银行主动安全纵深防御体系解决方案.docx

银行主动安全纵深防御体系解决方案1 ,背景现状2.总体规划22 .总体方案33. 1. 一个平台33. 1. 1.实现安全集中管理33. 1.2.实现安全异构对接33.1.3.实现安全态势感知43. 1.4.实现安全能力协同43.1.5.实现安全联动处置43. 1.6 ,平台总体架构53.1.7,平台主要能力53. 1.8.平台关键技术63.2 ,三大模块101.威胁情报模块103.2.2. 自动封堵模块11基线分析模块123.2.3. 模块关键技术133.3. 两个能力173. 1.安全实战能力173, 3.2,纵深防御能力193. 4.三重防护20L安全计算环境建设203.1.1. 安全区域边界建设22安全通信网络建设234.效益与价值234.1.实现体系化纵深联动防御234. 2.告别转椅式安全运维模式234. 3.重塑整体性安全工作氛围234.1. 降低经济损失可能性245.规划与展望245. 1.团队建设245.1. .管理流程245.2. .安全技术24 数据驱动安全威胁分析。通过对这量化指标的判定识别，最终获知数 列之间的相位的差的方向是否与预计方向相同，判断这些行为是否具 有连续性和相似性，从而挖掘具有明显相似的机器行为；用户行为特征提取与自动更新。将异常访问、操作事件识别可看成是 一个分类问题，基于行业经验和专家知识从训练样本中提取与异常事 件相关的各类特征。最后，基于分类错误代价矩阵，采用代价敏感学 习算法训练分类器，解决部分特征不在明显的问题； 安全事件溯源取证。通过建立异常行为库，持续性的跟踪和关联分析 多个异常行为，分析多个攻击行为的关联分析，分析攻击之间的关联 性，还原真实攻击路线，并以直观的形式展示分析结果；网络安全态势等级动态评估。构建态势等级评估决策表，将态势因子 作为条件属性，取证类型包括离散型和连续型，得到属性约简集，最 终利用约简集进行网络安全态势等级评估。3. 2.三大模块2.1.威胁情报模块威胁情报模块包含海量的商业威胁情报、浙江省金融行业威胁情报、本 地化威胁情报的统一管理和分析评估并实现情报的实时更新。统一安全运 营平台通过实时碰撞威胁情报平台的各个情报库，已帮助从大量的安全告 警中过滤出真实安全威胁数据，大大降低告警误报率，剔除“告警噪声”， 提升统一安全运营平台的可用性和完整性，实现统一安全运营平台的可持 续化发展。威胁情报是针对内部和外部威胁源的动机、意图、能力以及战技过程的 详细叙述，威胁情报可组织快速了解到敌对方对自己的威胁信息，从而提前 做好威胁防范、更快速地进行攻击检测与响应、更高效地进行事后攻击溯源。 对而言，威胁情报的应用/消费是实现情报价值的关键，通过安全威胁分析 与预警平台和威胁情报的集成，实现全网的基于威胁情报的协同联动，才能 发挥平台与情报的最大价值。通过建设威胁情报模块提升统一安全运营平台的安全运营能力。利用 威胁情报模块与统一安全运营平台联动，开展安全威胁的持续监测和安全防护的主动防御，帮助安全运营平台精准过滤出威胁日志，并帮助安全边界快速应对未知威胁和高级威胁。快速应对未知威胁和高级威胁。IP情报IP日志域名情报域名日志MB«.图：威胁情报与告警的碰撞3.2. 2.自动封堵模块自动封堵模块可基于统一安全运营平台提供的安全事件处置流转判断 指标数据或其他厂家安全设备提供的告警数据反馈进行研判，通过剧本编 排，利用自动化工具联动当前安全封禁设备（NGFW、WAF、EDR）实现对安全 事件的自动化响应，极大降低了安全团队针对安全事件的响应处置事件，通 过主动对攻击IP封禁将攻击行为遏制在攻杀链前端，建立动态防线，由点 到面达到全方位防护，大大降低了安全运营成本，同时增加了安全团队的协 作能力。图：自动封堵模块架构依托统一安全运营平台，在关键网络位置部署探针和收集节点，全面收 集来自安全设备和系统、主机系统、应用系统以及网络流量的日志或监控数 据。从多种维度对安全设备日志进行归纳汇总，日志分析系统自动将待封禁 IP输入处理层。通过高效的关联分析引擎对事件的实时分析以及利用威胁 情报对本地采集数据的快速查寻匹配，统一安全运营平台可快速发现当前 对网络的攻击行为、违规访问以及对网络的APT攻击，发现网络中受控主 机，及时产生告警，并可采取多种响应方式。