中国移动践行习近平总书记“没有网络安全就没有国家安全”的讲话精神,对标“四法一条例”,推动网络安全运营集中化改革,在集团网络事业部成立了面向全网的安全集中运营中心(SOC)。安全集中运营中心以“提升网络安全技术和运营能力,培育国家级的安全对抗能力”为目标,围绕机构、体系、人员等方面加快推进和优化各方面能力建设,切实提升了网络安全技术和运营水平,在党的二十大等重大活动期间发挥了重要作用,实现了全网“零重大网络故障、零重大网络安全事件、零重要客户投诉”的保障目标,有力支撑了保障任务圆满完成。
从无到有构建7×24小时实时监测响应体系
“聪者听于无声,明者见于未形”,安全运营首先要知道风险在哪里,是什么样的,什么时候发生。据介绍,中国移动聚焦快、准、清,开展全网7×24小时安全监测,实现“轴心中枢”的统一调度,实现从“重大活动保障值班”到“7×24小时常态化值班”的转变。中心组建安全监测运营团队,强化31个省区市属地化响应处置能力,形成全网“一级监测、多级处置”的7×24小时监测体系,实现日均处理告警超1亿条,处置事件约1.6万起,推动全网安全攻击响应能力从按天级“粗”分析转变为分钟级“精”处理。
从有到优强化全网两级模式管理与赋能
根据安全运营人员介绍,为落实科学管理与分级分类思想,适配云化网络安全防护特性,强化总部集中赋能,实现“纵向到底”的精细管控和重要网络系统、网络云、5G专网的集中化安全运营。目前,全网26项安全运营工作已实现17项集中支撑;各省区市资产纳管率达到95%;合规脚本能力赋能全网,保持合规率达90%以上;实现了各省区市紧急/高危漏洞24小时内完成排查;初步构建了部省两级模式一键处置平台,实现了网页篡改处置5分钟内完成。总部和各省区市网络安全协同运营效率大幅提升。
网随算动持续完善“1﹢6﹢X”智能防护体系
中国移动初步构建了基于网络流量的云网一体“1﹢6﹢X”安全防护技术体系,该体系由网络安全态势感知1个综合性平台、安全资产管理等6个基础性平台和数据防泄漏等X类基础安全防护设备构成。目前该体系全面覆盖了通信网络,并强化了总部系统集中分析、研判和一键处置能力,实现防护能力随“算网”而动,做到对上落实国家行业监管要求,对内赋能各省区市,对外服务政企客户。目前态势感知平台投入生产,初步形成了全天候、全方位的通信网络安全态势感知能力,较好地展现出集中化、智能化、常态化的安全运营支撑能力,持续高效支撑了全网集中安全运营工作;集中化抗DDoS平台已经对外服务客户,4A安全管控平台已成功落地零信任……各项手段能力不断提升。
研运一体助力安全AI能力落地
为推动安全AI能力落地,中国移动基于已有平台的低代码开发实现了全网海量告警自动压降、安全分析规则与智能模型研究、安全能力自动编排、AI分析模型共享赋能(上中台)四项核心能力。据一线运营人员反馈,平台通过对资产数据、威胁情报等数据的关联分析、攻击链分析识别攻击目标,实现海量告警压减超99.99%。同时基于不同的安全场景积累多种实时分析和离线分析模型引擎,包括Webshell检测模型、DNS DGA、DNS Tunnel等高置信度机器学习模型;基于SOAR自动化安全编排与处置功能,已完成数十种安全处置流程场景剧本的固化,实现了超过70%的安全事件自动化处置,极大提高了安全事件处置的质量和效率。
从内到外实现完全能力的对外赋能
中国移动SOC将在今年加快构建高防、域名安全、工业互联网、网站安全防护等云网安全产品服务能力,对内通过安全中台赋能各单位,对外支撑政企收入和客户快速增长,构建“一户一案”服务支撑能力,为金融、政府、互联网等各行业客户提供定制化服务,实现“横向到边”的价值变现。联合政企事业部构建5G专网安全防护能力,发布了集中化抗DDoS、威胁情报、漏洞扫描等较成熟的安全产品,形成了较为完善的安全产品及服务体系。
自主创新深耕高级威胁防护核心技术
高级持续性威胁(APT)作为网络攻击的高级形式,近年来攻击规模和烈度持续提升,对国家、大型企业造成了严重的威胁。中国移动安全集中运营中心充分发挥基础电信企业全程全网能力优势,建立了APT攻击发现、分析研判和48小时现场处置的高效率闭环处置流程。自主研究并创新性提出多种APT攻击痕迹检测模型,并配合构建了“数据布控—线索发现—归因溯源”三层APT监测防护体系,针对日均20亿条、50TB海量数据开展大数据分析。经实网验证,2022年全年安全集中运营中心发现并闭环处置遭受APT攻击且失陷的客户资产共计73台,同时充分发挥高级威胁情报的生产能力,向行业主管部门报送境内外APT事件线索400余条,有力保障了基础通信网络安全,得到了客户的感谢和行业主管部门的高度肯定。
知守善攻打造高水平实战对抗专家队伍
“网络安全的本质在于对抗,对抗的本质在于攻防两端能力的较量。”根据攻防团队负责人介绍,中国移动在SOC组建攻防团队,开展实战攻防、工具研发和安全解决方案验证,打造一支知守善攻、综合素质过硬的网络安全守卫铁军,实现从内外结合的主战模式到以自有人员为主的战建结合模式的转变,具备0Day级漏洞自主挖掘能力,高效应对国家级高水平实战对抗。SOC积极组织攻防特战队有力支撑北京冬奥会、铸盾、党的二十大保障等专项行动,同时通过以赛促练,积极组织参加“强网杯”、“网鼎杯”、工业信息等网络安全技能竞赛,并在第六届“强网杯”全国网络安全挑战赛中获团体二等奖,在国企领域排名第一。“未知攻,焉知防”,除日常安全运营工作外,组织SOC攻防团队开展网络安全专项实战对抗,检验31个省区市安全风险防护短板,显著提升了中国移动攻防实战对抗能力。
中国移动SOC安全管理人员表示,未来中国移动集团网络事业部将不忘初心、牢记使命,努力践行网络安全国家队使命担当,不断丰富和完善中国移动智能化、常态化网络安全防护和运营体系,在标准制定、实战攻防、手段建设和安全服务等方面实现央企领先,为公司创世界一流“力量大厦”发展战略保驾护航,为全面建设社会主义现代化国家贡献力量。