來源：2022第三屆中小金融機構(gòu)數(shù)智化轉(zhuǎn)型優(yōu)秀案例評選

獲獎單位：重慶銀行

榮獲獎項：網(wǎng)絡(luò)影響力TOP10優(yōu)秀案例獎

一、項目方案

在數(shù)字經(jīng)濟和數(shù)字金融的大背景下，金融科技蓬勃發(fā)展，人工智能、區(qū)塊鏈、大數(shù)據(jù)、云計算、物聯(lián)網(wǎng)等信息技術(shù)與金融業(yè)務(wù)深度融合，為金融發(fā)展提供不斷創(chuàng)新活力，金融服務(wù)模式與金融產(chǎn)品形態(tài)也隨著數(shù)字化轉(zhuǎn)型的推進正發(fā)生著深刻的變化，金融科技數(shù)字化使得金融服務(wù)更加便捷化、智能化的同時，也為金融科技安全賦予了全新的內(nèi)容，為金融科技安全提出了新的挑戰(zhàn)，此外，安全管理作為護航數(shù)字經(jīng)濟發(fā)展的安全基石，需要與銀行整體數(shù)字化轉(zhuǎn)型保持戰(zhàn)略一致，推動自身的數(shù)字化轉(zhuǎn)型，實現(xiàn)與業(yè)務(wù)、IT架構(gòu)和運營模式的深度融合。

重慶銀行一直高度重視網(wǎng)絡(luò)安全數(shù)字化轉(zhuǎn)型工作，自2018年起安全體系逐步由安全建設(shè)階段向安全運營階段轉(zhuǎn)變，通過網(wǎng)絡(luò)安全數(shù)字化轉(zhuǎn)型的頂層設(shè)計，重慶銀行決定打造具備敏捷、迭代、彈性、可擴展、一體化、數(shù)字化特性的安全中樞，并著手啟動了數(shù)字化安全運營體系的研究、規(guī)劃與建設(shè)工作，同年安全運營平臺正式投入使用。經(jīng)過不斷的迭代完善，已基本實現(xiàn)了“資產(chǎn)清晰化、風(fēng)險動態(tài)化、能力生態(tài)化、監(jiān)測實時化、防御體系化、威脅預(yù)警化、響應(yīng)迅速化、信息共享化、指揮精確化”的安全監(jiān)管一體化。以此平臺為核心，強化了跨機構(gòu)、跨領(lǐng)域、多層次的安全運營協(xié)同能力，為重慶銀行信息系統(tǒng)安全、數(shù)字化轉(zhuǎn)型提供有力保障。

二、創(chuàng)新點

重慶銀行為打好安全基石，有效支撐公司業(yè)務(wù)數(shù)字化轉(zhuǎn)型，從實際情況和當(dāng)下安全運營最急迫的需求出發(fā)，堅持標(biāo)準(zhǔn)型、整體性、實用性、先進性原則開展安全運營數(shù)字化建設(shè)。打造以傳統(tǒng)安全設(shè)備為感知，以底層的安全大數(shù)據(jù)平臺為基礎(chǔ)，以安全運營平臺為中樞，以安全自動化編排與響應(yīng)為流程快速構(gòu)建“資產(chǎn)清晰化、風(fēng)險動態(tài)化、能力生態(tài)化、監(jiān)測實時化、防御體系化、威脅預(yù)警化、響應(yīng)迅速化、信息共享化、指揮精確化”的安全監(jiān)管一體化運營能力。

1.以傳統(tǒng)的安全設(shè)備為感知，為安全運營提供原始數(shù)據(jù)支撐

我們經(jīng)過多年持續(xù)的安全建設(shè)，完成了安全的縱深防御部署。在網(wǎng)絡(luò)層部署了防火墻、入侵檢測、抗D、蜜罐、異常流量監(jiān)測等設(shè)備，在系統(tǒng)層部署了終端安全管理、防病毒系統(tǒng)、基線漏掃工具，在應(yīng)用層部署了開發(fā)安全規(guī)范、web應(yīng)用防火墻、郵件安全網(wǎng)關(guān)、網(wǎng)站防篡改軟件等，在數(shù)據(jù)層部署了數(shù)據(jù)庫審計系統(tǒng)，郵件DLP，終端DLP等，在用戶層使用了云桌面、堡壘機等。眾多安全設(shè)備產(chǎn)生的安全信息在物理上是孤立和分散的，亟需將這些數(shù)據(jù)進行整合利用。

