“京東方不僅僅是傳統(tǒng)認知的一家科技制造企業(yè)，而且擴展出很多的業(yè)態(tài)，既包括小課屏、畫屏等面向C端的創(chuàng)新產品，也包括互聯(lián)網醫(yī)院、移動健康等智慧醫(yī)療服務。這就意味著我們的信息系統(tǒng)和數據開放性更強，暴露面更廣，因此網絡安全面臨的挑戰(zhàn)也越來越嚴峻。”京東方安全中心負責人李楠這樣表示。

京東方科技集團股份有限公司（BOE）創(chuàng)立于1993年4月，是一家領先的物聯(lián)網創(chuàng)新企業(yè)，形成了以半導體顯示為核心，物聯(lián)網創(chuàng)新、傳感器及解決方案、MLED、智慧醫(yī)工融合發(fā)展的“1+4+N+生態(tài)鏈”業(yè)務架構。目前京東方在全國多個城市擁有制造基地，子公司遍布全球20個國家和地區(qū)，服務體系覆蓋歐、美、亞、非等全球主要地區(qū)。

更開放的業(yè)態(tài)拓展，更廣泛的全球布局、更龐大的IT系統(tǒng)規(guī)?！冀o京東方信息系統(tǒng)的網絡安全提出了嚴峻挑戰(zhàn)。在這種情況下，從2018年起，京東方就啟動安全運營中心（SOC）建設，是國內最先部署SOC類產品的大型企業(yè)之一。經過多年建設，SOC的成熟度已經走在了行業(yè)前列，并屢獲權威機構的推薦。

啟動篇：以資產為抓手 破解“安全孤島”難題

據李楠回憶，京東方從早期就非常重視網絡安全，并在各個模塊都有齊全的防護措施，如數據安全方面有特權賬號管理，終端防御、網絡防御、主機防御都有安全部署，可以應對常規(guī)的病毒木馬、數據泄露、非授權訪問等常規(guī)威脅。

然而，隨著集團信息化建設不斷深入，業(yè)務系統(tǒng)資產及漏洞暴露面越來越大、大量日志數據孤島叢生缺少關聯(lián)及分析、安全措施各自為戰(zhàn)難以協(xié)同等問題也日益凸顯。同時，隨著各類安全產品的不斷部署，海量安全日志無法得到合規(guī)存儲，不僅存在合規(guī)風險，也存在日志無法有效利用的運營瓶頸。

面對千絲萬縷、紛繁龐雜的集團網絡安全狀況，該如何破題？李楠團隊給出的答案是“著眼資產”，即以資產為抓手，盤清家底、統(tǒng)攬全局。

“選擇資產為切入口，基于兩層原因，首先是2016年4月19日習近平總書記主持召開的網絡安全和信息化工作座談會中，重點提到‘要全面加強網絡安全檢查，摸清家底，認清風險，找出漏洞，通報結果，督促整改?！硪环矫妫褪蔷〇|方在終端安全方面已經有了良好基礎，將終端資產作為安全管理的切入口，就變得順理成章、水到渠成?！?/p>

在這種情況下，奇安信剛推出不久的態(tài)勢感知與安全運營平臺（NGSOC），走進了京東方的視野。尤其是該平臺在資產發(fā)現(xiàn)、日志收集、關聯(lián)分析、服務器脆弱性管理等功能，吸引了京東方的極大關注。

在李楠看來，資產是網絡安全運營管理非常重要的環(huán)節(jié)，第一階段的核心工作，是以資產為中心收集資產、脆弱性、日志、流量等基礎數據，并對數據進行分類梳理，對安全事件進行管理，以實現(xiàn)基礎運行，為運行可控打好基礎。從2018年到2019年，京東方依托態(tài)勢感知平臺完成了SOC建設的第一階段。

