新希望六和股份有限公司(简称新希望六和)是一家多元化综合的农牧食品行业集团企业,携手IBM及其合作伙伴中科信息,为企业数字化成功转型打造了基于混合云架构、完整的主动安全免疫体系,成为同类企业中为数不多的标杆案例。
选择QRadar解决方案,新希望六和与IBM再牵手
新希望六和股份有限公司(股票代码000876)创立于1998年,并于1998年3月11日在深圳证券交易所上市。公司以“农牧食品行业领导者”为愿景,立足农牧产业、注重稳健发展,业务涉及饲料、养殖、肉制品及金融投资、商贸等,公司业务遍布全国及越南、菲律宾、孟加拉、印度尼西亚、柬埔寨、斯里兰卡、新加坡、埃及等近20个国家。
早在2010年,新希望六和就开始了全面的信息化推进工作。2015至2016年期间,包括数据中台、业务中台、智慧工厂等在内的全产业链信息化项目陆续上线以后,不论从IT还是OT角度来看,信息系统的边界越来越模糊,数据量的递增越来越大,业务系统交互的耦合性越来越高,暴露出的安全问题也越来越复杂。
为提高集团网络安全威胁防御能力,适应当前信息安全形势,需要将传统的被动防御模式转变为安全态势主动预测,构建网络安全免疫体系,满足集团对安全事件检测和威胁管理。新希望六和股份有限公司希望实现诸如:网站整体运行态势监控、暴露或内部资产识别监控、内外部入侵行为定位、行为分析建模、高级持续威胁判定、攻击链还原、威胁情报管理、终端用户行为管控等高价值业务和场景的管理能力,构造全方位、全天候威胁管理平台的建设需求。
新希望六和股份有限公司信息运维负责人张召仁介绍,在新希望六和多年的信息化建设历程中,IBM一直相伴相随,参与其中。于是,针对安全问题,新希望六和通过与IBM的前期沟通,选择了连续多年位于Gartner SIEM 魔力象限第一象限的 QRadar作为集团日志收集平台的底层技术支撑,针对各种业务场景进行了一次初步的系统级检测,从分析结果看,IBM QRadar解决方案非常符合新希望六和当前的需求。
场景1:多维度数据收集。随着信息系统的不断复杂,企业对受到攻击后信息、日志、流量的异常情况的掌控时效性要求也越来越高。张召仁对IBM提供的可以从多个维度接入的安全解决方案非常满意:QRadar内置了丰富的事件库,包括安全事件、系统事件、应用事件等,此外也可以支持自定义扩展,这一设计便于用户快速、便捷和准确地对不同类的日志信息进行标准化处理,使得日志采集平台可以理解不同设备和系统的日志内容,为平台跨日志源进行关联分析,日志分析操作员进行常规的日志检索,满足监管提出的各种审计要求,提供了前提基础。
“从多个维度入手,有利于进行用户画像、对安全进行仪表分析,以及报表数据分析,使我们的运营更直观化、更可视化,终端用户也更容易了解我们的实际运营情况。”张召仁说。
场景2:在统一平台中实现联动。新希望六和的信息系统有自研的部分,也有合作商的产品。随着多元化的业务发展,对系统之间的耦合性要求越来越高,前期建设系统的安全维度,以及混合云的管控策略,都要随着国家安全管控要求,尤其是等保要求与时俱进地进行提升。而早期的安全机制,无论是对事件的响应速度、预判,还是分析能力,实际都是落后于发展的。
此次项目正好创造了一次双方进行联动需求演测的契机。除了成熟、全面的日志全生命周期的管理,IBM 将自己运维的经验总结成18个大类,上千种开箱即用的关联规则内置在QRadar中。当日志进入到系统后,会实时进行智能化关联分析,发现高危的或不合规的问题,会通过各种渠道发出报警,实现了运维的实时性,提升了自动化程度。QRadar内置了权威的商业威胁情报X-Force,可以自动发现网络活动中出现的高危 IP 地址、URL、恶意文件。针对于用户活动的异常,QRadar通过安装 UBA(用户行为分析)App,可以利用其中丰富的规则和机器学习,自动分析出风险较高的用户。