2.以底層的安全大數(shù)據(jù)平臺為基礎(chǔ)，在安全數(shù)據(jù)層面進行資源整合和安全數(shù)據(jù)價值發(fā)掘

對原始安全數(shù)據(jù)的采集，我們做的是規(guī)范化和盡量結(jié)構(gòu)化，確保來源的數(shù)據(jù)符合既定的采集規(guī)范，在此基礎(chǔ)上進行數(shù)據(jù)標(biāo)簽化、數(shù)據(jù)補齊以及數(shù)據(jù)融合。通過打通各系統(tǒng)間產(chǎn)生的安全數(shù)據(jù)，轉(zhuǎn)化為安全情報，實現(xiàn)單一的安全信息能力轉(zhuǎn)化為自適應(yīng)安全信息能力。

3.以安全運營平臺為中樞

我們的建設(shè)目標(biāo)是將安全運營平臺打造成一體化、中心化、智能化的安全運營大腦和神經(jīng)中樞。綜合運用各類智能分析算法和數(shù)據(jù)挖掘分析技術(shù)，實現(xiàn)安全信息處理的自動化和決策方法的科學(xué)化，以保障對安全控制設(shè)備的高效管理，主要技術(shù)是智能分析算法和模型及其實現(xiàn)。

4.以安全自動化編排與響應(yīng)為流程

通過集成編排、自動化與信息共享手段，整合安全工具資源，并借助自動化工具實現(xiàn)標(biāo)準(zhǔn)化的檢測、分析和響應(yīng)流程。通過關(guān)注監(jiān)測、分析、響應(yīng)的流程標(biāo)準(zhǔn)化和處理時效性，提升整體運營能力。

三、技術(shù)實現(xiàn)特點及路徑

重慶銀行結(jié)合行內(nèi)的實際情況，安全運營數(shù)字化轉(zhuǎn)型主要抓手是安全運營平臺，在數(shù)字化轉(zhuǎn)型中進行了以下幾個方面的嘗試。一是在數(shù)據(jù)的使用上，采用新型技術(shù)對采集到的安全信息進行處理和利用；二是在安全事件處置流程的標(biāo)準(zhǔn)化，上安全運營平臺與工單系統(tǒng)進行了對接，實現(xiàn)了安全編排與自動化響應(yīng)；三是實現(xiàn)了資產(chǎn)的數(shù)字化管理；四是在威脅的分析上使用了基于情境與行為的關(guān)聯(lián)分析技術(shù)；五是威脅情報的共享。

1.安全數(shù)據(jù)的采集與有效利用

企業(yè)數(shù)字化轉(zhuǎn)型的關(guān)鍵是數(shù)據(jù)，安全管理的關(guān)鍵也是安全數(shù)據(jù)的分析和利用。重慶銀行安全運營平臺作為安全中樞，通過對接網(wǎng)絡(luò)中的各類安全設(shè)備、子系統(tǒng)、安全數(shù)據(jù)源來獲取影響網(wǎng)絡(luò)環(huán)境安全態(tài)勢的各類全量安全要素信息，包括系統(tǒng)日志類、攻擊類告警、對象弱點類信息、系統(tǒng)運行類信息、網(wǎng)絡(luò)流量類、資產(chǎn)信息類信息以及外部威脅情報信息。平臺每天采集到的安全信息有1億余條，在數(shù)據(jù)采集的基礎(chǔ)上進行統(tǒng)一的實時監(jiān)控與歷史溯源分析，并以標(biāo)準(zhǔn)化流程對安全風(fēng)險與安全事件進行研判、處置與跟蹤，通過關(guān)注資產(chǎn)、威脅、脆弱性的安全監(jiān)測覆蓋率與事件檢出率，來提升SOC的整體運營能力。

在數(shù)據(jù)存儲技術(shù)上融合業(yè)界主流的大數(shù)據(jù)技術(shù)，并采用新一代分布式計算技術(shù)架構(gòu)和非關(guān)系型數(shù)據(jù)庫技術(shù)——THDB數(shù)據(jù)庫，THDB數(shù)據(jù)庫具有分布式、全文索引、水平彈性擴展、實時格式化數(shù)據(jù)搜索和原始數(shù)據(jù)關(guān)鍵字全文搜索、高可靠性等特點，結(jié)合SQL、NewSQL和NoSQL技術(shù)，實現(xiàn)對多元、異構(gòu)、海量安全數(shù)據(jù)的高效采集檢索、可靠存儲和負責(zé)計算。通過構(gòu)建THStore體系，減少模塊的耦合，形成高內(nèi)聚，低耦合的貨架式功能APP，從底層技術(shù)架構(gòu)層面解決海量資產(chǎn)，數(shù)據(jù)分權(quán)分域，以及高性能日志處理問題。