可以邮件、短信方式通知管理 员采取必要措施，并通过自动封堵模块建立防火墙、WAF、EDR联动，自动 阻断有害连接，最大程度保护IT资产。在实际实施过程中发现，由于某些应用程序的执行机制存在非标准化 的问题，导致触发安全设备的告警，进而对非攻击IP进行了误封。另外, 有些已封禁IP被动态分配至正常用户的设备上，导致该类用户也无法访问 应用资源。为了避免此类情况的发生，自动封堵模块提供了自动解封功能。 解封的方式与封禁方式大体相同，分别通过API以及SSH的方式解封IP。每年的网络安全重点保障时段，也是自动化封堵发挥作用的时间。自动 封堵模块能够有效地阻止大量可疑IP地址的访问，提升网络安全保障能力。 在日常安全运维中，自动封堵模块可以对接更多的安全设备，实现全局化封 禁、调度、策略调整等工作，减少人工处理存在的反应慢、周期长、错误率 高等问题。后续业可以根据自身需求不断的开发和迭代安全自动化能力 3. 2. 3.基线分析模块基线分析模块可基于统一安全运营平台提供的安全数据（包含账户数 据、安全数据、行为数据），通过其内置AI算法（daily周期性异常、weekly 周期性异常、新出现实体异常、阈值异常和潜伏型异常、集成学习评分、以 及强化学习、预测算法），实现针对用户行为基线异常的分析。同时基线分 析模块会把用户行为基线异常告警数据再反馈给统一安全运营中心，经过 统一安全运营中心转发至自动封堵模块，快速处置用户基线异常行为，大大 减少了由于用户行为异常或错误给带来的经济损失。3.2. 4.模块关键技术1）智能化自适应学习的异常行为捕获智能化自适应学习的异常行为捕获与传统的异常行为分析技术的区别 在于考虑了更加全面的攻击者行为特征，结合内部发现的异常行为以及外 部威胁情报信息、并通过长时间窗口的攻击者行为特征分析、攻击者相似度 以及攻击信誉度分析，将这些分析的结果综合关联分析，并根据关联分析的 结果自动更新不同攻击者特征行为的权重，最终达到具有智能自学习能力 的异常行为分析捕获模型。2）用户行为基础特征提取用户行为基础特征提取是整个用户行为分析的建模基础，需结合业务 实际的需求，找出相关的数据实体，以数据实体为中心规约数据维度类型和 关联关系，形成符合业务实际情况的建模体系。主要需要研究的内容和技术 包括：数据实体分解。主要对原始数据进行分析，区分出需要研究的用户或实 体（资产或应用）；实体间关联关系分解。主要分析各个实体之间的关联、跳转等关系；用户特征维度分解。以用户、集群应用两类数据实体为中心，进行数据 维度分解和列举。根据相关性原则，选取和战略目的相关的数据维度，避免 产生过多无用数据干扰分析过程。用户行为特征提取。至少提取的维度包括：操作人员身份、操作时间、 操作类别、访问方式、操作对象、操作流程。3）用户行为分析（UEBA）利用其多维数据采集能力和人工智能算法和规则编排的能力，基于用 户行为分析模型（UEBA）对个人和主体的特征进行提取和行为分析识别基线, 从而能识别行为活动的正常与否是否偏离可信区间，对于偏离正常活动的 行为能够下发策略对其进行响应和解决。特征提取、行为分析数据准备用户M行为 RIH6MH 为 冏络访问行为 用户用岫0自定义威胁怜酒: mjkbw 中云取唱关期B,通 亚（WtijbOit. 按已标=淑 *帽.为下一修待 征提取做好淮务多雄的行为B修无匕他的机3：学习39T匚异常检测安全 MWB 安全爆毗品n分级与律分I用户行为而秫楼1:刍分析决gb怒 期RS*行力，WtftEvent;HvenUOTM多个实体相 关.并且再相应的score (severity score 10 confidence score) .图：用户行为分析模型4）用户异常行为安全威胁建模用户异常行为建模的三大要素为用户、资产和行为特征。由于网络资产 存在这些威胁和脆弱性，企业日益关注网络安全，用户异常行为建模让企业 对最可能影响系统的各种异常用户行为进行系统性识别和评价。有了这些 信息，企业就可以按照一定的逻辑顺序，利用适当的对策来处理现存的威胁, 允许系统安全人员传达安全脆弱性的破坏力，并按轻重缓急实施补救措施。 5）网络空间威胁攻击链溯源分析网络安全攻击天然具有附着性，无法通过单次的攻击行为去发现整体 网络安全问题。