一、项目背景、目标及相关规划

1.项目背景

在大数据与数字化运营背景下，我联社需要以“安全能力开放、安全数据共享、安全服务编排”为目标建设网络安全运营平台，一是实现安全能力解耦、组件化、服务化；二是汇聚全网各类安全数据、统一数据结构、制定开放标准；三是实现安全能力的按需申请、灵活配置、快速处置，完成安全整体防护技术创新。

2.项目目标

本期项目以建成安全中台体系中的部分 SOAR自动化响应处置平台为目标，利用自动化处置技术实现基于安全编排能力来构筑自动化响应处置平台，提供以自动化编排为核心汇聚和构建不同场景的安全运营能力，为安全运营提供弹性的安全能力，实现“整合安全资源组件、沉淀安全业务场景”，为安全业务的快速处置与运营提供服务来降低人工风险排查成本，提升安全纵深防御及快速响应能力，构建智慧型、主动性、自动型的立体安全体系。

建设目标可以总结为：实现以安全业务为核心的全场景全流程的数字化安全运营管理能力。

3.建设规划

本期项目以利用自动化处置技术来实现基于安全编排能力来构筑的自动化响应处置平台，提供以自动化编排为核心汇聚和构建不同场景的安全运营能力，为安全运营提供弹性的安全能力。

对我联社整体方案设计实现“大中台、小前台”,打造四位一体的安全中台方向进行落地设计规划。

4.业务功能

4.1、开放化系统架构

自动化安全编排响应的“后一公里路”处置响应一般由安全设备进行执行，如恶意流量封堵涉及的的响应处置设备，防火墙、IPS、WAF等，响应的动作包括：会话封堵、IP封禁、域名黑名单、流量牵引清洗等，这些设备无需二次开发，即可直接通过SOAR模块实现即插即用。接入到SOAR系统的安全设备，通过剧本调用，即可完成自动化响应处置，无需安全运维人员登录到独立的安全设备上配置阻断策略。如下图所示。

4.2、告警响应自动化

针对已知威胁并固化了相应剧本的案例，当威胁发生时并送入到SOAR平台中，SOAR引擎自动调用固化的安全剧本，依据安全剧本的处理流程及处理优先级，实现对威胁的全局封堵、被感染主机清除及被影响主机的加固等过程。

4.3、安全能力编排化

通过剧本管理、应用管理、动作管理等功能，将客户分散的安全能力和安全运维响应的过程标准化，形成剧本库和应用库（动作库），实现团队、工具和流程的整合与协同联动。这些标准化流程可以被随时调用，减少了人工的干预，大幅提升应急处置的效率。

4.4、案件管理全程化

贯穿整个安全事件处置生命周期，包括信息安全事件研判所需的日志源、安全规则、情报取证及事件处置剧本的选择及执行。企业中告警安全事件只要能够匹配到案例，即可完成自动化响应处置，案例对安全事件上下文有更全面、端到端的理解，例如实施案例追踪、记录事件发生时采取的行动、提供关键指标以及生成报告，有助于将复杂的事件响应过程和任务转换为一致的、可重复的、可度量的和有效的工作流。

二、创新点

1、安全能力可视化编排

为解决传统应急处置方法响应慢、人工协调困难的问题，项目采用了支持自动化和异步的流程编排技术，基于业务流程建模符号(BPMN)设计业务流程，通过安全事件剧本完成恶意文件分析等典型场景处理流程定义。流程建模可视化编排实现了我联社不同网络区域、不同设备接口的各类安全组件、设备精密联动，完成从安全数据聚合管理、安全威胁分析决策、安全设备联动处置的安全生命周期管理，可针对各类安全事件灵活编排处置流程，快速形成自动化响应处置能力，实现了人机一体化，我联社安全事件平均响应时间由原来的数小时提升至分钟级，智能化安全技术优势充分体现。如下图所示。

2、应用集成框架的网络异构安全能力接入

除支持内置的集成标准安全插件外，项目提供开放式接入框架，提供丰富的Python SDK供工程人员使用，具备定制化安全设备的快速集成能力，支持如CLI(Telnet/SSH1/SSH2)、Http协议（WebService、Restful）、JDBC、OpenC2等协议，满足异构设备的接入需求。项目还集成了防火墙、WAF、HIDS等40多种网络安全设备的快速接口接入能力，具有可拓展性。如下图所示。

三、项目过程管理

我联社于2021年7月启动项目建设，2022年8月完成系统正式投产上线，目前处于我联社试运行中。

四、运营情况

本项目提供的安全事件自动化分析、防御与处置能力，提升了安全运营中人机协作、机机协作的效率，使安全监控人员转变为安全威胁分析人员、安全数据挖掘人员，将宝贵的人力资源从繁杂的数据处理工作中解放出来。项目提供的关联分析功能，可以有效沉淀安全知识和经验，以往进行安全处置需要人工登陆不同互联网边界安全设备进行操作，即耗费时间又容易产生人工操作失误，通过自动化处置功能解决了以上问题。通过项目及时发现安全问题、验证问题、分析问题和解决问题，并持续迭代优化，终形成安全运营闭环。

五、项目成效

1.建设安全数据中台实现共享，消灭安全数据孤岛

本项目通过打通和聚合各安全设备与安全系统之间的数据，能够灵活接入不同设备和系统的安全类数据，形成安全数据湖，解决了安全数据孤岛的问题，高数据处理性能亦充分发挥了我联社海量数据和丰富业务应用场景的优势，大大提高了我联社基于安全大数据的精准动态监测与自动化响应处置水平。

项目对接各网络区域的数据源系统共228个，针对告警、流量、日志等安全数据专门打造传输、加工通道，满足安全分析场景需要。数据统一标准化处理实现了全网海量的网络安全数据的规整汇总，消灭了安全数据孤岛。

2.自动化响应处置技术解决处置效率问题

通过定制化安全事件剧本自动化响应处置，解决安全事件响应严重依赖人工响应的问题，解决人人、人机协同问题，解决实战化安全运营工作的后一公里落地问题，形成防护、检测、响应的完整闭环，将应急响应中的各个单点动作串联起来实现流程自动化。

基于安全编排的自动化响应技术使得企业和组织能够对事件分析与响应流程进行形式化描述，提高了安全运营人员的工作效率，增强了安全事件上下文和调查分析的关联度，极大的缩短了安全事件的响应时间，具有可被定制化、灵活化、联动化等特点。

3.解决了安全能力碎片化问题

解决了以往网络安全设备数量多、管理难度高的问题，实现对全网防火墙、WAF、终端管理设备、VPN等安全策略的统一配置与关联下发，“一键运维”使安全设备运维人员从大量重复冗杂的工作中解放出来。项目共接入41类安全设备，安全运维人员能够通过平台提供的各类安全能力，高效、准确地完成安全告警、安全威胁分析和安全事件处置等工作。

六、经验总结

安全自动化编排与响应系统(SOAR)建设项目针对传统以边界防护为主的安全防御体系无法应对日益严重的安全威胁、安全产品碎片化、安全工作较依赖安全人员经验等方面问题；通过对安全数据统一采集、安全信息集中分析、威胁场景深入挖掘和安全风险统一网络安全自动处置；采用编排技术实现安全设备之间的联动与自动化响应处置，显著提升了广东省农村信用社联合社安全运营工作效率，实现了对整体网络安全威胁的动态监测、实时预警、自动处置和主动防御；改变了传统的以边界防护为主的安全防御体系，建立了以检测响应为核心的主动安全保障体系，为业务发展提供了坚固的安全保障。