一、项目方案

广东农信在传统网络安全建设上已较为成熟，日常安全运营的主要工作内容正在向应用安全、业务安全、数据安全转移，安全团队当前缺乏对新型安全威胁的有效感知，传统的基于规则的流量入侵检测系统已无法满足当前广东农信应对的挑战，急需全流量全协议的安全流量分析系统。

同时，内网间网络通信监测缺乏也造成难以发现攻击者内网攻击、后渗透的痕迹。随着国内外网络安全问题日益凸显，国家层面对网络安全工作的重视程度也不断提升。广东省农信承担着金融风险防范和应急处置、地市农合机构网络安全和信息化工作指导等职责，面对日益严峻的网络安全挑战，建设一个覆盖全省的安全威胁监测系统，有助于实现对农合机构网络安全做到基本的管控。

本项目建成一套全流量安全威胁检测系统，流量分析探针通过收集交换机或tap网络镜像流量各网络安全域的实时流量，将安全分析日志上收全流量安全威胁检测系统集中分析，做到安全事件集中管理。流量分析探针在网络接入与流量入侵检测系统无异，通过旁路流量监控，对生产业务基本无影响，受影响的系统主要集中在网络，包括地市机构交换机、地市骨干网sd-wan与省中心tap网络，建设难点在于实现传统网络架构与私有云环境统一安全事件监测。

项目关联系统为安全态势感知平台，安全态势感知作为中心SOC，全流量安全威胁检测系统将收集汇总后的安全告警日志数据加以分析后作为数据源输入到安全态势感知平台，并通过态势综合中心其他安全设备日志为安全中台提供准确的数据。

项目功能架构如图：

二、创新点

借助不断发展成熟的大数据技术，使用全流量安全威胁检测系统统一管理多网络区域安全事件，通过对各机构上收流量数据分析后的安全日志进行综合分析，展现机构层面所受到的攻击和威胁态势，监控各区域的安全状况，形成对整体安全风险的全局视野和掌控能力，从各区域收集到的安全事件数据汇总到全流量安全威胁检测系统，对接威胁情报等安全能力，预警省内的重要安全风险，做好安全威胁的主动应对，从事前、事中、事后角度对全省安全事件有效纳管，向各机构提供管理、技术、数据、资源等方面的支撑。

三、技术实现特点

1.全方面数据采集

数据驱动安全，用更全面的数据提高威胁分析检测的准确性，通过流量的原始信息和检测告警信息两个方面有效的对于高级威胁发现和溯源分析发现大量包括APT攻击在内的大量高级威胁攻击，流量的原始信息可以与云端下发本地可机读的威胁情报IOC进行匹配以及进行溯源分析，本地多维度检测的告警信息可以作为高级威胁检测的辅助以及检测范围的补充。

2.多维度威胁发现

通过网络流量、流量传输中的负载、终端检测以及网络和终端的流量结合威胁情报进行统一分析威胁发现提升高级威胁检测覆盖威胁全生命周期检测能力

3.精准的溯源分析

依托轻量级大数据搜索技术的快速回溯能力,基于搜索技术的数据全流量安全威胁检测系统可对本地抓取的海量数据进行快速检索从而进行高效分析，对内网的攻击行为进行历史回溯。在本地数据的存储和检索方面，使用ElasticSearch检索平台做为基于搜索技术的数据分析平台基础，可进行定制化修改，并配套大量的检索和分析软件以对数据做到高效分析。

4.云端威胁情报中心威胁线索拓展分析能力

当本地发现异常外联行为时只通过本地的数据是无法分析具体行为后面代表的具体的威胁是什么，依靠外部的威胁判断能力进行辅助拓展发现单位的威胁情报线索背后所代表的威胁内容。本地出现威胁线索时通过系统一键查询云端威胁情报中心进行威胁线索的背景拓展。

四、项目过程管理

项目分三期建设，*****期完成所有互联网入口完成双向全流量监控系统建设。第二期完成全流量安全威胁检测系统建设，实现除互联网接入外网络功能区的双向全协议全流量安全监控与分析，第三期完成省中心与地市机构安全告警数据梳理与基本的规则优化与威胁模型建设，与安全态势感知平台实现对接。

