“叮,发现10.168.168.100地址的主机正在遭受网络攻击,请立即处置……”
“叮,发现部分系统服务器需升级系统补丁,请尽快更新……”
在榆北运维分公司网络安全中心的大屏幕上,时不时弹出提醒,标志着一场没有硝烟的网络“战役”拉开帷幕。
“这一切都归功于我们所建设的网络安全态势感知平台,它就像安全版的‘天气预报’,通过大量数据集成共享和分析,来预测未来一段时间可能发生的‘重大灾害’,提前告知我们需要防御的重点。”笔者从运维分公司总工程师王珀口中得知,该平台借助对不同网络节点产生的大数据进行分析,实现网络服务资产可管可控,建立威胁自动化处置机制,形成网络安全闭环处置机制。
“随着智能矿井、智慧矿区建设的脚步不断加快,网络与信息技术的发展也是日新月异,很多新技术、新系统的应用也带来了新的安全问题,例如海量终端接入、传统的网络边界消失、网络攻击的隐蔽性和复杂度大大增强等,这都是我们要面临的新挑战,对我们网络安全人员的能力提出了更高的要求。”网络安全中心高级工程师李洋告诉笔者,正是在这样的背景下,公司建设了网络安全态势感知平台,把防病毒检测、防火墙、入侵监控系统、安全审计系统等多种安全防护系统集成,开创了煤炭行业网络安全态势感知的先河。
运维人员可借助该系统,实时掌握企业安全态势,发生威胁攻击事件可及时响应处理,对网络中的各类安全防护设备、网络通信设备、工控设备进行统一集中管理,提高运维人员的工作效率,以“感知、响应、检测、防御”四项内容为抓手,进一步保障网络安全。
防御堡垒再提高
随着工业互联网的发展,越来越多的机械设备进行数字化、信息化、网络化改造,承载业务的服务器资产更是网络安全最重要的防护点,面对工控设备体量大,种类多,维护复杂,更新周期长的问题,传统网络安全技术已经难以抵御复杂、隐蔽的网络攻击和病毒入侵。面对这种情况,该平台在原有的基础上,聚焦于资产发现和未知威胁检测两大痛点,在各核心交换机上部署深度流量威胁检测探针,高效处理海量数据,自动发现内网资产,构建清晰的资产互访拓扑,自动评估风险资产,通过图形可视化的方式直观地呈现在屏幕之上,从而消除潜在的资产风险。
威胁感知再提升
所有的系统威胁都必须利用服务器或是网络设备的某个漏洞才能造成伤害,因此,对于网络设备的及时安全加固和对服务器漏洞的及时修复便显得十分重要。该平台通过在核心交换机上部署脆弱性风险扫描探针,可以做到精准检测信息系统中存在的安全漏洞、不合理的安全配置、不合规行为等网络安全问题,并将扫描结果以报表的形式呈现出来,提供漏洞分级、相应加固建议方案、定性的趋势分析、定量的风险分析,形成整体安全风险报告,使运维人员更加直观地了解当前网络安全状况,实现快速、精准地检测出安全威胁。
同时,以基于攻击路径的安全场景模型为监测依据,采用全流量收集、深度监测、智能分析等手段,全面提升威胁免疫能力。
应急响应再提速
在传统的安全防护体系下,只能通过人工的方式进行网络安全监测,无法通过技术手段主动发现设备和服务器所存在的高危漏洞,也无法第一时间发现关键设备是否发生被攻击、篡改等安全事件,问题处理效率低下。
有了该平台后,借助其涵盖终端和网络响应的能力,通过实时监测工业网络设备、工业主机并结合与安全设备的联动,实现全天候实时预警并自动处置、攻击场景精准还原、阶段性攻击回溯分析、留存攻击取证报文的功能,安全策略协同防护,告别了人工复杂繁琐的层层排查处置流程,实现了从传统的被动响应模式向当前的实时处置模式的转变,达到“事前预警、事中监测、事后回溯”的效果。
安全检测再提前
该平台基于“AI基因,威胁免疫”的防护理念,充分发挥内、外部所采集到安全信息的价值,对系统历史安全情况、现网流行攻击和情报系统进行综合研判,采用AI建模,不断学习,帮助用户感知新型网络攻击行为,通过大数据分析、异常检测、态势感知等技术,发现潜在的威胁,实现快速准确的识别,运用人工智能技术进行主动防御,做到早发现、早响应、早处置。
据悉,网络安全态势感知平台投用后一直稳定运行,通过构建“感知、响应、检测、防御”四位一体防护体系,实现7*24小时对矿井的200多个信息化系统平台、20000多个资产进行实时防护,已累计拦截了27万余次网络攻击、9万余次病毒入侵,成功构筑起网络安全的“钢铁长城”。(钟远)
