一、项目背景及目标

现如今，信息基础设施已成为现代社会的根基，我国在各领域的信息化建设，受到国外核心技术和产品的渗透，棱镜门、中兴、华为事件、中美贸易战等众多事件的发生，恰好证明了网络安全、国家安全正在面临严峻挑战。

习总书记指出，网络安全的核心是技术安全。网络安全要技术安全，网络安全要求是非传统安全，所以自主可控是前提，是必要条件。无论是中兴事件还是华为事件，重要的一点就是核心技术必须掌握在自己手里，所以要以“国产化替代”，实现“安全可控”。实现软硬件产品的国产化是保障信息安全的重要条件，“自主可控”增强国家核心竞争力。

银行系统是我国的关键基础设施之一，对于保障国家安全、经济运行和社会生活有着至关重要的作用。习总书记指出，防范化解金融风险特别是防止发生系统性金融风险，是金融工作的根本性任务。要加快金融市场基础设施建设，稳步推进金融业关键信息基础设施国产化。在此背景下，自主可控关乎国家战略，在国际竞争中发挥着举足轻重的作用。

目前中小型银行普遍建立起由传统安全设备组成的安全防御体系，包括防火墙、入侵检测、防病毒、抗DDOS、WAF、漏扫等，覆盖了网络层、主机层、应用层以及数据层防护。这些安全设备将会持续产生大量安全日志，对日常安全运营产生大量负担。具体表现为：

1、海量安全事件日志。银行在面对各类安全设备输出的大量、异构、不确定的安全事件时，常常很难更准确的筛选出可信告警，往往淹没在大量的安全数据中，风险处理效果较低。

2、数据孤岛。为更准确分析外部攻击、内部威胁，往往需要登录多个系统，关联查询安全事件、操作日志、安全合规、威胁情报、自然人信息、资产信息、业务信息、配置信息等信息，各平台独立管理数据，安全数据呈现碎片化、分散化特点，导致安全分析准确性较低。

3、缺少有效分析手段。单独安全设备针对风险的分析往往局限于识别风险方法、部署位置、单一目标等原因，管理者需要面对误报、漏报、片面等问题;同时，异构数据之间缺乏有效关联，无法深度分析出安全数据之间的内在联系、挖掘出隐藏在正常状态下的安全隐患、精确定位安全问题，以至于不能实现安全数据价值大化。

4、数据自身问题。安全数据来源多、数据结构复杂，难以通过统一维度视角进行分析，缺乏自动化数据融合手段，整理为集成度、价值性较高融合安全数据;同时，安全风险分析结果还存在误报率偏高、可信度较低，缺乏灵活交互、智能分析手段，以支撑安全分析决策。

5、缺乏联动。由于快速增加的企业资产规模、越发复杂的企业网络结构，难以仅通过事件数据精准、快速的定位风险资产，串联消息通知、威胁处置等安全运营工作。

针对以上问题，亟需建设基于国产化的安全大脑，一方面可推动国家、金融行业信息安全自主可控，加快国产替代进程与发展，另一方面提升银行安全能力，能够全面掌控金融系统运行过程中的安全态势和运行情况，构建行业安全分析、防护体系。

二、创新点

1、安全可信，主动安全防护

使用可信免疫的计算模式与结构，采用安全可信的系统架构，完善可信可控的高效安全防护能力。

2、汇聚、融合多源数据，集成多种监测能力

全面采集企业IT、风险、日志等相关数据，大程度的将企业信息安全管理 工作通过数据实现可视化，支撑上层风险分析需求;

集成全流量监测、漏洞监测、网站监测、日志审计等多种监测能力;

3、多角度、更深入的数据分析能力

通过深度理解、挖掘各类安全数据间相关度、关联方式、逻辑关系，帮助提升安全风险输出的可信度，站在整体视角综合分析，支持实时、离线输出更精准、更可信的安全风险;

支持智能分析，包括基线学习、安全引擎等深度分析能力。

4、建立安全指挥、运营、管理框架

实践安全运营管理工作，基于安全防御、响应体系，针对发现风险，实现一键处置、处置返回、处置复查、风险加固。

三、技术实现特点

安全大脑贯穿银行安全生态建设体系，站在更宏观视角，提供全面的数据汇聚能力，智能的安全风险分析及威胁感知能力，高效的数据检索、威胁溯源能力，精准的风险、资产研判能力，精美的可视化态势展示能力，灵活的安全协同响应处置能力，以及灵活、高效的分析、可视化、SOAR策略配置能力。

1、自主可控

全面兼容飞腾、鲲鹏、龙芯、申威、海光、兆芯等国产CPU；

完美适配中标麒麟、银河麒麟、统信等安全可信操作系统；

采用国产自主知识产权的技术产品。

2、数据融合

全面采集企业IT、风险、日志等多源相关数据;

针对不同格式数据内容进行标准化解析；

支持数据范式化、过滤、补全、归并等模块化数据处理。

3、数据智能分析

提供实时分析、离线计算分析能力；

支持关联分析能力；

提供数据基线学习分析，支持交互式配置、sql模式配置；

内置多种安全分析引擎，针对应急场景快速响应。

4、威胁可视

多维度态势分析场景; 

多视角风险感知大屏; 

灵活可视化交互配置。

5、协同响应

网络威胁自动化协同响应与应急处置; 

工作流程SOAR自动化编排与响应。

四、项目过程管理

1、需求分析阶段

此阶段时间段为2021年1月初至2021年1月中旬，其间主要完成了业务需求分析、业务功能和技术构架的高层设计。提交了现状需求分析报告、各功能模块的高层设计、技术构架和接口的高层设计等文档。