将安全设备的告警信息作为线索，通过联动分析多个网络行 为，判断攻击发生时，是否对系统造成影响或者是否利用了系统的安全漏洞, 确认是否为有效攻击，并进一步分析网络行为造成的影响程度。网络空间威 胁攻击链溯源分析主要从以下几个方面开展工作：威胁情报关联研究。通过关联本地高价值威胁情报和碰撞外部共享的 威胁情报，结合流量数据，智能监测攻击事件的源头；关联回溯分析模型研究。通过基于攻击链的回溯分析技术，以威胁情报、 原始数据包、原始流记录、元数据等为支撑，构建多源异构数据间的关联分 析与回溯分析模型，从多角度还原完整攻击场景；用户关联分析研究。将各类安全威胁和安全事件，与用户异常行为特征 库和用户画像等进行关联分析，从中监测出具备明显的异常行为溯源;攻击破坏程度研究。从安全攻击和攻击行为的安全防护能力分析，得到 对应的应用系统的的防御能力，结合网络空间基础设施要素和安全威胁要 素以及网络全流量数据，动态分析攻击的影响范围，智能评估攻击的破坏程 度。6）当前应用场景内部员工窃取敏感数据是典型的内部威胁场景。由于内部员工具备数 据资产的合法访问权限，且通常知敏感数据的存放位置，因此通过传统的行 为审计手段无法检测这类行为。利用基线分析模块，选取敏感数据访问相关 的特征，构建员工和系统创建正常的活动基线，用户画像，并通过基线构建 模型用于判断是否存在内部员工窃取敏感数据行为。利用离群分析， 挖斑行为异常个体通过数据库日志、回话日志、用户访问日志以及访问全流量等信息，生 成敏感数据访问相关特征，如访问周期、时序、动作、频繁度等，通过时序 关联和自学习算法生成敏感数据库的被访问动态基准线、用户访问动态基 群体访问动态基准线等多种检测场景。构建行为基线， 披余个体疑问行为无需对用户应用系统业务进行任何接播作的前提下，自动选取一定时I司段内的日志数电,对人员的作时 间、工作地点,行为特性（撰作频度及工作热区时间段）.个人特征（年龄及所属机构）等多个缰度迸行离 群分析，从而陀庭出存在异常行为的人员，即用户或账号基于疑问行为.判定个体异常本质根露用户自身需求,结合用户或账号构覆行为星线，譬如,系统可以规定哪些账号在什么时间内可以访问 业务系统；账号的访问权限有国些等等.我们发现了谖用户的日访问突变，从而判定了个体疑问行为. 比如：其日访问量突变趋挎在某一个时间点发生明显的变化，高出日均值数倍之多.利用关系图谱， 溯源可疑关联人员还原日志信息.罗列可疑人员操作提取到了即作息时间的异常行为信息.关系图谱功畿,可对可疑人员.账号.用户进行关联分析，从多个维度（机构.应用.内容等）分析与 其存在关联的人员.根据林选的可疑人员名单，利用日志搜索对其壹询操作迸行了回溯，最终确认其威胁行为.图：内部员工窃取敏感数据场景分析流程图利用这些动态基线分析，可实现对高频、越权、伪造身份、冒用身份、 数据窃取等多种异常行为的分析和检测，进一步关联敏感数据的访问特征, 可定位是否存在内部员工窃取敏感数据行为，保障核心数据资产的安全。数据异常场景包括数据异常访问、数据库泄露以及数据库勒索等。随着 开源或商用数据库漏洞的不断爆发，MongoDB, ElasticSearch, Hadoop,CouchDB、Cassandra以及MySQL等数据库逐渐成为数据勒索的目标。数据库勒索会导致存储的数据被删除、加密勒索等，对造成重大损失。 此类场景通常撞库、遍历数据表、加密数据表字段、异常建表、异常删表等 多种复杂操作。针对此类场景，通过分析数据库高危操作特征，如删表、删库、建表、 更新、加密等行为，并通过用户活动行为提取用户行为特征，如登录、退出 等，在这些特征的基础上，构建登录检测动态基准线、遍历行为动态基准线、 数据库操作行为动态基准线等多种检测场景。利用这些动态基线，可实现对撞库、遍历数据表、加密数据表字段、异 常建表、异常删表以及潜伏性恶意行为等多种异常行为的分析和检测，将这 些行为基于用户和实体关联，最终为用户输出恶意用户和受影响的数据库, 并提供影响数据库类型、行数、高危动作详情等溯源和取证信息，辅助及时 发现问题阻断攻击。WEB业务系统通常会提供大量的业务API,如登录API、数据获取API、 业务调用API等，攻击者通过对具体网站访问数据或请求数据进行抓包， 可获取业务API入口的大致范围，通过对这些APT进行恶意调用，可实现 恶意等、数据窃取以及其他相关恶意活动，严重影响的正常业务开展。