揭秘NGSOC如何帮助冬奥会安全运营中心--规划建设展示了冬奥会安全运营中心从最初的规划设计到将要NGSOC作为核心安全监控平台,如何保证交付部署和NGSOC本文将重点介绍冬奥会安全运营中心如何规范安全稳定运行的技术攻坚过程。
磨刀不误砍柴工 标准化过程可以有效运行
谈到冬奥会安全运营,冬奥会安全运营中心现场项目经理童磊回忆说:冬奥会安全运营最大的挑战是,随着2020年以来冬奥会项目所有安全产品的交付部署和多次升级,团队数量不断增加,如何实现高效运营?事实上,早在初步规划阶段,考虑到冬奥会项目比传统项目的复杂性和重要性,团队就预测了可能出现的问题,并制定了完整的安全运营计划,但在计划实施过程中仍发现了许多问题。
2020冬奥会安全运营中心只有四五名监控人员。到2021年,人数将扩大到20多人,加上所有测试比赛和场馆的居民,一线团队将超过200人。随着人员数量的增加,原始流程难以有效保证工作流程的运行。一些团队成员仍然无法理解安全事件的处理过程,在沟通过程中难以突出重点,对从场馆到总部的跟踪和报告过程也有不同的看法。
在问题日益突出和冬奥会组委会需求提高的背景下,解决高效运营的挑战迫在眉睫。因此,2021年初,该团队成立了一个专门的小组,动员了咨询专家、攻防专家和安全服务部门NGSOC事业部人员共同制定冬奥会SOP(标准操作程序)主要包括安全操作流程、安全操作维护流程和应急响应流程。本标准详细分为监控岗位、分析岗位、操作维护岗位、处置决策岗位等不同岗位,明确各岗位的详细工作内容和工作标准。此外,为了确保过程的有效实施,NGSOC产品团队也进行了一系列测试。
从2021年2月初到4月底,第一轮测试也是第一次安全运行SOP也投入使用。虽然标准投入使用,但过程并不像预期的那么顺利。团队成员很难在短时间内快速熟悉并严格执行。同时,过程本身也有许多问题需要改进。然而,随着不断的测试和演练,以及所有冬奥会一线人员的培训和考试,到2021年8月,安全运行SOP是真正形成的。
虽然从最初的交付部署到2021年底的测试操作,梳理标准化过程非常疲惫和繁琐,但有了SOP,2022年1月23日进入冬奥会准赛阶段后,整个团队反而放松了。每个人都能掌握SOP,清楚了解自己的工作内容,如何报告,如何处理,对NGSOC平台操作也非常熟练。虽然人数众多,但整个团队协调有序,大部分安全事件都可以通过标准化流程解决。
回顾这一段,童磊说:我们真的通过标准化过程实现了正常运行,我们非常自豪。在整个过程中,每个人都有更强的责任感和参与感。标准化的行动和过程可以有效地纠正偏差,大大降低了各岗位犯错误的概率。安全事件的处理不再完全基于个人技术,而是依靠人 工具 过程高效有序地运行。
安全操作需要工具协调
在冬奥会安全运营中心项目中,标准化流程的运行离不开人与工具的密切配合NGSOC作为冬奥会安全运营中心的核心安全监控平台,如何与安全运营团队紧密结合,确保SOP高效落地?
首先,实用、易读、美观的可视化屏幕。
NGSOC该平台的监控覆盖了网络中心、数据中心、云系统和许多场馆。因此,如何呈现不同组织的安全状态,使安全运营团队能够更快地发现安全事件,顺利处理安全事件NGSOC业务部冬奥会项目组面临的问题,在可视化设计中标注了几个关键词:实用、易读、美观。
经过了记不清多少次的改版调优,在可视化呈现上逐渐形成了综合网络安全监控大屏、各场馆网络安全监控大屏、实时监控大屏。
NGSOC-综合网络安全监控大屏幕
实时监控屏幕为冬奥会安全运营中心的实时监控工作带来了最直观、最及时的呈现,可以实时看到最新的报警数据统计和报警处理状态。当发生危急报警时,大屏幕通过报警提醒声音和屏幕特效7*24H操作带来最及时有效的提醒,实现实用高效。
NGSOC-实时监控大屏幕
可视化大屏幕的呈现直观地显示了威胁、事件和数据趋势,满足了冬奥会安全运营中心的使用需求。NGSOC事业部冬奥会项目经理表示,为了更好地展示展示效果,奇安信可视化团队投入了大量人力,对竞赛场馆进行了实地考察,在短短两个月内实现了所有竞赛场馆3D建模,最终效果惊人,实现了实用、易读、美观的综合呈现。
NGSOC-场馆网络安全监控大屏幕
第二,云上云下全覆盖,监控能力全面提高。
在冬奥会安全运营中心项目中,NGSOC该平台共访问云和云下1000 数据源,涵盖终端、服务器、网络设备、安全设备、应用系统、业务系统等所有核心资产。日志有80多种,平均日志35亿,股票日志1000亿。
结合云服务安全架构设计,实现冬奥会云服务全方位、无死角的持续安全监控,NGSOC共收集了云网络、主机、数据、监控审计等18种数据源和30多种日志,设计了60个 安全监控场景。在日常运行中,数千起云安全事件被监控。
第三,奇安信全产品体系接入、协同、联动。
2021今年8月,奇安信冬奥会项目组紧急成立联合项目组,目标是NGSOC以各产品日志和流量分析能力为核心,通过综合评价,解决冬奥会现场正常安全运行和应急响应问题,实现8条生产线(NGSOC、椒图,天眼,天擎,威胁情报,锡安,SOAR、天狗)产品联动的研发和所有安全产品日志的访问和分析。根据冬奥会项目的进度,每个人只有19个工作日来完成这项任务,这对项目组来说是一个几乎不可能的挑战。
