一、项目背景及目标

1.市场及需求分析

随着数字化发展，金融行业对网络安全要求日益提高。网络攻击从偶发转为持续对抗，如 APT、勒索软件等频发，传统 “重应急、轻日常” 模式难以应对。 同时，安全可控能力作为 “数智太保” 三台科技硬核能力之一，需强化网络安全等能力，实现业务与安全保障双轮驱动。

2.项目立项背景

为提升太平洋保险整体数智化能力，强化网络安全、数据安全及智能化安全运营，在已有网络安全能力基础上，立项建设数智化网络安全运营平台，以适应复杂威胁环境，促进安全运营与业务协同发展。

3.项目目标

构建智能化网络安全运营平台，融合大模型技术实现安全运营自动化智能化，建立常态化安全运营团队及度量指标体系，达成 “平战融合” 实战化安全运营目标，提升安全防护效能，降低运营成本。

二、创新点

1.自动化提升响应能力

安全运营平台建立，缩短安全事件精准告警和威胁发现的 MTTD，利用AI 机器人应对人工运维为主的响应处置，降低 MTTR，提高响应效率。

2.辅助人工决策

AI 机器人对接资产管理系统等，实现资产、人员等快速定位及情报加持，为安全事件研判分析提供数据支撑，提升研判效率，加速事件处置。

3.降低人工干预风险

通过 AI结合RPA 机器人自动化流程实现原先需人工登录安全平台添加防护策略等工作，无需人工干预，防止操作失误，降低企业生产风险。

三、项目技术方案

1.项目规划与实施

智能化网络安全运营平台建设 ：开发多源数据采集接口，采集各类设备安全日志数据，采用标准化数据格式封装处理，并建立数据缓存机制。构建数据清洗与预处理模块，对数据进行清洗、分类整理、归档存储及标准化转换，为分析查询提供支持。引入机器学习与人工智能算法构建安全事件智能检测模型，利用历史数据训练优化，自动识别安全行为模式，实现自动化检测预警。建立安全事件关联分析引擎，对不同数据源安全日志进行深度关联分析，挖掘安全事件全貌和攻击链，为应对策略制定提供依据。

常态化安全运营团队建设 ：设立安全运营管理岗位，负责团队日常管理等工作，要求管理人员具备丰富网络安全管理经验和领导能力。设立安全运维保障岗位，负责安全运营平台及设备日常运维管理，保障平台稳定运行，提供技术支撑。

安全运营度量指标提取 ：基于安全日志中的源 IP、目的 IP、端口信息等构建恶意扫描行为度量指标，识别恶意扫描活动；从攻击特征字符串等提取入侵攻击指标，分析攻击情况。根据安全事件时间数据建立安全事件响应时间指标，评估团队应对效率；基于安全告警与真实事件数量关系建立安全告警准确率指标，评估监控系统准确性可靠性。

2.技术架构

平台整体基于大数据架构进行构建，采用分布式计算和存储技术处理海量安全数据，利用机器学习和深度学习算法对数据进行分析挖掘，同时结合AI大模型技术实现智能分诊、研判等功能，通过接口与各类安全设备、管理系统等进行数据交互，形成完整的网络安全运营技术体系。

四、项目过程管理

项目启动阶段（2024 年 3 月） ：完成项目立项，组建项目团队，明确项目目标、范围和计划，进行初步的需求调研和技术方案设计。

项目开发阶段（2024 年 4 月 - 2024 年 12 月） ：进行平台各功能模块的开发，包括数据采集、清洗、智能分析、关联分析等，同时开展团队组织架构搭建和人员培训工作，逐步建立安全运营度量指标体系。

项目测试与优化阶段（2025 年 1 月） ：对平台进行全面测试，发现并修复问题，根据测试结果对平台性能、功能等进行优化调整，确保平台稳定可靠。

项目验收阶段（2025 年 2 月） ：完成项目验收工作，总结项目成果和经验，为后续持续运营做好准备。

项目持续运营阶段（2025 年 3 月 - ） ：项目投入生产持续运营，进入运营、反馈、持续改进任务循环周期。

五、运营情况

项目实施后，平台已在太平洋保险内部稳定运行，日均采集安全告警9000万条，通过关联分析、机器学习、威胁情报等技术分析手段收敛至9万条告警数据，其中95%以上的互联网告警均实现自动化响应处置。此外，通过接入安全威胁检测设备告警日志，构建形成全面威胁检测体系，覆盖5大类150种以上威胁检测场景，包括网络攻击检测场景、内部威胁检测场景、终端安全场景、邮件安全检测场景、设备联动威胁检测场景等。

六、项目成效

1.经济效益

通过降低安全运营成本，减少人工投入，提高运营效率，提高业务的稳定性和连续性，同时降低了因安全事件可能导致的业务中断风险，为公司创造更多的经济效益。

2.社会效益

该项目在为金融机构数智化转型提供了可借鉴的安全运营模式和实践经验，有助于提升整个金融行业的网络安全防护水平，保障金融业务的稳定运行，促进金融行业的健康可持续发展。

七、经验总结

在项目建设过程中，充分认识到技术创新与业务需求相结合的重要性，最新AI大模型技术在网络安全落地应用上需要持续磨合和积极创新，只有紧密围绕实际安全需求进行技术创新，才能确保项目具有实际价值和应用效果。

团队建设是项目成功的关键因素之一，新形式下的信息安全需要各方人员积极配合，更需要加强人员培训和协作，特别是如何发挥AI特性和运营平台效率。如何围绕数智化环境来打造一支专业的安全运营团队，为项目的顺利实施和后续运营提供了有力保障。