一、项目背景

随着信息技术的快速发展和普及，信息系统不断向大数据和云计算方向发展。虽然本行在信息化建设方面取得了明显的成果，但网络安全问题日益引人关注。一旦本行面临网络安全问题，将直接影响本行的信息安全和业务的正常运营。因此，针对本行网络安全运营成为一项非常重要的任务。

结合本行业务信息化、智能化、数字化现状，在信息安全领域已经开展的建设情况，梳理存在的薄弱环节和风险点，共梳理5点内容：安全运维多方紧缺、海量告警自顾不暇、基础问题久治不愈、安全意识较为薄弱、知识分散运用不佳。

建设基于安全垂域大模型的本地化人机协同系统，辅助运营团队，构建全面的脆弱性评估能力、提升受保护目标的安全韧性、提升安全事件研判与分析效能，全面实现安全运营新目标。

二、项目方案

1.建设思路

初步规划“3个1”的建设框架（一中心、一算力、一联动），一算力大语言模型，作为本次项目的核心基座能力，充分发挥“数字人”技术优势，提供整体安全运营辅助驾驶、智能助手等多项技术能力，通过自然语言方式，实现安全运营的整体化协作。

一中心，代表安全运营中心，主要包括集成的大语言模型“数字人”模块，能够与“数字人”进行底层问题对话交互，同时，通过大数据架构和基础安全数据库采集现网各类安全分析数据，如流量、资产、漏扫、情报等。再结合现网采集的各类日志数据进行规范化处理，输入至安全运营中心，便于掌握全网安全信息，做到安全问题及时处置。

一算力，代表安全基础设施资源，主要是算力服务器和存储服务器。

一联动，代表安全防护联动系统，主要用于安全问题解决的“最后一公里”问题，联动现网异构的各类安全设备，并接受大模型和安全运营中心纳管，形成安全各项技术能力的交互节点，保障整体安全运营的执行和落实。

2.本次项目主要包括安全运营中心和安全大模型2部分建设内容

大模型是安全基座，是信息安全智能助手、辅助驾驶、自动驾驶的有力工具，在安全日常操作过程中，能够协助管理员对漏洞修复、策略调整、攻击过程的分析，都能够快速甄别判断，并提供有效建议。大模型搭配基础安全语料库、情报数据、运营执行场景等，经过厂家预训练（节省训练成本），将训练后的最优大模型在本地建设。同时，配套联动协作“智能体”与安全运营中心进行耦合，构建安全能力中台、AI引擎、数据支撑等多维度的技术支撑点。

安全运营中心依托大数据技术，能够采集现网流量数据、安全设备日志数据、终端告警等数据内容，对采集数据进行格式化、规范化处理，结合工单、资产管理、分析溯源等技术，实现将安全能力闭环化管理。

安全大模型与安全运营中心相结合，能够实现运营中心调度大模型能力，将现网安全告警、风险等数据与大模型语料库、情报、流程等知识相互碰撞，通过自然语言对话方式，能够辅助运营人员对现网安全告警的降燥和处置。同时，配套安全智能体，有更强的扩展能力，实现安全能力无缝嫁接联动联防的建设成果。

三、创新点

1.赋能管理

利用最新的AI人工智能技术，结合之前的管理机制，提升安全管理效率，同时，通过AI技术赋能各业务部门，辅助他们更快更好的解决安全问题，解放业务部门压力，找一个智能的“安全数字人”帮助各业务部门，让各业务部门投身更多的精力在业务开发和业务拓展上。

2.现有升级

构建网络安全“智能体”，无缝对接现有的安全能力，通过聊天，就能够实现现有安全设备的协同协作。这个目标达成至少能够提升现有设备90%以上的效能。让安全更加及时和精准。

3.形成闭环

通过“安全数字人”的信息收集能力，大模型的分析验证能力，形成大模型处置经验和处理脚本对安全风险进行处置，汇总处置经验进行安全风险识别，最终形成安全管理闭环。

4.助力宣传

利用大模型，建设互动数字人，让行内员工实实在在参与到行内的各项实践中，其中包括网络安全宣传周，安全实践和网络安全攻防技术问答。

四、技术实现特点及优势

本次项目主要包括安全运营中心和安全大模型2部分建设内容。

1.安全大模型

网络安全垂域大模型平台1套，配套算力服务器，提供包括多轮对话、文案创作、逻辑推理、服务调度、专业咨询，满足威胁研判、日常值守、活动安保、响应处置等场景需求，对外提供以大模型能力为核心的相关服务API和插件。

