一、项目方案

态势感知平台是主动安全防御体系的“指挥中心”，结合企业资产，通过威胁情报、机器学习、用户和行为分析等技术对动态的流量、日志等海量信息进行深度分析，同时关联企业信息资产的漏洞、所面临的威胁，可视化地实现全网的安全风险态势感知、事件响应以及资源协同联动。网络安全风险态势感知系统将极大程度降低企业内部安全运维人员的时间成本，有效的提升了对于高级威胁事件发现和处理能力。

1.项目架构

2.业务流程

总部运营人员通过态势感知平台，监测到告警数据时，通过平台对资产所属行社下发告警工单，同时，会短信通知到对应的行社负责人，由总部运营人员配合行社人员进行相应的处置，处置完成后，行社人员提交审核申请，由总部运营人员对处置情况进行验证，处置完成的，关闭工单，未处置完成的，将工单回退给行社人员，并通过系统通知行社人员再次对告警进行处置。

3.实施范围

态势感知平台采用全旁路部署的方式，下级采用多种类型的数据探针用于采集不同类型数据，探针将所有数据发送至中心大数据分析平台，实现对网络数据进行集中收集、存储、分析、告警的一套系统。为用户提供包含整网日志的集中管理、流量全协议分析、高级可持续性威胁（APT）攻击监测、资产管理等核心功能。

既能满足网络安全法6个月日志保存的需求、也能满足等保2.0中关于集中管控的要求。首创的AI智能分析引擎，通过大数据分析减低安全事件告警误报，帮助运维人员只关心核心的极少数告警信息，大幅提高工作效率。终不但能提高安全性，还可以减少网络事故、保障业务正常运行。

4.实施目标

基于日常运行维护中产生了大量的与安全有关数据与安全事件、数据流量开展分析，有效识别各种风险，提升自身合规水平。研究如何进行多数据源的安全事件以及相关的安全数据的采集、数据预处理，以及基于大数据的结构化数据和非结构安全数据加载存储，并基于大数据的分布式大规模计算体制进行安全事件的历史数据统计分析和安全事件预测算法研究，从而进行安全事件预警分析、整体安全态势的多维度分析，同时研究安全事件的关联分析以及安全管控体系的合规映射算法研究，从而研究整体安全合规评价体系，从而提高整个安全管理体系的安全感知预警能力和安全体系的安全合规水平。该研究成果将指导实现安全大数据采集、预警预测、事件分析、合规评价等信安管理支撑功能。

（1）大数据安全分析研究。研究针对网站全流量数据进行采集后统一的存储分析，通过对业务全流量数据的采集并存储于分布式大数据存储系统中，分析完善网站相关服务资产信息，发现相关的安全漏洞和未知威胁。能够从多方面多维度对系统运行状况进行分析展示，从而在业务流程规范，系统服务安全，安全风险评估等方面给予支撑。

（2）研究基于大数据的安全事件的历史数据统计分析算法和安全事件预测算法，支持海量数据的多维度分析和安全事件的预警分析；

（3）安全事件合规映射研究，研究金融行业遵从的安全规范、主管部门安全规范的安全控制点要求，并基于大数据采集、处理和分析进行安全控制点映射处理算法的研究，建立整体安全合规评价体系；

（4）研究大规模网络中的安全态势的展现机制，通过多层次不同粒度的安全展现与安全事件的分析溯源机制，可以方便地从海量大数据中进行不同粒度的多维度安全事件的快照式处理与安全事件原因、路径和影响的分析。

二、创新点

1.基于安全告警模型编排SOAR剧本，实现安全攻击自动封禁

态势感知平台通过和安全产品进行设备联动，发现危急告警时，可通过态势感知平台对安全产品下发封禁策略，并且，态势感知平台可通过编写soar剧本，自动触发剧本告警并进行IP封禁，缩短运营人员响应时间，阻断攻击者的攻击途径，降低攻击风险，保障业务系统正常运行。现已新建17条剧本，封禁IP数量101个。

