來源：2022第三屆中小金融機(jī)構(gòu)數(shù)智化轉(zhuǎn)型優(yōu)秀案例評選

獲獎(jiǎng)單位：重慶銀行

榮獲獎(jiǎng)項(xiàng)：網(wǎng)絡(luò)影響力TOP10優(yōu)秀案例獎(jiǎng)

一、項(xiàng)目方案

在數(shù)字經(jīng)濟(jì)和數(shù)字金融的大背景下，金融科技蓬勃發(fā)展，人工智能、區(qū)塊鏈、大數(shù)據(jù)、云計(jì)算、物聯(lián)網(wǎng)等信息技術(shù)與金融業(yè)務(wù)深度融合，為金融發(fā)展提供不斷創(chuàng)新活力，金融服務(wù)模式與金融產(chǎn)品形態(tài)也隨著數(shù)字化轉(zhuǎn)型的推進(jìn)正發(fā)生著深刻的變化，金融科技數(shù)字化使得金融服務(wù)更加便捷化、智能化的同時(shí)，也為金融科技安全賦予了全新的內(nèi)容，為金融科技安全提出了新的挑戰(zhàn)，此外，安全管理作為護(hù)航數(shù)字經(jīng)濟(jì)發(fā)展的安全基石，需要與銀行整體數(shù)字化轉(zhuǎn)型保持戰(zhàn)略一致，推動(dòng)自身的數(shù)字化轉(zhuǎn)型，實(shí)現(xiàn)與業(yè)務(wù)、IT架構(gòu)和運(yùn)營模式的深度融合。

重慶銀行一直高度重視網(wǎng)絡(luò)安全數(shù)字化轉(zhuǎn)型工作，自2018年起安全體系逐步由安全建設(shè)階段向安全運(yùn)營階段轉(zhuǎn)變，通過網(wǎng)絡(luò)安全數(shù)字化轉(zhuǎn)型的頂層設(shè)計(jì)，重慶銀行決定打造具備敏捷、迭代、彈性、可擴(kuò)展、一體化、數(shù)字化特性的安全中樞，并著手啟動(dòng)了數(shù)字化安全運(yùn)營體系的研究、規(guī)劃與建設(shè)工作，同年安全運(yùn)營平臺正式投入使用。經(jīng)過不斷的迭代完善，已基本實(shí)現(xiàn)了“資產(chǎn)清晰化、風(fēng)險(xiǎn)動(dòng)態(tài)化、能力生態(tài)化、監(jiān)測實(shí)時(shí)化、防御體系化、威脅預(yù)警化、響應(yīng)迅速化、信息共享化、指揮精確化”的安全監(jiān)管一體化。以此平臺為核心，強(qiáng)化了跨機(jī)構(gòu)、跨領(lǐng)域、多層次的安全運(yùn)營協(xié)同能力，為重慶銀行信息系統(tǒng)安全、數(shù)字化轉(zhuǎn)型提供有力保障。

二、創(chuàng)新點(diǎn)

重慶銀行為打好安全基石，有效支撐公司業(yè)務(wù)數(shù)字化轉(zhuǎn)型，從實(shí)際情況和當(dāng)下安全運(yùn)營最急迫的需求出發(fā)，堅(jiān)持標(biāo)準(zhǔn)型、整體性、實(shí)用性、先進(jìn)性原則開展安全運(yùn)營數(shù)字化建設(shè)。打造以傳統(tǒng)安全設(shè)備為感知，以底層的安全大數(shù)據(jù)平臺為基礎(chǔ)，以安全運(yùn)營平臺為中樞，以安全自動(dòng)化編排與響應(yīng)為流程快速構(gòu)建“資產(chǎn)清晰化、風(fēng)險(xiǎn)動(dòng)態(tài)化、能力生態(tài)化、監(jiān)測實(shí)時(shí)化、防御體系化、威脅預(yù)警化、響應(yīng)迅速化、信息共享化、指揮精確化”的安全監(jiān)管一體化運(yùn)營能力。

