企業數字化轉型的過程中網絡風險呈現出新的趨勢：

(1)工業互聯網出入口網絡安全風險：隨著集團業務網絡的逐步開放，工業互聯網+、混合云、大數據平臺等新型業務形態不斷出現，隨之而來的APT攻擊、0Day漏洞、網絡釣魚、數據盜用、勒索病毒等攻擊也越來越多樣、復雜且難以防御。

(2)集團內部網絡橫向攻擊風險：數字化轉型導致集團的生產經營網絡呈現出IP化、無線化、組網靈活與全局化的特點，生產經營網絡平臺化，帶來大量的應用服務需要對互聯網提供開放服務，有組織的攻擊必然會利用存在隱患的應用服務器，尤其是一些集權類系統服務器的操作系統、中間件等漏洞以及弱口令等管理漏洞進行內網橫向攻擊，導致攻擊面擴大。

(3)網絡空間的供應鏈動態安全風險：大型服務器群組大都采用IOE構架(Intel、Oracle、EMC)，由于系統相對封閉，IOE的后門存在數據出境的隱形風險；部分關鍵工藝設備、工業設計軟件與系統等強依賴國外企業，供應鏈存在后門、斷供等威脅，具有一定隱蔽性和不受控性。

(4)數據泄密、核心數據出境風險：工業企業的大型實時數據庫、APC/OPC應用服務器、工業控制系統等內部存在大量私有協議和“黑盒子運行程序”等，難以利用傳輸加密、身份認證、入侵檢測等安全技術和端口管控進行協議異常的監控，面臨惡意操作、核心數據泄露等風險。另外，一些企業過度相信設備原廠的技術服務，遠程技術指導過程中，無任何安全措施，也會導致后門的注入以及核心數據出境的風險。

2 基于網絡實戰化對抗的網絡安全主動防御

2.1 基于實戰化和常態化的網絡安全框架設計

集團企業的網絡安全建設目標必須滿足企業在當前數字與網絡業務飛速發展下的安全防護保障要求，能夠全面提升生產網絡的整體安全，確保設備、系統、網絡的可靠性、穩定性，減少安全維護人員的工作量。構建基于網絡實戰化對抗的安全防御體系[1-3]以全面提升生產網絡的整體安全為目標，提高事件發現、分析、處置效率，降低安全風險和影響，提升安全生產管理水平和工作效率。集團化工業企業的網絡安全建設架構如圖1所示。

圖1 集團化工業企業的網絡安全建設架構

(1)建設集團級集中化的網絡安全監測與大數據分析平臺，依托集團級甚至省級工業互聯網安全態勢感知平臺[4]的監管能力，提升集團全網的安全監測、風險預警和態勢感知能力，支撐政府安全監管、落實企業安全責任。

(2)基于IT和OT一體化的安全監管和預警[5-7]，提升全網安全感知能力和風險識別能力，依靠主動/被動探測方式對全場景設備進行管理、安全分析，融合攻擊模式、威脅影響度量、脆弱性關聯分析等進行多維有機互補、統籌建設。

(3)采用集團-公司-分廠的分級建設思路，針對集團的二級企業采用分類分級建設思維[8]，進行基礎級和增強級的網絡安全建設，提升全集團的網絡安全監測感知與精確預警能力，保障地理分域的集團企業的安全生產運營。

2.2 基于實戰化的防范網絡對抗的關鍵技術與策略

集團化企業在滿足基本的網絡安全建設要求中大都建設有SOC、SIEM等平臺，可以應對日常的網絡安全監測與運維，但為應對復雜多變的攻擊態勢，需構建內置SOAR和UEBA的全網安全威脅分析與運營中心，提高“全場景、可信任、實戰化”的安全運營能力，實現“全面防護，智能分析，自動響應”的防護效果，尤其是將外部威脅情報與內網的異常行為、異常流量、異常訪問等關聯分析并形成快速聯防，以此有效降低網絡安全風險并控制安全事件的影響和范圍。全場景、實戰化的網絡安全保障體系的場景架構如圖2所示。