时间紧迫,每条产品线都在争分夺秒。在联调阶段,因为NGSOCR&D人员有限,应对策略及时调整,形成了从开发方案到对接联调的一对多联调模式(一人并发对接多条生产线)。为了交付令人满意的答案,NGSOC业务部冬奥会项目组所有人日夜奋战,积极推动各生产线工作进展。只要发现堵塞问题,就会立即找到解决办法,得到包括冬奥会组委会在内的各产品线的高度认可。
除了产品联动,还有开放安全场景的重要任务。需求拆解、方案设计、开发、测试、交付在线完成8个应急安全场景和40个正常操作场景。NGSOC首次在冬奥会上实现了与奇安信用安全产品系统的集成。从设备的日志访问、数据的集中呈现、相关分析到安全能力的协调和联动,安全操作人员只需要通过NGSOC无需在众多安全产品之间来回切换,即可实现一站式监控、调查、响应闭环。
当所有的工作即将结束时,当我们看到每个研发团队交付的答案时,我们不禁松了一口气。正是这样一支充满冬奥会精神的团队,以艰苦奋斗、克服困难的信念赢得了最后的胜利,并按照计划完美地完成了这项看似不可完成的任务。
第四,设计千个冬奥会威胁检测场景。
冬奥项目NGSOC预设规则有448条。冬奥会开幕式前,规则达到958条,赛时会有新的场景需求,每天都会补充规则。冬奥会结束时,规则达到1043条,涵盖了云和云下所有核心资产的威胁、异常和非法监控场景。从场馆办公机和服务器上部署的业务组件到数据中心的业务系统和安全防护系统,几乎都有IP提供服务的设备和系统包括收集日志、分析和监控价值的日志。
既有监控外部入侵、社会工作者钓鱼、恶意破坏、恶意软件的各种威胁场景,也有监控内部人员非法和异常操作的场景;不仅对突发漏洞和安全事件进行持续监控,还对日常运行期间各系统和服务运行状态进行持续监控。在整个冬奥会值班期间,通过外部入侵场景监控118次报警,监控7起内部人员操作不当事件,监控3起设备停电事件和6起数据停电事件。
冬奥会项目规则优化达到145条,监控人员因大量误报(业务引发误报)而疲于分析,至今日均报警量不超过427条,日志报警比为7860974:1,无安全事件遗漏。
第五,高并发设计支持多人同时操作。
根据冬奥会项目NGSOC平台设计要求支持200人使用50 并发访问,这是前所未有的。这种并发访问对系统的整体压力特别大,导致系统负载急剧上升。NGSOC研发团队的主要优化方案包括:一是集群部署节点优化瓶颈节点,识别瓶颈节点,调整集群部署方案,资源倾向于瓶颈节点,如ES在高并发性的情况下,集群的性能损失非常大,集群的规模应保持在适当的数量级。其次,优化数据库,研究冬奥会的运营场景,根据冬奥会的运营场景优化数据库配置,通过性能监控工具逐一设计和优化所有耗时的数据操作。NGSOC在日均35亿日志高吞吐量和50 人并发运行的条件下,平台实现了安全稳定的运行。
结语:
在人 工具 流程高效运行的支撑下,冬奥会安全运行的实际效果有目共睹。
首先,标准化过程安全运行SOP制定充分保证了业务的正常运行。冬奥会网络安全监控值班经理提到:安全运行SOP大大提高了团队的信心,我们清楚地了解自己的工作职责,避免因事实不明确而处理不当。这样,现场业务系统就可以更有效地运行。
其次是NGSOC多功能大大提高了安全运行效率。如果大屏幕实时监控,安全操作人员使用频率最高。这个大屏幕放在冬奥会安全操作中心的中间,每30秒刷新一次。高风险报警将闪烁并发出报警。每个人都可以看到报警,便于及时跟踪和解决。TOP5,可以直观地提醒安全操作人员,规则可能有问题,当警告每天都在TOP5,可在平台上查看报警规则解释,NGSOC平台上的所有报警都可以查看规则解释。这一细节极大地方便了我们查阅基于哪些规则的报警,并找到威胁建模工程师进行规则优化,直接解决了报警冗余的问题。报警的高级筛选功能特别有帮助。通过预设的报警筛选器,每个监控值班经理查看不同的报警内容,大大提高了报警处理效率。
“对于NGSOC作为运营平台的最大期望是能发现、能回溯,最好能通过一个平台发现所有安全事件,完成所有操作,NGSOC这个平台真的做到了。冬奥会网络安全监控值班经理总结说,这要归功于NGSOC高并发性,全产品系统联动,适当处理报警。
首先是高并发总指挥中心同时从监控岗、分析岗、处置岗等方面有数十人NGSOC这对NGSOC并发要求很高,但是NGSOC在整个冬奥会期间,运行一直很顺利。NGSOC与奇安信用安全产品系统的访问,监控范围涵盖了云和云下的所有业务,平台需要完成所有监控、分析和处置,以及安全运行SOP紧密结合。此外,除了可追溯的安全事件外,平台还可以追溯报警处理人员、处理过程、处理结果、报警评论功能,可以写出每个报警处理的结论,所有类似的报警都可以通过以往的报警,分析历史和检查结论,以便快速分析判断,无需重复监控处理过程。
如果冬奥会安全运营中心是实现零事故承诺背后的重要保障,那么安全运营维护和应急响应就是安全运营中心的保障。在下一篇文章中,我们将进一步介绍冬奥会安全运营中心安全运营维护保障和应急响应保障背后的故事。