一、项目背景

随着国内外网络安全问题日益凸显，国家层面对网络安全工作的重视程度也不断提升，不仅通过《中华人民共和国网络安全法》立法指出要“加强网络安全监测预警”和“加强网络安全态势感知”，并且习近平总书记在2016年和2018年的全国网信工作会议也指出“要全天候全方位感知网络安全态势”并且“要做到关口前移，防患于未然”，无论是出于金融监管的要求还是着眼于信息安全防护，都有必要加快构建关键信息基础设施安全保障体系，以网络安全态势感知平台为抓手，增强我社信息安全防御能力，支撑各项业务更好更快发展。

贵州农信信息化发展严格落实网络安全法，监管政策法规和网络安全等级保护要求，始终将网络安全体系及安全能力建设放在首位，通过近几年的网络安全建设已逐步建成省联社数据中心至各行社上下联动的纵深网络安全防御体系，较好地支撑了贵州农信各类业务系统尤其是黔农云、行业应用等互联网类系统安全可靠运行。但面对日益复杂的外部网络环境和持续不断的高级网络攻击，传统的以孤立单点防御为主的网络安全防御体系已不能更好地评估、预测、处置日益严峻的网络安全威胁和攻击。为改善省联社单一安全设备防护能力的不足，提高对安全威胁事件及网络攻击的准确识别和有效追溯，省联社启动建设贵州农信网络安全态势感知平台。贵州农信以态势感知平台建设为抓手，实现观山湖、贵安同城主备数据中心及全省83家行社安全信息共享、资产管理、安全监测、通报预警、工单下发及安全威胁自动处置。并通过对接人民银行态势感知系统、贵州省通信管理局系统和威胁情报数据共享系统实现对贵州省农信网络安全整体的“可见、可查、可控”能力。通过对全网网络安全态势的 “全面感知、准确感知、实时感知”，进一步提升了贵州农信网络安全整体防护能力，降低网络安全风险。

二、项目方案

1.建设目标

贵州农信下辖观山湖数据中心、贵安灾备数据中心和全省83家县行社，数据中心各业务边界（包括金融互联网接入、办公互联网接入、广域网接入和外联接入等）及各行社区域边界均部署防火墙、入侵检测、防病毒攻击、Web应用防火墙和数据库审计等各类边界安全设备。面对网络攻击形式的多样化，每天产生的安全告警事件约在120万条左右，海量的告警事件中夹杂着大量误报和无效数据，依靠传统的安全日志溯源和单一安全设备的防护无法实现网络安全威胁的精准研判和实时处置，网络安全威胁逐渐增大。为此，贵州农信通过建设网络安全态势感知平台，结合大数据分析技术，将单一孤立的网络安全防御体系升级为以海量安全数据为支撑的，多设备协同联动的新一代网络安全立体纵深防御体系，全面提升贵州农信应对网络安全攻击事件的检测识别、回溯分析、处置研判能力。

2.建设任务

基于防火墙、入侵检测、防病毒攻击、Web应用防火墙和数据库审计等各类边界安全设备产生的海量安全日志，结合APT高级威胁检测进行数据流分析，有效识别各种网络安全风险。通过引入多源网络行为关联分析技术，基于知识图谱的多维并列可视化技术，高级安全威胁分析技术，AI安全建模分析技术等实现贵州农信网络安全态势的“全面感知、准确感知、实时感知”，进一步提升贵州农信网络安全整体防护能力，降低网络安全风险。重点研究以下几个方面：

一是研究大数据安全分析。研究针对网站全流量数据进行采集后统一的存储分析，通过对业务全流量数据的采集并存储于分布式大数据存储系统中，分析完善网站相关服务资产信息，发现相关的的安全漏洞和未知威胁。能够从多方面多维度对系统运行状况进行分析展示，从而在业务流程规范，系统服务安全，安全风险评估等方面给予支撑。

二是研究基于大数据的安全事件的历史数据统计分析算法和安全事件预测算法，支持海量数据的多维度分析和安全事件的预警分析；

三是研究网络安全合规评价体系。研究贵州农信及金融行业需要遵从的行业安全规范、监管部门针对网络安全等级保护要求及监管法规的安全控制点要求，并基于大数据采集、处理和分析进行安全控制点映射处理算法的研究，同步建立网络安全合规评价体系；

