一、项目背景及目标

数字文明时代，数据成为核心命脉。当前，数据资产已成为各企业最具战略性的重要资产之一，其价值和重要性日益凸显。

近年来，黑客、黑产组织的针对数据的攻击方法层出不穷，APT攻击、勒索攻击、供应链攻击等呈现多样化、高频化、组织化等特点。网络攻击的发起方已经转向专业的黑产组织，越来越多的基础设施进入攻击者的视野范围内，进一步催生出新业务新场景新基础设施的迭代升级。网络攻击、黑客入侵、病毒传播等安全隐患时刻威胁着企业的网络及数据安全，这也进一步导致了安全需求和企业核心业务直接关联，安全工作面临着攻击者攻击手法不断创新和复杂度呈指数级增长的趋势。

当前，企业安全工作主要面临如下四大难题：

①数据孤岛、难以关联：每个安全设备都基于自身规则产生相关告警和日志业务类型众多，缺乏有效的管理机制和关联机制。

②误报漏报，告警繁多：各个安全设备一天产生几万甚至几十万的告警，数据管理效率低，无法进行有效的告警分析，真实威胁难发现。

③运维响应，任务复杂：传统安全设备的运维处置要求安全人员具备丰富的经验，缺乏自动化手段，任务重，难度大。

④外部威胁，难以阻止：新型渗透、漏洞、威胁日新月异，防不胜防，传统网络安全设备基于既有规则进行防护，永远滞后。

面对新形势下的网络安全风险，如何有效提升企业整体安全运营效率是必须解决的问题。企业需要针对网络安全威胁进行实时监测、分析和自动化响应，并能够全面采集各种安全数据，保障数字化资产风险的监测识别，能够梳理整合已建设各种安全能力，汇聚融合多源风险分析结果，多维视角分析企业风险态势，并串联多种安全响应手段，从而才能健全企业网络安全闭环防护体系。

为应对新形势下的网络风险，进一步提升公司整体网络安全态势感知能力，健全安全风险的威胁监测与处置体系，同时满足行业监管单位关于网络安全监测预警信息报送的要求，长城证券股份有限公司开展建设平台化、专业化的网络安全态势感知平台。此外，网络安全态势感知平台作为长城证券核心安全基础设施，对数据、技术的自主可控十分必要，因此采用全栈信创化技术路线，构建安全可控的防护体系，进一步提升公司安全自主可控能力。

项目总体目标：基于长城证券内部安全设备的日志、流量等安全数据，利用大数据、威胁情报、关联分析、机器学习和可视化等技术，建设一个智能的、联动的、立体的信创化网络安全态势感知平台，通过对网络数据流量、系统运行状态、安全事件等信息进行实时监测、预警和分析，实时、准确、有效地发现真正的攻击行为以及可疑事件，帮助长城证券实现安全事件的智能发现、快速响应和有效处理，进而实现对网络安全态势的整体掌控、研判和及时决策。

二、创新点

项目在建设方面创新点：

（1）基于AI算法和流式算力框架技术的场景化规则模型设计创新：

网络安全态势感知平台的核心在于场景化分析模型的设计，通过增加更多维度信息量来减少不必要的告警，并发现更隐蔽的攻击或恶意行为。本项目场景分析模型设计基于四大引擎，具体如下：

①关联规则引擎：提炼降噪，针对无实质影响的网络探测扫描等，可从时间、频次、范围等维度设定规则，通过关联归并等，并结合威胁情报对其封禁，消除大部分的无效告警。适用于基于日志特征、攻击特征、业务特征等维度的数据源，根据特征匹配和阀值配置等从日志数据中筛选出异常记录，触发告警或进行后续高级安全分析。

②场景规则引擎：关联深挖，结合“攻击链”、ATT&CK等，在攻击的多个阶段设置检测点，建立关联分析模型，提升告警准确性，比如对曾被攻击的资产发出的外联行为或内网扫描予以特别关注。支持跨越多个设备来源及数据种类，从多个异常记录中检测行为模式，发现隐藏的高级威胁网络风险并触发安全告警。

