邮储银行网络安全数字化挂图作战体系建设

文 / 中国邮政储蓄银行数据中心副总经理 巫建刚

中国邮政储蓄银行数据中心 特荣夫 李万宝

在数字技术和实体经济深度融合的背景下，银行面临的网络安全数据规模和复杂性不断增加，对海量网络安全数据进行分析和展示已经成为必要的需求。中国邮政储蓄银行（以下简称“邮储银行”）持续探索和发展网络空间可视化技术，利用数字化平台，初步完成了网络安全数字化挂图作战体系建设。通过对区域、资产、漏洞、事件、情报等网络安全数据进行融合分析，结合可视化呈现技术，使得邮储银行各项网络安全能力在网络安全挂图作战中得到有序应用和调度实现，为邮储银行网络安全运行提供有力保障，实现了以网络安全数字化挂图作战助力提升邮储银行网络安全综合防控能力。

网络安全数字化挂图作战的动力与支撑

国家层面，习近平总书记多次就网络安全发表重要讲话，提出“没有网络安全就没有国家安全”“加强信息基础设施网络安全防护”等一系列重要论述和重大部署，彰显了网络安全工作的国家战略地位。随着信息化的快速发展，网络空间安全已成为一个国家存在和发展的重要保障。

集团公司层面，加快数字邮政建设，全面构建决胜未来的数智化优势，进一步提升中国邮政数字化整体水平，是数字化发展的重点任务，集团公司也多次强调各单位、各部门要落实好国家“三法一条例”的要求，统筹好发展和安全，不断提升网络安全防护能力，确保不发生重大金融风险和重大安全事故，筑牢邮储银行防范化解各类风险隐患的“铜墙铁壁”。

自身层面，作为国家关键基础设施运营者，邮储银行各类信息化业务已经逐步迈向数字化转型的步伐，数字化发展是升级产业和抢抓新产业、新业态、新模式发展战略机遇的重要实践。只有充分发挥海量数据和丰富应用场景的优势，以更加坚强有力的措施，更加创新发展的思维，加快网络安全数字化能力建设，发挥数字化平台作用，研究当前形势下数字化挂图作战体系，不断丰富邮储银行数字化安全运营能力，为邮储银行信息化业务的网络安全运行提供更加有力的保障。

网络安全数字化挂图作战的目标与定位

挂图就是网络空间可视化表达，目标在于以网络空间地图的形式全面展示网络信息，实现网络空间的具体化与数字化，从而为决策者提供直观、有价值的信息，以降低决策不确定性，将网络世界虚拟战场用一张具体化、形象化、数字化的地图呈现出来，实时动态真实呈现当前的网络战场，形成指挥作战图。

邮储银行为了进一步落实强化网络安全保障，支撑数字化转型战略，全面、实时掌握安全态势和趋势，有效应对网络安全的严峻威胁、挑战和网络安全管理业务需求的不断扩展，通过网络安全挂图作战体系建设与落地，以网络安全数字化应用为方向，实现IT资产台账清、底数明，能够快速定位被攻击的目标、被攻击的手段和路径，将事件分析处置标准化、流程化和规范化，不断提升网络空间安全感知和安全指挥能力。

网络安全数字化挂图作战体系建设与实践

1.挂图作战体系设计

（1）总体框架设计。邮储银行网络安全运营总体框架（如图1）划分为安全防护框架、安全运维框架、安全验证框架和安全度量框架，其中安全度量框架包含运营指标和挂图作战。安全度量框架作为邮储银行网络安全数字化运营体系的一部分，是通过一系列的安全度量指标，衡量评价安全运营质量水平，并针对性地进行持续改进，实现质量的螺旋上升。

图1 邮储银行网络安全运营总体框架

（2）安全度量框架构建。安全度量框架主要用于衡量评价安全有效性，是从安全技术、运营成效、安全价值等维度进行定义一系列的安全度量指标，衡量评价安全运营质量水平。同时，利用可视化手段，将安全度量指标具象化和数字化的展示，实时展现当前真实的网络安全的有效性，形成邮储银行特色的挂图作战决策能力。

邮储银行网络安全数字化运营指标包括资产管理、终端安全、应用安全、数据安全、网络安全、安全建设、安全运维、态势感知、风险管理等19个能力域，是通过参考等保、数据安全能力成熟度模型DSMM、网络安全成熟度模型CMMC以及NIST CSF网络安全框架。以攻击者角度出发，围绕风险识别（Identify）、安全防御（Protect）、安全检测（Detect）、安全响应（Response）和安全恢复（Recovery）5个流程为基础，形成邮储银行网络安全数字化运营指标体系，为网络安全挂图作战提供数据支撑。

