一、项目背景及目标

1.市场分析-现状调研与分析

为应对宏观经济形势、市场竞争格局和客户需求的快速变化，数字化转型已成为商业银行经营发展的必然趋势，其开放互联、融合智能的特点，容易引发更多的网络安全风险，特别是对中小银行来说，由于金融科技建设相对落后、网络安全体系尚不成熟，往往成为网络安全事件的“重灾区”。与此同时，人民银行、银保监会等监管机构不断加强对金融业网络安全监督检查和违规行为处罚的力度，网络安全已成为商业银行数字化转型研究的重要课题。

近年来，基于金融科技的数字化转型成为整个金融行业的“新基建”，人工智能、大数据、云计算、物联网与金融科技深度融合。新技术迭代更新的同时，也带来了新的风险和挑战，被动防御的传统网络安全防护模式已难以适应新形势下网络安全发展需要。在此背景下，青岛农商银行主动求变，紧跟技术发展趋势，启动了智网安全管理平台建设，通过引入安全威胁情报、大数据分析、人工智能等技术构建以主动防御为目标、纵深防御为基础的网络安全管理体系，实现对网络安全事件风险预警、实时监控、联动分析与快速处置的事前、事中、事后全流程管控。

2.项目建设目标和主要意义

青岛农商银行持续构建以纵深防御为目标、主动防护为基础的网络安全管理体系，实现对网络安全事件风险预警、实时监控、联动分析与快速处置的全流程管控，推进网络安全管理平台建设，实现从被动防御到主动预防、从传统防护到深度检测、从人工操作到自动化处置，较大程度地提升该行整体的安全防护能力，为业务稳定运行提供安全保障。

通过在网络安全预警、配置集中管控、日志集中分析等各个环节落实安全管控措施，形成全面覆盖、集中管理、联动处置的全生命周期网络安全管理机制，全面提升网络安全自动化、智能化、安全化管理水平，为业务稳定运行提供强有力的安全保障。

二、创新点

1.事前安全威胁及时发现

安全态势感知系统通过全面收集多源异构的安全数据，利用威胁情报、大数据分析、机器学习建模等技术，对业务系统的安全风险情况进行分析，发现传统安全设备检测不到的异常访问及高级隐蔽型安全威胁。

2.事中威胁行为自动处置

事中构建安全配置集中管控体系，实现防火墙、交换机、路由器等异构设备访问控制策略的集中管理，对安全策略进行可视化、智能化、安全化管理，根据事前态势感知发现的威胁进行自动化处置，不断提升网络安全监控和运维的自动化、智能化水平。

3.事后威胁处置有效验证

事后通过安全日志信息集中收集，并结合网络流量数据进行联动分析，确保网络安全威胁行为处置及时有效，实现安全威胁监测一体化全流程闭环管理，通过快速响应降低未知风险引发安全事件的概率。

三、项目技术方案

青岛农商银行持续强化构建网络安全管理平台自动化、智能化、安全化管理水平，推进态势感知大数据、安全配置集中管控、日志信息收集分析建设，大力提升网络安全运营的自动化和智能化水平。通过制定事前、事中、事后安全管理全流程处置机制，及时识别、阻断网络攻击行为，有效处置安全风险，提高网络安全防护能力。智网安全管理平台功能架构如下图：

1.态势感知大数据

事前建立高敏感度的网络安全预警机制，利用威胁情报、大数据分析、机器学习建模等技术，不断优化丰富安全风险监测手段，强化对于高级持续性威胁和精准式网络攻击的动态监测和实时预警能力。

安全态势感知系统通过全面收集多源异构的安全数据，利用威胁情报、大数据分析、机器学习建模等技术，对业务系统的安全风险情况进行分析，发现传统安全设备检测不到的异常访问及高级隐蔽型安全威胁。系统主要功能包括：

（1）流量分析检测。通过对旁路镜像流量的审计和应用层解析，完成流量中传输文件的威胁分析和沙箱检测，识别出网络流量中的恶意文件。

（2）大数据存储功能。采用Hadoop、Kafka等大数据存储处理技术，对探针上传的日志、流量、资产、安全威胁情报等异构数据进行统一标准化处理，存储到安全大数据中心，为安全分析和威胁检测提供基础数据支撑。

（3）资产管理功能。系统可以从流量、日志、弱点等数据中自动识别并发现网络中的资产，建立资产台账。同时，对资产的状态、网络流量、开放端口、主动外连行为等指标进行持续监测，及时发现并处理各种异常资产。

（4）深度智能感知引擎。系统通过机器学习、行为建模、场景分析、多维关联分析等技术发现传统特征检测手段无法识别的网络威胁、攻击行为和异常事件，并对威胁进行分类定级。

（5）网络访问关系刻画功能。系统基于流量数据，刻画出行内资产间的网络访问关系，识别访问方向，判定访问行为是否为正常访问还是威胁攻击，终形成一张全网访问关系图。通过不同资产之间访问线路的方向和颜色直观展示出系统之间访问状态。

（6）威胁情报。系统可以向用户提供基于行业主管单位及其他第三方渠道掌握的威胁情报，建立黑名单，限制黑名单中的用户、IP地址访问行内系统。

（7）安全态势大屏展示。系统具有安全运维大屏展示功能，为管理人员提供安全可视化视图，为应急处置提供数据支撑和决策依据。

2.安全配置集中管控

事中构建安全配置集中管控体系，实现异构设备访问控制策略的集中管理，根据事前态势感知发现的威胁进行自动化处置，提高处置的自动化、智能化水平。系统主要功能如下：

（1）异构设备访问控制策略集中管理。平台通过在线采集方式定期抓取防火墙、路由、交换、负载均衡等网关设备的策略配置以及路由表信息，采用归一化方式解析存储到统一的安全策略模型中，实现异构品牌设备访问控制策略的集中展示、查询、分析等功能。