这一结果非常吻合新希望六和的业务需求:可以把所有安全信息进行汇聚,在统一平台上进行联动。最终实现了无论是基于业务性的安全事件,还是攻击性的安全风险预警,都可以进行主动性上报的安全机制,形成基于数据源或者数据处理过程的更好的运营安全分析。
“此外,在长期的合作中,我们体会到IBM是一家非常专业的解决方案提供商,技术先进,有丰富的知识库和非常专业的团队,以及广泛的生态圈。与IBM携手合作,可以在安全管理上用到最好的技术、实现最佳的实践,和有远大目标的伟大企业共同走过长远的信息化之旅。”张召仁补充道。
IBM Qradar 智能分析平台落地新希望的总体架构
此次的新希望六和安全项目,由中科院成都信息技术股份有限公司(以下简称中科信息)负责具体的落地工作。
中科信息北京分公司副总经理雷彬谈到,中科信息与IBM之间有着长期的合作关系,而且合作的范围广泛,涉及从IBM的硬件设备、基础设施到软件、安全产品等。基于对安全产品的实践经验,以及安全产品未来的广泛应用前景,中科信息与IBM针对安全解决方案也开展了深入的合作。
针对新希望六和从农牧、食品加工,到营销等每个环节对安全需求存在着个性化差异,以及在过往信息化建设的各个阶段已经分别做了很多安全工作的特点,雷彬指出,此次项目的重要任务之一是要把从前“点”和“面”上的安全工作形成系统化,以平台化的模式对新希望六和安全解决方案进行长线的规划。
以下是新希望六和日志收集平台的总体架构概览:
如上图所示,为了达到新希望六和建设日志收集平台的业务目标,满足业务需求,系统的总体设计共分为五层,分别是:功能层,技术层,数据层,基础设施层,集成/扩展层。
其中,包括身份认证、安全监测等方面的数据,都归纳入统一的技术平台中,并通过可视化工具不断对平台数据进行补充,然后再针对差异化、个性化的需求进行适当的安全规则的制定和调整,既能满足集团公司对安全统一的规划和要求,也能满足各行业边端系统安全的垂直需求。
而在项目的具体实施中,由于新希望六和的业务发展非常快,项目团队采取了小步快跑的策略,以便在较短的时间内就能够满足企业当期的要求,然后再快速地滚动到下一期任务中。
打造基于混合云架构完整的主动安全免疫体系
新希望六和信息化基础架构选择的是混合云架构之路。
首先,有自建的私有云,主要定位于企业级生产型数据的核心汇聚,其中有丰富的大数据场景和应用,以及分析数据都会在私有云中汇总。
其次,公有云定位为轻量型,主要面向终端用户进行对市场的快速响应,要求能够面向用户需求进行迅速迭代,轻快上云,而且与常见的公有云厂商很好的合作机制。
第三,满足集团为旗下很多生产型企业建设智慧工厂的需求,会在边端部署边缘计算应用。
最终,私有云、公有云、边缘计算之间要相互形成有机的联动。
IBM在全球都坚定地以混合云战略应对数字化转型带来的挑战。IBM 委托开展的一项调研表明,在其他要素相同的情况下,在混合云上投资 10 亿美元的客户所实现的业务价值,要比在单个公有云上投资 10 亿美元的客户的回报高出 2.5 倍。
目前,IBM在全球拥有十大安全运营中心,为超过2000个客户提供运营服务。IBM认为,在混合云环境下,需要树立一个新的安全价值观——原生安全。即在企业上云之初就把安全能力进行内建,IBM去年发布的云包安全的工具(Cloud Pak for Security)就是这方面的代表之作。它采用红帽OpenShift等开源技术进行开发,可以在任何位置运行,帮助企业聚合各种现代化的安全工具以及各种云平台设施,在一个统一窗口下完成威胁管理。
针对5G和边缘计算的兴起,IBM CEO Arvind Krishna曾经表示:“有了5G和边缘计算,企业可以把计算和数据存储放在更靠近数据产生的地方,更加容易地用数据产生的洞察来实时指导行动。这几乎为所有行业打造新产品、新平台与新体验带来了巨大的机会。新的边缘和电信网络云解决方案是基于Red Hat Open Stack和Red Hat OpenShift而构建的,使客户能够在任何地方运行工作负载,从数据中心到多云再到边缘。我们有信心,这些能力将帮助企业把握5G和边缘计算带来的机遇。”所以,云网融合与5G带来了一场革命,带来了经济产生大的跃升的可能性,企业越早投入越会带来更多生产力的提升。