针对此类场景，通过分析目前常用的API组成和使用方式，通常API所 对应的URL包含请求参数和请求主体两部分，攻击者通常会利用变换多个 不同的请求参数已达到恶意调用API的目的。通过提取业务API访问频率特征、请求者访问频率特征、参数变换标准 差、以及请求时间昼夜分布等特征，构建API请求频率动态基准线、API请 求时序动态基准线、参数变换动态基准线等多种检测场景。基于这些动态基准线，实现检测对API请求量突变异常检、周期性异 常、未知用户、可疑群体潜伏用户（某用户使用大量不同IP）等异常行为， 进一步结合API的具体业务属性，实现WEB业务系统API异常请求行为检 测，可定位到具体的时间段和业务、数据信息，辅助及时发现异常调用行为, 保证整体业务和数据安全。3. 3.两个能力3. 3.1.安全实战能力1）全网流量检测图：全网流量检测目前已实现全网安全区域的流量采集，通过在主备中心各部署1台全 流量检测设备和沙箱分析设备。全流量检测设备使用网络报文协议分析技 术，捕获网络各区域中的交互报文（网络镜像技术），对这些报文进行深度 解析和分析，基于大数据分析和AI智能学习技术，对全网流量数据进行分 析、学习、建模，标识正常业务行为，实现未知威胁检测。沙箱分析设备用于针对恶意文件在内网的传播进行分析，恶意文件传 播行为往往涉及攻击的各个阶段，由于系统防御能力脆弱，攻击者通过漏洞 利用或者绕过攻击方式投递恶意文件，最终成功入侵内部系统并在内部系 统横向传播。目前已部署的沙箱分析设备科对常见协议传播的60种以上文 件类型进行分离检测，比如 FTP、HTTP、NFS、SMTP、POP3、IMAP、SMB、TFTP 等协议，结合病毒库引擎、静态分析、动态沙箱分析等分析机制，实时发现 文件漏洞、病毒、木马、蠕虫等已知和未知恶意文件传播行为。2）溯源蜜罐体系!图例:g *»i机:x 流量怙发插件:b 感知型蜜饵! （2） 巨联网本饵a 互联网互联网 室饵目中间件 0 同数据中心区同同那Q描检测即0系统版为0 0bWEBNGFWDMZ区同Se1同0 0VPN Docker6库0扫描0 WebM centos即awindows字0卧平0 0WEB 系统服务更即圆I内网运维理区09linuxL 办公系统OA系统windows办公区海康设备接入区图：溯源蜜罐部署溯源蜜罐体系建设：网络蜜罐用于引诱并捕获攻击者的攻击，充分整合利用网络蜜罐系统 特点，在内外网络区域，部署大量互联网蜜罐和诱导性的域名，采取高交互 方式，迷惑诱导、主动分析攻击人员的攻击手法，分析成果应用于监测和处 置中。蜜罐的部署极大的增加网络结构的复杂度，干扰延缓攻击者对真实业 务系统的入侵威胁，同时记录进入蜜罐的所有活动信息，并溯源其网络位置、 设别指纹及身份等信息。蜜罐的部署也是纵深防御体系建立的体现，系统与现有的安全设备如 防火墙、IDS、IPS、WAF等都不冲突，是现有安全防护体体系的有力补充， 能够对已知和未知的网络攻击行为进行检测，与传统的安全防护设备进行 交互，实现协作和联动，提高阻止、检测和响应攻击的能力，建立起一套有 效的保护业务系统的安全纵深防御体系。同时帮助运维人员更好的站在攻 击者的角度审视安全防护体系，增强实战攻防能力。3.3.2. 纵深防御能力统一安全运营平台图：纵深防御能力纵深防御能力： 互联网外侧部署外部溯源蜜罐，进行攻击画像溯源； 边界部署下一代防火墙、抗DDOS、IPS,进行访问控制； SSL卸载器后部署WAF资源池，资源池化、实现应用层防护； 旁路部署网络全流量检测、文件沙箱，检测APT等高级威胁攻击; 大量部署内网蜜罐，检测内网异常访问、横向移动；前言传统银行的信息安全建设常根据自身情况结合业务需求，构建 静态、刚性的安全防御能力，但在目前日益严峻的安全环境下，无 法应对未知的，高级的攻击行为。本文分享了如何建设动态、柔性 的安全防御能力，构建主动安全防御体系。1 .背景现状为贯彻落实监管及上级主管部门关于网络安全工作的决策部署，切实 落实网络安全工作责任制，进一步加强网络安全保障，为切实防范网络安全 风险，以构建信息安全防御体系为框架，以打造主动安全防御能力为目标， 以实现多重安全防御屏障为方法，规划并建设了主动安全纵深防御体系，在 网络安全保障工作中发挥了有效的作用，未发生任何影响业务的安全生产 事件，业务系统安全稳定运营，信息安全防御工作起到了良好效果。