1.以傳統(tǒng)的安全設(shè)備為感知，為安全運(yùn)營提供原始數(shù)據(jù)支撐

我們經(jīng)過多年持續(xù)的安全建設(shè)，完成了安全的縱深防御部署。在網(wǎng)絡(luò)層部署了防火墻、入侵檢測、抗D、蜜罐、異常流量監(jiān)測等設(shè)備，在系統(tǒng)層部署了終端安全管理、防病毒系統(tǒng)、基線漏掃工具，在應(yīng)用層部署了開發(fā)安全規(guī)范、web應(yīng)用防火墻、郵件安全網(wǎng)關(guān)、網(wǎng)站防篡改軟件等，在數(shù)據(jù)層部署了數(shù)據(jù)庫審計(jì)系統(tǒng)，郵件DLP，終端DLP等，在用戶層使用了云桌面、堡壘機(jī)等。眾多安全設(shè)備產(chǎn)生的安全信息在物理上是孤立和分散的，亟需將這些數(shù)據(jù)進(jìn)行整合利用。

2.以底層的安全大數(shù)據(jù)平臺為基礎(chǔ)，在安全數(shù)據(jù)層面進(jìn)行資源整合和安全數(shù)據(jù)價(jià)值發(fā)掘

對原始安全數(shù)據(jù)的采集，我們做的是規(guī)范化和盡量結(jié)構(gòu)化，確保來源的數(shù)據(jù)符合既定的采集規(guī)范，在此基礎(chǔ)上進(jìn)行數(shù)據(jù)標(biāo)簽化、數(shù)據(jù)補(bǔ)齊以及數(shù)據(jù)融合。通過打通各系統(tǒng)間產(chǎn)生的安全數(shù)據(jù)，轉(zhuǎn)化為安全情報(bào)，實(shí)現(xiàn)單一的安全信息能力轉(zhuǎn)化為自適應(yīng)安全信息能力。

3.以安全運(yùn)營平臺為中樞

我們的建設(shè)目標(biāo)是將安全運(yùn)營平臺打造成一體化、中心化、智能化的安全運(yùn)營大腦和神經(jīng)中樞。綜合運(yùn)用各類智能分析算法和數(shù)據(jù)挖掘分析技術(shù)，實(shí)現(xiàn)安全信息處理的自動(dòng)化和決策方法的科學(xué)化，以保障對安全控制設(shè)備的高效管理，主要技術(shù)是智能分析算法和模型及其實(shí)現(xiàn)。

4.以安全自動(dòng)化編排與響應(yīng)為流程

通過集成編排、自動(dòng)化與信息共享手段，整合安全工具資源，并借助自動(dòng)化工具實(shí)現(xiàn)標(biāo)準(zhǔn)化的檢測、分析和響應(yīng)流程。通過關(guān)注監(jiān)測、分析、響應(yīng)的流程標(biāo)準(zhǔn)化和處理時(shí)效性，提升整體運(yùn)營能力。

三、技術(shù)實(shí)現(xiàn)特點(diǎn)及路徑

重慶銀行結(jié)合行內(nèi)的實(shí)際情況，安全運(yùn)營數(shù)字化轉(zhuǎn)型主要抓手是安全運(yùn)營平臺，在數(shù)字化轉(zhuǎn)型中進(jìn)行了以下幾個(gè)方面的嘗試。一是在數(shù)據(jù)的使用上，采用新型技術(shù)對采集到的安全信息進(jìn)行處理和利用；二是在安全事件處置流程的標(biāo)準(zhǔn)化，上安全運(yùn)營平臺與工單系統(tǒng)進(jìn)行了對接，實(shí)現(xiàn)了安全編排與自動(dòng)化響應(yīng)；三是實(shí)現(xiàn)了資產(chǎn)的數(shù)字化管理；四是在威脅的分析上使用了基于情境與行為的關(guān)聯(lián)分析技術(shù)；五是威脅情報(bào)的共享。

