一、项目背景及目标

近年来我行金融科技驱动业务高速发展，持续不断的在零售、对公和场景金融端不断发力。在国产化替代和业务应用创新的浪潮下，安全基础是数字化转型的保障，需要不断加强网络安全建设。目前随着我行数字化转型应用资产已达到一定规模数量级,业务形态包含传统稳态业务和分布式敏态业务，底层采用“一云多芯”部署架构，通过云平台进行统一管理，集中纳管各类计算资源、存储资源和网络资源。现代数据中心约20%的流量是内外网之间的数据交换，而更为庞大的80%流量流转于内网主机之间，因此内网主机之间东西向的网络访问更值得被关注，随着我行各类业务由传统环境向云环境迁移，如何保证云内ECS主机安全尤为重要；同时，业务安全防护是端到端的安全，数据链采集不完整易产生大量误报，造成告警信息不准确。

因此，需要部署一套主机安全防御平台，精准识别并盘点网络中的所有主机，涵盖物理机、虚拟机等，实时更新资产信息，为安全防护提供坚实基础；可深入扫描主机系统与应用漏洞，及时预警并提供修复方案，降低被攻击风险；入侵检测与防御功能时刻在线，实时监测主机行为，一旦发现异常攻击，迅速阻断并联动其他安全设备，形成立体防护；有效限制东西向流量的随意流动，降低横向攻击的风险，构建起全面、高效的安全防护体系，为业务稳定运行和数据安全保驾护航。

二、创新点

我行主机安全防御平台建设涵盖安全监控、运维响应、安全治理等多方面建设，不是靠一堆安全产品的上线堆砌，而是需要自上而下全员协同配合，有效利用安全工具将应用、网络、主机、终端的数据关联融合和建模分析。一是实现安全数据的可量化，直观明确的发现安全脆弱面；二是实现安全数据“去孤岛化”，安全态势不再局限于某一类或某层面的安全数据，而是可以从资产角度鸟瞰安全整体数据态势，并形成安全关联能力、影响分析，更加准确的评估资产安全基线；三是安全数据提供建设支撑，通过对安全数据的分析能够准确定位我行安全建设的薄弱点、安全攻击侧重点，更好的推动我行下一步安全建设规划与落地措施；四是为安全数据赋能业务打下基础，通过安全数据的分析与归类，从攻击者视角数据的归类明确业务安全的关注点，将安全与业务紧密连接，推动业务建设的合规安全性。基于以上四点，建设主机安全防御平台，实现安全运营数字化转型，力争“业务不中断、数据不出事、合规不踩线”的网络安全零事故目标。

（1）复杂环境下的大规模资产及攻击面管理

复杂环境下的高效、全面、自动化的资产采集和聚合管理，达到了整体资产细粒度和深度的采集，清点10余类主机关键资产，识别200余类常见业务应用，并支持与 CMDB 系统关联，有效补充系统内容的资产数据。在获得资产信息后，将结合业务情况，形成“概览视图”与“分级视图”，展示整体资产状况,多维度剖析单一资产，详细分析内部情况，从安全维度展示资产问题。

（2）多维度入侵感知

对攻击路径每个节点深入监控，提供了多平台、多系统的全方位、高实时的攻击监控，做到了实时监控的“全”方位，通过AI推理发现Webshell中存在的可疑内容，漏报率和误报率都达到了业内领先水平，检测精度深，独有的特征挖掘角度让后门难以绕过。在Agent 探针能力支持下，结合IoC、大数据、机器学习等分析方法，对入侵事件实时监测和通知，做到了入侵“高”实时。提供了包括自动封停、手动隔离、黑/白名单和自定义处理任务等多种响应能力，让响应从此“高效多样”。

（3）可视化访问关系

自动学习业务访问关系，并以多种拓扑图清晰展示，结合资产信息，为策略制定提供基础。依据不同管理场景，配置不同粒度的控制策略，并随业务或环境变化自适应调整策略，实现自动化运维。访问控制模式决定控制策略如何放行/阻断网络连接,配合不同的管理要求,支持不同强度的控制模式。在不真实拦截流量的情况下，持续监控学习业务访问关系，自动验证策略准确性和覆盖度。在发生真实攻击场景下,提供应急响应手段,迅速隔离失陷主机网络,防止威胁进一步扩散。

