一、项目背景及目标

为了保障网络安全，九台农商银行部署了IPS/AV、WAF、ADS、防病毒网关、防火墙等多种传统网络安全设备，但运维人员需要花费大量时间查看和确认各类告警信息、日志信息，不但浪费大量人力，也无法做到告警信息的及时处理。针对传统安全运维方式存在的不足，迫切需要一种能够打破安全数据孤岛的高效安全运营手段，对海量安全告警进行智能分析和研判，自动化处置安全事件，动态优化安全策略，构建智能安全运营体系，形成一体化的智能安全运营解决方案。SRE（Site Reliability Engineering，站点可靠工程师）是Google提出的维护可编程基础结构以满足服务可用性的解决方案，使ITIL/ITSM流程和DevOps保持和演变方面发挥着关键作用。在广泛汲取国内外同业成功经验的同时，结合自身资源状态，九台农商银行启动和实施了基于SRE的智能安全运维一体化平台项目。

二、项目方案

（1）系统架构

智能安全运维一体化平台系统采用的是硬件与软件平台相结合的方式，共分成4个部分。*****部分通过交换机镜像配置，将全网流量拷贝到APT攻击预警平台；第二部分将网络设备和服务器日志发送到统一的日志服务器；第三部分AiLPHA大数据智能安全平台整合APT和日志服务器上的告警信息；第四部分自动化运维平台对告警信息进行处理。系统架构如图1所示。

图1 系统架构图

（2）告警信息

智能安全运维一体化平台系统针对各类级别的告警信息进行不同方式的处理，这些告警信息由两部分组成。*****部分为全网流量中的告警信息；第二部分为各个网络设备及服务器的告警日志。

三、创新点

九台农商银行“基于SRE的智能安全运维一体化平台”项目的创新点包括：一是采用基于SRE的工程解决方案，面向系统架构、自动化、问题驱动等方式，持续改进体系结构和运维能力；二是使用大数据技术实现了对行内网络流量、资产告警日志的实时监控和分析；三是打破了安全数据孤岛，整合了行内各类网络安全告警信息并统一推送；四是实现了对特定类别的网络安全告警事件的自动化处理，极大的提高了运维工作效率，降低了人工成本。

四、技术实现特点

（1）日志平台中心

通过对网络设备、安全设备、主机和应用系统日志进行全面的标准化处理，及时发现各种安全威胁、异常行为事件，为运维管理人员提供全局的视角，确保业务的不间断运营安全。

（2）APT攻击预警中心

使用深度威胁检测技术，对流量进行深度解析，发现流量中的恶意攻击，提供了全面的检测和预警的能力。实现Web威胁深度检测、邮件威胁深度检测、病毒木马深度检测、0day攻击检测、异常行为分析等功能，提供更高级的安全保障。

（3）安全大数据中心

数据采集模块以协议/接口采集为主，Agent收集为辅。针对不能通过协议采集或接口转发数据的必要采集对象，采用安装Agent的方式进行数据采集，采集所得原始数据很大一部分是非结构化数据，系统提供了一个链式可插拔的数据ETL模块，以插件的形式实现各种原始日志的格式化流程。

（4）智能安全运营中心

基于大数据中心的数据，对用户进行分析，建模和学习，构建在不同场景中的正常状态并形成基线。实时监测用户当前行为，通过已经构建的规则模型、统计模型、机器学习模型和无监督的聚类分析。能做到多维高效的威胁发现、智能态势感知研判、及时发现用户、系统和设备存在的可疑行为，对正在发生的事件进行实时分析，及时发现可疑的安全威胁。

（5）自动化响应编排

自动化应用程序采用Python语言开发，监控平台接口程序实时获取智能安全运营中心的网络安全告警事件，将告警信息推送至行内运维监控平台并以邮件或企业微信方式推送给运维人员，使值守和运维人员能够及时发现网络安全告警事件；利用自动化运维技术开发联动阻断功能，发现紧急高危告警事件后，能够与FW、WAF、IPS等产品联动，且对于不同品牌的网络安全设备均可进行自动阻断、反馈阻断结果，实现对攻击者自动阻断的效果，全程无须人工干预，真正实现从智能分析和研判到自动化处置安全事件，动态优化安全策略，形成一体化的智能安全运营。