③统计规则引擎：适用于某一规则条件达到一定程度时告警，或多个数据源之间计算结果达到一定程度时告警，可以发现如频繁暴力破解尝试等恶意行为。

④基线规则引擎:根据历史数据进行对比分析，基线规则引擎持续构建并更新基线信息，自适应发现异常行为和偏离群体，如发现异常用户、异常主机、异常下载等行为。

（2）基于AI模型算法的日志智能解析技术创新：

本项目采用智能的安全数据的采集和数据治理方式，将自然语言理解模型应用于对安全事件内容的理解和分析中，实现对安全日志和事件内容范式自动化。通过运用机器学习于日志内容的向量定义、词频-逆文档频率动态识别、自主降维、向量矩阵聚类等方式，实现无需人工干预的日志内容和结构识别，实现无需标记数据即可实现自动内容特征异常检测，将绝大多数原来需要人工手动进行的工作实现智能化，极大释放运维人员对日志内容范式化的工作量和成本。同时，具备通过关联多元多维信息，诸如情报、漏洞、资产信息等数据内容进一步增强对原始数据的多维度补充和标签能力，以便于对安全事件的分析提供更多元素和维度视角。

（3）基于安全威胁评估算法的运营指标体系创新：

本项目充分考虑日常安全运营重要性，通过工作台提供体系化的安全威胁评价指标，度量安全运营、安全运维的成效，形成螺旋上升的迭代优化过程。通过以运营指标为抓手发挥安全技术监测和防护能力，通过平台健康度指标驱动平台能力建设，为事件运营提供基础保障。

项目在推广应用方面创新点：

通过本项目的探索和实践，验证了长城证券安全大数据与行业网络和信息安全态势感知平台对接的可行性，配合并协助监管单位完成行业安全态势数据的采集、处理、展示和共享。在2024年攻防演练中，长城证券利用网络安全态势感知平台的安全大数据分析能力，持续向行业网络和信息安全态势感知平台报送安全情报，并最终在行业情报贡献中排名第一，收到中证技术的感谢信。

行业网络和信息安全态势感知平台的高效运行依赖于证券行业成员单位所提供安全大数据的丰富性和多样性，因此，本项目的创新模式适用于行业监管范围内各成员单位，通过证券行业全面的安全大数据对接，达到提升证券行业整体安全态势感知能力的效果。本案例曾荣获第四届（2024）“金信通”金融科技创新应用案例“最佳先锋探索案例”奖，证明项目具备充分的可推广性。

三、项目技术方案

本项目基于长城证券安全管理现状及现有安全系统，针对安全告警和IT基础架构中系统层、网络层的日志、流量数据进行统一纳管，以实现以安全事件为驱动的网络安全态势感知平台建设。

平台总体架构分为五层，自底向上依次是：数据采集层、数据处理层、数据传输层、数据分析层、数据储存层，具体如下：

①数据采集层：按照平台部署的网络区域和采集流量范围动态线性扩展，实现对所有安全、网络、终端、服务器设备各类型数据采集，并保障数据的完整性和一致性。

②数据处理层：实现对代理采集到的数据按照数据标准进行数据清洗、数据过滤、数据标准化解析、数据关联补齐、数据标签等数据预处理，对数据格式的一致性修正，以统一的数据格式和映射字段标准进行数据清洗和规整。

③数据传输层：实现以Kafka技术能力对全量采集数据的集中化实时动态数据传输、缓存，保障数据实时动态消费能力和海量数据传输稳定能力。

④数据分析层：采用Flink并行处理框架，实现对数据传输层中实时数据进行关联分析能力，提供以特征匹配、时序条件、逻辑条件、场景模型的能力来发现威胁安全事件

⑤数据存储层：实现以ElasticSearch以及达梦数据库来支持全量热、温数据存储和秒级大数据检索、分析能力，以Hadoop框架来支持全量冷数据存储和历史数据学习能力。

图1：系统总体架构

系统采用模块化架构设计，核心模块灵活性高、可以独立扩展。系统采集数据后，可对数据基于Flink、EZlogic等实时计算引擎进行清洗、格式化、富化、打标等数据预处理，最终存储在冷热数据库组件中，也可基于Elasticsearch、Hadoop存储实时数据。

图2：系统技术架构

本项目核心技术方案框架如下：

①日志数据采集技术框架

本系统支持高可用的、高可靠的、分布式的海量日志采集、聚合和传输，采集agent支持在日志系统中定制各类数据发送方，用于收集数据，同时提供对数据进行简单处理，并写到各种数据接受方的能力。

图3：采集agent服务架构

②日志范式化技术框架

采用智能的安全数据的采集和数据治理，将自然语言理解模型应用于对安全事件内容的理解和分析中，实现对安全日志和事件内容范式自动化。利用RNN、CNN等深度学习算法对事件序列的短期、长期记忆效应，实现无需标记数据即可实现自动内容特征异常检测，将绝大多数原来需要人工手动进行的工作实现智能化，极大释放平台运维人员对日志内容范式化的工作量和成本。同时具备通过关联多元多维信息如情报、漏洞、资产信息等数据内容，进一步增强对原始数据的多维度补充和标签能力，以便于对安全事件的分析提供更多元素和维度视角。