（3）挂图作战体系建设。邮储银行按照现有安全运营指标，结合业内最佳实践，建立以安全能力库、资产关联库和风险情报库作为基础，以全场景网络安全大数据平台为核心的网络安全数字化作战体系（如图2）。通过一系列的安全度量指标，衡量评价安全运营质量水平，并针对性持续过程改进，实现了资产运维与风险监测、安全威胁与攻击监测、处置协同与响应指挥、实战能力与效果监测的以平战结合的安全管理运营与指挥协同机制下的挂图作战。

图2 邮储银行网络安全数字化挂图作战体系

第一，资产运维与风险监测。通过资产运维与风险监测，能够从资产基础信息、资产漏洞情况、资产配置风险、资产变更情况等维度展开动态检测，实现“看见自己、看见资产、看见风险、看见运行状态”的挂图作战目标。

第二，安全威胁与攻击监测。通过安全威胁与攻击监测，能够从预警防范、威胁感知、异常发现、分析研判等维度快速发现未知威胁和未知攻击，及时阻断攻击链条，掌握攻击全貌，实现“看见全网、看见威胁、看见攻击、看见对手”的挂图作战目标。

第三，处置协同与响应指挥。通过处置协同与响应指挥，能够从自动编排响应、协同响应、指挥调度、事件复盘等维度对攻击活动进行统一响应、清理、修复、加固、通报和损失评估，支撑决策指挥和应对指导，实现“看见入口、看见过程、看见损失”的挂图作战目标。

第四，实战能力与效果监测。通过实战能力与效果监测，能够从入侵攻击模拟和靶场演练等维度建立实战能力评估的基础设施和评估机制，评估实战能力、找到能力差距、改进提升水平，实现“看见能力、看见差距、看见效果”的挂图作战目标。

2.挂图作战实施行动路径

邮储银行将同业先进理念与网络空间可视化技术发展方向相结合开展挂图作战实施，并将挂图作战实施行动路径分为规划阶段、设计落地阶段和运行阶段。

首先，规划阶段。确定挂图作战实施团队，明确挂图作战设计目标，设计安全运营指标，建设网络安全数字化挂图作战系统，并基于主题库设计主题呈现的指标项，支撑主题内容展示。

其次，设计落地阶段。先结合各主题呈现指标进行原型图及PRD设计，将指标进行具象化呈现，并完成PRD文档的内容制定，将挂图“概念化”走向“图纸化”，明确开发路径。再根据原型图开展UI设计，确定具体的界面呈现方式。最后进行前、后端开发，将前端设计展示内容进行具体呈现，并将后端采集的数据内容进行接口对接，从而为前端提供数据支撑。

最后，运行阶段。对前后端开发成果及系统进行联调测试，并在实际环境测试运行成果，在运行测试完成后将内容进行发布进入运行阶段，基于后续的运营需求，持续迭代挂图作战展示内容。

3.挂图作战系统建设

首先，技术实现框架。挂图作战技术是从全生命周期、安全生态、业务联动协同三个维度对防护主体数据进行组织和治理，在此基础上制定完善的算法模型和标签体系，全面、精准、透彻、鲜活地刻画防护主体及其关联主体的全息画像，并结合地理空间数据模型关联叠加后形成重要单位各类要素的结构、分布地图、关系图谱，投射形成网络空间地理测绘系统基础图层，叠加图数据上图与交互策略，表达展示出各个网络安全场景，实现全区网络安全态势地图展示，定标响应网络安全事件，形成挂图作战技术框架，实现网络安全“挂图指挥”。

其次，系统功能架构。邮储银行网络安全数字化挂图作战系统功能划分为数据层、驱动层和表示层三层逻辑架构，系统在设计时要满足数据集中融合、信息生动呈现及可视化低代码开发的目标。在数据层支持OpenAPI、MySQL、ClickHouse、PostgreSQL、MongoDB、MicrosoftSQLServer、CSV文件、ElasticSearch、Kafka、Metabase等多种数据源接入，可进行回调参数设置和动态数据交互，并预设多种模板及组件，可随机进行信息编排。在驱动层具备低代码引擎、图引擎、WebGL引擎、高性能引擎等四大引擎，通过与数据的交互联动，将原本难以快速理解的信息进行生动演绎，实现业务可视、运营可控、决策可依。在表示层以拖拽布局、点选式的配置，快速进行逻辑编排，实现灵活便捷的数据分析、可视化展现服务。

4.网络安全数字化挂图作战场景实践

邮储银行依托网络安全数字化挂图作战系统的建设，在网络安全数字化运营指标的基础上，初步形成了以安全运营指标监控为中心、以网络安全区域告警监测为重心的覆盖检测、防护、分析、响应、重保等多个场景的网络安全数字化视图（如图3）。