1.安全數(shù)據(jù)的采集與有效利用

企業(yè)數(shù)字化轉(zhuǎn)型的關(guān)鍵是數(shù)據(jù)，安全管理的關(guān)鍵也是安全數(shù)據(jù)的分析和利用。重慶銀行安全運(yùn)營平臺作為安全中樞，通過對接網(wǎng)絡(luò)中的各類安全設(shè)備、子系統(tǒng)、安全數(shù)據(jù)源來獲取影響網(wǎng)絡(luò)環(huán)境安全態(tài)勢的各類全量安全要素信息，包括系統(tǒng)日志類、攻擊類告警、對象弱點(diǎn)類信息、系統(tǒng)運(yùn)行類信息、網(wǎng)絡(luò)流量類、資產(chǎn)信息類信息以及外部威脅情報(bào)信息。平臺每天采集到的安全信息有1億余條，在數(shù)據(jù)采集的基礎(chǔ)上進(jìn)行統(tǒng)一的實(shí)時(shí)監(jiān)控與歷史溯源分析，并以標(biāo)準(zhǔn)化流程對安全風(fēng)險(xiǎn)與安全事件進(jìn)行研判、處置與跟蹤，通過關(guān)注資產(chǎn)、威脅、脆弱性的安全監(jiān)測覆蓋率與事件檢出率，來提升SOC的整體運(yùn)營能力。

在數(shù)據(jù)存儲(chǔ)技術(shù)上融合業(yè)界主流的大數(shù)據(jù)技術(shù)，并采用新一代分布式計(jì)算技術(shù)架構(gòu)和非關(guān)系型數(shù)據(jù)庫技術(shù)——THDB數(shù)據(jù)庫，THDB數(shù)據(jù)庫具有分布式、全文索引、水平彈性擴(kuò)展、實(shí)時(shí)格式化數(shù)據(jù)搜索和原始數(shù)據(jù)關(guān)鍵字全文搜索、高可靠性等特點(diǎn)，結(jié)合SQL、NewSQL和NoSQL技術(shù)，實(shí)現(xiàn)對多元、異構(gòu)、海量安全數(shù)據(jù)的高效采集檢索、可靠存儲(chǔ)和負(fù)責(zé)計(jì)算。通過構(gòu)建THStore體系，減少模塊的耦合，形成高內(nèi)聚，低耦合的貨架式功能APP，從底層技術(shù)架構(gòu)層面解決海量資產(chǎn)，數(shù)據(jù)分權(quán)分域，以及高性能日志處理問題。

2.基于情境與行為的關(guān)聯(lián)分析

由于廠商產(chǎn)品間的數(shù)據(jù)壁壘，加上安全基礎(chǔ)數(shù)據(jù)有著大量、復(fù)雜、零散的特征，傳統(tǒng)的基于規(guī)則的關(guān)聯(lián)分析嚴(yán)重依賴規(guī)則庫的質(zhì)量與數(shù)量，存在噪音大，誤報(bào)率高，檢出率低等不足，我們在基于規(guī)則的關(guān)聯(lián)分析的基礎(chǔ)上，加入了基于情境與行為的關(guān)聯(lián)分析。

基于情境的關(guān)聯(lián)分析是將日志與當(dāng)前網(wǎng)絡(luò)和業(yè)務(wù)的實(shí)際運(yùn)行環(huán)境進(jìn)行關(guān)聯(lián)，透過更廣泛的信息相關(guān)性分析，識別安全威脅。目前我行支持基于資產(chǎn)、弱點(diǎn)、威脅情報(bào)、網(wǎng)絡(luò)告警等情境的關(guān)聯(lián)分析。

基于行為的關(guān)聯(lián)分析是基于異常檢測的主動(dòng)分析模式，它并不是基于靜態(tài)的關(guān)聯(lián)規(guī)則，而是建立被觀測對象正常基準(zhǔn)行為，通過對實(shí)時(shí)活動(dòng)與基準(zhǔn)行為的對比來揭示可疑的攻擊活動(dòng)。事件行為分析可以智能發(fā)現(xiàn)隱藏的攻擊行為，加速確定沒有簽名的威脅，減少管理人員必須調(diào)查的事故數(shù)量。我們采用了動(dòng)態(tài)基線與預(yù)測分析兩種基于行為的關(guān)聯(lián)分析。動(dòng)態(tài)基線技術(shù)采用了周期性基線分析的方法。周期性基線根據(jù)歷史數(shù)據(jù)計(jì)算得出，通常是一個(gè)單周期數(shù)據(jù)庫輪廓線。這條曲線由若干數(shù)據(jù)輪廓點(diǎn)組成。每個(gè)輪廓點(diǎn)代表一個(gè)采樣時(shí)點(diǎn)。一個(gè)新的實(shí)際測量值如果沒有超過基線范圍，則通過加權(quán)平均算法更新舊的輪廓值。