第一階段的建設從幾個層面展開：在資產層面，通過人工錄入、模板導入、流量探針、主機安全管理、漏掃等措施，實現(xiàn)了梳理資產、摸清家底；在漏洞層面，通過定期脆弱性掃描、漏洞與資產自動匹配、資產風險評估等機制，找出漏洞并有效管理；在日志留存層面，通過態(tài)勢感知平臺完成日志匯聚、資產安全事件回溯分析、審計合規(guī)等基礎性工作；在威脅發(fā)現(xiàn)層面，通過建立有效而全面的流量分析，有效發(fā)現(xiàn)大量透過防御體系的安全風險；而在事件管理層面，通過大數據處理技術及威脅情報匹配，以及資產數據信息查詢責任人等，大大提高了安全事件的分析處置效率。

該階段建設的效果可謂立竿見影：在運營方面，實現(xiàn)了所有已知資產對應責任到人，高危漏洞有效管理，資產、漏洞、告警有效關聯(lián)，關鍵安全事件閉環(huán)解決率100%，安全事件響應時間節(jié)約90%以上，并可通過儀表板、大屏等方式數字化展示集團網絡安全各維度關鍵指標。在合規(guī)方面，實現(xiàn)日志留存6個月以上，完全符合法規(guī)及等保要求，并支撐HR、ERP、畫屏及郵箱等系統(tǒng)順利完成等級保護測評。

完善篇：“多平臺互聯(lián)互通 構建安全中樞大腦” 

“第一階段建設顯著提升了集團的安全水平，但隨著SOC發(fā)揮的作用越來越大，我們也發(fā)現(xiàn)了新的問題，例如部分告警資產無法找到責任人，子公司告警無法有效定位，告警量大，告警流程手工處理慢等?！崩铋硎?。為此，從2019年開始，集團決定啟動SOC第二階段，即功能完善建設階段。

根據規(guī)劃，SOC第二階段的任務，主要是完善并實時了解資產屬性信息變化，屬地公司部署流量探針,集團完成平臺擴容，和周邊設備做數據打通，對關聯(lián)規(guī)則告警進行優(yōu)化降噪，網絡安全數字化展示等，進而支撐資產、事件、漏洞全生命周期管理。主要圍繞以下幾個方面：

首先是更精細化的資產管理。一期工程盡管實現(xiàn)了有效的資產發(fā)現(xiàn)及資產管理，但由于所管理的組織過于龐大，資產責任部門及責任人時常動態(tài)變化，故存在一些在網設備無法實時準確對應責任部門及責任人的問題。同時資產缺少入網、退網狀態(tài)管理。該階段，京東方通過定制化開發(fā)完成SOC平臺和CMDB（資產管理系統(tǒng)）數據的實時打通，給每個資產賦予BMC編號，并通過API接口完成態(tài)勢感知平臺及CMDB資產數據之間的實時同步，以應對組織及人員變化對資產準確性的影響。通過自定義資產屬性字段增加入網、退網標簽，并通過“資產發(fā)現(xiàn)確認”流程，對入網/退網資產進行管理。真正實現(xiàn)了從看見發(fā)現(xiàn)，到清晰識別和實時掌控。

其次是建立集團化安全運營。作為分支機構遍布全國各地的大型集團企業(yè)，京東方對于大型屬地公司和小型屬地公司采取不同的部署、運營和賬號權限策略。集團可通過級聯(lián)管理及分權分域管理向屬地單位下發(fā)針對性關聯(lián)分析規(guī)則及預警通報，以對下級單位進行賦能?；谄脚_計算存儲所需資源，態(tài)勢感知平臺服務器集群也在隨著數據量的增加而增加。

再次是和周邊設備完成數據拉通，夯實安全大腦定位。通過定制化開發(fā)及API接口的對接，京東方先后完成和多個產品間的數據打通。例如，和主機CWPP對接自動獲取服務器資產及配置基線數據；和資產管理系統(tǒng)對接完成全集團資產數據信息的實時同步；和漏掃設備對接，實現(xiàn)直接在態(tài)勢感知平臺調用漏掃設備下發(fā)掃描策略進行掃描并自動導入漏掃結果；和第三方威脅情報平臺對接，完成雙威脅情報匹配，為自動化處置打下基礎；和ITSM系統(tǒng)對接，實現(xiàn)手動或部分確認性告警及脆弱性風險自動派單，縮短人員處置響應時間；和用戶中臺對接，從用戶中臺同步用戶信息實現(xiàn)SOC平臺的單點認證登錄；和短信及移動門戶平臺對接，實現(xiàn)告警及風險的消息提醒；和工控安全產品對接，實現(xiàn)IOT設備數據一體化分析、管理和展現(xiàn)等。

