一、项目背景、目标及相关规划

1.项目背景

为响应国家“建设数字中国”号召，紧跟数字经济发展趋势，越来越多的金融单位都对信息化业务进行了深入布局，随着金融业务的快速拓展，金融数字价值持续升高，与之伴生的网络攻击事件也对金融安全防护体系形成了严峻挑战。因此，传统“堆设备”的网络安全防护理念已不足以应对日益增多、更加隐蔽的攻击手段。

2.项目目标

长春农商银行意识到当下网络安全形势的严峻，通过建设体系化的安全防护平台，将现有安全设备与人员能力及实际金融业务场景相融合，在压实网络安全责任主体的同时，进一步解决安全管理与安全技术协同不到位的问题。让安全不止停留在“大屏”上，而是实现安全工作从“给人看”到“给人用”，从合规到实现主动防御、持续起效的转变。在保障金融业务、数据资产安全的同时，实现“主动、持续、可闭环”的安全运营模式的高效落地。

3.建设规划

开展安全运营是一个系统化的工作，在实践中，安全运营是指能够调动一切积极因素，将网络安全产品、人员、流程同步统筹，以结果为导向，持续改进、加强管理的动态过程。

因此安全运营工作将围绕日常工作开展的角度，利用长春农商银行现有资源进行安全效益的大化输出和提升，通过体系化的流程牵引，经过多重分析与实际研判，根据自身业务场景及技术手段，将安全运营建设分为三个阶段，从而达到长治久安的效果。

图1安全运营建设阶段

一是基础运营阶段

长春农商银行围绕人员、管理制度、技术手段等方面建立体系，形成工作流程。突出资产发现与管理能力、夯实检测与防御能力，通过安全能力成熟度评估结果，设定清晰的运营目标，为开展常态化运营工作奠定基础。

二是常态化运营阶段

利用威胁情报平台，将数据可视化、平台化，实现关联分析。建立CMDB库实现资产测绘，告别人工统计、优化资产管理指标，对资产进行丰富化识别、结构化存储。从安全日志到安全事件，实现平台化关联分析、自动化漏洞检测、入库、通知等。不断完善各项工作流程，进一步降低日常工作的基础操作，将一部分安全检测工作实现自动化、提升运营工作效率。

三是自动化运营阶段

通过不断提高各项工作的流程化，优化运营指标，从检测自动化阶段到响应自动化的开展。检测方面进一步提升资产纳管能力，将资产自动化发现、资产可用性自动监控、资产信息动态更新、资产动态监控通知、建立访问关系与行为的基线。响应方面利用SOAR技术建立安全事件响应平台，实现安全事件稽查。根据实际环境条件可实现半自动或自动化处置工作，通过人机结合，改善提升自动化威胁分析与处置能力。

二、创新点

1.安全运营中台

长春农商银行安全运营中台作为智能安全运营的载体，提供大数据分析能力，进行安全技术落地，结合安全技术实施运营工作，根据运营情况不断优化中台能力，终形成以平台、安全技术、安全人员组成的闭环安全运营服务体系，使得整个安全业务流程更加规范、专业、安全。充分体现人防加技防的理念，全场景、全生命周期持续为长春农商银行业务提供安全保障。

图2中台设计思想

2.四维能力

长春农商银行根据自身安全能力成熟度评估结果，进一步补充运营资源、完善安全架构。运用技术体系、管理体系、运营体系实现指标量化，培养专业安全运营人员，将现有安全产品与专业技能有效结合，考虑安全架构的点、线、面、体，从基础层面、纵深层面、感知层面、智能层面等各个维度全方位增强安全能力，将运营工作推动落实到细节之处。

图3构建四维防御能力

3.防治结合

传统的安全建设中一味地追求防御能力，容易存在外强内虚的现象。在安全运营中，长春农商银行坚持防治结合，充分发挥资产发现与体系化管理能力、脆弱性检测与防护能力、威胁分析与响应能力、防御策略优化能力，不断加强防御治理，建强常态化安全运营机制。