1.需求分析与预研阶段：2020年7月至9月，完成可行性分析、整体建设目标等高层设计。交流学习各地区各行业实践、制定总体建设目标与项目方案。

2.启动阶段：1周。收集项目信息，召开项目启动会议，与厂商项目组建立沟通界面，形成完善的沟通机制，并准备各类项目管控相关文档。主要目标是确定项目实施的领导机构、标准和规则。

3.制订项目管理计划：1周。确定项目管理过程，明确项目范围和目标，进行工作分解，确定项目所需资源；明确项目管理质量目标，制订质量管理标准；制订进度、成本、资源（设备、人员）、风险计划和控制措施。本阶段目标是完成项目计划制订。

4.全流量安全威胁检测系统软件开发与安装方案设计，云资源及改造评估：1周。本阶段任务是与架构、系统讨论分析软件安装方案，部分软件上云使用云资源等技术细节，接入云内流量方案设计，与供应商确定实施方案与改造工期/工作量。

5.全流量安全威胁检测系统软件改造，安装实施，调试，测试：4周。

6.前期机房环境调研/实施方案设计/安装调试方案设计：1周。

7.设备安装，系统集成与配套施工，系统联调调试：2周。安全流量分析探针设备到货验收和加电测试，各节点对已经到货的设备进行到货验收、开箱加电测试，提交《设备到货验收合格单》，我方签字确认。本阶段目标是完成设备到货开箱检查和加电验收。开箱检验、加电测试、签署设备验收合格单硬件部署于指定机房内，满足我行规定的应用环境要求。

8.对安全告警数据进行循环优化改进，输出配置维护日志文档：3周。

9.对接省中心安全态势感知平台：2周。

五、运营情况

本项目系统部署覆盖21个数据中心，覆盖75家辖内农商行信息安全流量监控，日均监控总流量大于30Gbp。本项目近一月处理外网攻击告警事件三十三万起。在日常运营中，本项目一是清晰、精确、高效地向各辖内农商行信息科技工作人员呈现网络安全现状，以便快速发现网络中违反安全策略行为和被攻击的对象，提升威胁响应及处置效率。二是对攻击事件、攻击行为、留存的网络协议等进行数据挖掘与详细分析，包括活跃时间、偏好攻击目标/网站、常用攻击工具、攻击阶段等，并具备研判、溯源等操作处置功能。三是还原攻击路径、复现攻击手段、提供关联分析引擎，实现对安全攻击链的全面掌控，进一步提高安全分析的精准度，为安全事件溯源提供精确的决策分析依据。

六、项目成效

1.实现移动数据的多维度、全方位数据分析和可视化管理

通过全流量安全威胁检测系统的建设，实现中心整体流量数据采集和安全事件监测能力，经过评估的高危的区域在汇聚层甚至接入层部署探针，在模拟环境中对网络传输数据检测，提升发掘apt攻击线索能力，以威胁情报形式打通攻击定位、溯源和阻断多个工作环节。

2.全面提升整体安全管理水平

高效的快速搜索技术与大数据存储提升了安全事件还原，基于大数据挖掘分析的恶意代码检测技术提升了恶意代码发现能力，基于沙箱对未知漏洞攻击检测。

3.满足银行行业政策法令监管要求

在移动金融应用安全、个人信息保护等要求发布前，主动对业务流进行了针对性的监控，帮助整改相关业务系统，对抗黑灰产攻击，挽回客户资产。

七、经验总结

1.项目建设前期需要对业务逻辑、流量流向、涉及到的正常通信协议与事务流程明确，方便对全流量监控有针对性建设，充分发挥各方优势。

2.项目上线初期不可避免的会有安全事件误报、漏报的情况，及时联动其他安全产品对资产整理，了解服务组件版本特性，结合服务日志、运维监控系统等多维度收集信息，调整策略。从完整的事务逻辑出发，优化规则制定自定义规则与监测模型。

3.应对数据安全要求，银行业相关的内容，有针对性地制定安全事件监控与应急响应流程。建立区别于传统的网络安全事件研判的措施机制，面临从全流量安全监测业务与数据上的建立有效的沟通机制。

4.通过周期性输出图表报告，量化安全运营工作，突出安全建设成效。