再者是更加持續(xù)優(yōu)化的安全運營。李楠做了一個比喻，NGSOC在整個安全運營中就如同“大腦中樞”，它一方面“眼觀六路、耳聽八方”，打通集團各類平臺并匯聚分析集團資產、漏洞、日志、流量、告警等各類數據。另一方面，要“知行合一”，通過新增“告警處理流程”、“漏洞處置流程”，實現(xiàn)對告警處理閉環(huán)和漏洞生命周期管理，避免對安全風險出現(xiàn)“跟丟跑飛”的情況。對于告警量過大的通病，京東方通過各種技術手段進行篩選，結合長時間的風險修復運營，告警量已從最初的每日上萬級下降到每日上百級，達到人工可逐一分析處理的水平。

最后是更為靈活多維的安全態(tài)勢展現(xiàn)。一期工程由于缺少相應數據及功能支撐， 僅有外部威脅態(tài)勢、內部威脅態(tài)勢、資產風險態(tài)勢、安全運營態(tài)勢等部分大屏。持續(xù)優(yōu)化之后，增加了包括資產態(tài)勢、全網脆弱性態(tài)勢、攻擊者態(tài)勢、業(yè)務外聯(lián)態(tài)勢、威脅預警態(tài)勢、攻防演練態(tài)勢、綜合安全態(tài)勢、漏洞生命周期態(tài)勢、全球BOE設備及流量監(jiān)控態(tài)勢、應用系統(tǒng)安全態(tài)勢等大屏展示場景，從而更加數字化、專題化、精細化的展示京東方整體網絡安全態(tài)勢。

通過該階段的功能完善，京東方SOC的資產管理更加契合自身安全管理屬性，并實現(xiàn)了告警處理閉環(huán)和漏洞生命周期管理。尤其在告警準確及風險閉環(huán)方面，京東方走在了國內前列。

優(yōu)化篇：深入業(yè)務威脅建模 夯實風險管理屏障

階段一和階段二建設完成后，整體安全運營框架搭建完畢，安全運營體系基本形成。但隨著集團數字化轉型的持續(xù)開展，業(yè)務系統(tǒng)和安全要素的融合越來越密切，各類新的問題也開始出現(xiàn)，比較明顯的主要是兩方面：基于業(yè)務場景的關聯(lián)規(guī)則分析能力不足，SOC特定的告警處置占用了安全人員大量時間。

“安全人員不懂業(yè)務，業(yè)務建模有難度，是紅藍雙方共同的痛點。”京東方SOC建設負責人張森對打通安全和業(yè)務的難度，有著深刻理解。為了強化基于業(yè)務場景的關聯(lián)規(guī)則分析能力，京東方開展業(yè)務建模工作，通過深入分析業(yè)務安全需求，實現(xiàn)了業(yè)務指標和IT指標的深度綁定。

以釣魚郵件為例，過去僅有釣魚郵件告警這一粗粒度的IT指標，業(yè)務建模之后，細化為釣魚郵件收取率、打開率、URL點擊率等業(yè)務指標；同樣，邊界安全的防火墻IP阻斷/允許次數，轉化為關鍵業(yè)務攻擊量?；跇I(yè)務場景制定了大量關聯(lián)分析及基線分析規(guī)則，包括賬號新增、賬號鎖定、釣魚郵件、運維審計等等。通過該項工作，最終實現(xiàn)了以資產、業(yè)務為核心的全集團風險管理并積累了大量安全運營知識庫。