2.基于情境與行為的關(guān)聯(lián)分析

由于廠商產(chǎn)品間的數(shù)據(jù)壁壘，加上安全基礎(chǔ)數(shù)據(jù)有著大量、復(fù)雜、零散的特征，傳統(tǒng)的基于規(guī)則的關(guān)聯(lián)分析嚴(yán)重依賴規(guī)則庫的質(zhì)量與數(shù)量，存在噪音大，誤報率高，檢出率低等不足，我們在基于規(guī)則的關(guān)聯(lián)分析的基礎(chǔ)上，加入了基于情境與行為的關(guān)聯(lián)分析。

基于情境的關(guān)聯(lián)分析是將日志與當(dāng)前網(wǎng)絡(luò)和業(yè)務(wù)的實際運行環(huán)境進行關(guān)聯(lián)，透過更廣泛的信息相關(guān)性分析，識別安全威脅。目前我行支持基于資產(chǎn)、弱點、威脅情報、網(wǎng)絡(luò)告警等情境的關(guān)聯(lián)分析。

基于行為的關(guān)聯(lián)分析是基于異常檢測的主動分析模式，它并不是基于靜態(tài)的關(guān)聯(lián)規(guī)則，而是建立被觀測對象正?；鶞?zhǔn)行為，通過對實時活動與基準(zhǔn)行為的對比來揭示可疑的攻擊活動。事件行為分析可以智能發(fā)現(xiàn)隱藏的攻擊行為，加速確定沒有簽名的威脅，減少管理人員必須調(diào)查的事故數(shù)量。我們采用了動態(tài)基線與預(yù)測分析兩種基于行為的關(guān)聯(lián)分析。動態(tài)基線技術(shù)采用了周期性基線分析的方法。周期性基線根據(jù)歷史數(shù)據(jù)計算得出，通常是一個單周期數(shù)據(jù)庫輪廓線。這條曲線由若干數(shù)據(jù)輪廓點組成。每個輪廓點代表一個采樣時點。一個新的實際測量值如果沒有超過基線范圍，則通過加權(quán)平均算法更新舊的輪廓值。

如果新的實際測量值超過基線范圍則丟棄，不參與新輪廓值計算。如此往復(fù)循環(huán)，基線始終處于動態(tài)變化中。 預(yù)測分析技術(shù)：采用了基于時間窗置信區(qū)間的檢測模型和方法?？梢栽趯嶋H運行中不斷自我調(diào)整和逼近，自動剔除歷史時間窗內(nèi)的異常歷史數(shù)據(jù)，實現(xiàn)歷史時間窗數(shù)據(jù)與網(wǎng)絡(luò)實際正常流量行為特征的高度吻合，從而提高了對異常行為報警的準(zhǔn)確性。

從使用效果來看，基于情境和行為的關(guān)聯(lián)分析技術(shù)的運用可有效解決復(fù)雜與未知場景下的安全數(shù)據(jù)和指標(biāo)分析需求，大幅提升安全運營的分析深度。

3.高度自動化與智能化的響應(yīng)能力

為解決傳統(tǒng)安全運營響應(yīng)不及時、安全運營流程數(shù)字化管理問題，重慶銀行采用了安全編排與自動化響應(yīng)SOAR技術(shù)以及工單管理和預(yù)警管理技術(shù)。

平臺與工單系統(tǒng)進行了對接且使用了安全編排與自動化響應(yīng)（SOAR）技術(shù)。通過工單系統(tǒng)，有助于協(xié)助利用標(biāo)準(zhǔn)化、流程化、自動化的方式來處理安全問題；通過數(shù)字化的工作流定義事件分析和響應(yīng)過程，實現(xiàn)自動化的進行事件分析和優(yōu)先級排序，可在面臨威脅時提供預(yù)測、防御、檢測和響應(yīng)能力。

