智能化安全运营在数据中心的探索与实践

中国建设银行 运营数据中心互联网安全监测处处长  丁海虹

智能化安全运营是近期安全行业的热门话题，金融行业在安全运营方面起步早启动快，进入智能化也是势在必行。主要原因有三,一是国内外的网络安全形势日趋严峻，有组织的网络黑客对金融机构的攻击态势已成常态。二是政策法规推动下合规管控要求的增强。等保2.0提到的“一个中心，三重防御”，其中的一个中心就是基于安全运营的安全管理中心。三是常态化攻防对抗下的安全处置能力智能化不足的问题日显突出。随着金融行业线上业务规模的不断增长，信息资产种类、规模和互联网的暴露面不断增多，安全运营的效率亟待提升。

对安全运营发展方向的认识

安全运营工作涉及对象多、技术手段多，场景复杂，需要体系化的平台支撑。安全运营是个“攻防”博弈的过程，只有各领域多维度的协同作战，才能有效地防御攻击。

安全运营就是感知网络空间和物理空间中的安全态势，洞察其中的过程、行为、状态，进行高效决策，形成安全策略或安全指令，进而按需有机协同各类组织和人员、各类安全系统和厂商执行安全策略或安全指令的一个循环的、动态的、闭环的一种智慧型活动。

按照业界对安全运营的定义和建行的实际情况，在我们的安全防御体系中，众多安全产品产生海量数据和日志，虽然已经有了安全态势感知系统的初步整合、分析和展现，但安全事件分析和处置仍要依赖大量的人工参与，指挥和协同的效率不高，难以满足安全运营更好、更高、更强的要求。

基于以上分析，我们明确了安全运营两个优化方向。

1.提高智能分析能力。传统安全防产品的防御手段是基于规则和特征的匹配，而规则和特征只能对已知的攻击和威胁进行描述，无法识别未知的攻击，或者是尚未被描述成规则的攻击和威胁，面对未知攻击和复杂攻击如APT等，需要更有效的分析方法和技术。

当前绝大多数安全运营分析工具和方法都是针对小数据量设计的，在面对大数据量时难以为继。新的攻击手段层出不穷，需要检测的数据越来越多，现有的安全运营分析技术不堪重负。面对海量安全数据，传统的集中化安全分析平台(譬如SIEM，安全管理平台等)也遭遇到了诸多瓶颈，包括性能问题突出，分析能力有限，缺少主动、智能化的分析手段，更没有海量安全数据挖据的能力，难以识别多变、未知的安全问题。

Gartner发表的相关报告表明，信息安全问题正在变成大数据分析问题，在安全运营过程中大规模的安全数据需要被有效地关联、分析和挖掘。基于大数据框架对企业的系统、应用和用户访问行为数据进行存储与分析，并采用机器学习和算法来检测异常行为，是业界公认的抵御新型外部攻击的最有效方式。

2.形成数字化、可视化协同指挥体系。安全运营能够通过数字化、智能化、指挥协同三种理念融合安全组织、人、安全系统、安全相关机构，构成一个安全生态，安全运营未来发展趋势，即生态化经营。要实现安全运营价值，靠人工方式、各自独立作战方式已无法应对。只有通过数字化技术手段进行安全可视化呈现，驱动多级安全组织、多级安全人员、异构安全系统、外部服务厂商四级协同等手段，感知、洞悉网络空间和物理空间中资产、行为的变化及其趋势和影响，才能实现可视化的协同指挥体系。

数据中心安全运营的探索和实践

在2019年国家级攻防实战演习中，建行在新一代企业级安全架构指导下，基于攻击链攻防矩阵理论和PDRR模型，优化形成了“纵深防御、多重异构、集中监控、自动封禁、主动防御、可视高效”的安全运营体系，涵盖数据中心全部信息资产，覆盖端末、网络、操作系统、中间件、数据库（大数据）、应用等层面，取得了零失分、最佳防守单位的优异成绩。

我们深知安全防护工作是永无止境的，按照安全攻防常态化、实战化的工作目标，继续反思现有安全运营体系存在的不足，持续在智能化、自动化的安全运营方向进行了一系列的探索和实践。

首先，总行层面在四大行率先成立信息安全防控中心，数据中心的安全监控团队也进行组织架构的优化，以适应安全运营的一体化管理。

其次，积极拥抱大数据技术，将安全态势感知收集的数据上传到大数据云进行关联分析，从海量告警中找到真实的攻击告警。建行有非常完善的IT架构基础，既有新一代企业级安全架构和数据架构，又有可依托的大数据云基础服务，数据中心也有智能运维的完整架构体系。只要用安全视角，对IT资产、威胁情报、漏洞信息、网络流量、端点设备行为进行数字化整合，并将漏洞、情报、资产等数据进行关联、数据检核，在此基础上进行数据关联分析、模型分析、精准告警、自动化处置实现闭环，就以满足安全运营的高效智能化分析，打造出具有建行特色的智能安全运营防护体系。

第三，适当引入一些业界成熟的工具产品，实现自动化编排和漏洞的闭环管理，提高现有资产和暴露面扫描、外部威胁和漏洞扫描的能力，实现安全事件处置的全流程、自动化、智能化的机控和协同联动。

第四，发挥自主创新能力，充分发挥数据中心安全监控团队和开发中心安全开发团队的开发力量，在原有安全态势感知可视化的基础上，整合原有多种安全产品和新的安全产品并定制化开发、建设。实现事前的全面监测和智能预警，事中的智能分析和自动化处置，事后的大数据分析和优化告警、拦截规则的安全闭环。

