一、專案方案

無錫農商行為了推進本行實戰化安全運營體系建設的最後一公里落地，以國產化安全大腦建設為核心，自研建立一個集分析、預警、響應處置為一體的大資料安全分析平臺，以大資料為基礎、以智慧分析為手段、以管理流程為驅動，讓安全事件做到閉環管理並驅動平臺持續完善。

國產化安全大腦按照數字化資產管理、智慧化風險識別、自動化應急處置、一體化運營管理的要求進行構建，能夠全面採集組織機構IT資訊、網路流量、安全日誌、威脅情報等多源異構資料，透過資料匯聚、資料標準化等對資料進行正規化化處理，利用分散式檔案儲存系統對海量資料進行儲存和管理。

國產化安全大腦平臺，建立了全行網路安全日誌統一收集平臺，基於大資料分析演算法，設計銀行內部分析模型，將量級安全日誌分析成可人工分析的安全事件，提升安全分析精度和速度，降低安全運營人力投入。同時透過系統對接，提供更靈活、可配置的安全編排及自動化響應功能，結合實際安全業務需求，聯動現有安全裝置及威脅情報，按照定義的標準工作方法執行安全風險協同響應工作，幫助銀行自動化、半自動化完成安全處置工作，提升安全運營效率。另一方面將現有的日常安全運營流程融入到安全大腦平臺中，兼顧外部風險處置和內部管控流程，使安全運營常態化、安全管理精細化，最終完成安全運營一站式平臺化服務。

國產化安全大腦提供圖形化互動式分析、SQL語句分析、內建模型模型分析、匯入模型分析等多種分析能力，能夠快速排程平臺內建的圖計算引擎、記憶體計算引擎、流式計算引擎、離線計算引擎、作業排程引擎、機器學習引擎、人工智慧引擎等對資料進行多維度關聯分析。

基於分析結果，國產化安全大腦能夠實現對網路安全態勢的感知、預測和預警，能夠快速掌握網路安全風險態勢，快速發現網路攻擊、漏洞隱患，持續監測木馬病毒、勒索軟體，快速追蹤安全事件線索，快速預警重大網路安全威脅，快速響應和處置安全事件，實現全天候、全方位感知網路安全態勢的目標。系統架構如下所示：

無錫農商行國產化安全大腦的業務流程包含資料採集、資料標準化、資料儲存、資料分析、資料展示等各個階段，下圖按照資料流向對國產化安全大腦整體業務進行描述。

1、資料來源

支援採集、接入各類資料，包括安全類資料（安全裝置日誌、安全合規、操作日誌、安全執行）、基礎IT類資料（使用者資料、資產資料）、威脅情報資料、流量資料、系統配置及管理資料等各類網路安全、IT支撐資料，以及各自主研發的全流量探針、網站監測探針、資產探針等探針產生資料。

2、資料採集層

支援豐富、多樣化的資料採集能力，支援Syslog、FTP/SFTP、JDBC等協議，以及主動、被動採集方式，覆蓋各類安全裝置日誌、應用操作日誌、檔案資料、關係型資料庫資料等多種儲存型別資料來源。

3、資料儲存&處理層

基於實時資料處理引擎，面向異構採集資料實現資料標準化、過濾、補全、歸併、對映等流式、高效資料處理能力，提高資料接入的效率並讓資料更易用、更標準，建立統一資料匯聚、管理標準，讓安全運營人員理解不同來源資料的成本更低，從而進一步提升上層資料分析效率。

4、分析計算層

基於大資料技術，構建三大引擎：實時流式分析引擎、離線週期分析引擎及離線手動分析引擎，實現資料統計分析、關聯分析、基線分析、異常分析等分析能力，並內建多種分析規則、安全引擎，幫助安全運營人員在理解資料的基礎上快速配置、獲取資料分析能力，高效應對不斷迭代、發現的企業網路安全風險問題，並輸出高可信風險告警。

5、應用展示層

針對安全風險分析結論進行視覺化檢視呈現、風險描述的過程，將安全分析結果透過儀表盤、安全告警、分析場景、大屏等方式呈現。

二、創新點

1、基礎資源國產化適配

無錫農商行國產化安全大腦平臺，基於自主可控研究國產化安全大腦，適配國產作業系統、國產晶片，核心元件採用國產資料庫，實現從硬體到軟體自主研發、生產、升級、維護的自主可控。

2、安全資源統一編排

無錫農商行在各類基礎安全防護工具之上部署了安全流量編排裝置、安全流量分析平臺、日誌分析平臺，透過與本行各類安全裝置進行對接聯動，實現了本行各類安全裝置的“三個統一”：安全裝置統一編排排程、安全流量統一分析檢測、安全日誌統一收集及監控分析，有效提升了本行網路安全管理效率及手段。