2、系统详细设计阶段

此阶段起始时间为2021年1月中旬至2020年2月初，其间主要完成了系统详细设计工作，提交了安全大脑详细设计说明书等文档。

3、系统编码、测试

此阶段起始时间为2021年2月初至2021年2月中旬，其间完成了安全大脑的编码、测试，提交了安全大脑测试报告、上线方案、系统设置等文档。

4、国产化配置

此阶段起始时间为2021年2月中旬至2021年3月初，其间安全大脑完成多款国产化CPU与操作系统的适配工作。

5、上线准备阶段

此阶段起始时间为2021年3月初至2021年4月初，其间完成了资源准备、现场设备部署调试、日志接入、分析模型构建等工作。

6、试点行上线阶段

此阶段起始时间为2021年4月初至2021年5月中旬，其间完成了安全大脑的试运行工作，并对安全大脑的策略进行调优。并完成自动化封禁部署、大屏调试等工作。

五、运营情况

1、数据汇聚与分析

【数据融合】

支持各类、多种数据采集汇聚，对采集数据进行数据标准化，并面向不同需求，存储到相应存储单元中。

【日志标准化】

根据不同的日志格式定制相应范化规则 (正则表达式)，进行数据内容标准化解析;

系统内置大量原始日志解析规则，快速应对数据准备、数据接入阶段;

支持数据范化、过滤、补全、归并、映射等模块化数据处理功能，让各类数据易用性更高、更标准，从而进一步提升数据分析效率、准确性、灵活性;

【数据分析】

基于汇聚的标准日志、事件、IT基础、情报等多源数据，提供实时计算分析、离线计算分析能力，并支持关联分析、数据基线、分析引擎等图形化交互、SQL、导入等分析配置功能，帮助用户在理解数据的基础上快速配置、获取数据分析能力，高效应对不断迭代、发现的企业网络安全风险问题，并输出高可信风险告警。

2、威胁感知与监测

基于宏观视角，展示整体安全情况，能清楚的了解当前网络安全状况、评级分数、爆发的重大事件等，并能评估防御不足还是内部威胁，决策哪里需要加固。

【全流量监测】

全流量监测探针基于核心交换旁路镜像流量数据模式，在不影响正常业务的情况下，获取全流量数据，支撑流量数据审计、风险分析、溯源检索需求。

【漏洞监测】

基于主动和被动两种模式, 基于场景精细化扫描，自启发式漏洞检测, 实现对网络内主机系统、网络设备的漏洞信息进行收集和管理，并将相关数据采集结果发送到安全大脑进行综合分析。

【威胁情报】

基于阿里海量威胁情报来源、技术支持，提供更丰富、更高效、更及时的国际***威胁情报数据，有力支撑智能分析，持续性提升安全风险感知与处置能力。

【安全资产中心】

构建统一面向安全的资产中心，基于安全大脑汇聚银行数据优势，解决银行资产数据不统一、维护属性差异大、未知资产存在安全隐患等问题，管理资产及其属性，重点关注各类安全属性。

【追踪溯源】

利用安全大数据处理技术，基于贝叶斯网络分析、马尔科夫预测分析、稀疏干涉分析等算法，结合伪造地址的IP追踪 技术、跳板攻击溯源技术、匿名通信系统追踪等技术，在发现高级威胁、未知威胁的同时，减少流量溯源、事件溯源、playload载荷溯源、终端溯源所需时间，及时定位攻击源，追溯、串联、构建攻击过程数据。

3、智能运营

【协同响应】

安全风险闭环作为安全运营的重要管控工作流程，以态势感知网络威胁可视化作为安全分析与管控的入口，在安全分析、精准定位风险后，对风险进行快速的协同响应及应急处置，后续用户需要通过人工方式、线下方式等进行相应的处置反馈、处置复查等工作。

【SOAR】

支持SOAR安全编排、自动化与响应，通过拖拽方式，基于态势感知强大的安全风险分析能力，进行安全风险分析与响应的定 义、构建，按照定义的标准工作流程驱动执行安全风险协同响应工作。帮助企业串联多种安全管控能力，规范化、流程化安全 管控工作，捋顺安全合规管理基础，降低企业安全运营成本，支撑企业整体安全运营。

六、项目成效

在日常安全运营中，基于实战化、强攻防对抗要求，通过安全大脑集中分析行内各类安全数据、智能联动行内多台安全设备、统筹行内安全支撑人员，实现威胁快速识别、威胁精准研判、威胁自动处置、安全管理闭环的目标，有效扭转攻守双方实力不对称的局面。

在重大保障期间，按照网络和信息安全“高度负责、高度认真”的指导思想，通过安全大脑及安全值守人员，针对行内重点业务系统开展网络安全重保运营管理工作。能够满足持续监测网络攻击威胁、及时发现与评估安全风险、重大威胁应急响应、确信风险快速处置等要求，做好行内安全风险防控管理工作。

未来将基于“智能、有效、融合、协同”的先进安全理念，利用精湛可信的技术经验沉淀，通过持续优化的组织管理，建设银行系统可信网络，打造行业安全运营管理标杆。

七、经验总结

国产化安全大脑具备安全、可控的核心自主研发能力，对于加快推进国产化进程，打造关键的国际竞争力至关重要。

现阶段，国产化安全大脑帮助银行梳理、整合已建设各种安全能力，汇聚、融合多源风险分析结果，建立安全数据中心，站在综合、多维视分析企业险态势，并串联多种安全响应手段，构建企业安全分析、防护体系。

未来，国产化大脑在推动国产化的进程中砥砺前行，为加快数字中国建设的步伐提供有力保障，同时，将持续聚焦国产化生态建设，全面打造金融行业适配解决方案。