四是研究大规模网络中安全态势的展现机制。通过多层次不同颗粒度的安全展现与安全事件的分析溯源机制，高效地从海量大数据中进行不同颗粒度的多维度安全事件的快照式处理与安全事件根因、路径和影响分析。

五是研究网络安全事件分析研判，告警溯源，情报共享，剧本编排，AI智能封禁等全流程闭环管理的技术实现及运营机制。重点研究通过场景建模，大数据关联分析，AI分析不断提升网络安全事件分析研判的及时性，准确性，逐步构建并不断丰富各类网络安全事件的自动化封禁剧本，最终实现网络安全威胁的自动发现，自动识别，自动处置的全流程闭环管理。

3.建设内容

贵州农信网络安全态势感知平台纳管全省4.6万台终端，接入观山湖、贵安同城双中心约60余台网络安全设备。通过构建以网络安全态势感知平台为核心，自动化编排与响应系统和网络安全威胁情报系统为支撑，基于攻防场景的机器学习、多源数据多维度的关联分析、安全事件自动化编排、可视化呈现等技术，实现网络安全态势的全面监控、网络安全威胁的实时预警、网络安全事件的自动化处置全流程闭环管理，全面提升我社网络安全态势的“可见、可查、可控”能力。“可见”，即通过对网络安全态势数据的综合分析，实时展现全网网络安全攻击事件和威胁态势，监控数据中心及各行社网络安全运行状况，提升对贵州农信整体网络安全风险的全局观测能力；“可查”，即省联社与各外部机构，省联社与下辖各行社共享威胁情报，实时预警重要网络安全风险，做好网络安全威胁的主动应对；“可控”，即通过建立通报预警机制、工单下发机制，及时将网络安全风险及安全事件通报下达并督查处置。

三、创新点

1.基于跨层级数据共享的安全协同防护体系建设

随着网络安全威胁的不断演变，项目引入了一项创新性的安全防护机制，通过跨层级数据共享的方式构建了更为全面的安全防护体系。一旦态势感知平台接收并处理数据后，精准研判的结果将通过数据管道传送至通信管理局，实现数据在不同层级之间的有机共享和流动。通信管理局收到这一数据后，经过内部深度分析和判断，根据影响范围和严重程度，提炼出适合全行业的网络安全防护清单。该清单分享至全省各行业，各行业可根据具体需求进行处置。这种协同处置模式使得省内各行业能更迅速、更有针对性地应对网络安全威胁，构建更为高效的网络安全生态。

同时，在全省通信入口对该类威胁进行处置，为省内各行业提供更为全面和高效的安全保护。这种跨层级的信息传递不仅加强了省内网络的整体安全性，也为国家和其他省份提供了类似的防护手段，形成了更加协同、统一的网络安全防护力量。在国家级层面，这一创新点的意义更为显著。通信管理局将分析研判后的数据共享至工业和信息化部，部里根据上报的数据进行深入分析和研判，可以迅速了解并响应涉及全国的网络攻击威胁。这种全国层面的协同处置机制有助于国家更有效地减轻来自国外的网络攻击威胁，为整个国家的网络安全提供了更为全面的保障。

2.基于机器学习的加密流量智能防护

面对加密流量的挑战，平台在技术创新方面取得了显著的进展。平台巧妙的结合了业务特征、统计学和机器学习的方法，实现了有针对性的加密流量攻击的攻击防护。由于传统安全设备难以直接检测加密流量，平台采用了一项创新性的解决方案。通过深入分析业务的特征和攻击行为，在态势感知平台上运用统计学和机器学习相结合的方法，成功开发了专门针对加密流量的防护规则。

通过对加密流量进行细致入微的统计学分析和机器学习模型训练，实现了精准识别潜在的攻击行为。通过捕捉业务的统计学模式和机器学习算法的学习能力，平台能够更准确、更迅速地发现异常行为，并判定是否存在攻击威胁。一旦攻击行为被确认，系统将自动将攻击者的IP地址传送至自动化分析平台进行即时封禁，实现对业务系统的强有力保护。

这项技术创新不仅填补了对加密流量检测的空白，更有效地提升了对潜在威胁的实时响应能力。通过综合业务特征、统计学和机器学习的分析，平台在加密流量的防护方面迈出了关键一步，确保了在面对复杂网络环境下的高效运行和持续保护。