防：通过攻防对抗全面摸排潜在风险，并持续跟踪威胁发展趋势，攻防对抗模型与理念，掌握威胁动态，及时预警通告。

治：通过安全编排与自动化响应（SOAR）技术有效分析处置海量安全事件，并依据预设动作完成自动化响应，以人机结合切实提升治理能力。

三、项目过程管理

长春农商银行于2021年10月份启动网络安全防护平台建设项目，2022年2月完成平台的部署、调试和上线准备，于2022年3月投产运行，重点功能模块介绍如下。

1.AiLPHA大数据智能安全模块

有效解决了安全设备孤岛式分布，无法真正协同工作；基于规则识别，产生的海量告警难以处置；安全事件处置碎片化，安全运营效率低下，安全管理人员疲于应付重复、单一的工作要求。

2.APT攻击预警模块

APT攻击是一种很有耐心的攻击形式，攻击和威胁可能在用户环境中存在较长时间。攻击者不断收集用户信息，持续分析用户行为。利用大量跳板和渗透技术，不达到攻击目的决不罢休。APT攻击预警平台有效解决了传统安全设备，如网络防火墙、IDS、应用防火墙、日志审计等措施难以检测的工作瓶颈。

3.应用安全网关模块

全面的应用层防护，内置策略实现对资源对象（源/目的区域、源/目的地址、策略、地理信息、服务等）、时间、连接、并发会话等进行实施监控和检测。内置安全引擎（包括IPS、AV、URL过滤、高级威胁防护、WAF、数据过滤、文件过滤、僵木蠕防御、审计、防代理、APT等功能配置）可实现实时监控网络攻击，检测入侵行为，并根据配置对网络攻击进行告警、拦截等，有效保护网络安全。

4.僵尸网络木马和蠕虫监测与处置模块

集合攻击检测、僵木蠕检测、DDoS检测、恶意程序检测、APT检测、WEB安全检测、虚拟沙箱、元数据提取、流量分析等功能，可深度解析网络流量，结合特征匹配、异常行为分析、机器学习、虚拟沙箱等技术，实现迅速、精准识别网络中各种已知和未知网络威胁。

5.潜听威胁发现模块

在网络中部署伪装成黑客可能感兴趣的业务主机或数据服务器，并设置大量诱饵，如密码文件、有漏洞的服务等，引诱攻击者发起入侵，从而成功捕获攻击者并研究攻击者的入侵手段，进一步加固真正的网络重要资产，提升安全防护由被动变主动、静态变动态、未知变已知、模糊到精确。

6.日志审计分析模块

对海量日志实现全面的智能收集、标准化日志展示。满足日志解析能力、关联算法的可维护性及可扩展性，通用的安全事件标准、可配置的内容策略等工作要求。

7.数据库审计与风险控制模块

有效解决针对数据库系统安全审计工作内置报表不全面、不丰富的各项要求，可精准识别拖库、撞库、暴力破解、大流量返回等容易导致数据泄露的安全问题。实现双向审计功能，保证对于数据库的请求和返回全面审计，在数据泄露发生的初始阶段进行告警和遏制。将SQL语句与真正的执行人绑定，业务侧发起的数据库访问追踪溯源更清晰，覆盖本地运维行为的审计，提升审计可见性，杜绝内部违规。分析报表定期发送，全面了解数据库性能、语句、访问、会话、告警等多方面情况，对于超出基线的行为及时预警，防患于未然。

8.主机安全及管理模块

有效防御已知和未知类型勒索病毒、防御高级威胁全流程攻击，管控全局终端安全态势需求、简单配置、离线升级、补丁管理、流量可视化，构建全方位的主机防护体系。

四、运营情况

1.安全防护团队建设

长春农商银行对安全防护团队的岗位和职能进行明确划分，负责网络安全防护平台的系统运行和管理工作。日常安全运营工作内容有平台管理、互联网暴露面及重要资产梳理、安全数据监控通告、告警研判、渗透测试、攻击样本取证、工具积累、对安全数据和威胁情报发现的事件进行专项处置、漏洞修复、安全策略修复等。通过不同岗位人员之间专业交叉匹配，从而保障运营工作开展的质量。

