32萬員工、17萬終端······國家能源集團如何實現終端安全的“數字化運營”？

32.6萬名員工，17萬臺終端，分布于全國各地乃至全球海外，這樣超大規模的集團型組織，如何應對各種木馬、病毒、以及APT攻擊等新型攻擊？如何對終端安全進行數字化的效果評估？如何構建一體化的閉環整體防護體系？實現全局整體的有效管控？······

面對這些問題，國家能源集團在歷時8年的網絡安全建設中，探索出一條“體系化防御、數字化運營”的終端安全運營之道。

01從8萬到17萬的躍遷終端安全運營問題凸顯

國家能源集團，全稱為國家能源投資集團有限責任公司，是由中國國電集團公司和神華集團有限責任公司聯合重組而成的中央骨干能源企業，是全球規模最大的煤炭生產公司、火力發電公司、風力發電公司和煤制油煤化工公司。在國家能源集團的數字化過程中，終端作為必不可少的IT基礎設施，是數據和應用的重要載體，更是攻防對抗的最后一道防線，其安全建設成為重中之重。

“從最初的時候，我們就秉承了體系化防御的理念，堅信網絡安全一定不能靠單一的產品來解決問題，而是一個縱深防御的體系。” 國家能源信息技術有限公司網絡與信息安全中心部門總經理韓鵬軍這樣表示。

據韓鵬軍回憶，在2014年以前，集團終端側均為各單位自行建設和管理，隨著數字化轉型的浪潮，這種單兵作戰、事后補救的分散被動防御，無法應對各種木馬、病毒、以及APT攻擊等新型的攻擊手段，體系化防御勢在必行。2014年，集團通過天擎系統完成8萬多終端的統一管理。此后，陸續上線的NGSOC(態勢感知與安全運營平臺)、VPN、天眼以及其他的防護手段，都基于體系化防御理念。

2017年，隨著神華集團和國電集團的合并，國家能源集團正式掛牌成立，而終端規模也從接近9萬，激增到16到17萬的規模。韓鵬軍表示，隨著規模的激增，集團終端安全在日常運維、重要節日保障及攻防演練期間，陸續發現了很多運營方面的困擾與不足，具體表現在以下幾個方面：

首先是終端資產難以掌控。

由于集團規模龐大，終端資產繁多，不了解實際網內終端數量，無法確定終端防護范圍；終端安裝率提高緩慢，各單位缺少專門的終端安全運營，資產臺賬難以及時更新。

其次是數據利用相對低效。

由于終端安全數據繁多，大量的終端行為數據，難以快速進行有價值、高效的安全分析；雜亂的數據往往無法直接成為管理辦法制訂及修改的依據。

第三是安全基線無法統一。

具體表現為終端用戶業務行為差異，終端安全基線無法統一，缺少判定安全基線策略的實用性的方法。

最后是高階病毒防不勝防。

隨著高級威脅、勒索等病毒花樣繁多，在高階對抗的新形勢下，對于很多灰色文件無法有效判定，下屬單位安全能力相對薄弱，無法有效處置。

這些問題歸納起來，側面說明，終端安全防線并不是簡單的安裝部署就能永久生效的，進化的威脅、管理的疏漏、失調的策略等，都可能導致終端安全產品失效，使得終端無法獲得持續有效的保護，重新建、輕運營的思維亟待扭轉。

02終端安全四步走真正實現可視、可管、可量化

回顧終端安全的建設歷程，國家能源信息技術有限公司網絡與信息安全中心部門副總經理曹慧劃分了四個階段：

?第一階段是2014年開始的基礎平臺建設期，核心是啟動防病毒項目建設，并建立考核體系；

?第二階段是2016年完成的全集團覆蓋，推動各子公司安全管理水平達到預期水平；

?第三階段為2018年啟動的平臺數據深化應用，旨在建立數據分析平臺，對信息化決策提供數據支撐；

?第四階段是2019年至今，持續的終端安全深化運營，為集團信息化的精細化管理提供抓手。

在建設思路方面，根據集團提出的“統一基線策略、分級管理、分級授權”的終端安全管理建設模式，采用“大統一”式架構，采用模塊分離、集中部署的方式，集群統一部署于集團總部，各級單位終端通過集團廣域網連接到系統管理控制中心，接受集團統一管理。