3.基于多设备联动交叉分析算法优化的网络安全防护

在网络安全防护过程中，针对于不同的网络区域划分，其相应的防护手段不尽相同，其中重点的防护区域当属互联网区域。在互联网区域中，包含了IPS、WAF和防火墙等安全设备，而这些设备的告警存在大量误报。为了提高该区域告警的精度，项目引入了一台APT（高级持续性威胁分析系统），通过旁路流量镜像的方式将流量发送给APT进行深度分析。

创新点的核心在于将该区域安全设的告警日志进行精细的划分，根据告警日志的攻击时间、攻击类型、攻击IP和被攻击IP等关键信息进行交叉联合分析。如果存在任意两台设备同时发生同样的告警，认为该告警真实性较高；若存在三台设备同时发生同样的告警，认为这一类告警真实性最高。通过这一联合分析手段，成功提升了互联网区域的告警精准度，显著降低了误报率。

这一创新点进一步细化了碰撞规则，采用联合分析攻击相关信息的方式，更全面地考虑攻击事件的多个方面，确保了对真实威胁的更为准确的识别。通过引入APT进行深度分析，并结合精细的联合分析规则，项目在互联网区域的告警处理中取得了令人瞩目的成果，为网络安全防护区域的精准防御提供了有力支持。

4.基于威胁特征库提升自动化研判精度的网络安全防护

尽管创新点2在降低安全设备告警误报率方面取得了一定效果，但实际分析结果仍存在一定不确定性。为进一步提升告警的精准度，项目将创新点2的分析结果送入自动化编排和响应系统进行深度研判，以期获得更为精准的研判结果。基于威胁情报库的自动化研判，其创新点在于系统引入的攻击特征库和网络安全威胁情报库。攻击特征库由网络安全运营人员梳理安全攻击行为特征而得，而安全威胁情报库则源于第三方平台的支持。研判的两个关键步骤如下：首先，通过网络安全威胁情报库对告警数据进行查询，若存在威胁，立即实施第一步自动化封禁。其次，继续将数据通过自动化剧本进一步分析，与攻击特征库进行碰撞，提取真实的攻击特征。最后，将真实具备攻击特征的攻击行为记录到威胁情报库。

四、技术实现特点及优势

贵州农信网络安全态势感知平台整体功能架构分为六个层次，包括：信源层、数据采集层、大数据叫主层、智能分析层、安全管理层和应用层。在标准规范建设方面，平台注重包括采集探针标准、平台接口标准、数据规范标准、业务流程标准在内的一系列标准规范体系设计。平台整体架构如图1所示。

图1 平台功能架构图

根据贵州农信网络安全态势感知的整体架构和设计思路。首先，通过日志探针和流量探针将数据中心及行社日志、流量统一收集进行范式化分析。其次，对接CMDB系统、Nessus漏扫建立资产台账。再次，将威胁数据与本地威胁情报中心进行碰撞，使深处威胁无处遁形。最后，针对行社告警，通过工单系统将各行社告警分配至下辖单位进行处置。详细部署架构如图2所示。

图2 平台部署图

1.平台主要功能

贵州农信网络安全态势感知平台整体完成六大功能模块，其中包括：资产管理模块、安全监测模块、安全监测模块、精准告警模块、通报预警模块、人行态势对接上报模块和省通管局对接上报模块。

①资产管理模块

贵州农信网络安全态势感知平台，由平台提供统一数据接口，通过流量自发现、日志采集、对接CMDB系统，实现对贵州省2个数据中心，83家行社的资产信息全方位管理，并为各行社建立资产责任体系，做到资产威胁有据可查。主要包括资产测绘、资产感知和资产脆弱性。

②安全监测模块

通过贵州农信网络安全运营平台，依靠流量探针、日志探针、威胁情报平台、漏扫工具等汇总多类网络安全数据，从而实现对贵州农信体系网络安全整体情况的“可见”，“可查，“可控”能力，83家接入行社无需进行重复建设，保护现有投资。同时通过收集对接CMDB系统，对贵州农信安全信息的进行总览监测和态势感知综合分析。根据已提供的业务系统数据，通过平台监控关键业务是否正常、重点防护区域是否安全实现对系统运行态势、安全威胁态势、资产态势等的全方位监测。