除了推動業(yè)務建模之外，京東方運營團隊和奇安信一起，重點推動了海量告警的合并降噪。具體采取了定期梳理資產、告警歸并、告警降噪、建立運營模式等多項措施，通過明確責任人以治降噪，對具有相同屬性的告警數據根據特定邏輯進行歸并，過濾明顯的無效數據，通過威脅情報進行二次校驗，對運營知識積累形成知識庫等措施，大幅度減少低價值告警數量，實現(xiàn)了運營效率的顯著提升。

效率篇： NGSOC+SOAR雙劍合璧 自動化響應提質增效

完成前三個階段之后，京東方SOC已經具備了體系運營的基礎，在成熟度層面逐漸成為行業(yè)翹楚。從2022年開始，京東方將安全自動化響應提上了日程?！鞍踩\營人員的精力和時間是寶貴的，我們希望他們從繁瑣事務中解放出來，投入到事件研判、溯源追蹤等更高價值、更高技術含量的工作之中?！?/p>

具體實現(xiàn)上，京東方針對通用的、大批量的、固定流程的告警，以及運維人員告警處置過程等形成SOP。并在NGSOC基礎上，通過定制安全自動化編排與響應工具（SOAR），集成多類自動化通知，將人工處理的過程定義成劇本，實現(xiàn)告警自動化處理。

通過SOAR劇本的編排，最終大幅度縮短了SOC響應和處置時間，提升了效率。從實際效果來看，自動化處置和人工處置相比，在NGSOC中發(fā)現(xiàn)同類告警，時間從3分鐘縮短到不到10秒鐘；根據告警查詢文件信譽/文件信息，時間從5分鐘縮短到5秒；下載文件和上傳文件檢測內容，時間從5分鐘縮短到10秒以內；而發(fā)送告警處置結果通知，時間從2分鐘縮短到5秒以內），整體的響應處置時間從15分鐘縮短至30秒，效率提升幅度達到96.7%。

更重要的是，NGSOC和SOAR的強強聯(lián)合，可形成“采集-分析-響應-復盤-總結”的持續(xù)動態(tài)閉環(huán)，解決了安全運營的最后一公里落地問題。對于漏洞管理可以實現(xiàn)全流程閉環(huán)管理，能夠追責到資產漏洞責任人，并進行告警狀態(tài)調整。針對自動工單派發(fā)，在NGSOC中產生的告警，由人工派單轉換為自動下發(fā)處置工單，并可通過郵件、短信、內部通信工具等方式通知資產責任人，加快整體派單效率，相關方可持續(xù)跟蹤工單處置狀態(tài)。

李楠總結道：“通過自動化響應、自動派單的安全運營模式，我們可以在實踐中不斷的復盤整改，讓運營人員騰出精力去做更隱蔽的攻擊行為分析或漏洞研究，反哺平臺的告警分析規(guī)則，最終形成一個‘告警處置越來越智能，平臺運營越來越省心，風險識別越來越精準’的良性循環(huán)，推動SOC真正邁入高成熟度的體系運營階段?！?/p>

結束語

根據賽迪顧問發(fā)布的《2021-2022中國安全運營中心調研分析報告》（簡稱：《報告》）顯示，國內企業(yè)安全運營中心建成率已接近九成，但有高達65.5%的受訪企業(yè)僅處于一、二級成熟度區(qū)間”，大多數企業(yè)安全運營中心的成熟度還比較低?！秷蟾妗分攸c推薦了京東方的安全運營中心的建設案例，按照賽迪顧問的成熟度模型，京東方已接近實現(xiàn)了四級的體系運營，并向最高級——五級的深度運營逐步靠近，在國內大型企業(yè)中處于領先水平。

“路雖遠，行則將至；事雖難，做則必成”。京東方SOC能取得安全運營成熟度行業(yè)領先的成績，歸其原因，不僅僅是布局早、規(guī)劃清晰，更重要的是將規(guī)劃目標的每一項任務分解都落到了實處，每一個細微工作都做到了極致，拾級而上、聚沙成塔, 經過5年持之以恒、日積月累的分階段建設，分步驟實施，京東方的安全運營中心，最終成為全行業(yè)的重要標桿。

雷峰網版權文章，未經授權禁止轉載。詳情見轉載須知。