2 .总体规划传统银行的信息安全建设常根据自身情况结合业务需求，构建静态、刚 性的安全防御能力，在目前日益严峻的安全环境下，无法应对未知的，高级 的攻击行为。针对以上挑战及需求，在传统静态、刚性的安全防御能力基础 上，提出建设了动态、柔性的安全防御能力，以一个平台、三大模块、两个 能力、三重防护为主要建设思路，构建了一三二三主动安全防御体系。 一个平台：为加强网络安全防护体系顶层设计，建设以安全运营、态势感知、监测 预警、应急响应、攻防对抗、追踪溯源和联合处置能力于一体的统一安全运 营平台。三大模块：在统一安全运营平台的基础上，建设安全三大模块，分别为威胁情报模 块、自动封堵模块(SOAR)、基线分析模块(UEBA) o三大模块与一个平台 之间紧密配合，形成网络安全顶层架构。内网主机部署主机安全Agent,实时主机入侵防护防护;-网络安全区域隔离，实施边界网络安全访问控制;数据库区部署数据分级分类、脱敏、安全网关，实施敏感数据防护;-统一安全运营平台建设，整合全网安全日志，实时全网流量，实现安全态势感知、统一安全运营;3） 4.三重防护L安全计算环境建设1）内网主机安全在内网生产、业务、办公类系统上全面部署主机安全agent,作为内网 主机安全防御的最后一道防线，可实现后门程序上传、主机提权、反弹shell 等安全入侵行为实时防御。2）系统防护漏洞管理，能够及时检测及安装官方发布的系统补丁，使操作系统免受 黑客攻击。对操作系统进行全面漏洞扫描，并对漏洞补丁进行一键修复或单 个修复。进程防护，进程启动防护是进程启动时的主动防御机制，在进程启动、 文件创建时自动触发，阻断恶意程序运行。访问控制，文件变化审计，监控目标文件/目录的改写操作，记录到日志中。 3）网络防护网络隔离，对不同的业务之间的流量进行精准识别、针对非法流量可以 精准阻断，快速处理要关闭的端口或需要屏蔽的恶意IP。4） Web应用防护网站漏洞防护，一是网站漏洞防护，可防护常见的SQL注入攻击、XSS 跨站、Web容器及应用漏洞、文件名解析漏洞、自定义规则等；二是网站数 据防护，可禁止浏览畸形文件、敏感信息防泄漏、自动屏蔽扫描器等： 5）资产指纹终端详情，可对终端服务器进行详细信息展示：包括网络信息、环境信 息等、监听端口、运行进程、账号信息、软件信息。同时通过主机安全的终端信息采集能力和终端防护能力，为统一安全 运营中心提供多维度的安全数据用于进行高级威胁分析，在统一安全运营 平台发现威胁后，可通过自动封堵模块，向对应终端下发查杀或阻断策略， 形成高级威胁主动联动处置的方案。6）应用内生安全为了让应用拥有内生安全能力，需要对应用的WEB前端，APP业务逻辑 （中间件）使用相应的云原生安全技术，在应用架构中部署内生的纵深防护 体系。在WEB前端采用了 NGINX APP Protect云原生WAF, APP中间件采用了 RASP技术。同时考虑到应用运行时安全的精确性，创新的整合了这两种技 术，提供了一种挛生部署架构。在提供安全联防的同时，还能做到极高的精 确度，减少误杀。SOC图：挛生架构如上图的应用学生系统。通过前端Nginx App Protec中的复制流量能力，把访问业务逻辑的流量复制相同的一份给旁路的李生系统。李生系统是 原生系统的完全拷贝。但是李生系统部署了 RASP插桩组件。RASP在发现攻 击的时候，会通过JSON格式把违规行为上报SOC控制平面。SOC经过判断 后，可以通过手动，或者自动的方式，动态配置Nginx App Protect实现精 准防护。这套李生系统不需要对原生生产系统做任何的改动。在提供应用内生 安全的同时，最大限度的降低了风险。3.4. 2.安全区域边界建设 互联网/ 广域网/ 外联网图：SLB+SSLO架构整个互联网业务区分为网络接入区、DMZ WEB区和DMZ APP区。在网络 接入区，通过串联DDoS安全防护设备来针对协议类和慢速DDoS进行防护。 同时配合云端高速大流量DDoS清洗服务，提供完整的DDoS高防能力。同 时部署APT和IDS设备，对流量进行检测，发现潜在攻击威胁和恶意流量。 