③精准告警模块

网络安全态势感知平台不仅能发现网络环境中潜在的高级风险，而且还能通过大数据安全分析技术降澡海量安全设备告警。大数据安全分析需包括安全模型分析模块、算法库分析模块和攻击预警分析模块等。安全威胁分析应具备对海量事件的逻辑分析，基于解析的事件或识别的事件进行统计、阀值、事件发生的先后顺序、多事件的属性间的关联分析等多种关联分析手段。比如时序的关联、因果的关联、频次的关联等，不依托于安全设备的告警日志分析，通过关联规则分析可能来自多个数据源触发的潜在的安全威胁。具体分析架构如下图3所示。

图3 网络安全分析功能架构图

④通报预警模块

当平台监测到行社中服务器或终端已经失陷或存在重大风险隐患时，根据谁使用、谁管理原则，通过贵州农信网络安全态势感知平台，进行安全事件的快速通报，并跟踪相关行社的处理进度，实现对事件的处理。工单接收单位按照通报要求和规范进行工单的确认、处理，及时消除影响和危害，快速解决安全问题，失陷信息安全事件的发现、通报、处置、按期反馈和闭环处置。

⑤自动化处置模块

通过实施自动化编排和响应系统（SOAR），及时对网络流量、终端等观测点的数据进行检测分析，结合安全设备的告警日志之间的关联分析，并同威胁情报数据进行协同分析，打破了安全防护产品间的数据孤岛。通过误报检测、溯源分析、ATT&CK分析、杀伤链分析等技术，完成告警稽查，打破了安全组件间的壁垒，实现全视角多维度的威胁检测分析。通过智能的自动化研判技术，对安全事件进行分析研判，目前已支持43种威胁场景的识别。通过威胁场景剧本，实现了对网络威胁的自动化研判，形成了自动化处置方案，提升了安全运营的效率。

⑥人行态势感知对接上报模块

为更好指导全国金融业网络安全和信息化，建设全国金融业网络安全态势感知能力，实现对全国金融行业安全信息总览监测、对安全态势数据统一分析，加强金融行业网络安全预警处置，提升全国金融业网络安全联防联控。中国人民银行于2019年开始建设“全国金融业网络安全态势感知与信息共享平台”。以建设贵州农信网络安全运营平台为契机，按照《金融行业态势感知与信息共享平台数据接入与信息共享标准v1.3.3》对接总行态势感知平台，实现7类网络安全数据的统一采集和对接报送，为构建贵州农信统一的网络安全态势感知、网络安全和信息化管理开创了良好局面。

⑦省通管局对接上报模块

通过API接口推送信息形式，将贵州农信网络当中通过本地威胁情报碰撞验证过的恶意IP及恶意域名等信息进行上报，借助贵州省通管局专业人员进行研判，对恶意IP进行精准封堵，有效提升全省网络安全程度。

2.关键技术方案

①多源网络行为关联分析技术

随着仿真作战任务的不断推进，会产生大量的网络行为，多个网络行为构成一次网络安全攻击。因此网络安全攻击天然具有附着性，无法通过单次的攻击行为去发现整体网络安全问题。将安全设备的告警信息作为线索，通过联动分析多个网络行为，判断攻击发生时，是否对系统造成影响或者是否利用了系统的安全漏洞，确认是否为有效攻击，并进一步分析网络行为造成的影响程度。使用的关键技术主要包括仿真基础环境态势、网络行为关联分析、关联建模技术等。

②基于知识图谱的多维并列可视化技术

实现态势智能推演的可视化呈现技术，实现有效的从多个纬度，使用多种可读性高、美观的可视化系统，展现总体安全态势。为判研、决策和保障网络安全提供有效的支撑。态势感知可视化能够有效的展示出复杂数据中蕴含的最有价值信息，所用技术包括但不局限于：地图、网络、动态、柱状图、甘特图等方式。根据不同场景提供多个可视化视角，例如：资产态势、攻击态势、威胁态势、事件态势等。在安全风险可视化层面，使用多维并列技术，针对海量数据繁多的指标与维度，按主题、成体系地进行多维度的实时交互分析，提供上卷、下钻、切片、切块、旋转等数据观察方式，呈现复杂数据背后的联系。

③高级安全威胁分析技术

（1）安全溯源分析

攻击溯源联动分析通过安全设备的告警日志、系统设备日志与资产画像对比分析，以检测威胁为基础，对攻击范围、攻击时间、攻击行为、攻击对象等进行准确溯源，提供资产维度溯源分析、资产建模分析、溯源分析报告、业务安全威胁、业务脆弱性健康度评价等分析成果。

