“叮，發(fā)現(xiàn)10.168.168.100地址的主機正在遭受網(wǎng)絡攻擊，請立即處置……”

“叮，發(fā)現(xiàn)部分系統(tǒng)服務器需升級系統(tǒng)補丁，請盡快更新……”

  在榆北運維分公司網(wǎng)絡安全中心的大屏幕上，時不時彈出提醒，標志著一場沒有硝煙的網(wǎng)絡“戰(zhàn)役”拉開帷幕。

“這一切都歸功于我們所建設的網(wǎng)絡安全態(tài)勢感知平臺，它就像安全版的‘天氣預報’，通過大量數(shù)據(jù)集成共享和分析，來預測未來一段時間可能發(fā)生的‘重大災害’，提前告知我們需要防御的重點。”筆者從運維分公司總工程師王珀口中得知，該平臺借助對不同網(wǎng)絡節(jié)點產(chǎn)生的大數(shù)據(jù)進行分析，實現(xiàn)網(wǎng)絡服務資產(chǎn)可管可控，建立威脅自動化處置機制，形成網(wǎng)絡安全閉環(huán)處置機制。

“隨著智能礦井、智慧礦區(qū)建設的腳步不斷加快，網(wǎng)絡與信息技術的發(fā)展也是日新月異，很多新技術、新系統(tǒng)的應用也帶來了新的安全問題，例如海量終端接入、傳統(tǒng)的網(wǎng)絡邊界消失、網(wǎng)絡攻擊的隱蔽性和復雜度大大增強等，這都是我們要面臨的新挑戰(zhàn)，對我們網(wǎng)絡安全人員的能力提出了更高的要求。”網(wǎng)絡安全中心高級工程師李洋告訴筆者，正是在這樣的背景下，公司建設了網(wǎng)絡安全態(tài)勢感知平臺，把防病毒檢測、防火墻、入侵監(jiān)控系統(tǒng)、安全審計系統(tǒng)等多種安全防護系統(tǒng)集成，開創(chuàng)了煤炭行業(yè)網(wǎng)絡安全態(tài)勢感知的先河。

運維人員可借助該系統(tǒng)，實時掌握企業(yè)安全態(tài)勢，發(fā)生威脅攻擊事件可及時響應處理，對網(wǎng)絡中的各類安全防護設備、網(wǎng)絡通信設備、工控設備進行統(tǒng)一集中管理，提高運維人員的工作效率，以“感知、響應、檢測、防御”四項內容為抓手，進一步保障網(wǎng)絡安全。

防御堡壘再提高

隨著工業(yè)互聯(lián)網(wǎng)的發(fā)展，越來越多的機械設備進行數(shù)字化、信息化、網(wǎng)絡化改造，承載業(yè)務的服務器資產(chǎn)更是網(wǎng)絡安全最重要的防護點，面對工控設備體量大，種類多，維護復雜，更新周期長的問題，傳統(tǒng)網(wǎng)絡安全技術已經(jīng)難以抵御復雜、隱蔽的網(wǎng)絡攻擊和病毒入侵。面對這種情況，該平臺在原有的基礎上，聚焦于資產(chǎn)發(fā)現(xiàn)和未知威脅檢測兩大痛點，在各核心交換機上部署深度流量威脅檢測探針，高效處理海量數(shù)據(jù)，自動發(fā)現(xiàn)內網(wǎng)資產(chǎn)，構建清晰的資產(chǎn)互訪拓撲，自動評估風險資產(chǎn)，通過圖形可視化的方式直觀地呈現(xiàn)在屏幕之上，從而消除潛在的資產(chǎn)風險。

威脅感知再提升

所有的系統(tǒng)威脅都必須利用服務器或是網(wǎng)絡設備的某個漏洞才能造成傷害，因此，對于網(wǎng)絡設備的及時安全加固和對服務器漏洞的及時修復便顯得十分重要。該平臺通過在核心交換機上部署脆弱性風險掃描探針，可以做到精準檢測信息系統(tǒng)中存在的安全漏洞、不合理的安全配置、不合規(guī)行為等網(wǎng)絡安全問題，并將掃描結果以報表的形式呈現(xiàn)出來，提供漏洞分級、相應加固建議方案、定性的趨勢分析、定量的風險分析，形成整體安全風險報告，使運維人員更加直觀地了解當前網(wǎng)絡安全狀況，實現(xiàn)快速、精準地檢測出安全威脅。

同時，以基于攻擊路徑的安全場景模型為監(jiān)測依據(jù)，采用全流量收集、深度監(jiān)測、智能分析等手段，全面提升威脅免疫能力。

應急響應再提速

在傳統(tǒng)的安全防護體系下，只能通過人工的方式進行網(wǎng)絡安全監(jiān)測，無法通過技術手段主動發(fā)現(xiàn)設備和服務器所存在的高危漏洞，也無法第一時間發(fā)現(xiàn)關鍵設備是否發(fā)生被攻擊、篡改等安全事件，問題處理效率低下。

有了該平臺后，借助其涵蓋終端和網(wǎng)絡響應的能力，通過實時監(jiān)測工業(yè)網(wǎng)絡設備、工業(yè)主機并結合與安全設備的聯(lián)動，實現(xiàn)全天候實時預警并自動處置、攻擊場景精準還原、階段性攻擊回溯分析、留存攻擊取證報文的功能，安全策略協(xié)同防護，告別了人工復雜繁瑣的層層排查處置流程，實現(xiàn)了從傳統(tǒng)的被動響應模式向當前的實時處置模式的轉變，達到“事前預警、事中監(jiān)測、事后回溯”的效果。

安全檢測再提前

該平臺基于“AI基因，威脅免疫”的防護理念，充分發(fā)揮內、外部所采集到安全信息的價值，對系統(tǒng)歷史安全情況、現(xiàn)網(wǎng)流行攻擊和情報系統(tǒng)進行綜合研判，采用AI建模，不斷學習，幫助用戶感知新型網(wǎng)絡攻擊行為，通過大數(shù)據(jù)分析、異常檢測、態(tài)勢感知等技術，發(fā)現(xiàn)潛在的威脅，實現(xiàn)快速準確的識別，運用人工智能技術進行主動防御，做到早發(fā)現(xiàn)、早響應、早處置。

據(jù)悉，網(wǎng)絡安全態(tài)勢感知平臺投用后一直穩(wěn)定運行，通過構建“感知、響應、檢測、防御”四位一體防護體系，實現(xiàn)7*24小時對礦井的200多個信息化系統(tǒng)平臺、20000多個資產(chǎn)進行實時防護，已累計攔截了27萬余次網(wǎng)絡攻擊、9萬余次病毒入侵，成功構筑起網(wǎng)絡安全的“鋼鐵長城”。（鐘遠）