图4：智能化日志范式化技术架构

③数据存储、索引技术框架

本系统采用ElasticSearch引擎。ElasticSearch是一个高可扩展的开源全文搜索和分析引擎，它允许存储、搜索和分析大量的数据，并且这个过程是近实时的。它通常被用作底层引擎和技术，为复杂的搜索功能和要求提供动力。

④规则引擎框架

本系统采用基于全境数据（实时/历史数据、资产、情报、脆弱性等特征数据）的全栈规则引擎（流式引擎/批次引擎），对各类型攻击和风险事件提供实时数据流特征分析和预警能力，采用可视化配置单一或多类型安全规则和场景中逻辑关联条件，关联规则通过对日志、安全规则、资产内容和威胁情报进行自动化关联分析，可有效发现威胁和异常；采用Flink技术框架，简单易用，无需使用者掌握复杂语言或者算法能力，极大降低使用成本，能快速积累场景规则。

图5：安全规则引擎技术框架

图6：安全规则引擎服务架构

⑤安全事件自动化编排和响应处置框架

如何高效运维，已经成为当前各企业IT安全部门必须要解决的问题。高效运维是人，流程，设备之间的达到一个可跟踪，高协调，可量化，流程标准化的一个状态。本系统内置自动化安全编排SOAR模块，具有安全编排和自动化响应能力，可以把一致的、可重复的动作预先通过“剧本”的方式编排好，当安全事件发生时，可以按照预先定义好的流程顺序和节点定义执行，自动化完成整个响应和处置过程。

图7：自动化编排和响应技术架构

图8：自动化编排和响应服务框架

四、项目过程管理

项目实施耗时约7个月，各阶段的实施周期如下：

（1）项目准备阶段：召开项目启动沟通会议，与项目干系人明确系统实施部署需求，调研网络架构环境、申请硬件及机房空间资源，确定到货及实施时间安排。

（2）项目实施阶段

①系统上架部署：信创服务器设备到货，进行资产登记，实施机房上架及网络跳线，厂商进行软件系统安装、升级及调试工作，完成态势感知平台软件基础部署。

②安全设备接入：确认安全设备接入数据源，配置接入策略，对接收的数据进行解析泛化，对接部分安全设备API。

③场景告警实现：设计规则构造安全告警，根据需求设计安全场景报表，并通过实网流量进行验证。

④监控大屏、仪表盘实现：根据已有数据源及安全场景，总体设计并实现监控大屏，统一展示公司网络安全态势情况。基于各安全场景设计仪表盘，分别展示各场景安全统计分析数据。

⑤监管态势对接：根据行业监管单位通知，按时完成与行业网络和信息安全态势感知平台的对接工作，并根据监管数据规范完成待上报数据的自动化梳理映射，持续自动化上报网络安全态势数据。

（3）运行优化阶段：结合长城证券实际情况，持续调整优化平台告警规则策略及仪表盘等，降低告警噪音，提高精准度。

（4）项目验收阶段：检查项目已达到预期效果，根据验收流程开展验收相关工作。

五、运营情况

网络安全态势感知平台为长城证券股份有限公司内部安全系统，于2023年12月26日正式上线并投入生产使用，目前用户数量为3人，均为长城证券网络安全人员。本平台采用全栈信创化技术路线，目前运行稳定，主要为长城证券股份有限公司提供整体网络安全防护，服务范围包括长城证券总部及全国各地营业部，通过对网络安全威胁的实时感知和准确识别，帮助安全人员及时发现和修复系统漏洞，提高企业网络整体安全防护能力，减少业务系统被攻击的风险，保障员工及客户的信息及财产安全。

目前，网络安全态势感知平台日均数据采集量在240GB左右。已配置告警规则125条，日均产生约100笔告警事件，并基于平台告警制定了15条重点关注告警的自动化企业微信推送规则，有效帮助安全人员及时感知安全威胁。已配置安全分析仪表板29个仪表盘、277个仪表盘图表，有效提升安全人员安全数据监控及分析效率。

此外，网络安全态势感知平台已完成与行业网络和信息安全态势感知平台的对接，持续上报网络安全态势数据，共建行业安全态势情报信息库，为行业内友商服务。

六、项目成效

经济效益：

（1）开放兼容，保护投资：本项目建设的网络安全态势感知平台基于开放的信息获取框架，支持通过主流事件采集方式采集汇总长城证券现有安全系统上报的各类事件，大大减少了传统态势感知体系建设中检测探针的采购量，降低了安全建设的资金投入。

（2）分级、资源复用：网络安全态势感知平台支持分级能力，总部网络安全管理部分和业务部门及各地营业部可共享网络安全态势感知平台的各项能力，实现资源复用，避免了重复投资。