（1）安全編排自動化與響應(yīng)能力

編排的元素包含了人工操作與自動化執(zhí)行兩部分，編排的結(jié)果是一系列的Playbook（預(yù)案）。Playbook執(zhí)行中可以使用類似工單的技術(shù)驅(qū)動責(zé)任人與狀態(tài)的流轉(zhuǎn)，執(zhí)行結(jié)果可以保存為知識庫、案例庫；

其中的人工操作包括但不限于：安全事件的鑒別、調(diào)查取證、響應(yīng)處置、判斷決策；

其中的自動化執(zhí)行包括但不限于：通過與外部設(shè)備/系統(tǒng)的集成，自動化完成安全事件上下文豐富化、持續(xù)追蹤、聯(lián)動處置。

我們根據(jù)不同場景將劇本分為分析調(diào)查類、運維支持類、應(yīng)急響應(yīng)類。劇本編排和自動化響應(yīng)功能最大程度的將已有安全技術(shù)進行整合。劇本除了來應(yīng)對日常的運營處置工作，在面對突發(fā)的安全事件時，自動化編排與響應(yīng)模塊能夠通過現(xiàn)網(wǎng)設(shè)備實現(xiàn)批量下發(fā)安全策略，快速對安全威脅進行有效隔離控制，通過封堵/解封，黑名單/白名單動作列表以及一鍵響應(yīng)列表記錄的查詢，提升日常運營工作的自動化處置能力，降低運營團隊在處理繁瑣單調(diào)工作的失誤率。

（2）工單管理能力

系統(tǒng)支持手動生產(chǎn)工單，也可由安全事件和告警觸發(fā)一次性工單，派發(fā)給指定的處理人。工單處理人在接收到工單后可以記錄工單的流轉(zhuǎn)信息和狀態(tài)信息。管理員可以查看所有的工單及其流轉(zhuǎn)的全過程，能夠?qū)蔚臄?shù)量、狀態(tài)（處理情況）等進行統(tǒng)計分析。

（3）預(yù)警管理能力

平臺提供通過預(yù)警管理功能發(fā)布內(nèi)部及外部的早期預(yù)警信息，并與網(wǎng)絡(luò)中的IP資產(chǎn)進行關(guān)聯(lián)，分析出可能受影響的資產(chǎn)，提前了解業(yè)務(wù)系統(tǒng)可能遭受的攻擊和潛在的安全隱患。系統(tǒng)支持內(nèi)部預(yù)警和外部預(yù)警；預(yù)警類型包括安全通告、攻擊預(yù)警、漏洞預(yù)警和病毒預(yù)警等；預(yù)警信息包括預(yù)備預(yù)警、正式預(yù)警和歸檔預(yù)警三個狀態(tài)。

從目前效果來看，運用安全運營平臺的編排與自動化基礎(chǔ)服務(wù)，將安全專家經(jīng)驗固化成劇本，使經(jīng)驗不斷積累避免能力斷層，同時可有效降低響應(yīng)時間,減少日常安全運營活動中流程動作執(zhí)行的復(fù)雜度，減少不必要的人機交互釋放人力，使得安全運營流程標(biāo)準(zhǔn)化，運營流程可度量化。

4.資產(chǎn)的數(shù)字化管理

隨著重慶銀行數(shù)字化進程的不斷推進，IT基礎(chǔ)設(shè)施和數(shù)據(jù)資產(chǎn)不斷增多，由此增加了資產(chǎn)管理難度、增加了資產(chǎn)不清、風(fēng)險邊界不明的風(fēng)險，我們將安全運營平臺與資產(chǎn)與漏洞管理系統(tǒng)相結(jié)合，持續(xù)提升數(shù)字技術(shù)與資產(chǎn)管理的融合發(fā)展水平，實現(xiàn)數(shù)字化資產(chǎn)管理的目標(biāo)。

重慶銀行安全運營平臺通過感知流量日志資產(chǎn)、主動發(fā)現(xiàn)資產(chǎn)以及與CMDB和資產(chǎn)與漏洞管理平臺同步等多種方式來識別和梳理資產(chǎn)及業(yè)務(wù)對象。資產(chǎn)會根據(jù)安全域IP段設(shè)置情況自動分配到對應(yīng)的安全域，安全域是指同一環(huán)境內(nèi)有相同的安全保護需求、相互信任、并具有相同的安全訪問控制和邊界控制策略的網(wǎng)絡(luò)或系統(tǒng)。每個安全域具有基本相同的安全特性，如安全級別、安全威脅、風(fēng)險等，依據(jù)這些特性，將資產(chǎn)納管到不同的安全域中，實施不同的安全保護。通過安全域級別、告警數(shù)量，日志數(shù)量，風(fēng)險值指標(biāo)值，脆弱性等計算資產(chǎn)的安全評分實現(xiàn)資產(chǎn)的畫像。