尤其是当前黑客攻击多数从内部开始发起，被黑客植入恶意程序的肉鸡都 需要反向回连黑客控制台，APT可以有效的获取到这些反向连接的隧道流量。 防止黑客进行进一步行动，或者持续泄露内部数据。在DMZ WEB区，利用F5 SSL0设备，把安全设备进行资源池旁挂部署。 加密流量到达SSL0设备可以进行一次性解密，然后明文流量通过SSL0编 排引擎，按照需求转发给特定的安全资源池进行检测。检测好之后，再通过 SSL0设备把流量转发给后端。同时，部署了 2套资源池，分别对应不同的 应用模型。敏态防护区主要针对API攻击，SSL0会把访问API的数据流量 调度到该区域。稳态防护区主要针对传统WEB应用攻击，利用特征库和动 态建模方式，对OWASP定义的多种渗透攻击进行防护。另外，在WEB区， 也集中部署了网页防篡改专用设备和外网诱捕蜜罐。作为防护和溯源攻击 的重要补充。在DMZ APP区，主机系统都部署了 HIDS,在主机系统和内核层面进行 安全防护，防止黑客从内部渗透后直接从内部进行横移。同时在APP区也 部署了内网蜜罐，用于及时发现和捕获渗透进内部的可疑攻击和行为。1.4. 3.安全通信网络建设通过原有的SSLVPN,系统敏感资源通过SSL VPN进行发布，用户基于 数字证书通过SSL加密通道进行身份鉴别并得到授权，身份鉴别信息和业 务数据进行加密保护，免受篡改和窃取威胁。4 .效益与价值1.实现体系化纵深联动防御主动安全防御体系可帮助发现潜在的入侵和高隐蔽性攻击，预测即将 发生的安全事件并与安全防护设备形成联动能力，自动安全调整访问控制 策略下发至防御设备，第一时间阻断（通过联动防御设备进行安全阻断，如 WAF、IPS、防火墙等）攻击者的连接，形成安全闭环体系，提升信息安全风 险管理和应对能力，实现纵深联动防御体系。4. 2.告别转椅式安全运维模式重塑安全运营，告别“转椅式安全”模式，通过提供安全能力插座式的 安全运营平台，各个安全产品都插入的安全插座中，将安全数据、分析和运 营集中在同一安全工作面下，使安全团队可以在整个安全事件生命周期中 全面管理安全事件，从而实现更快、更高效、更有效的安全操作，告别在多 个工作台之间切换的传统安全运营模式。5. 3.重塑整体性安全工作氛围通过主动安全防御新体系的建立，将网络内已建设的安全设备和安全 能力集中管理和统一运营，有效的实现安全要素分析、安全风险智能识别、 提升整体的安全事件风险预警能力，建立完善的安全评估体系，构建了的整 体网络安全防护生态。同时满足监管部门的监管要求，整体解决方案可以与 信息化系统的基础设施无缝对接，既涵盖了安全需求又为安全运维人员提 供可靠的数据保障，提高安全运维人员的工作效率和热情。6. 4.降低经济损失可能性通过通过主动安全防御新体系的建立，加强了信息化系统安全状态监 测、预警能力，保障全行网络运行安全，有效发现、预警大规模网络入侵、 病毒传播等网络异常事件；发现和堵塞安全漏洞，确保重要信息系统的安全, 建设落实安全技术措施和安全管理制度，建立网络安全应急响应机制，降低 关键信息基础设施破坏的可能性。5 .规划与展望1.团队建设根据信息安全管理需求，从应用安全、数据安全、网络安全、终端安全 等专业技术领域，合理规划信息安全岗位，持续对信息安全团队进行扩充， 确保职责分离、最少权限和独立审计的实现，避免岗位的重叠、交叉、缺位。 通过“外部招聘、内部培养”等手段，逐步建立完善的人才梯队，建立顺畅 的人才引进通道及人才提拔和奖励机制，激励员工的不断提高，细化人才配 置。5. 2.管理流程满足业务正常运行和发展需求，根据国家法律法规和行业规范，参照 IS027001信息安全体系构建信息安全管理体系。从应用角度对各业务系统、 各种信息技术角色相关的安全管理制度、管理流程、技术操作流程、操作规 范等方面提出具体的要求，形成切实、可行的制度流程及规范，对安全管理 工作进行全面指导，建立有效的管理机制，不断推进信息安全管理办法和规 程的完善，保证其能够与时俱进，适应信息技术安全管理的客观要求。6. 3.安全技术根据“十四五”总体规划，将持续提升安全防护技术，从数据安全、云 计算、区块链等方面入手，持续对数据的来源、内容和用途进行分类。