三、项目技术方案

所谓“工欲善其事，必先利其器”，信息系统安全运营需要工具协同。在行内部署主机安全防御平台，覆盖我行数据中心生产环境1200余台主机，从而实现以下防护需求：一是主机资产清晰管理，对业务主机侧全面资产的掌控和清点隐性资产的能力；二是主机风险全盘可视，构建主机内置的风险排查能力，实现主机安全风险的全面检测、可视化呈现，主动、快速发现安全隐患所在，进一步完善及确保安全风险被利用处于最小和可控状态，保障主机的持续安全；三是威胁入侵实时感知，实现对业务主机入侵攻击实时检测发现能力和未知攻击入侵行为的检测发现能力，形成有效的响应处置能力和安全闭环管理，与现有网络环境安全能力形成互补。四是东西向流量管控，通过自主学习分析、可视化展示业务访问关系，实现细粒度、自适应安全策略管理，可快速隔离失陷主机网络，阻断横向渗透行为。

图1：业务架构

（1）架构介绍

主机安全防御平台采用目前成熟的微服务器架构，主机防护、微隔离、防病毒功能以非常轻量级的插件方式存在于agent上，一个 Agent 集成微隔离、主机安全、防病毒等多种能力，并可持续扩展。

主机探针：Agent只需一条命令就能在主机上完成安装，且自动适配各种物理机、虚拟机和云环境。运行稳定、消耗低，能够持续收集主机进程、端口、账号、应用配置等信息，并实时监控进程、网络连接等行为，还能与Server端通信，执行其下发的任务，主动发现主机问题。

核心平台：Server作为核心平台的信息处理中枢，支持横向扩展分布式部署，能够持续检测分析从各个Agent上接收到的信息和行为并进行保存，可从多个维度的信息中发现漏洞、弱密码等安全风险和Webshell写入、异常登录、异常命令调用等异常行为，从而实现对入侵行为实时预警。

管控中心：以Web控制台的形式和用户交互，清晰展示各项安全检测和分析的结果，并对重大威胁进行实时告警，帮助用户更好更快地处理问题，提供集中管理的安全工具，方便用户进行系统配置和管理、安全响应等相关操作。同时，具备对外扩展能力，通过syslog协议和API接口能够给安全运营体系的NGSOC提供威胁信息，同时可以为CMDB资产管理平台提供精细粒度的资产信息补充。

（2）常用功能

资产清点：随着业务规模与生产环境变化，配套 IT 设施也在随时发生改变；这些无疑对我行体系化安全建设提出严峻挑战。没有人能够保护未知的资产，因此详细资产清单是安全防护的前提。资产清点常需要对一定范围内的主机或应用系统指纹进行识别，主机类资产清点产品一般具备自动探测发现包括主机、数据库、中间件、应用组件等未知资产，并对资产进行全生命周期管理的功能。对资产“看得全，理得清，查得到”。同时在发生安全事件时，全面且及时的资产数据支持，也将大大缩短排查问题的时间周期，减少损失。

风险发现：在资产细粒度清点的基础上，持续、全面透彻地发现潜在风险及安全薄弱点。根据多维度的风险分析和精确到命令行的处理建议，帮助我行及时处理重要风险，限制黑客接触系统、发现漏洞和执行恶意代码，从而大大提高系统的被攻击门槛。

风险分析：持续性监测所有主机的安全状况，图形化展现组织的风险场景，为安全运维人员动态展示安全指标变化、安全走势分析，使安全状况的改进清晰可衡量。为安全运维人员实时展示风险分析结果和风险处理进度，提供专业可视化的风险分析报告，使安全管理人员的工作价值得到可视化呈现。主动、持续性地监控所有主机上的软件漏洞、弱密码、应用风险、资产暴露性风险等，并结合资产的重要程度进行风险分析，准确定位最急需处理的风险，帮助我行快速有效解决潜在威胁。

高级威胁检测：通过对攻击路径的每个节点进行深入监控，提供了多平台、多系统的全方位、高实时的攻击监控，对进程变化、文件变化、登录登出、Webshell等事件了如指掌。并在Agent探针的能力支持下，结合专家经验、威胁情报、大数据、机器学习等多种分析方法，通过对用户主机环境的实时监控和深度了解，有效发现包括"0Day"在内的各种未知威胁攻击。