2.对接通管局安全分析平台，从源头肃清网络安全威胁

省联社网络安全态势感知平台于2021年12月13日正式上线运营，直接服务于全省83家法人行社，纳管全省3.6万台终端，接入观山湖数据中心59台安全设备日志，对行社互联网、第三方外联入口网络安全威胁进行实时监测，平台运行2个月以来，全省安全威胁数量从113万条，降至目前7.8万条，安全处置运行效果显著。（具体情况见图表1-2）

为加强政银横向联动，进一步发挥平台的作用，经省联社和省通管局协调安排，该平台于2022年3月13日正式与省通管局安全分析平台成功对接,通过平台向省通管局上报外网安全威胁、恶意域名和僵尸、木马、蠕虫等3类真实攻击数据，实时推送至省通管局安全分析平台，省通管局将对上报数据作进一步分析、研判和处置后，从运营商层面切断安全威胁蔓延全省的趋势，肃清全省网络环境。

图1：2022年1月至3月 恶意域名攻击趋势图

图2：2022年1月至3月 恶意域名攻击类型

3.人行数据上报

态势感知平台将监测到的告警数据，全部推送到人行，由人行专家对数据进行分析，并形成网络安全威胁共享情报库，分享至全国同业金融机构，为同业金融机构提前进行预警，并提供相应在的应对处置方案，以避免由于网络攻击而导致的社会影响和经济损失。

4.行社风险协同处置

通过网络安全态势感知平台，我行对下辖82家行社网络安全进行统一监控，并为82家行社分设帐号，将辖内资产全部纳入态势感知平台进行管控。一旦发现行社出现安全风险，经总行判断后，将业工单、短信和内部告警机制通知到对应在的行社负责，并责令限期整改。该平台的建设搭建起了总行与行社之间网络安全保障的桥梁，形成行社风险协同处置的流程。

三、技术实现特点

1.系统架构

采用docker虚拟化的方式进行部署，平台整体采用大数据架构，包含数据缓存、数据分析、数据存储、基础大数据服务、平台业务系统、威胁可视化引擎、AI分析引擎、运维巡检模块。

首先通过采集探针将采集到的的数据进行统一标准的解析后推送到kafka之中，其中将设备告警单独提取成一个topic，这里设备告警主要是来自于安全设备、流量探针设备等高置信度告警，从海量安全日志中提取出来单独存放，能有效提高了告警的时效性，避免了到ES中load数据消耗大量时间。剩下的kafka中数据通过flink-etl的不同job引擎，将日志、告警、统计进行入库存储ES，其中归并告警入库到ck（clickhouse），有效降低大数据架构中es对于资源的过渡消耗。其中waf、apt等设备告警日志进行提出，这个机制可便于设备直接读取kafka的index数据，通过特定大屏展示，提高查询效率。后ES及CK的数据将提供给到服务层进行使用。

2.技术实现

通过日志探针、流量探针和威胁情报平台TIP，分别采集各区域安全设备、重要服务器、数据库等日志，互金区、外联区等流量数据。统一规范字段后通过kafka拉取相应数据到分析计算层，通过flink等流计算引擎进行实时计算。将输出的不同结果分别存储在ES、clickhouse、Redis、Mysql、HDFS里。主要运用ES存储核心数据，日志、原始告警、统计指标等数据，clickhouse考虑其压缩性高、聚合性好，主要存储归并后告警数据，Redis则主要存储缓存数据及带碰撞威胁情报数据，Mysql存储业务数据，HDFS则主要存储沙箱报告、恶意文件等非结构化数据。通过不同存储，提高资源利用率的前提下极大提高了查询数据的时效性。

态势感知的服务层，通过抽取存储层数据进行向上提供服务，ailpha web主要涵盖日常使用的核心功能，Baas MEMT，主要是考虑到便于运维人员使用，用于管理ES、Flink、Kafka等大数据组件运行状况。ailpha统一语法主要是态势自身语法，用于字段定义、语句查询及解释等；AI异常计算用于跑离线Python脚本，进行异常计算，减少CPU资源消耗，终的应用层即态势感知对外展示内容。