以数 据的价值、内容敏感程度、影响和分发范围进行敏感级别划分，对现有数据 资产进行梳理；对新兴技术、新模式和新理念进行持续研究和探索，在实际 规划、建设、实施、运维、管理等各个环节持续进行安全建设。两个能力:打造安全实战能力和纵深防御能力，在国内外信息安全形势日益严峻 的今天，网络安全的建设工作不应浮于表面，而应该以围绕实战为目的进行 展开，打造网络安全实战能力。积极以“安全一体化”为指导思想，扎实推 进内部安全防御体系，建设从边界网络-主机-态势感知能力-安全运 营的纵深防御体系架构。三重防护：基于安全建设情况，从安全通信网络建设、安全区域边界建设、安全计 算环境建设入手，夯实安全三重防护体系，建立符合等级保护2.0高标准 建设要求的安全防护体系，实现网络安全的动态防御、主动防御、纵深防御、 精准防护。3.总体方案3. 1. 一平台3. 1.1.实现安全集中管理通过建设统一安全运营平台，将当前已建设的安全设备和安全能力进 行集中管理和统一运营。同时通过收集信息系统内部和外部的安全要素，实 现对安全要素的体系化、集中化管理。通过建立平台化的管理方式，方便安 全运维人员对安全要素进行集中管理，并能够及时感知行内资产风险，提升 的网络安全自主可控能力。3. 1.2.实现安全异构对接通过建设统一安全运营平台，借助统一安全运营平台的插座式安全能 力，将各类品牌和各类安全设备插入统一安全运营平台的安全插座中，实现 安全产品的异构对接。在网络安全数据方面，通过安全运营平台，实现复杂 多源异构网络安全数据的治理，实现多样的、异构的安全资产的数据采集， 实现可适配数据源的方式对各类安全设备、系统数据进行采集、清洗、标准 化、存储，提供离线、实时、全文检索等多种数据订阅及分析等功能，为实 现态势感知、开放共享、能力协同、联动处置提供坚实的数据基础。3. 1.3.实现安全态势感知通过建设统一安全运营平台，给行内安全运维人员、安全管理人员、安 全决策人员提供简单、实用、高效的安全运营平台，采用大数据技术在更大 数据、更全面、更透彻的方式分析安全威胁，进一步实现重点安全分析场景， 重点发现高级别安全攻击、持续型攻击、顽固安全问题，综合提升应对高级 安全威胁、隐蔽安全事件的能力，建设安全态势要素的输出和整体安全态势 可视化感知能力，实现预警通知效果，为安全分析人员提供直观、强大、清 晰的安全威胁预警能力，以及重大问题、事件的整体性报告，为安全管理人 员和决策人员提供可靠的数据支撑。3. 1.4.实现安全能力协同通过建设统一安全运营平台，实现已有安全设备之间的能力协同，将各 个单一的安全设备组成在一起，进行协同作战，同时配合三个模块中的威胁 情报，建立情报共享机制。配合UEBA模块，形成基线分析机制。配合自动 封堵模块(SOAR),形成安全事件自动处置机制。统一安全运营平台、三大 模块(威胁情报、UEBA、SOAR)、各个安全设备协同配合，实现安全能力协 同。3. 1.5.实现安全联动处置通过建立统一安全运营平台，实现对全网安全数据进行统一收集、分析、 判断，形成安全数据中心，统一安全运营平台配合自动封堵模块(SOAR), 可实现从安全运营平台安全调取评判数据，通过对安全事件的剧本编排，联 动目前已有的安全封禁类产品(防火墙、WAF、EDR)实现安全事件自动化响 应，形成威胁发现、自动研判和响应处置的安全运营闭环处置流程，释放安 全管理人员手动处置威胁的工作负担，帮助解决威胁发现不及时、安全响应 滞后等问题，同时也帮助安全管理人员提升运维效率。3.L6.平台总体架构报UEBASOAR行为数据安全数据账户数据私有情报图：统一安全运营平台总体架构通过建设统一安全运营平台，结合威胁情报模块、自动封堵模块、基线 分析模块，重塑安全运营，告别“转椅式安全”模式，为行内其他安全产品 提供安全能力插座式的能力。3. 1.7.平台主要能力1）统一管理安全要素建立安全数据中心，全面收集信息系统内部和外部的安全要素，实现对 安全要素的体系化、集中化管理。通过建立体系化的管理方式，方便运维人 员对安全要素集中管理，并能够及时感知资产风险，提升企业的网络安全自 主可控能力。2）威胁深度检测收集安全检测防护设备的安全检测防护设备产生的告警，剔除误报提 高告警准确率；并对多源安全告警进行关联分析、规则分析、情报分析等， 发现潜伏的高级持续性威胁。