如果新的實(shí)際測量值超過基線范圍則丟棄，不參與新輪廓值計(jì)算。如此往復(fù)循環(huán)，基線始終處于動(dòng)態(tài)變化中。 預(yù)測分析技術(shù)：采用了基于時(shí)間窗置信區(qū)間的檢測模型和方法?？梢栽趯?shí)際運(yùn)行中不斷自我調(diào)整和逼近，自動(dòng)剔除歷史時(shí)間窗內(nèi)的異常歷史數(shù)據(jù)，實(shí)現(xiàn)歷史時(shí)間窗數(shù)據(jù)與網(wǎng)絡(luò)實(shí)際正常流量行為特征的高度吻合，從而提高了對異常行為報(bào)警的準(zhǔn)確性。

從使用效果來看，基于情境和行為的關(guān)聯(lián)分析技術(shù)的運(yùn)用可有效解決復(fù)雜與未知場景下的安全數(shù)據(jù)和指標(biāo)分析需求，大幅提升安全運(yùn)營的分析深度。

3.高度自動(dòng)化與智能化的響應(yīng)能力

為解決傳統(tǒng)安全運(yùn)營響應(yīng)不及時(shí)、安全運(yùn)營流程數(shù)字化管理問題，重慶銀行采用了安全編排與自動(dòng)化響應(yīng)SOAR技術(shù)以及工單管理和預(yù)警管理技術(shù)。

平臺與工單系統(tǒng)進(jìn)行了對接且使用了安全編排與自動(dòng)化響應(yīng)（SOAR）技術(shù)。通過工單系統(tǒng)，有助于協(xié)助利用標(biāo)準(zhǔn)化、流程化、自動(dòng)化的方式來處理安全問題；通過數(shù)字化的工作流定義事件分析和響應(yīng)過程，實(shí)現(xiàn)自動(dòng)化的進(jìn)行事件分析和優(yōu)先級排序，可在面臨威脅時(shí)提供預(yù)測、防御、檢測和響應(yīng)能力。

（1）安全編排自動(dòng)化與響應(yīng)能力

編排的元素包含了人工操作與自動(dòng)化執(zhí)行兩部分，編排的結(jié)果是一系列的Playbook（預(yù)案）。Playbook執(zhí)行中可以使用類似工單的技術(shù)驅(qū)動(dòng)責(zé)任人與狀態(tài)的流轉(zhuǎn)，執(zhí)行結(jié)果可以保存為知識庫、案例庫；

其中的人工操作包括但不限于：安全事件的鑒別、調(diào)查取證、響應(yīng)處置、判斷決策；

其中的自動(dòng)化執(zhí)行包括但不限于：通過與外部設(shè)備/系統(tǒng)的集成，自動(dòng)化完成安全事件上下文豐富化、持續(xù)追蹤、聯(lián)動(dòng)處置。

我們根據(jù)不同場景將劇本分為分析調(diào)查類、運(yùn)維支持類、應(yīng)急響應(yīng)類。劇本編排和自動(dòng)化響應(yīng)功能最大程度的將已有安全技術(shù)進(jìn)行整合。劇本除了來應(yīng)對日常的運(yùn)營處置工作，在面對突發(fā)的安全事件時(shí)，自動(dòng)化編排與響應(yīng)模塊能夠通過現(xiàn)網(wǎng)設(shè)備實(shí)現(xiàn)批量下發(fā)安全策略，快速對安全威脅進(jìn)行有效隔離控制，通過封堵/解封，黑名單/白名單動(dòng)作列表以及一鍵響應(yīng)列表記錄的查詢，提升日常運(yùn)營工作的自動(dòng)化處置能力，降低運(yùn)營團(tuán)隊(duì)在處理繁瑣單調(diào)工作的失誤率。