3、匯聚、融合多源資料，整合多種監測能力

全面採集企業IT、風險、日誌等相關資料，最大程度的將企業資訊保安管理工作透過資料實現視覺化，支撐上層風險分析需求；整合全流量監測、漏洞監測、網站監測、日誌審計等多種監測能力；

4、多角度、更深入的資料分析能力

透過深度理解、挖掘各類安全資料間相關度、關聯方式、邏輯關係，幫助提升安全風險輸出的可信度，站在整體視角綜合分析，支援實時、離線輸出更精準、更可信的安全風險；支援智慧分析，包括基線學習、安全引擎等深度分析能力。

5、建立安全指揮、運營、管理框架

實踐安全運營管理工作，基於安全防禦、響應體系，針對發現風險，實現一鍵處置、處置返回、處置複查、風險加固。

三、技術實現特點

應對層出不窮的新型威脅，無錫農商行國產化安全大腦平臺系統提供更專業的攻防經驗支撐、威脅情報資料支撐及安全運營支撐的整體感知與運營方案。

無錫農商行國產化安全大腦平臺系統是匯聚多源異構的安全類資料、基礎it類資料的安全資料中心；基於安全攻防實戰及風險分析經驗，針對豐富融合的各類多層次安全資料，提供多種角度深度分析的安全風險資料分析平臺；貫穿銀行安全運營體系建設，逐步建立資料分析、風險發現、風險處置、處置反饋/複查的安全風險閉環流程，串聯實際安全工作，形成金融架構安全運營管理機制。

以下就無錫農商行國產化安全大腦平臺系統實現的關鍵技術要點進行分析和總結。

3.1 國產化適配

無錫農商行重視國產化安全建設，基於自主可控研究國產化安全大腦，適配國產作業系統、國產晶片，核心元件採用國產資料庫，實現從硬體到軟體自主研發、生產、升級、維護的自主可控。

3.2 資料接入和泛化

基於資料驅動安全的理念，國產化安全大腦能夠融合多源異構資料，建立更貼合業務需求的安全資料中心。系統支援接入4大維度網路安全資料：安全類資料、基礎IT類資料、全流量資料、系統配置和使用者管理資料，共8大類90小類：WAF、IPS／IDS、漏掃、DDoS、APT、應用系統等。同時，支援多種儲存資料結構的維護管理、擴充套件編輯，可持續擴充套件接入資料的管理結構。

資料處理流程圖

相容主動、被動的主流資料獲取方式，包括：Syslog、檔案FTP／SFTP、資料庫、全流量映象等，支援接入監控並管理裝置，及時發現裝置資料是否接入、是否成功泛化；內建50＋主流安全系統自動化解析能力，可直接接入標準化日誌，同時支援零基礎資料泛化，可快速接入JSON、XML、鍵值對，並提供正則模式。

3.3 自主資料全系列探針

國產化安全大腦配套全系列探針，能夠支援多種自主安全能力及資料，主要包括：全流量風險事件資料、資產發現及脆弱性事件資料、網站風險事件資料等。

資料採集探針：預設搭載探針，靈活部署，支撐第三方資料採集。

資產監測探針：支援主動資產探測及資產脆弱性檢測。

全流量探針：旁路映象部署，支援全映象流量，檢測及發現多層次流量威脅。

網站監測探針：支援網站監測及風險檢測。

3.4 多源關聯分析工具

國產化安全大腦內建實時流式分析、離線週期分析和離線手動分析三大分析引擎，幫助在理解資料的基礎上快速獲取風險分析能力，高效應對不斷迭代的風險問題，輸出高可信告警。

風險分析架構圖

國產化安全大腦針對多源資料提供互動式功能，可以靈活配置統計、篩選、關聯、基線等分析策略，學習成本更低，並支援透過SQL補充多種複雜分析要求，同時，可迴圈引用分析結果資料，輸出態勢風險告警。

3.5 分析引擎和基線學習

國產化安全大腦支援分析引擎擴充套件，快速響應多種應急場景。

語義分析引擎：針對Web流量對目標字串依次進行詞法分析、語法分析、語義分析，結合安全威脅模型打分，實現Web攻擊精準監測。

基線分析引擎：基於數值建立基線區間，串聯關聯分析工具，快速應用到關聯分析規則配置中，發現異常資料從而實現異常基線分析。

內建多個監測模型引擎：DGA域名檢測引擎、DNS隱匿通道引擎等，實現提取DGA傳送載體行為特徵進行惡意DGA域名定位，以及DNS隧道檢測。

3.6 安全編排、自動化響應

國產化安全大腦支援靈活可配置的安全編排及自動化響應功能，按照定義的標準工作流程自動執行安全風險協同響應工作，串聯規範化和流程化的安全管控，降低安全運營成本。

安全編排流程圖

3.7 風險研判＆處置流程

國產化安全大腦內建風險告警研判中心，面向多個安全運營角色，包括告警監控角色、研判分析角色及風險處置角色，能夠串聯安全運維及處置流程，並支援按需擴充套件和建設。

四、專案過程管理

1、需求分析階段

此階段時間段為2021年1月初至2021年1月中旬，其間主要完成了業務需求分析、業務功能和技術構架的高層設計。提交了現狀需求分析報告、各功能模組的高層設計、技術構架和介面的高層設計等文件。