图3 邮储银行多场景网络安全数字化视图

其中，安全运营指标监控场景视图实现可快速了解当前网络整体情况，包括被监测保护对象、告警、安全防护、防守响应的概览信息。

安全设备监控场景视图是通过动态展现各类安全工具的运行情况，包括总行工具告警检测情况、安全工具分布、分行的安全工具建设情况等。

网络区域告警监测视图是以网络逻辑拓扑为核心打造的邮储银行网络空间作战专属态势图，将网络拓扑关系映射到网络空间，实现网络关系、攻击路径全方位可视化。通过后端数据驱动前端视图，将告警来源、目标与区域、区域连线坐标进行关联定位，融合Echarts组件进行区域连线中数据流向的绘制，从而实现区域定位和告警数据流向的展现，同时可对可视化数据配置钻取，与态势感知平台形成联动，获得更加细致的网络安全数据条目，向安全运营人员提供所需的数据细节，利于开展网络安全告警分析与处置。

网络安全事件处置监测场景视图是网络安全事件从类型、关联资产分布、下发状态、处置时效、处置结果等全方位的实时展示，体现防守响应处置情况。

自动化封禁态势场景视图是从IP封禁、IP解禁、封禁IP分布、自动封禁告警事件、封禁趋势等全方位展示自动化封禁响应整体态势。向安全运营人员充分展现自定义模型分场景对互联网系统进行封禁以及分阶段自动解封的情况，从而不断提升自动化响应水平，快速应对突增网络安全攻击事件。

网络安全重保态势场景视图实现了网络安全告警数据、安全事件处置数据、威胁情报数据、IP封禁数据等全方面展示，是实现战时网络安全态势的一体化呈现。

网络安全数字化挂图作战的成效

1.将网络安全从“量”实现到“质”的提升

邮储银行网络安全挂图作战融合了网络空间安全、人工智能和可视化技术等多种学科理论方法，通过绘制覆盖全网络的“网络空间图谱”，探索和实践多角度、多融合、全周期的网络安全挂图作战场景，建设了一套可实时监测、通报预警、快速处置、追踪溯源、态势感知、情报信息、侦查打击、等级保护、指挥调度为一体的网络安全数字化挂图作战体系，形成邮储银行特色的挂图作战决策能力，将网络安全从原来的走量到提质的飞跃。

2.降低网络安全运营成本

邮储银行构建网络安全数字化挂图作战系统采用低代码开发的方式，规避了繁琐的编码工作和复杂的架构设计，大幅降低开发的难度和复杂度，使非专业人员也能低成本、高质量地进行大屏开发，可以让更多的网络安全人员参与进来，并将各自领域的网络安全能力更好的通过网络安全挂图的方式进行表达，减少90%工作量。

3.提升网络安全能力，保障业务安全稳定运行

基于IPDRR等安全能力框架，系统化设计邮储银行网络安全数字化运营指标体系，并在安全运营指标体系的基础上开展网络安全挂图作战，以挂图作战不断驱动邮储银行基础安全能力的建设与提升，推动建立三化六防的安全能力，构建邮储银行网络纵深防御体系，筑牢邮储银行防范化解各类风险隐患的“铜墙铁壁”。

4.提高网络安全运营工作效率，为网络安全决策提供支撑

挂图作战的实现为指挥控制、应急响应、安全运营提供数据与决策支撑，提高运营效率，增加风险未发生时候的评估加固能力，缩短发生后因风险根因与时效造成的经济损失；同时通过网络安全可视化，为安全管理人员及安全运营人员提供直观、清晰了解网络安全运营态势，从而做出更准确、快速、有效的决策。

总结及展望

挂图作战已成为网络安全领域的一项重要战略，加强网络安全是邮储银行维护金融安全、履行社会责任的一项重要内容。邮储银行将在现有的基础上进一步强化挂图作战能力，不断提升网络安全综合防御水平。

第一，构建更加灵活的挂图作战系统。对现有的网络安全数字化挂图作战系统进行改造和优化，以适应现有挂图作战场景下复杂数据的灵活接入与交互。

第二，实践更加丰富的挂图作战场景。以网络安全大数据平台为数据底座，融合网络空间安全、人工智能和可视化技术等多学科的理论方法，绘制覆盖全网络的“网络空间图谱”，探索和实践多角度、多融合、全周期的网络安全挂图作战场景。

第三，建立平战结合的安全策略。依托挂图作战体系，进一步健全平战结合的安全运营机制，不断完善平时/战时安全视图，建立健全平战结合的安全策略，不断提升安全运营能力。

第四，驱动基础安全能力的不断提升。以挂图作战不断驱动邮储银行基础安全能力的建设与提升，推动建立三化六防的安全能力，构建邮储银行网络纵深防御体系，筑牢邮储银行防范化解各类风险隐患的“铜墙铁壁”。

第五，与安全大数据平台的深度结合。结合正在建设完善中的安全大数据平台、网络安全保护平台，实现安全告警、资产、漏洞、配置、补丁、访问、用户行为、应用行为、业务行为、外部情报等维度网络安全数据的挂图展示，更加有力地支撑海量数据的计算与筛选，数据接入将更加完善和全面，数据要素的提取也将更加健全和便捷。

声明：本文来自金融电子化，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。