（3）降低了安全运营成本：网络安全态势感知平台能够全面采集长城证券内部各种安全数据，梳理、整合已建设的各种安全能力，保障数字化资产风险的监测、识别，汇聚、融合多源风险分析结果，建立安全数据中心，帮助长城证券安全人员站在综合多维视角分析企业整体风险态势，有效提升了长城证券整体安全运营效率，降低了安全运营成本。

社会效益：

当前不法分子、敌对势力等利用信息系统破坏我国社会正常秩序、损害人民财产安全的形势日渐严峻，行业内每年监测到的信息安全事件都逐年递增。在缺乏主动性信息安全保障的情况下，企业正常经营业务可能因为恶意攻击等导致无法正常运行，严重的甚至影响社会正常秩序及人民财产安全。本项目建设的网络安全态势感知平台为长城证券提供了全面、有效、持续的安全防护。以网络安全态势感知平台为后盾，长城证券的业务系统能够切实获得充分的安全防护，有利于为客户提供安全高效的服务，大幅降低企业经济损失风险，保障员工及客户的信息及财产安全，保障社会秩序稳定运行。

七、经验总结

本项目采用全栈信创化技术路线，在保障自主可控的同时也面临较大的技术挑战，在项目信创建设前期，主要面临如下难点：

①技术路线选择困难：信创生态中芯片/OS/数据库组合方案多样，需在性能、生态成熟度、供应链安全间权衡。

②兼容性担忧：包括软硬件适配（国产CPU/OS/数据库与现有应用软件）、数据互通、标准不统一及跨厂商协同等问题。

③性能达标压力：网络安全态势感知平台实时数据采集及分析量巨大，一方面需考虑短期内系统的运行效率，一方面需考虑系统长期的高可用性及可扩展性。

④合规性考虑：作为公司网络安全核心系统，需在架构设计阶段即嵌入等保、国产化密码应用等合规要求。

⑤供应链保障风险：信创生态中厂商及产品多样，单一信创厂商产品可能面临交付延期、断供、停服等供应链问题。

有效解决上述建设难点，是本项目成功建设的关键所在。这些难点不仅涉及技术层面的复杂性和创新性要求，还涵盖资源协调、风险管控以及多方协作等综合挑战。项目组通过科学规划、精准施策，逐一攻克难关，确保项目高质量推进并实现预期目标。针对这些关键问题，总结建设经验如下：

①技术选型三维评估：在技术选型期间，需建立“性能基线×生态成熟度×供应链安全”三维评估模型，在此基础上，优先选择主流厂商或者行业内已有成熟落地案例的技术栈。

②合规先行：在系统建设的全流程中穿透实施合规管控，例如在系统设计文档中设置"合规检查点"、在密码模块强制调用商密SM4算法、要求日志存储加密实现率100%等。将监管要求转化为技术约束，最大限度规避后期整改风险。

③充分进行POC测试：在系统建设前期，按“真试真用”原则，进行充分的POC测试。在POC测试期间，尽量贴近真实使用环境，例如导入真实数据，模拟生产环境下的数据量，进行充分测试，提前发现并解决各项兼容性、性能问题。

④供应链双轨保障：对多家厂商、多个产品版本型号进行适配，制定关于厂商、产品的主备方案，确保极端情况下的替代可行性。例如，同时适配鲲鹏ARM技术栈及海光C86技术栈，同时适配多个国产数据库等，以实现极端情况下的主备方案迅速替代，防范因供应链风险（如国产芯片断供、关键组件严重漏洞）或性能瓶颈（如数据库突发高负载）导致的业务长时间中断。

此外，网络安全态势感知平台作为公司网络安全基础设施，精准高效的告警策略是关键，在平台建设及运营过程中，需要持续对告警策略进行优化。告警策略优化的核心在于精准识别真实威胁并减少无效告警，首先需要基于ATT&CK框架对告警进行分级，例如将RCE攻击、数据泄露等列为严重级，暴力破解、内网扫描归为高危级，而外网普通扫描等低风险事件设为中危或低危级。其次要建立动态基线，通过机器学习分析历史数据，智能调整告警阈值，例如仅在工作时间外触发VPN异常登录告警、将可能触发扫描告警误报的内网监控系统添加白名单过滤等。同时采用聚合分析技术，将相同攻击源的多次告警合并，或关联防火墙与IDS日志生成单一告警。最后定期分析告警数据，持续优化规则库，剔除误报率高的规则，补充新型攻击检测策略，形成闭环优化机制，使安全团队能聚焦处理真正的高危事件。