一、项目背景

随着云计算技术的飞速发展，金融行业越来越倾向于采用云计算技术，开始尝试在云上搭建重要业务。引入云架构给金融业务安全带来新的挑战，伴随网络攻击手段升级，攻击方式隐蔽性增加，上云安全问题不断浮现，确保云平台及云上应用的安全已成为各金融机构关注的重点。

湖北农信传统安全运营存在的痛点如下：

（一）缺乏主动的安全防御体系

依赖传统的被动防御体系，无法检测和提前预防隐蔽性强、实战对抗的网络攻击，缺乏威胁情报、多源数据关联分析能力，威胁检测周期较长。

（二）缺少统一的安全管理系统

传统的安全系统相对孤立，安全数据分散无法统一管理，各类安全系统产生的告警多、误报率高，每个安全系统独立管理运维成本高，无法对风险量化管理，精准定位核心安全风险。

（三）缺少完整的安全配套体系

传统的安全人员配置和能力建设存在不足，专职安全人员较少，整体安全事件处置能力不匹配云上安全的要求，导致业务风险成倍增加。

湖北农信首次开通互联网安全出口，搭建私有云平台，上线互联网业务。为解决传统安全运营痛点，省联社健全完善网络安全综合防御体系，集成先进安全防护产品，打造专业安全技术人才队伍，落实安全运维制度体系建设，充分保证云上业务的安全稳定运行，有效防范安全威胁，切实保障关键信息基础设施、重要网络和数据安全。

二、项目方案

安全运营体系通过三重层面保障信息的机密性、完整性和可用性，全面提升云上金融业务的系统安全性。在技术层面，引入完整地安全防御工具体系，有效保障网络安全、业务安全和数据安全；在制度层面，构建完善的安全运维制度体系；在管理层面，打造全方位的技术人才队伍，致力于信息安全的长远发展。

三、创新点

（一）一体化集中运维

安全运营平台集成各类安全设备的管理控制台，集中管理云主机资产，统一查询安全事件，实时展示威胁情报，综合展示安全运营数据，实现了一体化集中运维。安全运营平台主要功能如下：

安全设备自动关联：安全设备自动关联云平台服务器，无需手动部署；安全策略控制台集中更新，无需人工维护各种安全检测脚本文件。

管理中心化：WEB应用防火墙、高级威胁检测系统、网络入侵防护系统等安全工具产生的信息均发送到安全运营中心，由安全运营中心进行不同来源、不同类型、不同格式的数据聚合，持续分析并展示安全态势相关数据，实现威胁发现、威胁排序、事件调查、响应处置及报表呈现的安全运营全流程管理。

大屏可视化：依托平台自身的可视化组件，对安全事件、资产风险及安全运营情况等进行可视化大屏呈现，实现安全建设成果的直观展现。

(二）旁路式安全防护

 传统安全防御产品多采取串行的部署方式，串行的设备可能由于单机性能瓶颈造成整个业务故障。而云平台的大部分安全设备均使用旁路的部署方式，不需要调整现有的网络架构且大程度减小了安全设备防护对业务的影响，同时能无变更、无侵入地对网络请求进行管控，实现安全防护与业务运行的平衡。

（三）智能化分析感知

安全运营平台使用了区别于传统的AI引擎技术，智能化分析感知安全威胁，提高安全运营精准度，主要产品及功能如下：

主机安全产品可基于机器学习技术查杀，抗加密，抗变形，拥有海量的恶意样本收集能力，检测效率更高，且支持JSP/ASP/PHP/Python/Perl等多种语言。

WEB应用防火墙通过智能解码，使用多种深度学习模型和算法策略，结合IP威胁情报数据，有效检测和拦截Web攻击行为。

高级威胁检测系统利用机器学习、行为检测模型和大数据分析智能识别异常流量，精准识别网络会话异常、上下行流量异常，并可以识别蠕虫 DDoS 攻击、IP 扫描、端口扫描、勒索病毒传播、WEB服务探测、邮件服务器探测等若干种恶意行为；同时拥有面向攻击链的检测方式和深入全面的动态分析技术；在浏览器漏洞、操作系统漏洞和Office 漏洞等方面，有丰富的数据积累。

安全运营中心运用了基于 AI 的分析和检测技术，将 AI 方面的探索应用于网络安全，使用传统规则引擎与机器学习智能算法相结合的分析技术，配合丰富的业务场景与安全场景，终实现风险发现和威胁检测的能力。

数据安全审计强化了对未知风险的识别，自动适配用户操作特征，降低误报率和漏报率。

（四）哈勃沙箱分析

高级威胁检测系统的沙箱技术以TCE 哈勃分析系统为核心，依托哈勃沙箱动态行为分析技术与动态环境深度模拟技术，加之场景化的策略，可以对新的敲诈勒索类病毒以及变种进行识别，并且无需像传统 IDS/IPS 一样依靠定期升级规则库。通过运用先进的动态环境模拟技术，使勒索病毒在受控的沙箱环境中运行，从而智能地分析和模拟其行为模式，精准地触发其所需的条件，并依赖动态行为分析技术进行精准识别和防御，进而有效地防止恶意勒索行为的发生，大限度地保护用户的数据安全。

四、技术实现特点及优势

安全防御体系涵盖了网络通讯安全、网络边界安全、计算环境安全和安全管理中心等维度，包含多重的防御手段，形成一道立体防护屏障，确保系统在面临各种潜在威胁时能够坚如磐石。

（一）网络通讯安全

网络通讯统一使用HTTPS协议，该协议是由SSL和 HTTP 协议构建的加密通信协议。它通过对数据进行加密传输和身份认证，比起 HTTP 协议更加安全可靠。HTTPS 的使用可以防止数据在传输过程中被窃取、篡改，从而确保数据的完整性和保密性。这种加密通信协议在网络通讯中被广泛应用，以提供更安全的数据传输环境。