通过结合多源数据的安全检测分析，提升告警 检出率和准确率。3）安全事件溯源分析结合安全事件检测结果，梳理数据中心中资产互访关系，基于攻击链阶 段推导事件发展过程，分析历史数据实现逆向溯源。帮助安全运维人员梳理 安全事件发生链路，并进一步研判安全威胁扩散情况，及时阻断威胁蔓延。 4）安全运营能力安全运营工作台对收集到的有代表性的网络攻击行为、新产生的网络 安全威胁情报、网络安全整体分析报告和各部门单位的应急处置状况进行 统一发布，提高统一调度和指挥能力。系统从安全运营工作台获取安全告警 或安全事件的详细信息，并针对此类信息进行调查分析，从而确认安全事件 的准确性和影响范围。对已经确认的攻击，则通过相应的预警通报机制完成 预警通报工5）安全态势感知提供网络安全威胁可视化的入口，通过历史安全数据的归纳总结、实时 安全威胁分析以及对态势发展情况的预测评估，来全面描述全网的安全情 况、影响评估和态势演化。包含网络入侵态势、横向威胁态势、违规外联态 势、攻击者追踪溯源、资产威胁溯源。6）安全事件管理通过当前全网区域流量、重要区域恶意文件分析数据、全网各安全设备 告警日志进行集中收集、治理、分析、存储，从而提供智能、快速、准确的 安全信息以及事件管理和全网安全日志管理和快速查询功能。3. 1.8.平台关键技术1）实时流计算实时流计算引擎包含规则引擎、关联引擎和统计引擎三大模块，应用无 边界流数据计算场景。分析人员可以对数据中的任意字段做统计、求和、均 值、唯一值等计算，编写SQL提交Flink Job,实现业务指标高实时运算。分析人员上传规则和关联脚本到数据平台，通过界面配置参数，提交任 务到平台。规则和统计结果实时输出到图形化界面。2）离线计算离线计算引擎支持部署离线算法，模型训练和机器学习场景。分析人员 可以利用离线分析引擎对数据进行深度提炼挖掘，算法输出结果即时反馈, 提供模型训练能力。分析人员编写算法脚本和机器学习模型，上传到平台后提交离线任务。 任务执行结果及时反馈到界面，可以根据算法执行结果调整模型，形成模型 训练和机器学习闭环。3）虚拟化资源高效利用技术高性能和大规模计算过程中，不可避免的会利用到虚拟化技术，在虚拟 化资源分配的过程中，往往存在分配不均，造成资源浪费和计算步骤等问题 针对这一难题，利用论文基于智能认知的虚拟网络资源管理模型，设计一种 将动态资源感知与虚拟网络流量特性和要求相结合的有效方法，可以通过 资源自动调整来自动分配虚拟机的容量，从而在不增加计算开销的情况下 实现虚拟资源的高效利用，使得本方案的可扩展的安全分析和计算得以实 现，实现将本方案的平台的计算服务和针对平台的安全防护系统相分离，在 进行安全分析计算的同时，保障本平台的自身安全。安全运营平台在多级部署时，存在一级平台与下级平台和分布采集探 针之间的通信，当下级平台过多时，并且复杂网络环境中数据量过大等极端 条件下，会导致一级平台无法响应下级平台的请求和交互等问题。针对这一 难题，利用逐跳路由的负载均衡方案，利用流的突发性特征，保证同一流的 分组按顺序到达接收端，用于解决分布式数据采集探针的数据发送延迟和 丢失等问题，保障当本方案平台横向扩展至一定规模后的平台可用。4）实时分析插件模块化技术目前安全运营平台提供Hadoop架构对大规模数据的计算进行分解，然 后交由众多的计算节点分别完成，再统一汇总计算结果。Hadoop架构通常 的使用方式为批量收集输入数据，批量计算，然后批量吐出计算结果。然而 在安全大数据分析的应用场景下，通常对告警的实时性要求较高，需要对海 量的原始数据进行实时流式处理和持续处理，Hadoop架构难以处理实时性 要求较高的业务。针对这一难题，本方案采用运行拓扑（topology）的strom 架构，极大的降低了安全事件的告警延迟。Storm集群提供控制节点（master node）和工作节点（worker node） 控 制节点上面运行一个叫Nimbus后台程序，负责在集群里面分发代码，分配 计算任务和监控状态。每一个工作节点上面运行一个Supervisor的进程， 监听分配给它那台机器的工作，根据需要启动/关闭工作进程worker,多个 工作进程worker组成拓扑（topology） 0工作进程worker中每一个spout/bolt （数据处