联防共建：主机安全防御平台结合青藤万相、山东城商联盟等安全团队多年的攻防经验，通过检测引擎、威胁情报、场景化检测规则、机器学习、基线分析和关联规则等多个维度进行威胁的研判，快速定位真正的威胁，同时优化现有的传统威胁检测手段，减少告警的误报和冗余情况，将威胁告警数量控制在人工可分析的数量级。

四、项目过程管理

第一阶段：测试阶段，集合我行实际情况，计算资源包括Intel、海光、鲲鹏等CPU，虚拟化环境包括VMware虚拟化、华为云以及物理机裸金属环境，操作系统包括Redhat、麒麟，数据库涵盖Oracle、Mysql、达梦、人大金仓、OpenGauss、GoldenDB等，主机防护软件需适应不同软硬件环境、指令集并实现统一监控管理。因此，需经过充分测试及安全检测分析，寻求符合我行实际需求的安全产品。

第二阶段：实施调研，调研总体部署网络环境、调研各数据中心网络访问关系、调研Agent安装覆盖范围。

第三阶段：安装实施，根据调研结果细化实施方案，按项目内容准备相关软件安装包，服务端及客户端实施环境准备。私有化部署服务端和Agent客户端，服务端运行调试、客户端安装及网络访问测试、功能及性能测试、试运行观察。

第四阶段：人员培训，对科技人员进行安全知识培训、对安全运维人员进行实操讲解及技术培训。

第五阶段：持续运营，构建完善的日常运营工作流程。涵盖以下方面：其一，定期对特征库进行更新与升级，确保平台能够精准识别和防范各类新兴安全威胁；其二，建立紧急漏洞预警及响应机制，一旦发现漏洞，迅速启动响应流程，降低安全风险；其三，强化应急响应协调与沟通能力，在安全事件发生时，各部门高效协同，快速处置；其四，持续开展系统调优工作，根据业务需求和安全状况，优化系统性能；其五，不断推进系统监测优化，实时掌握平台运行状态，及时发现并解决潜在问题。

五、运营情况

目前，我行在生产环境与测试环境均部署了主机防御节点，对大量主机进行纳管，构建起了较为完善的主机防御体系。在日常运行中，该体系持续发挥作用，累计发现了诸多风险项，涵盖安全补丁、漏洞检测、弱密码应用、应用风险以及账号风险等多个方面。安全团队迅速响应，对这些风险项展开全面评估与积极处置，成功修复或缓释了大量高中危风险，包括安全补丁、漏洞、弱密码以及应用风险等，有效降低了系统的安全风险。在入侵检测方面，系统会实时触发告警。其中部分告警经系统自动优化处理，而剩余告警则涉及暴力破解类、后门检测类、反弹 shell 攻击类以及 web 命令执行类等多种类型。针对这些告警，我行迅速组织安全团队、运维团队以及开发团队介入处理。各团队协同合作，对告警的真实性及可能产生的影响进行深入分析研判。经专业研判后，及时进行妥善处置，确保了系统的安全稳定运行。

在网络安全形势愈发复杂严峻的当下，我行积极推进与山东城商行联盟、安全厂商的合作。山东城商行联盟深耕城商行领域，对城商行面临的安全痛点有着深刻洞察，积累了丰富且实用的行业经验，能为我行提供极具针对性的安全指导。安全厂商则在技术研发与创新方面实力卓越，拥有先进的安全产品与解决方案，可为我行安全防护提供强大的技术支撑。我行将依托现有的主机防御平台，与山东城商行联盟、安全厂商紧密协作，共同构建多层次、全方位的安全防护体系。通过整合各方优势资源，实现信息共享、技术互补，有效提升我行安全监测、预警和处置能力，为业务发展筑牢坚实的安全屏障。

六、项目成效

主机安全防御平台上线后，安全防护能力显著提升，围绕资产监控、风险管控、问题发现、入侵告警以及数据分析等方面取得了显著成果：

（1）资产监控清晰可视，管理效率大幅提升

成果：成功构建清晰且精准的资产监控体系，实现了资产动态梳理与可视化呈现。从安全角度出发重新定义资产，构建涵盖 Web 服务、Web 站点、数据库、大数据组件等关键领域的业务型资产对象，更加契合安全实际需求。

效益：安全团队能够实时、准确地掌握资产状态，快速定位问题资产，资产管理的效率和精准度得到极大提高。以往人工梳理资产耗时费力且易出错，现在借助该体系，资产盘点时间缩短了90%，准确率提升至96%以上，为安全决策提供了坚实可靠的数据支持。