（2）安全策略配置检查与优化分析。平台通过对配置文件中的安全策略逐一与其他策略进行比对分析，判断相互之间的包含与被包含关系，终检查分析判断是否为冗余策略或隐藏策略，是否存在可合并策略和空策略等，管理员可根据分析结果有针对性的进行精简和优化调整。

（3）逻辑安全域拓扑自动生成。通过解析防火墙、路由、交换设备的配置，计算设备间的互联访问关系，自动形成全网逻辑拓扑。

（4）访问控制策略自动开通。可实现任意源地址到目的地址的访问路径及数据流分析，在数据分析的基础上，实现选路建议、策略风险分析、策略配置自动生成以及策略开通验证等功能，通过全流程化、自动化的方式减轻访问控制开通业务工作量，提高运维效率。

3.日志信息收集分析

事后通过安全日志信息集中收集，并结合网络流量数据进行联动分析，确保威胁处置及时有效，实现安全威胁监测一体化全流程闭环管理。系统主要功能如下：

（1）日志采集全覆盖。为确保日志采集、保存和管理的全面性，日志审计系统要覆盖我行互联网业务区和内网生产区的全部网络、主机和安全设备。

（2）日志备份及防篡改。系统具备监测、记录网络运行状态、网络安全事件的技术措施，日志保存不少于六个月,并实现管理员权限的分级管理，有效防止日志的删除、篡改。

（3）日志关联分析。通过预置规则实现各类设备日志的网络安全风险检查、合规性检测和关联分析等，及时发现、预警风险事件。

（4）日志定制。系统可根据我行实际情况，具备报表定制功能，维度包括但不限于时间、风险等级、频度等。

（5）特征库升级。因要实现各类设备日志的风险分析，系统应具备特征库实时升级更新机制，确保及时有效的识别各类风险事件。

四、运营情况

目前行内已经建立起基于事前威胁发现、事中自动处置、事后有效验证的体系，在基于行内态势感知平台发现的数据基础上，目前：

1.事前的威胁发现

目前通过安全态势感知平台，能够实现对旁路镜像流量的审计和应用层解析，完成流量中传输文件的威胁分析和沙箱检测，识别出网络流量中的恶意文件，与此同时，基于全行流量，首先，系统也实现从流量、日志、弱点等数据中自动识别并发现网络中的资产，建立资产台账，并对资产的状态、网络流量、开放端口、主动外连行为等指标进行持续监测，及时发现并处理各种异常资产，并刻画出行内资产之间的网络访问关系。

2.事中自动处置

目前行里对防火墙、交换机、路由器等设备已经建立起统一的安全配置集中管控平台，根据事前态势感知发现的威胁进行自动化处置，提高处置的自动化、智能化水平。安全配置集中管控平台已可以通过在线方式收汇聚防火墙、路由器、交换机中的数据，以及策略配置、对应信息，随之采用归一化的方式对收集的信息进行集中解析处理，实现不同设备的数据集中管控、展示、查询和分析。其次，通过对异构设备的解析，目前正在研究对于逻辑安全域拓扑的自动生成和访问策略的自动开通。

3.事后有效验证

现阶段，智网安全管理平台已实现通过日志分析的形式实现事后的有效验证，在结合网络流量数据联动分析的基础上，已经能够确保网络安全威胁行为处置及时有效，初步实现安全威胁监测一体化全流程闭环管理，快速实现安全响应。

五、项目成效

在持续构建以纵深防御为目标、主动防护为基础的网络安全管理体系上，行内已经初步实现对网络安全事件风险预警、实时监控、联动分析与快速处置的全流程管控，已经能够完成从被动防御到主动预防、从传统防护到深度检测、从人工操作到自动化处置，相较于之前行内的处置流程，现阶段实现的智网安全管理平台在很大程度上提升了行内的整体的安全防护能力，为业务稳定运行提供了有效的安全保障。

六、经验总结

目前网络安全威胁日益严峻，攻击方式不断升级，传统的单点防护手段早已失效，商业银行正在构建智能网络管理平台。青岛农商银行通过智网安全管理平台建设，建立高敏感度的网络安全预警机制，不断优化丰富安全风险监测手段，引入安全威胁情报、大数据分析、人工智能等技术构建以主动防御为目标、纵深防御为基础的网络安全管理体系，不断提升网络安全监控和运维的自动化、智能化水平，在网络安全预警、配置集中管控、日志集中分析等各个环节落实安全管控措施，形成全面覆盖、集中管理、联动处置的全生命周期网络安全闭环管理机制，持续提升网络安全智能化、安全化管理水平，为业务稳定运行提供强有力的安全保障，有效防范网络安全重大事件风险，确保信息系统安全稳定运行。

智网安全管理平台建设是青岛农商银行整个网络安全防护工作的一个重要里程碑，通过主动防御、自动处置、有效验证闭环管理，有效增强互联网出口应用层攻击防御能力，提高抵御多层次风险的安全防护能力，提升青岛农商银行网络安全整体防护水平和对业务系统的安全保障能力，减少网络攻击可能带来的经济和声誉损失，为青岛农商银行业务的快速发展提供了网络安全保障。未来，青岛农商银行将主动融入国家网络安全发展大局，持续深化智网安全管理平台建设，着力打造成为网络安全技术和体系领先的中小银行，为数字化转型发展保驾护航。