项目背景及目标

项目背景及面临挑战：

随着我行金融业务的不断发展，需要通过第三方渠道办理的业务日益增多，对接的第三方机构也不断增加，加之当前外部网络安全形势日趋严峻，网络攻击也越来越多，面临的风险越来越大，生产安全面临着巨大挑战。鉴于网络安全的大背景，我行也一直在积极思考和探索如何保证行内生产系统外联网络边界的安全稳固，如何进一步提高行内网络安全防护能力，综合运用现有的管理和监控手段为业务生产提供安全可靠的网络运行环境，寻求安全有效的解决方案。

项目目标：

为不断提高外联边界区域网络攻击的威胁预警能力，在网管监控盲区的网络发生攻击行为和捕捉到异常流量时通过预警平台以多种信息发送方式通知网络运维人员及时封堵/阻断攻击，确保内部生产系统的网络安全和数据安全，并抓取攻击的关键参数导入数据库，利用现有的分析工具API进行读取，统计和分析攻击行为的特征，输出分析报告，为下一步的系统安全、数据安全和网络安全的优化加固方案提供参考依据。

项目方案

一、全边界安全智能防护

基于业务监控的外联网络边界安全威胁预警项目主要涉及全省13个市州行二级中心外联防火墙防攻击策略的优化部署、全省生产网络边界设备的安全日志抓取、日志分析及格式化输出、联动告警、联动分析等方面的工作。

二、安全策略动态优化部署：

现网环境中，省数据中心和市州行与外联机构对接均部署了防火墙，提供外部对内访问的安全访问控制，随着外部网络安全环境越来越恶劣，为保障内部网络的安全，降低风险，将对外联防火墙安全策略进行优化加固，针对常见的攻击优化部署安全策略，全省统一部署，所有外部对内的访问依据TCP/UDP五元组信息将粒度控制在端口级别，对常见的139、445、135等易被攻击者利用的端口进行限制，关闭22、23、3389等远程维护端口，禁止一切尝试登录内部生产系统设备的行为，同时使用端口映射的方式将知名端口映射到非知名端口上，多级别防护措施，确保我行内部设备不被远程攻击。

三、安全日志智能优化分析：

目前生产网络都是通过运营商的专线资源连接到第三方机构，专线相对于互联网本身要更安全，但是网络攻击无处不在，攻击者可能本身就处在专线范围内的网络，也可能通过外部网络攻破专线入口，侵入内网，进而威胁到边界安全。攻击者的数据包也会被节点上的防火墙监测和记录，那么可以通过设定防火墙日志监控参数，记录攻击行为和疑似攻击行为并以日志的方式上送到威胁预警平台。同时，也会将部署针对网络攻击的策略命中情况上送到平台，概括性展示每种网络攻击的类别、攻击范围的分布和频次，有针对性的对弱边界进行重点加固，增强防护能力。

四、安全态势分析输出：

设备上送过来的日志信息繁杂，条目过多，不加以处理无法识别出关键信息，也无法为网络运维人员提供有效的信息及时排查和阻断攻击行为。需要对日志数据进行加工处理，剔除其中无效的部分，保留数据的五元组信息。网络之上的应用层信息需要进行关联，需要将业务应用的五元组信息导入到平台中，依据前期核对完成业务对应关系将业务和攻击参数进行关联。导入到威胁预警平台的数据会利用格式化的脚本进行处理，抽取其中的五元组信息，再以简明扼要的形式重新组织起来导出到数据库中，使用范式化的输出给运维人员提供精准有效的信息，提高定位和排查的效率，将网络攻击扼杀在早期阶段或者大限度降低攻击行为对业务系统的影响。

五、联动告警动态分析

现有的监控手段都是较为独立分散的，不具备协同工作的能力，本次项目中通过引入一个公共的数据库，基于威胁预警平台导出的数据，通过各系统的API接口对接，再将数据导入到各个系统中，充分利用每套系统独有的功能优势，从不同视角、不同维度统计、分析、汇总全省外联边界区域的网络攻击和威胁，后输出分析报告，供下一步的安全优化加固提供有效的参考。同时，利用我行当前现在的监控资源和手段，将平台与信心发送设备通过二次开发进行关联，将经过范式化处理的告警信息以短信、邮件等形式发送给运维人员，在*****时间内介入，及时阻断和隔离。做到提早发现，提早处理。