（二）网络边界安全

云平台两个可用区都配置了连接到运营商的出口，通过运营商和互联网建立连接；由运营商提供的服务实现抗DDoS防护；同时云平台出口边界部署有防火墙（FW）、网络入侵防护系统（NIPS）、高级威胁检测系统（NTA）、WEB应用防火墙（WAF）等软硬件安全工具，对互联网流量进行监控与防护。

互联网出口网络拓扑图示

（三）计算环境安全

使用WEB应用防火墙(WAF)、高级威胁检测系统(NTA)、主机安全(CWP)和云加密机等多种手段对计算环境进行安全防护。

业务用户和租户管理员通过HTTPS协议访问业务系统。

运维人员使用堡垒机进行运维操作，堡垒机对运维操作生成日志记录，用于安全审计和回溯。

定期使用漏洞扫描设备对云平台和应用进行漏洞排查及修复。

（四）安全管理中心

云平台通过安全运营中心实现管理中心化，防火墙、WEB应用防火墙、高级威胁检测系统、网络入侵防护系统产生的安全信息均发送到安全运营中心，由安全运营中心进行持续分析并展示安全态势相关数据。

运维人员通过堡垒机实现全局的访问控制和权限管理。

（五）相关工具介绍

名称功能

WEB应用防火墙（WAF）应对WEB攻击、入侵、漏洞利用、挂马、篡改、后门、爬虫、域名劫持等网站及WEB业务安全防护问题

主机安全（CWP）通过资产可视，攻击和入侵检测，快速响应实现主机安全加固

安全运营中心（SOC）日志审计、关联分析、事件处理、工单下发、可视化展现，

提供平台级安全运营能力

高级威胁检测系统（NTA）通过流量镜像旁路分析云平台恶意流量分析和恶意文件，及时发现异常行为

网络入侵防护系统（NIPS）通过旁路方式，提供双向流量逐包检测和IP封禁能力

云加密机（CHSM）使用物理加密机，从而实现各种密码算法，安全保存密钥

漏扫部署在内网环境，提供外网漏洞检测与修复建议

蜜罐（HoneyPot）部署诱饵和陷阱在关键网络入口，诱导攻击者攻击伪装目标，保护真实资产，并且对攻击者做行为取证和追踪溯源

五、项目过程管理

项目启动：2022年4月

人员进场培训：2022年6月至2022年9月

安全产品部署及功能测试：2022年10月至2022年11月

漏洞扫描及渗透测试：2022年10月至2022年11月

项目投产前安全测试：2022年10月至2022年11月

投产上线：2022年11月17日

护网行动：2023年2月

等保2.0三级认证评测：2023年3月至2023年6月

安全产品验收：2023年4月

六、运营情况

自安全运营体系建成以来，保障了互联网金融云的安全稳定运行。该体系为云上应用提供了全面的安全服务，包括网络安全、攻击防护和数据安全等方面，为云上信息系统安全和业务数据安全提供了坚实的保障。近期安全运维数据显示，共过滤约11.1亿次网络请求、排查告警约3.5万个、抵御攻击约2.5万，资产无失陷，系统运行正常。

七、项目成效

1.安全运营中心建设中，引入安全运营中心和网络入侵防护系统，实现了多源数据采集、智能分析引擎、有效联动处置以及可视化呈现，从而打造了自动化的预警、防御和响应工具，避免了本地大量人力的投入，降低了成本支出，并提高了安全运营的效率。

2.安全运营是将人的智慧、流程的规范和技术的力量深度融合，以构建一个全面有效的安全运营体系。这个体系不仅可以针对主机安全、配置安全和数据安全等安全问题提供全方位的保障，而且可以支持为不同的组织架构和业务特点进行个性化的定制。充分考虑现有的安全建设水平、安全产品能力、安全团队人员等情况，设计安全运营体系，交付标准化流程，自动化运营工具，实现安全指标数字化展示，做到安全运营效果完整呈现。

3.通过建立合规体系、加强内部控制和风险管理，将安全技术、安全管理、安全运维贯穿整个安全运行保障全生命周期，满足金融安全合规监管的要求，实现合规安全运行，安全持续运营。

4.在安全项目建设过程中，通过运用云安全管理平台并引入符合国密标准的加密机，充分再利用传统数据中心的硬件安全设备，灵活扩展和升级以满足湖北农信业务增长和安全需求的变化，确保了系统的可用性和性能。同时，还支持与其他系统的集成，可与湖北农信现有的IT基础设施和应用系统无缝对接，旨在实现对云端数据和应用的安全防护，防止敏感信息被泄露或篡改，达到整体的安全管理和保护效果。在满足业务发展需求的同时安全可靠、科学可行并易于扩展，并且符合金融网络安全技术与管理的发展方向，也符合国家的战略规划。

5.培养安全人才队伍。省联社从地市农商行抽调专业技术人才，全程参与项目建设与投产运维。建立安全知识库，定期开展专项技能培训，提高理论水平。通过日常防护、护网行动以及各重保期间工作的实战考验，参加各类网络安全赛事，逐渐提升人员实战能力，包括；告警分析研判、安全事件取证、攻防工具使用、安全产品配置、安全相关技术等。理论与实践相结合，加速培养行内的安全人才队伍。

八、经验总结

通过建设金融业务安全运营体系，实现系统资产安全生命周期的全方位保护。具备事前预警评估、事中监测分析和事后防御响应能力，为湖北农信互联网业务区的业务系统提供更细致的风险感知和防护服务，以及更精准持续的入侵检测能力，构建一个轻量级、智能化、响应快的安全一体化平台，为行内业务系统提供全方位的安全保障。