2、系統詳細設計階段

此階段起始時間為2021年1月中旬至2020年2月初，其間主要完成了系統詳細設計工作，提交了安全大腦詳細設計說明書等文件。

3、系統編碼、測試

此階段起始時間為2021年2月初至2021年2月中旬，其間完成了安全大腦的編碼、測試，提交了安全大腦測試報告、上線方案、系統設定等文件。

4、國產化配置

此階段起始時間為2021年2月中旬至2021年3月初，其間安全大腦完成多款國產化CPU與作業系統的適配工作。

5、上線準備階段

此階段起始時間為2021年3月初至2021年4月初，其間完成了資源準備、現場裝置部署除錯、日誌接入、分析模型構建等工作。

6、試點行上線階段

此階段起始時間為2021年4月初至2021年5月中旬，其間完成了安全大腦的試執行工作，並對安全大腦的策略進行調優。並完成自動化封禁部署、大屏除錯等工作。

五、運營情況

1、資料匯聚與分析

【資料融合】

支援各類、多種資料採集匯聚，對採集資料進行資料標準化，並面向不同需求，儲存到相應儲存單元中。

【日誌標準化】

根據不同的日誌格式定製相應範化規則（正則表示式），進行資料內容標準化解析；

系統內建大量原始日誌解析規則，快速應對資料準備、資料接入階段；

支援資料範化、過濾、補全、歸併、對映等模組化資料處理功能，讓各類資料易用性更高、更標準，從而進一步提升資料分析效率、準確性、靈活性；

【資料分析】

基於匯聚的標準日誌、事件、IT基礎、情報等多源資料，提供實時計算分析、離線計算分析能力，並支援關聯分析、資料基線、分析引擎等圖形化互動、SQL、匯入等分析配置功能，幫助安全運營人員在理解資料的基礎上快速配置、獲取資料分析能力，高效應對不斷迭代、發現的企業網路安全風險問題，並輸出高可信風險告警。

2、威脅感知與監測

基於宏觀視角，展示整體安全情況，能清楚的瞭解當前網路安全狀況、評級分數、爆發的重大事件等，並能評估防禦不足還是內部威脅，決策哪裡需要加固。

【全流量監測】

全流量監測探針基於核心交換旁路映象流量資料模式，在不影響正常業務的情況下，獲取全流量資料，支撐流量資料審計、風險分析、溯源檢索需求。

【漏洞監測】

基於主動和被動兩種模式，基於場景精細化掃描，自啟發式漏洞檢測，實現對網路內主機系統、網路裝置的漏洞資訊進行收集和管理，並將相關資料採集結果傳送到安全大腦進行綜合分析。

【威脅情報】

基於阿里海量威脅情報來源、技術支援，提供更豐富、更高效、更及時的國際頂尖威脅情報資料，有力支撐智慧分析，持續性提升安全風險感知與處置能力。

【安全資產中心】

構建統一面向安全的資產中心，基於安全大腦匯聚銀行資料優勢，解決銀行資產資料不統一、維護屬性差異大、未知資產存在安全隱患等問題，管理資產及其屬性，重點關注各類安全屬性。

【追蹤溯源】

利用安全大資料處理技術，基於貝葉斯網路分析、馬爾科夫預測分析、稀疏干涉分析等演算法，結合偽造地址的IP追蹤技術、跳板攻擊溯源技術、匿名通訊系統追蹤等技術，在發現高階威脅、未知威脅的同時，減少流量溯源、事件溯源、playload載荷溯源、終端溯源所需時間，及時定位攻擊源，追溯、串聯、構建攻擊過程資料。

3、智慧運營

【協同響應】

安全風險閉環作為安全運營的重要管控工作流程，以態勢感知網路威脅視覺化作為安全分析與管控的入口，在安全分析、精準定位風險後，對風險進行快速的協同響應及應急處置，後續使用者需要透過人工方式、線下方式等進行相應的處置反饋、處置複查等工作。

【SOAR】

支援SOAR安全編排、自動化與響應，透過拖拽方式，基於態勢感知強大的安全風險分析能力，進行安全風險分析與響應的定義、構建，按照定義的標準工作流程驅動執行安全風險協同響應工作。幫助企業串聯多種安全管控能力，規範化、流程化安全管控工作，捋順安全合規管理基礎，降低企業安全運營成本，支撐企業整體安全運營。

