厦门银行智能化安全运营体系建设实践

文丨厦门银行汤姿平劳模工作室

面对持续演进的网络安全威胁，充分发挥数据要素价值，实现态势感知与自动化处置，已成为网络安全领域的最佳实践之一。本文结合厦门银行智能化安全运营体系建设实践，从功能设计、关键技术与应用价值等维度，分享了中小银行优化网络安全体系的可行路径，以期为中小金融机构开展类似实践提供有价值的参考和借鉴。

近年来，随着网络安全攻击逐步向多样化、武器化、集团化演进,商业银行网络安全防护体系建设面临全新挑战。与此同时，伴随银行业务体量与规模越来越庞大、复杂，相关生产活动对信息系统的依赖程度越来越高，银行面临的网络安全威胁和风险也愈发突出。为应对上述变化，厦门银行特别成立汤姿平劳模工作室，致力于深入研究网络安全防护领域的前沿科技，以及将新技术、新理念引入到日常的网络安全运营工作当中。

一、厦门银行面临的网络安全问题与挑战

1.异构数据处理分析能力不足

在网络安全体系建设初期，厦门银行先后部署了多种不同的网络安全设备和系统，同时也形成了“安全防御孤岛”，不仅安全管理成本急剧上升，安全保障效率也持续下降。“孤岛”模式下，网络安全数据散落各处，不同安全厂商的数据定义也各不相同，且因缺乏安全数据集中管理机制，难以有效支撑安全业务决策。

2.安全设备统一管理能力不足

由于安全设备各自为战，在基于不同设备静态规则的事中检测过程中，针对同一安全事件可能会触发大量的重复告警。同时，安全设备之间缺乏相互协作，难以形成统一、有效的安全能力体系，甚至还存在部分安全设备未能发挥其应有的安全价值等问题。

3.安全风险闭环处置能力不足

安全事件爆发之后，受应对能力限制，海量告警往往会迅速将安全运营人员“淹没”，同时也难以快速识别有效告警，且在多数情况下，还需要安全人员手动操作安全防护设备来发送策略。此外，因缺乏有效的安全事件突发管理预案，厦门银行在面对突发告警时难以快速应对，也未能实现真正及时的安全处置闭环联动。

二、智能化网络安全运营体系建设实践

为有效解决网络安全问题，厦门银行汤姿平劳模工作室积极借鉴国内外优秀案例及实践经验，引入网络安全态势感知平台和安全编排自动化与响应(SOAR)技术，创新打造了厦门银行智能化网络安全运营体系(如图1所示)。

图1 厦门银行智能化网络安全运营体系逻辑架构

在架构层面，基础安全环境主要负责为上层提供基础安全能力，包括安全区域边界设备、安全计算环境设备、安全管理中心设备;安全数据中台负责对安全数据要素进行整理汇集，为上层应用提供安全数据服务;安全能力中台负责对安全能力进行管理调度，为上层应用提供标准安全能力;安全应用负责实现资产管理、威胁溯源、态势感知等功能，提供自适应、智能化的安全检测规则与灵活的分析建模方式，并通过SOAR整合安全能力，实现安全事件自动化检测、分析与响应，构建安全管理闭环。实践中，厦门银行重点构建了两大特色能力。

1.实现异构数据智能分析

近年来，在网络实战演练趋于常态化的大背景下，网络安全防护体系建设不再是简单的堆砌设备，而是逐步走向了实战化攻防的发展路径，格外注重建立实战化安全运营能力。对于厦门银行而言，面对各种高隐蔽性、高复杂性的智能化网络攻击，传统防护手段由于数据来源单一、检测样本有限、处置机制不完善等诸多限制，愈发难以满足日益增长的安全需求。

为改变这一被动局面，厦门银行不断完善网络安全纵深防御体系，包括重塑边界防火墙、入侵检测和防御系统、全流量检测系统等安全能力，以及建设网络安全态势感知平台，打造了智能化网络安全运营基座。同时，通过对复杂多源的异构网络安全数据进行治理，建立安全数据中台，打通“安全数据孤岛”，构建数据统一的标准，广泛采集异构安全资产数据，实现了对各类安全设备的统一管理，并支持对系统数据开展统计分析。此外，通过纳管全域安全数据资产，厦门银行将数据要素引入安全风险决策、安全运营管理等领域，构建形成了数据、业务的价值链闭环。