圖2 全場景、實戰化網絡安全保障體系的場景架構

2.2.1 基于網絡對抗的威脅主動誘捕系統的設計

針對集團企業不同的工作區域，尤其是互聯網出入口處、重要信息系統、重要生產控制系統區域，通過重構不同功能的仿真系統模型，結合陷阱、誘捕、欺騙和軟硬件特性利用等方法，設置有針對性的網絡攻擊“陷阱”，“誘捕”攻擊者現身[9-11]。 這樣不僅可以在攻擊目標和攻擊者兩端獲取高質量的關鍵溯源線索，而且可以通過獲得攻擊路徑，快速部署防護策略達到對抗出擊的縱深化主動防御目的。部署對抗性的誘捕系統首先是發現網絡攻擊，其次是延滯網絡攻擊,最后是溯源和反制，爭取盡可能多的時間和空間部署安全措施和聯動機制達到反制和保護真實環境的目的。

在集團經營網的入口以及二級、三級機構生產系統網絡的關鍵節點分別部署仿真業務流程且具有目標特征誘餌的誘捕系統，根據實際應用，在集團生產運營的網絡入口部署現行針對IT系統較為成熟的中度交互的蜜罐，而針對二級、三級單位的生產系統內網側部署針對不同生產業務流程的中高交互的工控蜜罐。在誘捕系統部署時，首先需要對不同業務網絡區域的內部設備端口進行掃描，對于需要開放的設備端口、服務等，將誘捕系統主動與此類設備端口建立通信連接，并在發送的探測包頭的option字段中加載必要的特征字段，便于真實系統與蜜罐之間辨識為“友好協同”。在實際應用中，蜜罐進行端口掃描、探測數據包發送和攻擊痕跡記錄分析等操作，通過預設的蜜罐誘餌對攻擊者進行誤導，實施跟蹤攻擊者的軌跡達到保護目標系統并溯源的目的。具體步驟：

(1)誘捕系統對不同區域的生產業務網絡內部設備脆弱性掃描，并重構模擬仿真系統。

(2)蜜罐通過誘餌引流攻擊流量，分析攻擊者特征，并與誘捕系統的分析中心交互，得到針對性的誘捕策略，通過預設的誘餌對其造成誤導，使其攻擊目標轉向蜜罐。

(3)主動挖掘外部疑似攻擊和內網潛伏的攻擊威脅，啟動必要的防護設備聯動策略，實現早期預警防護，以此保護生產經營信息系統的資產。

(4)通過對攻擊者的設備指紋、位置信息、IP地址、MAC地址、主體類型、操作系統信息、賬戶信息、攻擊頻率等快速、精準地獲取，直接定位攻擊者信息，與外部情報關聯分析，以此達到主動誘捕、溯源和主動防御的多重目的。

2.2.2 基于分級分類的安全自動編排技術

目前集團企業部署SOC、SIEM等平臺基本能夠及時地感知安全威脅，在日常的安全運維中觸發安全事件工單，完成IP封禁、接口關閉等基礎日常防控功能。為提升諸如網絡對抗演習、重大安保等場景對安全事件響應的速度、質量，針對應急狀態、安全保障等采用分類分級思路，并采用將“人員組織、告警處置、快速響應、專家知識、整合協作”融為一體的聯動機制，形成“人機共智”。基于SOAR機制的“人-平臺-流程”一體化機制流程如圖3所示，運營系統必須考慮安全運營的主體“人”在實際工程中的決定性作用，避免過度自動化導致的人工決策失效進而引起誤判等。

圖3 基于分類分級思維的SOAR技術

(1)一層運營：通過已部署的監測場景及SOAR能力自動完成安全防御和自動封堵等工作，基本可以完成90%以上的日常網絡安全運維。

(2)二層運營：針對一些新型的網絡攻擊信息，尤其是蜜罐反饋的信息，網絡安全專家需要至少投入50%以上時間和精力對其進行監測建模和響應邏輯設計，實施精準防御。

(3)三層運營：在一些重大安保、演練活動期間，高級專家針對平臺預警的一些突發攻擊信息(而專家知識庫中又缺乏必要的策略)，需要快速進行安全事件分析并快速響應，并添加到平臺的SOAR聯動防御策略中，全面提升安全運營的效率。