（2）威胁情报关联分析应用

威胁情报是针对内部和外部威胁源的动机、意图、能力以及战技过程的详细叙述，威胁情报可以帮助企业和组织快速了解到敌对方对自己的威胁信息，从而提前做好威胁防范、更快速地进行攻击检测与响应、更高效地进行事后攻击溯源。对企业而言，威胁情报的应用/消费是实现情报价值的关键，通过安全威胁分析与预警平台和威胁情报的集成，实现全网的基于威胁情报的协同联动，才能发挥平台与情报的最大价值。

（3）未知安全威胁分析

通过威胁情报对外部资产发现和监控用于发现暴露于互联网侧的资产信息，并对资产的威胁状况进行监控。

（4）AI安全建模分析

利用AI技术实现用户行为分析（UEBA），通过机器学习算法快速训练客户现场安全场景，对异常行为进行定位跟踪，风险阈值实现智能动态调整，实现智能安全判定，对残余风险、隐蔽威胁、未知攻击和0day攻击等未知风险进行检测。提供攻击者画像建模分析、资产画像建模分析、安全事件组合关联分析、业务感知分析等功能：

（5）协同处置建设

安全事件的全生命周期跟踪处理，实现安全事件溯源、安全处置工单跟踪；并累计安全事件的特征，合并分析之后扩充至本地威胁情报库，实现未知安全威胁的发现。从真正意义上实现将传统的安全防护转变为具有智能自学习能力的大数据自动安全分析、预警与联动处置一体化的整体企业网络安全运营平台。

④精准研判及自动化封禁技术

通过建设自动化编排与响应系统，将网络安全运营中发现的高频网络安全威胁行为合计分为43类攻击场景，并同步建立43个自动化剧本。一是通过梳理每类攻击场景的攻击特征人工研判后形成平台自有网络安全威胁黑白特征库，并联合网络安全威胁情报库对网络威胁行为进行分析研判，从而实现对网络安全告警去伪存真、去粗取精，进一步提升分析研判精准度。二是通过平台分析研判提取高危安全事件，在通过自动化编排系统联动互联网区域的边界DDOS设备实现威胁自动封禁，提升高危网络安全事件自动化处置效率。三是平台支持拖拽式交互设计安全风险分析研判策略和联动响应剧本，支持多种策略编排动作，包括但不限于关联验证、告警聚合、联动、阻断。通过网络安全运营不断丰富和沉淀自动化剧本，将人工分析经验沉淀为标准流程，不断优化响应流程，降低网络安全运营技术门槛，提高沟通协作效率，将处置响应时间从小时甚至天降低到分钟级别。

五、项目过程管理

我社网络安全态势感知平台分多期迭代建设。截止目前已经完成二期建设，正在开展三期建设，达到预期建设目标。

第一期项目（2021年5月-12月）：主要包括网络安全态势感知平台基础底座建设，由杭州安恒信息技术股份有限公司中标，于2021年5月启动建设，2021年12月上线投产。

第二期项目（2023年1月-12月）：主要包括自动化编排与响应系统（SOAR）和网络安全威胁情报系统建设，分别由北京国舜科技股份有限公司和北京微步在线科技有限公司中标，于2023年1月启动建设，2023年12月上线投产。

第三期项目（2024年6月-）：主要包括杭州安恒网络安全态势感知平台和国舜科技自动化编排与响应系统（SOAR）平台扩容及新增部分功能模块。项目于2024年6月启动，目前正在建设中。

六、运营情况

贵州农信网络安全态势感知平台项目运行总共分为四个部分，包含网络安全告警总览、自动化处置情况、IP地址封禁及恶意情报共享情况。

1.网络安全告警总览

这一部分主要展现自从态势感知平台正式运营以来，平台每日收到的告警数量，经过平台研判后的精确告警数量以及真实告警占比。如图4所示。

图4 网络安全威胁告警总览

图4统计了过去任意一周的运营数据，包含了每日的告警的数量，经过平台处置后的真实告警数量和真实告警数量的占比。如图可以看出，真实告警仅占每日告警量的6%，证明每日平台接收到的大量告警属于误报，误报自动化处置率达到94%。为了进一步了解告警的类型，平台统计了不同安全威胁占比，如图5所示。