在資產(chǎn)發(fā)現(xiàn)及安全對象信息維護的基礎(chǔ)上，資產(chǎn)感知也會融合平臺所收集的各類攻擊威脅信息和脆弱性信息，形成被保護資產(chǎn)及業(yè)務(wù)對象視角的安全態(tài)勢，可從資產(chǎn)類型、安全域、業(yè)務(wù)系統(tǒng)三個角度呈現(xiàn)安全態(tài)勢。

5.網(wǎng)絡(luò)威脅情報共享

在全國乃至全球范圍內(nèi)，因為生產(chǎn)網(wǎng)絡(luò)威脅情報的組織單憑一己之力無法獲取到足夠多的相關(guān)信息，感知威脅存在著局限性。因此，威脅情報共享被廣泛采納。目前，重慶銀行安全運營管理中心平臺已建立起與人行的威脅情報共享機制，安全信息格式標(biāo)準(zhǔn)統(tǒng)一，標(biāo)準(zhǔn)能自動化處理威脅信息，減少溝通中的誤解，大大提升安全研究人員共享威脅情報的效率和準(zhǔn)確率。

四、運營情況及項目成效

經(jīng)過多次迭代升級，重慶銀行數(shù)字化安全運營團隊已為重慶銀行的安全運營數(shù)字化轉(zhuǎn)型提供了有效的助力。至今，團隊已完成行內(nèi)20余個安全基礎(chǔ)數(shù)據(jù)源的整合，實現(xiàn)了對全行近5000主機、300多個應(yīng)用、數(shù)萬級賬號的安全資產(chǎn)全局建模，以及對單一資產(chǎn)實體的自動化風(fēng)險評分與風(fēng)險預(yù)警。

在安全運營支撐層面，安全運營中心已實現(xiàn)日均2千萬條原始告警的自動化過濾、合并、情報匹配和資產(chǎn)關(guān)聯(lián)，告警過濾收斂率超 99%，有效情報命中率近40%。同時，借助積累沉淀的130多條告警過濾規(guī)則，50多項自定義告警模型，60多個自定義風(fēng)險場景，近25個編排劇本和59個資產(chǎn)實體模型，大幅提升安全運營自動化效率，在有限人力條件下將MTTD（平均檢測時間）、MTTA（平均確認(rèn)時間）、MTTR（平均恢復(fù)時間）均提升至小時級。

同時，在運營閉環(huán)管理層面，通過基于數(shù)據(jù)、流程和工具的安全內(nèi)嵌，以及與運維、研發(fā)團隊核心中后臺的數(shù)據(jù)、功能融合，中心已成為重慶銀行內(nèi)部安全閉環(huán)管控的基礎(chǔ)能力輸出平臺，在數(shù)據(jù)安全治理、流程安全卡點、資產(chǎn)安全治理、等方面都已深度介入，推動相關(guān)領(lǐng)域的數(shù)據(jù)化、線上化、自動化和平臺化轉(zhuǎn)型。

此外，通過安全運營中心的深度應(yīng)用與推廣，在安全團隊與科技部其他職能中心協(xié)同過程中，我們成功營造了“以數(shù)據(jù)說話”的工作氛圍，著重建立了以數(shù)據(jù)為基礎(chǔ)的風(fēng)險發(fā)現(xiàn)、風(fēng)險跟蹤和整改效果反饋機制，推動了數(shù)據(jù)透明化、場景明確化、風(fēng)險可視化、效果清晰化的管理協(xié)同“四化”落地，在多個安全創(chuàng)新技術(shù)領(lǐng)域積累了豐富的實戰(zhàn)經(jīng)驗，創(chuàng)出了有重慶銀行特色的安全運營數(shù)字化轉(zhuǎn)型之路。

更多金融科技案例和金融數(shù)據(jù)智能優(yōu)秀解決方案，請登錄數(shù)字金融創(chuàng)新知識服務(wù)平臺-金科創(chuàng)新社官網(wǎng)案例庫、選型庫查看。