一、项目背景、目标及相关规划

1.项目背景

近年来，金融行业加速数字化转型，行内信息系统、基础软件等安全管理对象逐渐增多，安全运维难度越来越大。天津农商银行网络安全体系建设，目前已构建基于“纵深防御”理念的边界检测与防护体系，并取得良好成效。但面对日益复杂的网络安全环境，大量利用0-day等新技术发起的高级可持续性威胁，纷纷具备绕过IDS、IPS、WAF的能力。因此，传统边界检测与防护体系已不能满足面对日益发展的安全防御需求，天津农商银行参考头部城商行主机安全一体化建设思路，结合日常安全防御手段，以实战防御能力为导向，建设全行级主机安全管理体系，健全入侵防范、恶意代码防护和应用风险发现等功能，提升主机端异常登录、漏洞扫描等风险感知能力，补全网络安全防御体系短板，全面提升网络安全的总体能力和水平。

2.项目目标

通过部署主机安全软件，实现对生产环境主机系统的入侵检测、漏洞风险的评估和监控。对暴力破解、webshell、反弹shell、本地提权、web后门、系统后门、可疑命令等攻击进行监控，发现隐藏攻击，以实现在安全突发事件中及时定位系统和主机概况，全面提升安全应急效率。同时具备弱口令、恶意文件、权限监控、文件配置、异常进程、异常账号、异常登录、漏洞扫描等风险感知能力。

3.建设规划

根据天津农商银行当前实际情况，一方面在生产环境中首次部署主机安全类软件，主机系统环境版本较多、环境错综复杂，实际部署测试过程问题多样化，需各团队协作克服困难，加快推进系统部署；另一方面，主机系统历史积累风险问题较多，且整改困难，主机安全运营经验欠缺，尚未形成主机安全管理闭环。结合业内主机安全体系建设经验，首先进行主机安全管理系统的部署，其次开展主机安全运营工作。

*****阶段以系统建设为首要目标，部署主机安全管理系统，结合天津农商银行实际生产环境情况，遵循由边界到核心的原则推广安装Agent，逐步覆盖生产环境主机系统。系统设计架构如下图，通过Agent采集主机信息，在主机安全管理系统中进行分析并通过web端展示。

第二阶段以主机安全运营能力沉淀为目标，以系统上线前扫描为切入点，牢筑系统上线安全防线，保证风险整改处置闭环。在这个过程中进一步完善运营能力，以弱口令排查、专项漏洞排查等手段，逐步强化生产内网主机系统安全防护能力。

后逐步强化主机安全运营工作，包括资产信息梳理，入侵风险处置、安全风险发现等，依据科技发展优先级进行评估，一方面不断加固主机系统，形成风险整改闭环；另一方面，不断结合新的技术能力，优化主机安全运营工作，终提升全行网络安全运营能力。

4.业务功能

一是通过安装Agent，梳理主机系统资产信息。主机安全管理系统每日梳理主机进程、端口、账号、中间件、数据库、大数据组件、Web应用、Web框架、Web站点等资产；根据每个主机系统业务设置主机标签，针对性识别应用。

二是安全风险发现，包括补丁、漏洞、弱口令等。主机安全管理系统每日进行风险扫描，持续性地监测与分析漏洞风险，深入发现系统内部暴露的问题和风险，以便运维人员及时整改，从而提高攻击门槛，缩减修复窗口期；

三是实时监测主机系统内部指标的异常变化，能够有效的提供入侵告警和响应。主要包括暴破检测、异常登录、Webshell检测、Web命令执行检测和本地提权检测等功能；

四是依托行内CMDB系统，统一资产信息，通过主机标签、负责人、业务组等字段，在发现异常风险时，快速定位责任人，有效提高安全风险处置效率。

二、创新点

主机安全体系的建设是融合工具、方法和运营的全方位、一体化构建过程，一方面，通过了解业内主机安全建设经验，横向扩充主机安全风险监测能力，规范安全管理制度；另一方面，通过组织科技部门不同层次人员的交流，纵向了解主机安全需求，实现不同层次能力的有机协同，打造主机安全运营闭环。