图  智慧安全运营整体架构

在探索智能化安全运营过程中，“智慧安全运营平台”（见上图）项目建设逐步展开，初步形成可落地的“安全大脑”，支撑数据中心日常安全运营工作。最终实现安全事件处置的全流程、自动化、智能化的机控和协同联动，实现总分行主动防御、全面监测、智能分析、精准响应、快速处置，可以从容应对有组织、大规模的网络攻击，体现国有大行的安全运营能力。

（1）全行IT资产“数字化”，汇集建行所有IT资产数据的来源，通过制定大数据存储标准、数据结构，形成数据字典。通过数据预处理、数据整合把不同来源IT数据做关联，互相进行检核，最终形成企业级IT资产整合大数据池，利用大数据平台的高性能算例，更好地支撑安全智能分析。采集公私有云资产配置信息，完成安全视角的资产梳理、外部漏洞信息、威胁情报线上接入，实现内部漏扫工具的调度管理，通过漏洞、情报、资产数据的关联，完成脆弱性评估，内置漏洞分析流程，外接ITSM系统，通过工单驱动漏洞整改，实现各类安全运营场景的落地。

（2）安全分析“智能化”，综合利用多种大数据安全分析引擎进行日常安全告警监控和历史数据分析，借助机器学习、模型分析、智能关联等手段，联动威胁情报及资产，构建多个安全场景，从海量告警中提炼有效攻击威胁、发现未知威胁，提升告警精准度，有效提高攻击识别准确率。

（3）事件处置“自动化”，通过灵活的剧本编排，在网络边界实现公私有云攻击IP的自动阻断，支持灵活的阻断策略配置，提供涵盖总分行、子公司的线上化事件处置流程。根据预定义处置场景和角色，实现安全事件的自动分发、状态跟踪、处置结果反馈，可同时在线并行协调处置数十个安全事件。

（4）协同指挥“一体化”，范围覆盖总分行、子公司，支持总分行、子公司间的信息通报、处置情况统计、人员调度，实现线上化的应急指挥调度。输出作战地图，实时展示攻击过程、事件处置过程、攻击统计信息。在现有可视化指标的基础上，实现事前的全面监测和智能预警，事中的智能分析和自动化处置，事后的大数据分析和优化告警、拦截规则的安全闭环。

智能化安全运营初步效果

建行的智能化安全运营是在原有安全防护体系基础上的项目建设，功能和成效在项目建设过程逐步释放。目前在安全事件监控、分析、处置和协同指挥的自动化和智能化方面已取得明显的成效，主要体现再如下五方面。

其一，构建全行安全大数据平台，提供统一资产风险视图、异常行为识别、高危攻击行为挖掘检测能力，支撑安全运营自动化响应处置。安全监控团队组织架构相应优化调整，形成与安全监控防御体系相配套的运营小组。依托数据中心的智能运维项目群，优化配置采集，完善资产的安全属性。

其二，安全事件分析初步实现了线上快速流转，大数据智能化关联分析可以大幅度减少误报。能够根据预定义处置场景和角色，实现安全事件的自动分发、状态跟踪、处置结果反馈，可同时在线并行协调处置数十个安全事件。

其三，安全处置自动化程度提高，主要体现在阻断的效率和准确度。自动编排处理工具可通过联动防火墙，攻击IP从分钟级达到秒级阻断，高中危攻击的人工响应时间从小时级提升至分钟级。随着安全防控的常态化运营，攻击监控的准确度、覆盖面不断提升，事中阻断成果显著，日均高中危告警量由日均10万下降到当前的3～4万。每周的告警凸起从10几起下降至2起。

其四，多产品联动分析有效提高攻击的检出率，通过自动化攻击脚本对已部署的各种安全防护产品开展防护和告警有效性检测，每周安全运营例会进行多产品联动的真实攻击检测情况对比分析，大幅度减少误报率。为了解决来自CDN的攻击无法溯源封禁真实攻击源的问题，通过半年多的摸索和开发，实现了建行端的监控告警联动CDN侧对攻击源IP的全自动秒级封禁。

其五，协同指挥，通过已投产的手机APP进行总分行、子公司的联动，可通过安全态势实时展示监控画面，支持总分行、子公司间的信息通报、处置情况统计、人员调度，实现应急指挥可视化、移动化、线上化。

未来展望

智能化安全运营建设是一个循序渐进不断提升的过程，在原有安全防护体系的基础上，结合“安全大脑”协防技术体系，建立网络安全“全局指挥+快速响应”机制，不断提升网络安全监控和响应的自动化和智能化水平，有效降低未知风险引发安全事件的概率，形成网络边界、主机端、系统级、应用级“四道防线”的综合防控体系。整个项目建成后，我们将实现如下目标。

一是将各类安全组件设计成单元模块，形成“乐高式”智能安全运营技术框架。二是人工智能分析建模环境内置多种机器学习与深度学习算法，可快速生成安全威胁分析模型，实现快速发现，精准告警。三是可大幅度提升漏洞主动感知能力，可识别已知的各种payload变形和部分0day漏洞。例如可预见Struts2系列、SQL注入类、Java反序列化、CMS类型等主流变形漏洞。四是建立针对渗透攻击行为的实锤告警体系，自动检测被攻击的内部系统是否存在漏洞，会对每一个访问请求进行双向判断，实时捕获渗透成功行为并产生告警。

声明：本文来自金融电子化，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。