“极致”,一直是大型央国企网络安全工作建设追求的目标。随着我国数字化转型全面走深向实,网络安全风险、数据管理、层出不穷的网络攻击,为各领域大型央国企数字化转型带来了更多的挑战。如何充分发挥优势、携手各方构筑网络安全屏障、提升安全保障能力?成为大型央国企数字化转型道路上必须要攻克的首要难题。
本期腾讯安全《CSO面对面》栏目,邀请到中核华辉副总经理刘博,以中核集团为例,分享在当前复杂的经济环境和数字化升级转型逐渐深入的大背景之下,大型央国企网络安全建设的实战经验与前瞻思路。
- 刘博,中核集团北京中核华辉科技发展有限公司副总经理、信息安全总师、云&安全事业部总经理。
以下为本期《CSO面对面》文字实录。
Q1:对于中核这样的大型国企来说,应用数字化产品的主要场景有哪些?
刘博:中核集团是一个很大的复合体,包含很多成员单位,也包含整个核电建设的全产业链。所以在产业链当中,中核集团相应的各种数字化门类的产品非常多。主要包含了经营管理类的所有业务系统、日常生产的一些信息系统。
每个板块日常生产的系统又都有区别。比如说在核建板块生产的系统ENPower就是核心生产的系统,对核电建设、项目综合管理起到核心作用。其中包含了生产控制系统、生产管理系统这样各种各样的系统。在医疗板块,也有相关的医疗统一管理的系统,所以整体相应信息化的产品的门类是非常非常多的。
Q2:中核如何在整体体系上保证集团数字化的全面安全?
刘博:安全一直是核工业的底线,网络安全一直是核工业的红线。在以前,核工业针对网络安全的管理是做到极致的,但是随着数字化的发展,中核集团整体的业务规模从原有的专用网络侧,逐渐向互联网侧发展,也逐渐向大型专用网络方向发展。在整个过程中,统筹管理、统一进行防护、建立完整的网络安全体制是目前中核集团整个网络安全发展的重点工作。
Q3:在复杂的信息化需求和安全需求下,中核安全建设的关键思路是什么?
刘博:中核集团的能源板块是一个复合体。大家认为中核集团的能源板块主要包含核电,但其实在中核集团的能源板块中,除了核电以外,还包括风力、光伏、新能源的发电体系,也包含水力发电的体系。所以中核集团的能源板块,是一个相当庞大的复合体,能源版图跨过全国所有疆域,北至黑龙江、南至海南、西至新疆。如果依托单一的传统体制来进行整体的安全管理,其实很难达到我们安全管理的目标。
安全管理需要一个非常完整的体系性的管理。而我们在建设过程中,不断引入新的技术,向国内及国际的先进经验进行学习、向国际和国外的互联网安全技术厂商进行学习,逐渐把技术进行融入,与我们传统的网络安全红线进行结合,最后达到整体安全的统一目标。
Q4:互联网公司的技术发展对大型国企的安全建设有怎样的影响或者帮助?
刘博:传统的网络安全建设,在大型的央国企业里,相对(来说)技术方案还是比较传统的,防御的模式主要是集中化的。而随着互联网产业的逐渐发展,像国内的主流互联网厂商,整个覆盖的用户数总量,包含它自有的员工数总量,非常庞大。
随着大型央国企业的业务逐渐向广大民众开放,网络安全的挑战已经发生了变化。互联网厂商网络的安全解决方案更先进,为我们提供更多的选择,也为我们提供很多的最佳实践。随着互联网厂商逐渐向金融化转变,一些新的技术应运而生。在这个过程中其实很多研发成本、很多实验成本都由互联网厂商帮我们实践过了,所以我们在应用的时候,其实有更多的选择空间、也有很多的学习空间。
互联网厂商需要保证广大业务的安全,我们很多企业有十几亿用户跨越全球各个领域、又要符合国内及国际法律法规的要求。在这种情况下,互联网厂商对网络安全发展其实是非常重视的,不管是用户的隐私也好,还是相应支付安全也好,还是业务本身的安全也好,互联网厂商提供了很多的实践,包含了整体的开发体系的控制、整体应用安全体系的控制、员工在全球领域管控的安全的控制,也包含像邮件系统、大型业务系统在互联网侧如何综合保证业务系统安全等等,也为我们完成了前期的探索工作。
Q5:中核华辉在推动中核集团的安全建设与部署中,发挥了哪些“先行者”的作用?