四、项目过程管理

1.工作任务分解

按照整个项目实施流程，采用自上而下的WBS分解方法进行分解，获得项目实施活动，项目实施主要过程分为：项目实施启动、环境调研、设备到货及验收、项目实施、配置迁移、设备试运行、定制对接、运营制度建立、项目验收等。

2.项目关键点识别

本项目采用德尔菲法来进行项目关键点识别，每个项目参与者根据项目情况，判定项目进度关键点；对于项目进度关键点判定的不同意见可重新考虑，对于不同意见反复多次，终的关键点的识别趋于一致，得出本次项目关键点在于以下几点：

设备部署

态势平台硬件设备入场，进行设备部署及测试设备可用配置迁移工作。

日志解析

成功接入重点安全设备日志，并完成日志解析标准化工作。

系统对接

CMDB、Nessus等第三方设备信息对接完成，形成态势感知平台资产台账。

行社试点

选取十余家行社作为试点，将态势感知发现风险进行工单下发，督促整改结果。

大屏展示

针对总行整体安全态势所提取除高关注度告警定制可视化大屏，并向省级领导进行汇报展示。

模型优化

根据省联社已发生告警内容进行模型、剧本新增，做到发现、处置流程一体化。

通报流程

对接短信平台，实现将高危告警*****时间生成工单完成短信下发。完善行社风险通报处置流程。

数据共享

针对省联社高危告警对接通管局数据平台定制工作，开展省联社数据共享工作流程。

3.项目进度关键点控制原则

动态调整原则

项目进度关键点控制管理过程中建立一套动态调整体系，应对实际项目实施过程中由于人员、环境等因素的变化，新进度关键点的产生等问题。管理过程中的进度关键点涉及的所有要素以及各个环节都应随环境的变化而变化，形成一一对应的动态平衡关系。 

主次分明原则

项目进度管理过程是由一系列管理活动组成，其中包含关键点管理活动和普通管理活动，通过关键点管控达到预期目标，并不意味着整个管理过程只管理关键点活动，其他普通管理活动就放任不管，这些普通管理活动在外界因素的影响下，极有可能转化为关键活动。为实现有效控制，对普通管理活动（非关键点）投入必要的精力。

集中优势资源原则

整合进度管理内外部优势资源，包括：人力资源、设备、物资等，优先配置进度关键点上的活动；降低进度关键点上活动的风险、保证进度关键点活动质量。

系统控制原则

项目进度关键点控制中一个关键控制点与另一个关键控制点，多个关键控制点之间可能会存在直接或间接的依赖关系，在进度关键点控制过程中应本着系统的思想进行管理。

4.项目进度控制措施

组织措施：组织措施是指落实各层次的进度控制人员、具体任务和工作责任；建立进度控制的组织系统；按照项目的结构、工作流程或合同结构等进行项目的分解,确定其进度目标,建立控制目标体系；确定进度控制工作制度,如检查时间、方法、协调会议时间、参加人员等；对影响进度的因素进行分析和预测。

技术措施：技术措施主要是指采取加快项目进度的技术方法。

管理措施：管理措施是指加强信息管理,不断地收集项目实际进度的有关信息资料,并对其进行整理统计,与进度计划相比较,定期提出项目进展报告,以此作为决策依据之一。

经济措施：预留必要的预备资金，在紧急情况下可通过预备金的投入增加所需资源，通过项目所需资源的投入，对项目进度进行干预。

5.进度控制方法

横道图比较法是在项目进行过程中通过观察、检测、收集信息，经过整理后在横道图上以不同的颜色标注在原计划的横道上，进行直观展示比较的方法。

S型曲线比较法以横坐标表示进度时间，纵坐标表示累计完成的任务量，通过绘制计划完成任务量S曲线，将项目实际时间点上的完成的任务量与S型曲线进行比较分析的一种方法。

“香蕉”形曲线比较法，按实施过程中各工作的早开始时间绘制S形曲线，再按实施过程中各工作的迟开始时间绘制另一S形曲线，两条S形曲线结合部分形成“香蕉”形状曲线，由于是按照早开始时间和迟开始时间构成的进度区域，使得在判断实际进度是否存在偏差及对工期是否产生影响更为明确、直观。