2.实现安全能力协同处置

在资源和专业人才有限的情况下，厦门银行引入新一代安全技术，实现了网络安全运营工作自动化。例如，借助SOAR技术在安全自动化响应方面的独特优势，厦门银行有效解决了安全事件响应过程中人员短缺、警报分类质量和速度亟待改进等问题，不仅大幅提升了安全运营工作效率，使响应时间从小时级缩短到分钟级，还将运维人员从耗时较长且重复的事件分析工作中解放出来。

同时，厦门银行基于SOAR技术实现了对CMDB运维管理平台、ACK、流量监控平台、边界防火墙等安全能力的协同联动处置，并支持采用拖拽式交互设计的剧本编排模块，编辑并启用安全风险分析研判与策略响应剧本。在此基础上，通过剧本编排还可将人工分析经验沉淀为标准流程，并基于剧本调整不断优化响应流程，自动化完成事件研判分析与策略执行过程，切实提高了协作沟通效率。SOAR协同处置框架如图2所示。

图2SOAR协同处置框架

三、关键技术应用经验分享1.网络安全态势感知

网络安全态势感知过程主要指通过感知网络环境来提取网络数据，并通过理解这些数据来评估网络安全状态和预测未来发展趋势，得到评估和预测数据，用来制定决策，最后采取响应措施进行主动防御，同时反馈给网络环境实现安全防护，提高网络防御能力。

结合厦门银行实践，网络安全态势感知模型的构建主要可分为网络环境感知、态势理解和态势预测三大部分。在安全数据采集方面，主要可通过软硬件技术相结合的方式来进行收集，一方面为态势提取提供素材，另一方面为态势理解和态势预测打下数据基础。值得注意的是，“巧妇难为无米之炊”，实际工作中必须准确知道哪些数据是必要且可用的、数据来自于哪里、通过什么方式获取以及如何采集，同时也应确保在采集数据时尽量不影响终端和网络的可用性。简而言之，网络安全态势感知可看作“数据驱动安全”领域的最佳实践之一，其要求安全分析师们不仅要知道如何分析数据，还需要清楚如何采集所需的数据。

2.安全编排自动化与响应

随着国内外SOAR技术实践越来越多，业界普遍将SOAR定义为一系列提升安全运营效率的技术集合，它在安全运营流程和规程的指引下，可以将与安全运营相关的第三方工具通过编排整合到一起，以自动化和高交互的形式辅助安全运营人员开展安全运营工作，并对内构建安全事件的采集、分诊与响应功能。Gartner认为，当前SOAR主要是三种技术的集合，即安全编排与自动化(SOA)、安全事件响应平台(SIRP)、威胁情报平台(TIP)。结合厦门银行实践，SOAR通过可视化的编排方式，可支持安全运营人员将知识、经验和专家能力沉淀成特定剧本。当同类型的网络安全事件发生时，剧本可根据预设的执行策略进行自动化应急响应。此外，根据银行自身发展的实际情况，安全运营人员还可对剧本进行及时调整、编排和复制利用。

四、总结与展望

截至目前，厦门银行已完成智能化安全运营体系初步建设，并基于安全数据中台实现了数据统一管理，在有效提升数据对业务前台支撑能力的基础上，减少了数据体系重复建设、数据不一致等问题导致的成本浪费，最大化提炼安全数据价值，赋能安全业务决策。同时，借助安全能力中台的集中调度编排功能，厦门银行全面整合现有的网络安全能力，形成安全能力服务目录对外提供统一安全服务，切实提升了安全设备协同作战能力。此外，借助安全能力中台建设，厦门银行从识别、防护、检测、响应四个维度对缺失能力进行补齐，全方位打造了网络安全纵深体系。在安全运营领域，SOAR技术凭借在安全自动化响应方面的独特优势，成为打通安全运营“最后一公里”的关键技术，未来，厦门银行将进一步探索SOAR技术在银行业务领域的应用价值，持续提升厦门银行的网络安全综合防护能力。

本文刊于《中国金融电脑》2023年第2期

声明：本文来自中国金融电脑+，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。