五、项目过程管理

“基于SRE的智能安全运维一体化平台”建设项目采用分阶段实施方式，主要经历了以下几个阶段：

（1）需求分析和概要设计阶段

2020年6月至2020年7月，主要完成了业务需求分析、业务功能和技术构架的高层设计。形成了现状需求分析报告、各功能模块的高层设计、技术构架和接口的高层设计等文档。

（2）详细设计阶段

2020年7月，主要完成了系统详细设计工作，形成了该系统详细设计说明书等文档。

（3）编码、测试和平台上线准备阶段

2020年7月至2020年8月，完成了运维自动化开发的编码、平台基础环境准备工作，形成了平台上线方案、系统配置等文档。

（4）智能平台上线阶段

2020年9月至2020年10月，完成了APT攻击预警中心、安全大数据中心、智能安全运营中心三大功能模块实施工作，并根据上线运行的情况，结合运维场景提出了优化需求。

（5）自动化运维上线阶段

2020年10月至2021年1月，完成了自动化响应编排各功能模块上线。包括：平台告警接口开发，FW、WAF、IPS联动阻断功能上线。

基于SRE的智能安全运维一体化平台项目，严格按照项目管理相关制度实施，从计划、质量、财务等多方面进行规范化管理，项目终如期完成。

六、运营情况

2020年5月，九台农商银行正式启动了“基于SRE的智能安全运维一体化平台”项目建设，并于2020年9月至2021年1月顺利完成平台功能上线。上线以来，系统运行平稳，系统界面友好，平台采取实用美观的可视化系统从多个维度全面展现安全态势，自动化编排稳定高效，达到了预期效果，尤其是在2021年度的多次护网行动和重保工作中起到了重大作用，包括：

4月7日—4月22日，顺利通过国家护网演练

5月10日—5月14日，顺利通过省内护网演练

5月31日—6月4日，顺利通过网信办护网演练

6月28日—7月2日，顺利完成建党100周年网络安全保障

智能安全运维一体化平台的主要功能包括：

（1）网络安全告警事件集中告警推送功能

平台将多维度的信息和多源数据进行整合、关联、智能分析和预测，基于攻击意图、攻击策略、攻击方法、攻击次数、攻击时间、处置状态等影响因子构建资产评级模型，基于海量安全告警分析在大量内网资产中识别失陷资产，把关键的信息和重要的威胁展现给运维人员。平台告警信息综合展现界面如图2所示，告警信息推送界面如图3所示。

图2 平台告警信息综合展现界面

图3 告警信息推送界面

（2）多维态势感知可视化呈现功能

平台采取实用直观的可视化系统从多个维度全面展现安全态势，为运维人员研判安全事件、下达决策指令及保障网络安全提供有效的支撑。可视化大屏通过地图、热力图、柱形图、折线图、饼图、仪表盘等方式能够有效的展示出复杂数据中蕴含的有价值的信息，从攻击事件、资产安全、追踪溯源、运行监测、重保方案等多个维度可视化呈现安全态势。资产失陷态势感知、横向威胁态势感知、外部攻击态势感知分别如图4、图5、图6所示。

图4 资产失陷态势感知

图5 横向威胁态势感知

图6 外部攻击态势感知

（3）自动化编排拦截阻断功能

平台发现的网络安全告警，可结合运维人员长期积累的实践经验，通过定制开发的自动化程序处理特定场景下的告警信息，并将处理结果推送给运维人员，全程无须人工干预，代替运维人员对网络安全告警事件的记录、分析、处理，极大的提高了运维工作效率，减少了运维人员的重复工作。