2.2.3 基于輕量級零信任策略的設備監控技術

新一代信息技術促進邊緣計算能力下沉，安全邊界越來越模糊，加劇了網絡安全對抗性。針對集團全域的資產安全管控，必須重構“以身份為基石，以業務安全訪問、持續信任評估、動態訪問控制為主要關鍵能力”的“云管邊端”一體化零信任安全架構，保證對所有資源的所有請求都要從零開始建立信任，始終保持校驗和持續的評估以期保障資產的運行安全。在集團企業實際應用過程中：(1)在OT系統，尤其是工控生產系統，由于對業務連續性、實時性、可用性等有較高要求，采用輕量級零信任機制；而在IT系統中，對數據泄密等要求較高，采用強認證模式。(2)采用已有的網絡安全防御架構體系和零信任架構相結合的方式，使用一種或兩種策略組件作為主要驅動元素，如SDP(軟件定義邊界)、增強型身份認證IAM和EDR微隔離等不同工作流組合方式引入零信任架構，通過身份、環境、動態權限等3個層面，緩解身份濫用、非授權和越權訪問、數據泄密等風險。(3)構筑動態虛擬的身份邊界為數據安全訪問、共享提供解決方法，緩解外部攻擊和內部威脅，收縮攻擊面，構建具有對抗思維的數據安全防護體系。

2.2.4 全生命周期管控的數據安全防護技術

工業數據是數字經濟時代提高企業生產力的關鍵要素[12]，工業數據資源化、資產化、資本化的數據要素化已成必然。集團企業的數據按照其屬性特征分為：設備數據、業務系統數據、知識庫數據、用戶個人數據等；根據其敏感程度分為：一般數據、重要數據和核心數據。涉及數據采集、傳輸、存儲、處理等各個環節。對于工業數據安全防護，采取數據著權、數據加密、訪問控制、業務隔離、接入認證、數據脫敏等多種防護措施，覆蓋包括數據收集、傳輸、存儲、處理等在內的全生命周期的各個環節，如圖4所示。

圖4 全周期管控的數據安全防護

2.2.5 網絡供應鏈的安全防護與管控技術

盡管《網絡安全審查辦法》《網絡安全產業高質量發展三年行動計劃(2021～2023年)》等多項政策文件從知識產權布局、信創產業建設、技術安全保障等方面給出了應對網絡供應鏈斷供和網絡攻擊的技術手段，但對集團企業存量系統的供應鏈安全缺乏比較有效的方式。對于集團企業供應鏈安全：

(1)采用具有國家獨立知識產權的數通產品，并在良好適配的情況下快速替代，尤其是核心區域的實時數據庫、存儲設備、核心交換機等。

(2)融合AI、區塊鏈、可信計算等新技術，采用工業安全標識、安全審查、產品溯源、逆向分析、威脅評估、攻防演練等手段，加強對不同應用系統的工業設備(系統)的深度安全檢測和防御，尤其是協議逆向分析、大流量安全分析等。

(3)在關鍵工藝和關鍵環節實施強安全性評估，防止因配置錯誤導致后門、漏洞等安全威脅。

3 面向集團化企業的實戰化網絡安全運營實踐

3.1 全面收斂攻擊暴露面和平戰結合的對抗性網絡應急實訓

工業互聯網是集團化企業數字化轉型的必然途徑，由此也增加了依賴工業互聯網經營的集團化企業的網絡攻擊暴露面，加強對工業互聯網出入口深度監測與管控至關重要。

(1)全面收斂面向工業互聯網的攻擊暴露面，通過調整、重建原有外網結構，優化全域專線連接方式，遷移改造應用系統等技術措施，對包含二、三級子公司的互聯出口實現統一監測與管控，并加強與平臺的聯動與封堵措施；