前锋曲线比较法，前锋曲线是从计划检测时间的坐标点出发，用点划线依次连接各项工作的实际进度点，到计划检查时间的坐标点位置，根据前锋曲线与工作箭线交叉点的位置，判断项目实际进度与计划进度的偏差。

6.项目实施周期

五、运营情况

为建成总行数据中心至各行社上下联动的纵深网络安全防御体系，保障网络空间安全，平台现已接入82家行社、数据中心15个区域的流量，共计4.1万台资产，对资产流量数据实时监控、实时分析、实时告警。通过态势感知平台分析，日平均告警90多万，告警数据近95%来自行社，告警事件类型多为远程控制类、弱口令类等，另5%告警数据来自数据中心，为互联网恶意探测产生。项目建设初期，告警数量在130万左右，通过态势感知平台下发工单，督促行社人员、数据中心负责人进行问题处置，终告警下降到2万左右，下降近99%，为总行提供了“绿色”网络空间。

态势感知为82家行社创建独立账号，行社人员可登陆态势感知平台，通过系统查看告警信息，对所属资产威胁情况了如指掌，同时，运营人员也对行社告警威胁进行分析，对存在问题的行社进行下发工单并协助行社进行处置，形成安全事件闭环处理。

自态势感知建立以来，系统一直处于稳定运行状态，CPU平均利用率在50%左右，目前，态势感知4台系统存储内存占用67%。

六、项目成效

态势感知平台将监测到的僵木蠕、恶意程序事件上报贵州省通信管理局，阻断感染病毒主机恶意外联通道。同时，所有的告警数据会通过平台推送到人民银行态势感知平台，由人行专业人员进行分析，并将分析结果分享至金融相关行和机构，从而达到预警通告的目的。

态势感知平台达到了恶意事件信息共享，对存在同一事件风险的其他单位有效预防，降低安全事件风险，为企业用户提供全局安全态势感知能力和业务不间断稳定运行提供安全保障，为用户信息系统安全决策提数据支撑。

七、经验总结

1.依托态势感知平台形成了一整套总行和下属82家行社上下联动的网络安全防御体系，为总行数据中心和82家行社安全防护提供了全方位的网络安全威胁监控和处置的平台，为构建全行级的绿色、和平、安全的网络空间注入一剂强心针。

2.在为总行和82家行社安全护航的前提下，经过总行专家的分析和梳理，将精确可靠的安全威胁形成行内情况，通过专线共享至贵州省通告管理局、人民银行态势感知平台和农信银清算中心，完成威胁情报同第三方平台的实时共享，从而为构建行内、省内和国内安全的网环境贡献一份力量。

3.收集并细化网络态势感知平台的建设需求，结合总行数据中心各安全设备、中间件、操作系统等日志内容，分析与评估存在安全隐患及解决措施。

4.完成网络态势感知平台规划设计,包括概要设计、详细设计、测试方案设计、实施计划、实施流程、测试计划、测试案例、培训计划等。

5.完成总行数据中心各安全设备，包括但不限于防火墙、WAF、IPS、AV、DDOS、数据库审计等安全设备安全日志接入工作，完成互联金融区域、办公互联网区域、前置业务区域中间件响应日志接入工作，完成部分核心业务系统和服务器日志接入工作。

6.完成总行数据中心互联网区域、办公互联网区域、广域网区域、外联区域等区域核心流量网络攻击事件的监测和预警。

7.完成总行数据中心以及全省各行社、村镇银行网络安全态势的监测、清理工作。

8.根据总行数据中心各安全设备、流量分析设备、重点防护区域中间件和服务器的日志特征，完成具有特色的网络安全态势特征规则库的编制、调优和部署工作。

9.完成态势感知平台对接第三方平台，实现分发数据与共享数据的工作，系统包含CMDB、人民银行态势感知日志上报系统等第三系统。

10.完成设备上架、加电、布线标识、配置联调等工作。

11.完成设备资产统计及录入，设备监控纳管等工作。