七、项目成效

（1）成功将SRE理念融入安全运维管理体系

SRE专注于系统的运维管理，将软件工程的思维引入运维工作体系，围绕满足服务可用性的SLO（Service Level Object）目标要求，持续运行和演进，终保持业务系统稳定和提高效率。经过平台建设实践，有效地提升了安全运维的工作效率。

（2）构建满足需要的智能安全运维一体化管理平台

构建一个稳定、高效、拓展性好的智能安全运维一体化管理平台，满足等保2.0中关于安全审计和集中管控的相关条例要求。能够结合安全专家红蓝对抗服务，组织网络安全实战演练，提高单位网络安全意识，增强安全防护能力，检验单位应急响应能力。

（3）打破安全数据孤岛，实现真正协同工作

平台将多维度的信息和多源数据进行整合、关联、智能分析和预测，基于攻击意图、攻击策略、攻击方法、攻击次数、攻击时间、处置状态等影响因子构建资产评级模型，基于海量安全告警分析在大量内网资产中识别失陷资产，把关键的信息和重要的威胁展现给运维人员。

（4）多维态势感知可视化呈现

平台采取实用美观的可视化系统从多个维度全面展现安全态势，为用户研判安全事件、下达决策指令及保障网络安全提供直观有效的支撑。可视化大屏通过地图、热力图、柱形图、折线图、饼图、仪表盘等方式能够有效的展示出复杂数据中蕴含的有价值的信息，从攻击事件、资产安全、追踪溯源、运行监测、重保方案等多个维度可视化呈现安全态势。

（5）提升网络安全运维工作效率、降低操作风险 

通过自动化程序调用智能安全运维一体化平台接口,将网络安全告警信息发送到企业微信及个人邮箱，实现告警信息的实时推送。结合运维人员长期积累的实践经验，对于特定场景下的告警信息，可通过自动化运维平台完成告警信息处理，并将处理结果推送给运维人员，全程无须人工干预，代替运维人员对网络安全告警事件的记录、分析、处理，相比由人来发起运维事件的被动、重复性高、效率低，易出错，自动化运维能够大幅提高工作效率，降低人工成本和人为操作风险，让工作意义大化。

（6）实时的网络安全运维更加高可靠、高可用

随着传统互联网技术的发展以及移动互联网、物联网的广泛应用，面对大量的网络攻击，运维优先要保障的便是高可用，这也是自动化运维的重要目标。智能安全运维一体化平台能够在短时间内分析、预警、阻断，并且真正实现了7×24小时业务保障。解决了传统人工运维的诸多痛点，如发现滞后导致赶往现场处理不及时等问题，降低系统宕机风险。

八、经验总结

九台农商银行“基于SRE的智能安全运维一体化平台”项目是将信息安全、运维工作与大数据和自动化技术相结合的有益尝试，平台系统设计严格执行国家和行业的有关标准，结构设计和数据库设计合理，将管理、技术、人结合在一起，能够自动分析并处置大量重复的安全事件，将安全管理人员从日常枯燥的安全运维工作中解放出来，大幅提供安全运维效率，具有灵活自定义的安全防护策略配置，结合安全专家服务，动态优化企业安全防护策略，保持高效实时的安全防护能力。

智能安全运维一体化平台系统自上线后运行稳定，帮助运维人员发现了部分安全设备没有拦截的告警，增加了相应防护手段。结合云端数据分析和安全专家赋能，已过滤10余种类型无效告警信息，辅助运维人员专注处理关键告警。平台实时推送告警信息，并自动拦截高危告警，截止目前已自动处理高危网络安全事件上百次。未来会继续结合行业安全运维工作经验，发掘更多的可自动化处理的场景，持续探索自动化运维技术。九台农商银行“基于SRE的智能安全运维一体化平台”建设的过程不仅仅是创新理念和先进技术的应用，更是以精细化管理助推精益运维服务，与传统银行网络安全运维模式相比是一种质的飞跃。