图5 网络安全威胁告警类型占比

同图5可以明显的看出，FTP弱口令占据了告警数量的79%。经分析，FTP弱密码涉及业务数据传输，如果要进行调整，需进行全省所有行社统一进行调整。由于涉及面较广，影响范围较大，因此需要逐步解决。另外针对于REDIS弱口令属于业务配置问题，该问题发现一起，处置一起。跨站脚本攻击属于每日常规处置动作之一，同样是发现一起，处置一起。DNS请示大量来至于行社的ATM机操作不当导致感染病毒，一经发现便责令行社立即处置，以缩小影响范围。

2.自动化精准研判和处置情况

为了提高网络安全事件的处置效率，降低人工处置带来不必要的风险，平台引入了自动化网络安全事件处置机制。其相应的运营情况如图6所示。

图6 网络安全威胁自动化处置率

由图6可知，经过精准研判后的告警数据，每日从12万降至8000条，系统根据不同攻击类型经过不同的研判剧本，对数据进行自动化处置。从图6可以看出，每日自动化处置率达到了95%以上。同时将告警所涉及的主机数量进行了统计，如图7所示。

图7 网络安全告警涉及主机总览

由图7可知，每日告警数量所涉及的主机在100台左右，其中主要的告警行为存在于行社，数据中心仅有少量零星几台。从图7可以明显的看出，网络安全的压力来至全省各行社，需进一步加强行社的安全管理，增强每一位员工的安全意识。

3.IP地址自动封禁情况

平台根据对网络威胁数据的精准分析后，针对具有真实攻击行为的IP进行了自动化的实时封禁处理。根据项目运营情况，选取了2024年1月11日至1月17日的数据绘制成图8。如图可以看出，国内的攻击数量占比较大，国外的攻击占比较小。而且，国内、国外每日的攻击行为几乎趋于稳定。

图8 自动化IP地址封禁总览

4.恶意数据共享情况

平台每天将精准研判后的数据自动推送至贵州省通信管理局。根据项目运营情况，选取了2023年10月至2024年2月的数据推送情况绘制成图9。如图可知，每月共享给省通信管理局的数据大至在5000条左右，其中恶意外联地址占据99%，涉及僵木蠕1%。

图9 恶意数据共享

七、项目成效

1.制度建设成效

网络安全运营流程的闭环管理在项目建设中取得显著成效，形成了全面、高效的安全事件管理框架。这一框架集中管理网络安全事件的各个关键环节，包括事件的发现、分析和处置，使得贵州农信能够更全局地理解和应对网络安全挑战。其中，安全事件的响应速度得到显著提升，通过优化流程和引入自动化手段，项目能够在事件发生的第一时间内做出及时而有效的响应，降低了潜在威胁的蔓延风险。此外，强化的安全事件分析和监测机制通过引入先进的技术手段，提高了对威胁的敏感性和识别准确性，确保了更高水平的网络安全。

2.技术创新成效

平台在技术方面取得显著成就，首先彰显在实时感知与响应能力上。通过对网络流量的即时感知，平台在攻击发生瞬间能够迅速作出响应，过去3个月内成功实施了5000余次实时响应，为系统提供了即时的安全保障。其次，引入自动化剧本引擎技术极大的提高了对安全数据的清洗和告警分析效率，实现安全事件研判从原来的30分钟提升到秒级，迅速完成复杂的安全操作，显著缩短了响应时间，提高了整体安全运营效率。最后，通过将自动化封禁技术与威胁情报库的联防联动，构建了一套卓越的自动化防御体系。项目运营至今，已成功封禁了646个确认具备真实攻击行为的IP地址，其中包括520个境外和153个境内。自动化封禁技术的实施显著提升了系统对潜在威胁的防范能力。这一系列技术的引入，共同构建了一个先进而高效的安全平台，为网络安全提供了强有力的支持。

3.协同防护体系建设成效

项目引入了基于跨层级数据共享的安全防护机制，在网络安全协同防护方面取得了显著的成就。通过该机制，成功构建了联防联控处置机制、全面高效的网络安全防护清单以及省内外网络安全协同防护体系。

该体系实现了网络安全信息的有机传递，促进了省内各行业更迅速、更有针对性地应对网络威胁，构建了高效的网络安全生态。该机制通过分享网络安全防护清单，使得各行业可以根据自身的具体需求对清单中的网络安全威胁进行高效的处置，从而提高了整体网络安全的应对速度和精准度。此外，该体系还协同省级通信入口，共同处置威胁，为省内各行业提供了更为全面和高效的安全保护。