圖 國家能源集團終端安全概況

“大統一”式架構的優點顯而易見，它適用于集團大型/復雜/跨廣域網環境的用戶，同時統一集中化管理模式，運維管理更高效；尤其是全網終端統一的安全策略防護，更高效提升全網終端防護水平；而整體項目工程周期短，見效更快，維護投入更低。

曹慧表示，終端安全管理運營平臺建設完成后，目前已經實現了可視化、可管控和可量化三大目標。

• 其中在可視方面，通過搭建終端安全綜合展示平臺，可以多維度進行終端信息展示，全面掌控終端安全態勢情況，尤其是多層次的安全態勢視角，為領導決策指揮提供量化數據支撐。
• 在可管方面，通過與安全管理工作平臺實現整合，實現告警監控與處置的全生命周期管理。
• 而在可量化方面，通過安全指標來量化當前終端用戶面臨的威脅、以及自身的安全建設情況。

通過可視化、可管理和可量化，分別滿足了決策者、管理者、運營者等不同層級使用者的需求。決策者可以通過平臺了解全局終端安全態勢以及終端安全建設工作，幫助更快做出安全決策。管理者可以通過平臺提高終端安全運營工作的效率，梳理運營流程。運營者則可通過平臺進行安全監控并獲取安全事件處置的佐證。

當然，對于32多萬員工的超大集團型企業而言，終端安全運營的模式探索之路曲折而艱辛，絕非一朝一夕就能達到目標，為此，曹慧總結了四方面經驗：

第一是充分整合已有平臺的安全能力，發揮更大價值。

很多單位在使用安全防護軟件時，僅使用了平臺推薦的功能。但我們的思路是盡可能挖掘平臺深層的能力，盡可能用全、用到位，充分發揮出系統應有的價值。

圖 病毒治理監測視圖

第二建立安全事件通報機制，持續提升執行效率。

由于集團的下屬單位安全能力薄弱，很多攻擊事件無法及時研判和有效處置，通過建立安全事件通報機制，通過定義終端安全事件規則，實現安全事件協同通報處置，持續提升終端安全運營的執行效率。

第三是逐步細化考核評價指標，讓安全效果可量化。

在過去，終端安全的效果多是感性描述，很難進行數字化考核。憑借終端運營平臺持續的數據分析，集團制定了終端安全考核制度，通過技術手段對全集團終端安全情況進行評價，結合集團管理要求逐步細化調整考核評價指標，讓整個安全效果可量化、可考核。

第四是深化終端安全數據處理，實現高效利用。

終端安全運營中會產生海量數據，如果不能將其充分收集利用，其價值就無法被發揮出來。“我們充分提升了終端數據分析效能，增加了多個維度和分析，對于平臺所采集的多維度終端數據進行高效利用。”

03打造平臺化底座實現從安全到管理的躍遷

“始于安全，不止安全”，這是國家能源信息技術有限公司網絡與信息安全中心安全運維經理錢隆對于終端運營最深刻的感受。“經過這么多年對天擎不斷的使用、不斷的運營，我們發現它不僅僅是防病毒，安全管理是它更大的功能，完全可以承擔平臺化底座的角色。”

第一個典型場景是軟件正版化。

過去集團經常頭疼的事情是：第一，不知道所有的計算機都裝了什么軟件？第二，裝了這些軟件哪些是正版的、哪些是盜版的。依托于“天擎”的軟件管家，這些信息可以一目了然。

另一個典型場景是整改違規互聯網出口。

依靠傳統手段，很難發現隱蔽的違規互聯網訪問，通過天擎加入了一個定制開發功能，可以讓終端不斷地檢測互聯網出口IP，并把這個IP信息報給“天擎”管理控制臺，“天擎”上面錄入了合規的出口的IP地址來進行比對，這樣一來，違規互聯網出口問題迎刃而解。

“終端安全管理具有得天獨厚的優勢，因為它是可以管到最末端的一個環節的。不僅上面出現的這些安全風險可以第一時間得知和處理，更重要的是，這些17萬臺終端散落的有價值信息，可以第一手獲取，從而對信息化管理提供強大的支撐。”錢隆如此總結到。

終端安全通常是企業最先部署的安全產品，然而也容易讓很多客戶對其價值的理解，停留在防病毒等基礎層面。顯然，國家能源集團通過在“數字化運營、體系化防御”方面的實踐探索，進一步挖掘了終端安全在管理和運營層面的深層價值，使其成為數字化建設中不可或缺的平臺化底座，這也是該項目最大的標桿意義所在。