图4安全防护团队建设

2.流程与体系建设

通过网络安全防护平台建设项目的开展，不断落地各项工作部署，通过技术与管理措施的多方面举措，从而建立健全安全体系与流程。

体系方面，通过优化日常开展运营工作的各环节、各阶段，全面调整和优化“老制度管新技术”的情况，实现动态的、持续的管理制度。解决内部制约机制不完善、检查督导不到位的问题，通过健全的体系，实现安全风险隐患及时识别、快速解决。

流程方面，将资产、业务、威胁三个核心要素紧密围绕，建立资产管理、漏洞管理、事件处置、研判分析、策略管理、威胁建模等流程，通过私有场景设计，打造全域技术手段，使技术与管理同步起效。

图5安全防护体系

五、项目成效

1.以练代培

长春农商银行充分考虑自我人员培养、技能进阶等方面，通过日常防护以及各重保期间工作的有效循环，逐渐提升人员实战能力，包括；告警分析研判、安全事件取证、攻防工具使用、安全产品配置、安全相关技术等。在各项工作的不断开展中，长春农商银行建立了相关知识库，定期开展专项技能培训，加快突发事件处置响应速度，同时充分增强人防加技防的宗旨。 

2.漏洞知识库

基于日常运营中积累的已知和新漏洞信息，如业务系统中WEB应用、数据库、中间件、操作系统等常见漏洞以及漏洞的检测方法、修复方法，整理成为漏洞信息库，提高漏洞修复效率，避免由于更新漏洞引起业务故障问题，并可以与知识库相结合提高整体网络安全技术能力。

3.研判知识库

基于运营中积累的分析研判数据，进行归类整理，输出分析研判手册,整合威胁信息，减少分析负担。终实现以下目的：

减少误报的重复研判。

减少威胁的重复分析。

提取常见威胁的报告。

新增常见威胁的查询。

4.攻防工具库

安全运营团队在日常的渗透测试、重要保障工作中，收集整理的攻防工具，汇集积累成工具库。工具库的整理既是一个技术的积累过程，也是技术和工具的学习更新过程。通过攻防工具库的管理，有助于日常安全运营工作达到事半功倍的效果。

5.威胁知识库

基于网络安全防护平台，将日常攻击行为事件、攻击信息，经过人工分析研判处置，转化生成的威胁情报。目的是实现私有“情报内生”，构建内生安全能力，能够辅助安全工作开展。 

6.自动化技术

长春农商银行网络安全防护平台与SOAR技术结合，将常规需要人工进行的固化操作工作，进一步通过自动化实现，使其人员逐渐摆脱繁杂的重复性和固化操作，将时间和精力放在技术分析和研判上，同时大程度的提升人机结合能力。 

利用自动化技术将日常安全运营的工作流程进行编排，将重复性工作内容进行自动化处理、将资产数据收集、脆弱性管理工作进行统一编排，工作效率可提升60%以上。

图6自动化剧本

六、经验总结

长春农商银行在信息化建设初期，主要依靠部署各类基础的安全设备实现网络安全防护，但在安全架构中面对品类繁杂、相互独立、难以共享数据的大量安全设备，消耗大量的人员时间和精力，却难以在整体上把握和有效改善网络安全状况。

通过网络安全防护平台建设项目的开展，长春农商银行进一步整合了资源，提升了多方面能力和效率，将以往安全工作开展难点和痛点进行改善、消除。同时奠定人防加技防的宗旨，切实提升安全防治结合的能力，使长春农商银行安全工作达到在实中严、在严中优、在优中精的目标。