这一创新性的技术安全防护体系建设为网络安全领域注入了新的理念和实践，提高了网络威胁应对的速度和精准度，为各级组织提供了全方位的网络安全保护策略。

4.经济效益成效

近些年由于信息安全事件给金融行业带来的社会信誉和经济损失事件频发，同时国家对于关键基础设施的保护要求越来越严格，通过开展信息安全态势分析、及时发现安全事件，处理安全风险可以减少或降低信息安全事件的发生，同时也降低了造成国家关键基础设施破坏和社会及经济效益损失的可能性。

（1）降低信息资产被攻击的损失

网络安全态势感知平台通过收集贵州农信网络安全相关数据，强调从业务信息系统安全风险分析的角度，贯彻网络安全集中建设目标，逐步推进贵州农信全网“安全运营、安全合规、安全监测、数据安全、安全审计”五大关键能力的集中化建设。项目建成至今，可提供外部高级、隐蔽性网络安全攻击监测能力，内部横向扩散监测能力以及基于SOAR的安全智能化运维响应能力，将极大的缩减安全事件的处置时间，至少提升50%的网络安全事件处置效率，保障贵州农信关键核心业务稳定运行，减少外部攻击造成的经济和名誉损失。

（2）降低重复性安全运维人力投入

本项目通过建设安全大数据中心，实现对贵州农信的安全数据集中管理，一定层度上消除数据孤岛的存才；建设SOAR安全运营能力，实现对贵州农信的安全要素集中管理，包括安全设备、信息资产、脆弱性等，一定层度上消除安全能力孤岛。协同各安全产品对于威胁事件进行终止、隔离、取证等安全手段，快速终止威胁的持续，构建一体化联动防护能力。减轻安全运维人员的工作负担，提升安全运维效率，间接降低重复性安全运维人力的投入。

（3）降低重复性安全建设投入

本项目平台基于大数据技术研发，支持平滑扩展，兼顾未来业务的发展需求。随着贵州农信信息化业务的不断发展，将会产生更多的安全相关数据，以及新的安全业务模式，该平台基于大数据技术研发，支持增加硬件节点的方式进行平滑扩展，增加数据计算能力和安全能力，一定层度上降低未来业务需求的重复性安全投入。

八、经验总结

该项目在网络安全领域取得的多个创新成果具有显著的示范意义和推广价值。首先，通过构建全面、高效的安全事件管理框架，项目成功提升了网络安全的整体水平。这一成果不仅为其他行业提供了一个行之有效的范本，而且还展示了如何在安全事件的发现、分析和处置方面建立集中管理框架的方法，从而为提高整体应对网络安全挑战的能力提供了启示。

其次，在技术创新方面，自动化研判分析和加密流量防护方面的创新成果，尤其是结合统计学和机器学习方法的网络安全防护，不仅为其他安全平台提供了先进的技术实施路线，而且还提供了一套真实、有效、可行的网络安全解决方案。这种技术创新在弥补加密流量检测的空白、提高实时响应和精准识别方面具有较大的推广价值。这一系列成果不仅为网络安全领域树立了榜样，而且还为不同行业构建更为健全和高效的网络安全体系提供了宝贵经验。

最后，在协同防护体系建设方面，协同防护体系的建设作为项目在技术方面的重要成就，不仅在省内具有一定的示范意义，也为全省乃至全国的网络安全防护提供了先进的理念和实践。协同防护体系将跨层级数据共享相结合，构建了更为强大和协同的安全防护体系，为网络安全领域注入了新的理念和实践，具有极高的示范价值和推广潜力。该机制不仅提高了网络威胁应对的速度和精准度，同时为各行各业提供了全方位的网络安全保护策略。

截至目前，项目已在贵州农信全省83家行社成功应用，实现了全省范围内83家行社7*24小时不间断网络安全事件全生命周期监控。通过及时发现和处置问题，有效的肃清了网络风险，构建一个绿色安全的网络环境，成效显著。通过项目的实际推广和应用，项目在文化建设、制度建设和技术应用方面均取得了积极有效的实施成果。这一成功经验为将项目的成果推广到其他行业提供了强有力的实践案例支撑。在推广过程中，可以通过定制化调整，根据其他行业的实际情况进行灵活应用。项目的示范效应和成功推广案例将有助于其他行业更容易接受并有效应用项目的成果，为构建更安全的网络环境提供可行的参考和指导。