谈到具体的IBM混合云安全体系,IBM大中华区科技事业部网络安全业务团队技术销售吴军表示其中有两个主要内容:一是混合云的威胁管理;二是在零信任下实现数字信任。
关于威胁管理,具体来说IBM是通过四个步骤进行管理的:
首先,要在多云环境下提升可视化程度;
其次,在数据不落地的情况下做到真正的实时检测,并且利用机器学习等手段,提升精准检测能力;
再次,将安全实践所积累的知识与Watson认知每分钟更新的知识图谱结合,进行多维度、深入、自动化调查;
最后,利用编排技术,进行动态、自动、弹性的响应,特别不要遗漏对隐私数据泄漏的响应。
“IBM提倡的威胁管理是,全面可见、实时检测、全方位调查,并可进行弹性响应的。”吴军总结道。
此次双方的合作,主要集中在在威胁管理的可视化、精准检测和全方位调查这三个领域。未来,双方将围绕弹性响应进行详细的规划,其中就包括很重要的隐私管理问题,这将在新希望六和规划海外企业数字化试点的时候实现。
吴军强调,IBM与众不同之处在于其不是仅仅卖一两款安全产品,而是希望帮助企业构建一套完整的安全防御体系,具体可归纳为“1+4”:“1”是帮助企业构建一个威胁监测与响应中心,“4”是从数据、人员、基础设施、应用四个维度构建一个免疫体系。在这个体系中,IBM会在中间承担大脑的作用,利用IBM在技术领域和知识库的优势,整合合作伙伴的相应资源,打造一个全生态圈的安全免疫体系。
所谓模式创新,就是一定要把安全工作层次化,把安全分析、运营和运维分离开。安全是一种管理工作,要结合整个安全防线,把从安全运维、运营、分析,到审计、风控等分层次的管理组织建立起来,才能真正为企业保驾护航。
在新的做法上,IBM善于利用各种威胁工具、知识库,以及做好敏捷响应,在发现安全事件的时候,以更加灵活、智能的方式把相关的人员通过流程整合在一起。在新的能力方面,IBM尽量运用生态圈的能力,并且善用云计算基础设施已有的能力。
“传统上解决安全问题有点像一个正三角,底座非常大,需要很多员工手动处理大量、繁复的工作,现在要让它变成一个倒三角,更多地利用AI智能化工具、自动化工具做事情,把人提到更高一层,做更重要的、战略层面的事情。IBM最想传递的理念是,做安全不能牺牲用户体验,而要在模式创新方面下功夫,这个理念与产品没有太大的关系,希望企业都能够秉承这种理念,通过创新思考构建新的能力。”吴军补充道。
小结:新希望六和混合云架构安全免疫体系最佳实践的三大亮点
从新希望六和打造基于混合云的安全免疫体系最佳实践案例中,我们可以发现如下三大亮点:
首先,新希望六和管理层对信息化的高度重视。作为一家综合型企业,新希望六和的业务在食品饮料、饲料、禽、猪等多个产业同时发展,在同类的企业中,像新希望六和这样对信息化建设具有比较前瞻性思考的企业目前还是少数。
其次,坚持混合云平台化战略。从业务角度看,不同行业的落地场景大不相同,从技术架构看,私有云、公有云、边缘计算之间要形成有机的联动,平台化战略正是化繁为简、以简驾繁的信息化建设的正确路径。
第三,选择高瞻远瞩的合作伙伴。中科信息与IBM之间有着长期的合作关系,对新希望六和从农牧、食品加工,到营销等每个环节对安全需求存在的个性化差异也有着深刻的洞察,能够以平台化的模式为其进行长线的规划。而作为IT行业的百年老店,IBM不是简单地卖一二款安全产品,而是致力于帮助客户打造一个完整的网络安全免疫体系,这需要有高瞻远瞩的洞见、业界领先的技术,以及强大的生态圈、跨厂家协作的能力,才能变一锤子买卖为一辈子交情,与企业一起风雨无阻,携手向前。