1、强工具

通过部署主机安全管理系统和推广主机系统Agent部署，使生产环境主机系统安全情况能够更形象地看得见、用起来。一是资产梳理方面，通过多维度的统计管理，从系统基本配置，如CPU、内存、进程、负载等基本信息到数据库、web应用等分组比对，从而直观的了解主机资产情况；二是风险发现方面，通过对系统补丁发现、漏洞检测、弱口令等进行定期扫描，及时发现并暴露安全风险，提高运维人员系统整改效率。三是入侵检测方面，通过对暴力破解、异常登录Web后门、系统后门、木马等异常行为和文件的实时监控，补齐内网安全防御短板，有效阻断了入侵内网后横向拓展的攻击行为。

2、建闭环

依托于工具的能力构建，更直观的发现并处置主机安全风险。一方面，对监管下发的漏洞排查，更准确的发现并整改，防止错报、漏报情况发生；另一方面，增加安全管理手段，通过弱口令排查、特权账号梳理等专项整改工作，有效提高内网系统安全水平。采取技术手段，建立风险发现整改闭环机制，从而提升主机安全防护能力。

3、抓运营

作为网络安全运营体系中重要的一环，一方面，将主机安全扫描纳入生产系统上线前扫描范围内，将发现的高危及以上漏洞整改后，允许上线，从根本上杜绝了生产环境高危漏洞新增的问题；另一方面，通过API接口实现与态势感知系统的对接，将入侵风险与网络流量监测风险联动，实时监测外部入侵风险，成立安全工作组，每日对入侵告警进行分析和阻断，有效提高全行信息系统的网络安全防护能力。

三、项目过程管理

天津农商银行于2023年1月启动主机安全体系建设项目，6月30日基本完成主机安全系统建设，于7月逐步开展主机安全运营工作。

四、运营情况

自主机安全系统建设完成以来，共完成969个主机系统的推广部署。在资产方面，依托CMDB系统统梳理业务系统与主机IP对应关系，建立分组，准确录入资产信息；风险方面，对监管要求漏洞进行排查整改，同时对新上线系统严格扫描，对发现的风险问题建立台账，整改后允许上线；弱口令方面对DMZ区的弱口令实现“动态清零”，对生产内网的特权账号弱口令实现“动态清零”；入侵监测方面，通过配置入侵告警邮件，对接态势感知系统，每日发送入侵检测日报，及时发现异常行为，处置整改，形成闭环。后，结合天津农商银行实际情况，制定主机安全运营三年规划，力争2025年实际达到行业主机安全运营管理水平。

五、项目成效

场景1：弱口令专项排查情况

天津农商银行自8月开展生产环境SSH弱口令专项整改工作，共发现弱口令账号1131个，已完成516个，整改完成45.6%。其中DMZ区弱口令账号已经全部完成整改。

场景2：上线前检查情况

自6月30日系统推广部署完成以来，开展上线前检查工作，共有6个业务系统进行上线前扫描工作。其中3个系统完成风险整改，共61个高危漏洞，高危风险整改率100%。

六、经验总结

天津农商银行结合头部城商行建设经验，根据自身生产环境特点，进行主机安全一体化建设。通过对系统资产的梳理，提升了主机系统的治理能力，深化了对数据库和应用的管控能力；以风险发现为手段，构建了主机安全风险整改闭环机制；依托入侵检测能力，实时监测内网环境入侵风险，同时对接态势感知，优化主机安全风险运营技术能力。后续，天津农商银行将持续推进主机安全运营的建设，借助主机安全系统不断优化安全整改策略，减少运维人员工作强度，提高主机系统安全防护水平；在工具层将不断完善现有的工具能力，满足科技部不同层次系统的差异化发展需要，力争实现业务场景的全覆盖。