（2）工單管理能力

系統(tǒng)支持手動(dòng)生產(chǎn)工單，也可由安全事件和告警觸發(fā)一次性工單，派發(fā)給指定的處理人。工單處理人在接收到工單后可以記錄工單的流轉(zhuǎn)信息和狀態(tài)信息。管理員可以查看所有的工單及其流轉(zhuǎn)的全過程，能夠?qū)蔚臄?shù)量、狀態(tài)（處理情況）等進(jìn)行統(tǒng)計(jì)分析。

（3）預(yù)警管理能力

平臺提供通過預(yù)警管理功能發(fā)布內(nèi)部及外部的早期預(yù)警信息，并與網(wǎng)絡(luò)中的IP資產(chǎn)進(jìn)行關(guān)聯(lián)，分析出可能受影響的資產(chǎn)，提前了解業(yè)務(wù)系統(tǒng)可能遭受的攻擊和潛在的安全隱患。系統(tǒng)支持內(nèi)部預(yù)警和外部預(yù)警；預(yù)警類型包括安全通告、攻擊預(yù)警、漏洞預(yù)警和病毒預(yù)警等；預(yù)警信息包括預(yù)備預(yù)警、正式預(yù)警和歸檔預(yù)警三個(gè)狀態(tài)。

從目前效果來看，運(yùn)用安全運(yùn)營平臺的編排與自動(dòng)化基礎(chǔ)服務(wù)，將安全專家經(jīng)驗(yàn)固化成劇本，使經(jīng)驗(yàn)不斷積累避免能力斷層，同時(shí)可有效降低響應(yīng)時(shí)間,減少日常安全運(yùn)營活動(dòng)中流程動(dòng)作執(zhí)行的復(fù)雜度，減少不必要的人機(jī)交互釋放人力，使得安全運(yùn)營流程標(biāo)準(zhǔn)化，運(yùn)營流程可度量化。

4.資產(chǎn)的數(shù)字化管理

隨著重慶銀行數(shù)字化進(jìn)程的不斷推進(jìn)，IT基礎(chǔ)設(shè)施和數(shù)據(jù)資產(chǎn)不斷增多，由此增加了資產(chǎn)管理難度、增加了資產(chǎn)不清、風(fēng)險(xiǎn)邊界不明的風(fēng)險(xiǎn)，我們將安全運(yùn)營平臺與資產(chǎn)與漏洞管理系統(tǒng)相結(jié)合，持續(xù)提升數(shù)字技術(shù)與資產(chǎn)管理的融合發(fā)展水平，實(shí)現(xiàn)數(shù)字化資產(chǎn)管理的目標(biāo)。

重慶銀行安全運(yùn)營平臺通過感知流量日志資產(chǎn)、主動(dòng)發(fā)現(xiàn)資產(chǎn)以及與CMDB和資產(chǎn)與漏洞管理平臺同步等多種方式來識別和梳理資產(chǎn)及業(yè)務(wù)對象。資產(chǎn)會(huì)根據(jù)安全域IP段設(shè)置情況自動(dòng)分配到對應(yīng)的安全域，安全域是指同一環(huán)境內(nèi)有相同的安全保護(hù)需求、相互信任、并具有相同的安全訪問控制和邊界控制策略的網(wǎng)絡(luò)或系統(tǒng)。每個(gè)安全域具有基本相同的安全特性，如安全級別、安全威脅、風(fēng)險(xiǎn)等，依據(jù)這些特性，將資產(chǎn)納管到不同的安全域中，實(shí)施不同的安全保護(hù)。通過安全域級別、告警數(shù)量，日志數(shù)量，風(fēng)險(xiǎn)值指標(biāo)值，脆弱性等計(jì)算資產(chǎn)的安全評分實(shí)現(xiàn)資產(chǎn)的畫像。

在資產(chǎn)發(fā)現(xiàn)及安全對象信息維護(hù)的基礎(chǔ)上，資產(chǎn)感知也會(huì)融合平臺所收集的各類攻擊威脅信息和脆弱性信息，形成被保護(hù)資產(chǎn)及業(yè)務(wù)對象視角的安全態(tài)勢，可從資產(chǎn)類型、安全域、業(yè)務(wù)系統(tǒng)三個(gè)角度呈現(xiàn)安全態(tài)勢。