系统由能力中台、AI引擎、数据服务和大语言模型等四个部分组成。

能力中台提供大模型和各类安全能力的对外服务，以OpenAPI或者Web插件的方式对接产品。为保证服务质量，能力中台具有租户管理和访问控制功能。

AI引擎负责调度大模型，基于大模型的推理和生成能力工程化实现高级功能，如检索增强生成（RAG）。所有用到大模型能力的功能都经过AI引擎。

数据服务为能力中台和AI引擎提供数据支撑，包括内置的知识库、情报数据库和第三方数据。情报数据能够定期在线和离线更新。

大语言模型是系统的核心组件，基于观语大模型底座，除了通过自然语言对话提供内生知识问答外，还实现各类安全场景下的问答和总结能力。

2.安全运营中心

网络安全运营中心平台1套，配套计算服务器。

安全运营平台结合AI人工智能、机器学习技术与安全编排，不仅支持数据整合、能力集成和分析功能，能够从各种安全工具和系统中收集告警信息和整合安全能力，能够与态势感知、资产管理系统、威胁情报平台、漏洞管理系统等集成，从而实现全面的网络威胁分析和能力联动；并通过智能编排提高安全团队的效率和响应能力，帮助安全团队减少手动操作的工作量，从而提高响应速度和准确性。与此同时，通过结合大模型技术，自动识别和分析安全事件，学习和适应新的威胁模式，从而提高对位置威胁的检测能力。将运营专家的决策能力与机器的高效处理能力深度融合，实现网络威胁可视化、防御主动化、响应自动化、运营智能化的建设目标，实现安全运营效能的指数提升。帮助用户构建集约化、标准化、智能化的可持续安全运营体系。

五、项目过程管理

项目各阶段的实施周期：

需求分析阶段：2025.04.16-2025.04.30

设计阶段：2025.05.01-2025.05.20

开发阶段：2025.05.21-2025.06.30

测试阶段：2025.07.01-2025.08.22

系统上线：2025.08.25

六、运营情况

部署使用后，能够初步实现更高效的安全告警清零、更准确的安全隐患发现和评估、更持久的事件跟踪闭环、更敏捷的安全事件闭环处置等应用场景，就像一个专业的“数字人”，天天盯着安全告警，判断准确的反馈安全运营中心，运营中心对大模型研判的结果及时处置联动。同时，大模型具备“智能体”能力，能够自动调度各类安全产品，做到安全日志自动分析、安全规则自动调整、安全计划自动执行等效果，真正实现网络安全运营的降本增效。

七、项目成效

通过本次项目建设，可以实现安全管理的无人化、智能化、自动化，能够赋能业务部门快速修复安全问题，提升处置效率和漏洞修复效率，附带反诈知识库，赋能业务统一入口，构建反诈知识机器人，与民众互动沟通，普及反诈知识，在金融领域取得创新点，未来在与业务风控结合，注入金融业务风控知识，在完善网络安全管理同时，对业务风险的把控，也能增添安全助力。

大幅提升科技部门能效，降本增效，通过大模型“数字人”的专业助力，能够辅助和自动的开展安全分析、溯源、确认、处置等一系列的闭环动作，能够联动现网安全设备实现自动策略调整，帮助本行实现安全运营的降本增效，解放安全运维人员压力。初步估算，在网络安全工作全面覆盖前提下，通过大模型“数字人”，可减少3个人员的成本投入，按照每人25万/年投入，预计每年可节省投入75万；

应对攻防不再被通报，通过大模型技术，能够实现“数字人”全天候值班，实现7*24小时365天不间断的安全运营值守，利用大模型智能体和安全运营汇集安全告警数据，能够自动判断安全问题，全天候值守，让安全更佳放心。

专业知识沉淀和赋能，通过大模型技术固化安全专家专业知识，以数字身份扮演安全运营角色，基于授权策略，实现全天候值守。通过授权策略，可以确保数字人角色在安全运营中具备合适的权限和访问控制。这样，数字人可以根据安全策略和授权规则，对系统进行监控、检测和响应，以保护组织的网络和数据安全。数字人的自动化运行可以确保安全运营的连续性，7*24小时即时响应和处置安全事件。它可以持续监测网络活动和日志数据，识别潜在的威胁，并根据事先设定的规则和策略进行相应的处理。数字人角色还可以通过与其他安全工具和系统的集成，实现更高效和智能的安全运营。它可以与入侵检测系统、安全信息与事件管理系统等进行协同工作，共同应对威胁和攻击。

八、经验总结

安全垂直领域大模型在中小银行AI安全运营项目中的应用，可有效解决传统安全运营的痛点问题，显著提升了银行的安全运营效率与防护能力。未来，我行将继续优化完善系统功能，不断提升安全垂域大模型的性能，探索更多AI技术在金融安全领域的应用场景，持续巩固银行的安全防线，为中小银行的稳健发展与客户的安全保障提供更有力的支持。