刘博:云&安全事业部其实分为四块核心能力,第一块是解决方案的建设能力。包括集团很多的大型项目网络安全,其实我们都在项目中进行了深度的参与,使中核集团整个的技术体系保持领先是我们核心职能之一。
第二,是整个的系统集成能力。各类大型的业务系统,包括各类大型的基础组网,都是由云&安全事业部进行参建的。
第三,是整体的运维保障能力。我们在SLA的等级业务联系性保障等级上,我们会逐年递进,每年会把业务联系性的保障等级进行提高。
最后,是网络安全对抗能力。在每年的重大节庆活动,包括各类演练中,中核华辉的云&安全事业部都是起到核心的保障作用。每年都会与国内及国际的各个安全团队进行对抗,保障集团的网络安全能力。
在技术应用方面,中核华辉自2019年开始启用SDWAN组网,目前已经覆盖全国所有疆域,就是东南西北的所有疆域、各个省市都有我们的组网节点。在零信任整个体系建设上,我们经历了三年的时间,目前已经建成国内相应比较先进的零信任网络安全技术体系。未来,我们将更多的投入信创体系的建设。这个就是我们整体的建设目标。
Q6:未来中核集团的安全建设还有哪些部署和思路?
刘博:其实集团有统一的安全管理的策略,就是在中核集团有了自己的数据中心之后,整体的业务规模会向统一来聚拢。在我们有了完整的算力中心之后,我们会建立新的、覆盖全国的互联网统一安全管理体系,也包含我们所有终端的统一管理体系。在超过十几万用户的情况下,我们的体系一定是需要整齐划一。
在整个建设上,其实我们更多的去讲大一统的概念。在支持这个体系下,我们整体的网络安全通报体系、情报管理体系、网络安全的整体指挥体系、联动体系,都是需要我们后期来进行完整建设。
Q7:中核应用了腾讯安全的很多优秀产品,主要在哪些场景中发挥作用?
刘博:其实在整个建设过程中,我们更多的不是把腾讯当成一个安全产品厂商。我们更多的是向腾讯学习一些先进的解决方案,包括完整的网络安全体系、在互联网侧的网络安全体系。所以在建设过程中,其实我们对腾讯产品的引入包含在我们的各个环节里,所有专业的产品、专项的产品,都会作为我们体系的一部分。
同时我们也会学习腾讯整体的网络安全体系,包含腾讯整体的零信任技术体系,其实在中核集团得到了很好的互联网侧实践。目前整个腾讯的零信任安全体系在中核集团已经运行了三年多,主要覆盖了我们的能源板块。目前全国有4,600多名用户在享受零信任技术体系的安全服务。
在三年中,没有发生网络安全事故,所以也给我们进行全国的零信任技术体系推广,提供了最佳实践及优秀的技术解决方案。
Q8:大型国企建设独立的安全运营中心(SOC)能起到哪些作用?