5.網(wǎng)絡(luò)威脅情報(bào)共享

在全國乃至全球范圍內(nèi)，因?yàn)樯a(chǎn)網(wǎng)絡(luò)威脅情報(bào)的組織單憑一己之力無法獲取到足夠多的相關(guān)信息，感知威脅存在著局限性。因此，威脅情報(bào)共享被廣泛采納。目前，重慶銀行安全運(yùn)營管理中心平臺已建立起與人行的威脅情報(bào)共享機(jī)制，安全信息格式標(biāo)準(zhǔn)統(tǒng)一，標(biāo)準(zhǔn)能自動(dòng)化處理威脅信息，減少溝通中的誤解，大大提升安全研究人員共享威脅情報(bào)的效率和準(zhǔn)確率。

四、運(yùn)營情況及項(xiàng)目成效

經(jīng)過多次迭代升級，重慶銀行數(shù)字化安全運(yùn)營團(tuán)隊(duì)已為重慶銀行的安全運(yùn)營數(shù)字化轉(zhuǎn)型提供了有效的助力。至今，團(tuán)隊(duì)已完成行內(nèi)20余個(gè)安全基礎(chǔ)數(shù)據(jù)源的整合，實(shí)現(xiàn)了對全行近5000主機(jī)、300多個(gè)應(yīng)用、數(shù)萬級賬號的安全資產(chǎn)全局建模，以及對單一資產(chǎn)實(shí)體的自動(dòng)化風(fēng)險(xiǎn)評分與風(fēng)險(xiǎn)預(yù)警。

在安全運(yùn)營支撐層面，安全運(yùn)營中心已實(shí)現(xiàn)日均2千萬條原始告警的自動(dòng)化過濾、合并、情報(bào)匹配和資產(chǎn)關(guān)聯(lián)，告警過濾收斂率超 99%，有效情報(bào)命中率近40%。同時(shí)，借助積累沉淀的130多條告警過濾規(guī)則，50多項(xiàng)自定義告警模型，60多個(gè)自定義風(fēng)險(xiǎn)場景，近25個(gè)編排劇本和59個(gè)資產(chǎn)實(shí)體模型，大幅提升安全運(yùn)營自動(dòng)化效率，在有限人力條件下將MTTD（平均檢測時(shí)間）、MTTA（平均確認(rèn)時(shí)間）、MTTR（平均恢復(fù)時(shí)間）均提升至小時(shí)級。

同時(shí)，在運(yùn)營閉環(huán)管理層面，通過基于數(shù)據(jù)、流程和工具的安全內(nèi)嵌，以及與運(yùn)維、研發(fā)團(tuán)隊(duì)核心中后臺的數(shù)據(jù)、功能融合，中心已成為重慶銀行內(nèi)部安全閉環(huán)管控的基礎(chǔ)能力輸出平臺，在數(shù)據(jù)安全治理、流程安全卡點(diǎn)、資產(chǎn)安全治理、等方面都已深度介入，推動(dòng)相關(guān)領(lǐng)域的數(shù)據(jù)化、線上化、自動(dòng)化和平臺化轉(zhuǎn)型。

此外，通過安全運(yùn)營中心的深度應(yīng)用與推廣，在安全團(tuán)隊(duì)與科技部其他職能中心協(xié)同過程中，我們成功營造了“以數(shù)據(jù)說話”的工作氛圍，著重建立了以數(shù)據(jù)為基礎(chǔ)的風(fēng)險(xiǎn)發(fā)現(xiàn)、風(fēng)險(xiǎn)跟蹤和整改效果反饋機(jī)制，推動(dòng)了數(shù)據(jù)透明化、場景明確化、風(fēng)險(xiǎn)可視化、效果清晰化的管理協(xié)同“四化”落地，在多個(gè)安全創(chuàng)新技術(shù)領(lǐng)域積累了豐富的實(shí)戰(zhàn)經(jīng)驗(yàn)，創(chuàng)出了有重慶銀行特色的安全運(yùn)營數(shù)字化轉(zhuǎn)型之路。

更多金融科技案例和金融數(shù)據(jù)智能優(yōu)秀解決方案，請登錄數(shù)字金融創(chuàng)新知識服務(wù)平臺-金科創(chuàng)新社官網(wǎng)案例庫、選型庫查看。