（2）风险管控智能高效，业务安全更有保障

成果：完善了主机风险生命周期管理体系，深入检测各类软件的重要更新补丁，并结合系统业务影响、资产及补丁重要程度、修复影响情况等多方面因素，智能提供贴合业务的补丁修复建议。

效益：有效降低了因软件漏洞带来的安全风险，减少了系统被攻击的可能性。在项目实施后，处置软件漏洞30余起，未出现因软件漏洞引发的安全事件，同时避免了盲目修复补丁可能对业务造成的影响，保障了业务的连续性和稳定性。

（3）问题发现及时全面，安全隐患有效消除

成果：能够快速发现应用配置缺陷、运维人员违规操作、主机弱口令、web 风险文件暴露等导致的安全问题，并及时提供修复建议。

效益：自项目实施以来，在安全维护工作上持续发力。针对安全补丁方面，积极推进修复工作，确保系统及时更新，填补潜在漏洞；对于检测出的漏洞，迅速开展评估与处置，防止其被恶意利用；针对弱密码问题，严格落实整改措施，提升账户安全性；在应用风险层面，全面排查并妥善处理，保障应用的正常运行。通过这一系列举措，主机系统的安全性得到了极大提升，安全防护体系更加稳固。

（4）入侵告警实时精准，防御能力显著增强

成果：实现了主机实时入侵告警和全方位监控，弥补了传统网络边界安全防御的不足。完成了对主机上暴力破解、本地提权、反弹 shell、后门入侵等攻击方式的实时告警。

效益：安全团队能够在攻击发生的第一时间收到告警信息，并迅速采取应对措施，将攻击损失降到最低。项目实施后，入侵攻击的平均响应时间从原来的1小时缩短至10分钟以内，有效防御了15起潜在的严重入侵攻击，保障了主机的安全稳定运行。

（5）数据分析拓展维度，安全洞察更为深入

成果：扩展了数据分析平台日志的宽度，主机 agent 能够提供丰富多样的日志和采集信息，并通过标准 syslog 接口发往态势感知平台。这使得对主机安全状况的分析维度得到极大拓展，能够从更多角度了解主机运行状态和潜在风险。

效益：基于更全面的日志数据，安全分析人员可以挖掘出以往难以发现的潜在问题模式和异常行为，提前制定针对性的防范策略。目前，通过数据分析发现的潜在安全风险数量较之前增加了30%，为安全防护工作提供了更深入、更全面的洞察，进一步提升了主机的整体安全水平。

七、经验总结

在数字化浪潮席卷的当下，业务安全面临诸多挑战，为筑牢业务安全防线，我行积极推进安全运营防御体系建设，内容涵盖以下关键方面：

（1）事前事中强化防御，驱散安全“迷雾”

安全威胁往往隐匿于复杂的网络环境中，难以被及时发现，为解决安全攻击“看不见”的难题，我行聚焦事前、事中防御环节。基于行内业务系统、网点业务终端以及联盟互联网出入口，部署一系列高效的安全产品和工具，时刻监测着网络环境，对各类安全威胁进行动态预防。同时，定期对收集到的相关数据展开深入分析和研判，精准捕捉潜在威胁的蛛丝马迹，及时将其清除，让业务系统在安全的环境中稳健运行。

（2）协同联动筑牢防线，抵御安全攻击

互联网出入口虽由山东城商行联盟主导安全防御工作，但我行深知安全防御需多方协作。为确保安全攻击“防得住”，我行积极与联盟开展安全防御联动，在安全产品层面，双方共享先进技术和资源，实现优势互补；在安全数据层面，建立高效的数据共享机制，及时交换威胁情报；在安全应急层面，制定联合应急预案，协同应对突发安全事件。我行深刻认识到“重业务轻安全”的危害，不断完善安全防御体系，提升整体安全防护能力。

（3）打造专业安全队伍，提升安全运维能力

人是安全生产的根本，安全运维人员的专业能力直接关系到业务系统的安全。我行高度重视安全队伍能力建设，致力于培养一支属于自己的安全运营队伍。通过安全产品的辅助，安全运维人员能够更精准地对威胁进行甄别和判断。此外，我行还定期组织安全培训，不断提升安全运维人员的技术水平，让他们在面对复杂的安全威胁时能够从容应对，为业务安全筑牢一道坚不可摧的“人防”防线。