刘博:网络安全已经被国家放在一个非常高的战略位置,网络安全目前在中核集团也是有一个非常高的定位的。所以打造自己的队伍、形成自己的能力,一直是中核集团网络安全的核心发展方向。目前中核集团其实已经建立了整体的网络安全管理中心,这个中心也已经运行了将近6年的时间。
在整个情报体系管理、统一指挥管理、网络安全能力调度、应急响应等方面,都需要一整套完整的体系来支持。在我们看,建立统一的网络安全管理平台是我们解决情报处理问题的一个根本技术路径。
在我们的响应上,包括大数据的技术响应、人工智能的技术响应、快速的联动处置,都是我们网络安全管理中心一个核心的职能。中核集团整个的业态相对比较复杂,各个板块的信息化能力、网络安全能力,很难实现统一。大型网络安全管理中心、包括技术体系的建设,可以有效地保障中核集团整体网络安全能力水平能快速的拉齐。在主动安全处置能力上、在完整的情报管理能力上、在快速应急响应能力上,网络安全水平及能力一直处于高位运行。
国家对网络安全其实是逐步重视的,每年都有很多的法定法规会进行发布。国家各相关部门对安全、网络安全的管理工作在逐年加强,包括我们每年参与很多大型的演练活动。随着信息化发展,网络安全是这个发展阶段的一个必然条件。所有的企业,不管是大型企业还是中小型企业,在网络安全建设上,目前都已经到了一个核心的发展阶段。
大家也意识到把网络安全交给别人其实是靠不住的,也不能让网络安全成为企业的“卡脖子”工程。自行建设网络安全管理中心,包括建立网络安全管理平台,这个是每个企业迫切的需求。在所有的可控方面,安全的可控是每个企业整体安全的重要组成部分之一。网络安全在最近几年,其实跟生产安全、食品安全提到了相应同等的高度。在以往,我们可能在生产安全或者食品安全当中,不会探讨我们是否需要建立新的中心的问题。而在网络安全建设过程中(就很有必要),这是我们发展到这个阶段的一个必然的结果。
Q9:大型国企数字化过程中,有哪些比较普遍的安全痛点和安全风险?
刘博:首先我们需要解决的第一个问题,就是网络安全“卡脖子”的问题。我们很多大型的应用软件目前还是依托国外技术相对比较多,这个是我们首要解决的网络安全问题。
第二,目前应用安全是我们整体的核心痛点。因为很多大型央国企,已经有了很多的业务系统,这些业务系统一部分是自建的,一部分是外来采购的,业务系统的规模非常庞大。但是在自身整体安全能力上,最近这些年还在逐渐加强,还没法把所有的应用安全来统一进行管理,没有达到这样的能力水平。
应用安全,其实目前是大中型企业整体的核心短板。这也是需要完整的体系和大量的资源投入才能解决的问题。在整个建设过程中,其实在整个行业内,应用安全整体能力的建设、整体体系的建设、整个代码质量、安全管理这样完整体系建设,还需要走很长的一段路。
Q10:针对大型关键基础设施型企业的网络攻击应如何应对?
刘博:关键基础设施的网络安全管理是国家非常重视的,不管是从国际形势来看,还是从各个企业实际的自身生产要求也好,关键基础设施的安全保障工作一直是整个网络安全保障的重中之重。在整个保障过程中,很多方面是要远超于普通的管理类业务系统的。关键基础其实是绝对不能中断的,所以在整个技术防御体系上我们既要有传统的防普通网络层的入侵,也需要针对各类的高级攻击、社工的攻击具备一定的防御能力,逐渐筑强我们整体的防御能力。
关键基础设施的保障其实是通过网络安全技术手段和简单的管理手段就能解决的网络安全问题。在整体防御上,需要人、财、物整体的联动,在全员形成关键基础设施网络安全保障意识。之后再通过足够强健的技术手段,来解决我们整体网络安全保障的问题。
关键基础设施的网络安全保障工作,还包含很多防恶意攻击,比如说来自于人的恶意攻击。其实关键基础设施整体的网络安全保障工作,是依托人与人之间的对抗,技术只是我们在整体对抗过程中的一个手段。
栏目简介
当前,作为数字经济发展的“生命线”,网络安全已渗透到国民经济的全领域、各层级,为产业数字化发展提供了坚实的基础。在数字安全建设的洪流中,有一批敢为人先、勇于突破的探索者,他们的安全建设之路,对于各行业有着极高的参考价值和借鉴意义。因此,腾讯安全联动雷锋网、数世咨询等媒体策划「CSO面对面」栏目,旨在通过深度采访数字化实践中标杆企业CSO、CTO、安全负责人、数字化负责人等安全先行者,了解在其工作场景如何中部署建设安全体系,解决企业安全痛点,消除安全风险,为产业数字化的安全实践提供参考和指引。
**粗体** _斜体_ [链接](http://example.com) `代码` - 列表 > 引用
。你还可以使用@
来通知其他用户。