创新点

多平台的融合，动态联动，智能分析：

湖北农信社整个生产网络涉及到省数据中心及全省13个二级中心，2000余网点，400多条外联业务的接入，维护设备多，范围广，日常维护工作繁重，传统运维方式维护效率低，人力投入大。为保障生产网络系统的安全运行，通过采取集中监控，集中分析的方式，以点带面，从外至里，全方面全方位的安全控制，主要体现在：

1、自主开发工具，智能分析展示边界安全情况；

2、外联机构接入动态监控；

3、网络和应用协同监控，统一安全管理，提升了安全防御和预警能力；

4、自主设计范式化处理流程，贴合运维需要，展示安全疆域看板；

5、全省外联接入安全情况及时掌握，以递进式的过程持续增强外联边界的安全防护能力；

6、通用性强，此次项目开发的威胁与预警平台可以移植到系统级别的监控中，今后也会将网络、系统、应用纳入一个统一的威胁预警平台中。

技术实现特点

一、平台开发

通过日志工具、监控工具和自主开发的范式化脚本对所有外联业务的攻击日志进行梳理，明确攻击行为和业务的关联管理关系，对经过外联防火墙转发的业务进行精准监控，确保边界接入安全。主要通过现有的日志工具、网络协议，抓取并汇总攻击行为的日志；根据导入的业务地址和端口信息，通过自主设计的业务逻辑自动匹配关联：可看到每一条攻击行为对应的具体业务及该攻击发生的时间和频次，进一步通过图形化的方式展现出来，并对关联的结果进行范式化脚本处理，将结果以手机短信或者邮件的形式发送给相关运维人员。

二、数据分析：

通过收集到的数据信息将处理的结果导出到数据库保存，在其他分析监控工具中开放API接口，导入特殊格式的数据进行各自分析，以不同的维度展示网络威胁情况，并输出分析报告。

项目过程管理

整个项目实施周期约6个月，分三个阶段：

*****阶段：2019年1月，完成项目研讨，项目方案编写。

第二阶段：2019年2月-3月，完成对全网安全策略的梳理，完成所有外联业务接入情况的统计，完成现有监控工具的二次开发，完成威胁预警平台功能的开发。

第三阶段：2019年4月-6月，平台部署，数据抓取及分析，按既定方案完成省数据中心及全省13个市州行部署防攻击策略，拉取13个市州外联防火墙安全日志。终完成约510余条外联业务网络访问粒度的确认，针对每条业务流进行严格的策略控制，限制到端口级别，对异常流量，高危端口进行封堵，对易被攻击的端口进行限制，确保底层网络的接入安全。

运营情况

项目实施完成后，先做试点，上线后监测、防护效果明显，并逐步推广至全省13个市州行，在日常维护及外联业务安全威胁预警中得到了广泛应用，相比之前，中心维护人员登录设备查看，通过平台自动收集信息并展示的方式，节省了科技维护人员每天查看设备时间，大大降低了人力的投，提高了维护效率。

项目成效

在项目实施过程中，得到了全省各市州农商行科技部门的大力支持与配合，在与各业务系统进行关联匹配时，得到了业务线同事的大力支持和积极配合，影响面广。网络边界安全威胁预警项目有效提升了整个生产网络的安全防御和预警能力，外联网络边界安全态势全盘掌握，尤其是发生攻击或疑似攻击行为后，可以在*****时间通过短信息的方式通知网络运维人员及时下发安全策略阻断攻击，并对相应的业务系统进行安全等级进行评估、加固。同时，无需采购新设备和新的监控工作，也大大降低了生产维护成本。实施完成后，边界网络安全有了统一的入口，便于集中化管控和分析，提高了对网络攻击和威胁的预警效率，缩短了攻击时间的持续时间，确保了生产系统各业务的安全、稳定、高效运行。

经验总结

基于业务监控的外联网络边界安全威胁预警项目的顺利实施，探索出了如何利用现有的网络维护和监控手段，对现有生产环境进行安全预警的新思路，敢于创新，勇于实践，以小的投入得到大效率的提升。一直以来省联社各级领导高度重视网络安全工作，全力保障生产系统、客户资金和个人信息安全，今年多次外部网络安全事件中均未受到影响。在对面外部恶劣的网络环境，面对内部复杂的网络配置，主动出击，攻坚克难，由被动应对变为主动防御，竖起一道道安全墙，未来将持之以恒，不断提升自身网络安全防御能力，保障金融网络安全，创造安全的金融环境，提供安全、稳定、高效的金融服务。