六、專案成效

無錫農商行國產化安全大腦平臺專案成效主要有提高人員工作效率、減少人員投入，提升安全事件處置效率，成果輸出及國產化示範效應4個方面。

1、提高人員工作效率、減少人員投入。國產化安全大腦平臺系統是無錫農商行自有開發人員根據安全業務實際需求制定模型和研發方案。研發成本可控，且研發團隊穩定，可根據業務發展快速迭代開發。如果按照已建設完成的安全大腦進行採購，成熟的商用安全大腦平臺系統基本都需要上百萬。從這個角度計算，節約投資約150萬元。在國產化安全大腦投入使用後，使得安全運營人員工作效率大大提升，按照目前執行情況來看，可以做到減少5人年的人力投入，按1人年30萬元計算，可節約人力成本150萬元/年。

2、提升安全事件處置效率。國產化安全大腦平臺系統自上線以來，已累計接入2400+資產，每日分析百萬條原始日誌，驗證有效攻擊數千條，安全事件監控、分析到處置從原來4～6小時降低至20分鐘，提高安全事件響應和處置效率，提前規避安全風險。

3、成果輸出。國產化安全大腦平臺系統具備自主化智慧財產權，在開發、建設、運營中積累大量執行經驗，具備成果輸出條件，同樣適用於已完成基礎建設、需加強安全運營能力的中小型金融機構，具有可複製性、可推廣性，可給無錫農商行帶來經濟效益的增長。

4、國產化示範效應。國產化安全大腦平臺系統成功在國產作業系統、國產晶片進行執行，且核心資料庫也進行國產化適配。基於國產軟體、硬體的適配，無錫農商行實現國產化替代，加快國產安全裝置建設佈局，打造金融網路安全自主可控。國產化安全大腦平臺系統率先在同行業中實踐基於國產化自主智慧財產權的計算資源、作業系統等基礎架構，並取得了成功。此舉在同行業中有望形成示範效應，樹立標杆案例，並帶動其他行業加快國產化專案落地程序。

國產化安全大腦由無錫農商行自主研發，率先支援在純國產作業系統上部署執行，執行環境可支援海光、飛騰、鯤鵬等國產處理器，安裝麒麟作業系統，應用大資料技術架構，以B/S方式對外提供服務。保障供應鏈安全的同時，結合行內自身研發設計，全面掌握國產化安全大腦核心技術，實現從硬體到軟體的自主研發、生產、升級、維護的全程可控。

在日常安全運營中，基於實戰化、強攻防對抗要求，透過安全大腦集中分析行內各類安全資料、智慧聯動行內多臺安全裝置、統籌行內安全支撐人員，實現威脅快速識別、威脅精準研判、威脅自動處置、安全管理閉環的目標，有效扭轉攻守雙方實力不對稱的局面。

未來將基於“智慧、有效、融合、協同”的先進安全理念，利用精湛可信的技術經驗沉澱，透過持續最佳化的組織管理，建設銀行系統可信網路，打造行業安全運營管理標杆。

七、經驗總結

無錫農商行國產化安全大腦具備安全、可控的核心自主研發能力，對於加快推進國產化程序，打造關鍵的國際競爭力至關重要。

現階段，國產化安全大腦平臺系統幫助無錫農商行梳理、整合已建設各種安全能力，匯聚、融合多源風險分析結果，建立安全資料中心，站在綜合、多維視分析企業險態勢，並串聯多種安全響應手段，構建企業安全分析、防護體系。

在日常安全運營中，基於實戰化、強攻防對抗要求，透過安全大腦集中分析行內各類安全資料、智慧聯動行內多臺安全裝置、統籌行內安全支撐人員，實現威脅快速識別、威脅精準研判、威脅自動處置、安全管理閉環的目標，有效扭轉攻守雙方實力不對稱的局面。

在重大保障期間，按照網路和資訊保安“高度負責、高度認真”的指導思想，透過安全大腦及安全值守人員，針對行內重點業務系統開展網路安全重保運營管理工作。能夠滿足持續監測網路攻擊威脅、及時發現與評估安全風險、重大威脅應急響應、確信風險快速處置等要求，做好行內安全風險防控管理工作。

無錫農商行將持續加大信創技術創新與國產軟硬體生態建設方面的投入，建設更加完善的國產安全生態體系，助力信創產業的快速發展。未來，國產化大腦在推動國產化的程序中砥礪前行，為加快數字中國建設的步伐提供有力保障，同時，將持續聚焦國產化生態建設，全面打造金融行業適配解決方案。

更多金融科技案例，請登入數字金融創新知識服務平臺- 金科創新社（FintechinChina.com）官網案例庫檢視。