(2)規范不同組織之間、上下機構互聯的訪問方式，啟用至少雙因子認證；

(3)遵循“準入必合規”原則，建設統一部署的基于零信任的身份認證及行為監測體系，強化全網設備、終端、服務器等網絡準入控制；

(4)構建覆蓋全生命周期的風險發現與處置機制，形成設備系統上線前的測試驗證與審計、運行中的威脅風險實時監測和評估機制，并開展平戰結合對抗性的網絡應急實訓；

(5)搭建與實際業務環境近似的模擬靶場訓練系統，通過策略驗證、上線前產品測試、運行中的實戰化防御策略修正、實時模擬攻防訓練，提升集團公司的運維與應急能力以及網絡安全工作人員的實戰化操作能力，擴充有效的實戰化應急知識庫。

3.2 不同安保時期的網絡應急措施與安全運營實踐

集團化企業網絡安全運營的核心就是針對全網威脅進行“檢測、研判、溯源和響應”，針對不同的應急級別，采用不同顆粒度監測，基于“人-平臺-流程”一體化機制，通過自動或半自動的威脅處置[13-15]，將流程處理工具化、平臺化，為企業網絡安全運營工作和員工技能提升提供技術支撐。

為使SOAR編排系統更加有效地適應更寬的領域和更復雜的場景，并提高其執行效率，從安全保障場景(重大安保活動、演練、日常維護等)、報警級別、報警區域(生產、管理、平臺、監控中心等)三個維度，按照分類分級的管理思路，得到預警威脅的級別，實現分級分類的安全劇本編排，并將各類安全威脅和安全事件與用戶異常行為特征庫和用戶畫像等進行關聯分析，對安全保障場景按照分級劇本邏輯進行執行，全面滿足不同需求的保障任務。

(1)在重大安保活動期間，通過縮短設定時限、降低非法訪問的頻次以及強化異常網絡行為分析等更細顆粒度策略實現更為嚴格的自動封堵或者禁止訪問，達到快速應急處置的目的。

(2)在大型演練保障活動中，快速封堵成為首要的防御策略，一旦發現疑似攻擊，依賴出入口的蜜網系統和安全運營平臺，基于AI和大數據分析的威脅關聯分析，對集團全域不同出口的安全設備快速下發封禁任務，實現對疑似攻擊快速批量封禁，縮短攻擊橫向蔓延、提權等動作的時間。

(3)針對日常安全運維，充分利用外部情報，結合疑似攻擊的危害級別以及預警進行分類分級，進行時限與頻次等動態調整，并不斷完善應急等專家知識庫的策略，降低人工成本。

基于實戰化的集團化企業的網絡安全運營和日常運維可實現事前依據有效精準的預測對網絡系統進行加固；事中依據精準分析對攻擊快速有效地封殺；事后依據完整精確的取證信息對系統進行快速隔離、清除、加固，并形成實戰化的應急專家知識庫。利用以上安全運營聯動體系與策略，不僅可保證安全運營流程的閉環過程，同時保證了安全運營閉環的實時性和高效性，有效地做到了事中的攔截和封堵，事后的隔離、清除，并在下一次的攻擊前做到事前的加固。

4 結論

為了應對集團級工業企業內網可能長期潛伏存在的內外結合的網絡攻擊行為威脅，開展基于實戰化、常態化、系統化的主動防御工作。借助集團公司融合IT和IOT一體化的態勢感知平臺，實現集團企業IT和OT網絡安全的關聯分析和綜合態勢感知、安全運營，形成IT和OT一體化的“感知-預警-評估-處置”，基于SOAR、UEBA等技術的閉環管控機制，有力提升了企業的網絡安全整體防御能力，提升安全運營工作的效率，降低安全事故發生概率，并在國家實施的實戰化網絡安全演練和對域外組織的網絡攻擊監測過程中，能夠全面、精準、實時捕捉攻擊行為，預警準確度高，聯動效果良好，系統設計的有效性得到了良好的驗證。該研究對強化國家關鍵信息基礎設施保護，提升行業網絡安全整體防護水平具有借鑒意義，也為國家推行工業企業網絡安全分類分級建設管理進行了良好的實踐，并提供了參考依據。