银行主动安全纵深防御体系解决方案

1.背景现状

为贯彻落实监管及上级主管部门关于网络安全工作的决策部署，切实落实网络安

全工作责任制，进一步加强网络安全保障，为切实防范网络安全风险，以构建信

息安全防御体系为框架,以打造主动安全防御能力为目标，以实现多重安全防御

屏障为方法，规划并建设了主动安全纵深防御体系,在网络安全保障工作中发挥

了有效的作用，未发生任何影响业务的安全生产事件，业务系统安全稳定运营，

信息安全防御工作起到了良好效果。

2.总体规划

传统银行的信息安全建设常根据自身情况结合业务需求，构建静态、刚性的安全

防御能力，在目前日益严峻的安全环境下，无法应对未知的，高级的攻击行为。

针对以上挑战及需求，在传统静态、刚性的安全防御能力基础上，提出建设了动

态、柔性的安全防御能力，以一个平台、三大模块、两个能力、三重防护为主要

建设思路，构建了一三二三主动安全防御体系。

一个平台：

为加强网络安全防护体系顶层设计，建设以安全运营、态势感知、监测预警、应

急响应、攻防对抗、追踪溯源和联合处置能力于一体的统一安全运营平台。

三大模块:

在统一安全运营平台的基础上，建设安全三大模块，分别为威胁情报模块、自动

封堵模块（SOAR）、基线分析模块（UEBA）。三大模块与一个平台之间紧密配

合，形成网络安全顶层架构。

两个能力：

打造安全实战能力和纵深防御能力，在国内外信息安全形势日益严峻的今天，网

络安全的建设工作不应浮于表面，而应该以围绕实战为目的进行展开，打造网络

安全实战能力。积极以"安全一体化"为指导思想，扎实推进内部安全防御体系，

建设从边界->网络->主机->态势感知能力->安全运营的纵深防御体系架构。

三重防护：

基于安全建设情况，从安全通信网络建设、安全区域边界建设、安全计算环境建

设入手，夯实安全三重防护体系，建立符合等级保护2.0高标准建设要求的安全

防护体系，实现网络安全的动态防御、主动防御、纵深防御、精准防护。

3.总体方案

3.L一个平台

3.1.L实现安全集中管理

通过建设统一安全运营平台，将当前已建设的安全设备和安全能力进行集中管理

和统一运营。同时通过收集信息系统内部和外部的安全要素，实现对安全要素的

体系化、集中化管理。通过建立平台化的管理方式,方便安全运维人员对安全要

素进行集中管理，并能够及时感知行内资产风险，提升的网络安全自主可控能力。

3.1.2.实现安全异构对接

通过建设统一安全运营平台，借助统一安全运营平台的插座式安全能力，将各类

品牌和各类安全设备插入统一安全运营平台的安全插座中，实现安全产品的异构

对接。在网络安全数据方面，通过安全运营平台，实现复杂多源异构网络安全数

据的治理，实现多样的、异构的安全资产的数据采集，实现可适配数据源的方式

对各类安全设备、系统数据进行采集、清洗、标准化、存储，提供离线、实时、

全文检索等多种数据订阅及分析等功能，为实现态势感知、开放共享、能力协同、

联动处置提供坚实的数据基础。

3.L3.实现安全态势感知

通过建设统一安全运营平台，给行内安全运维人员、安全管理人员、安全决策人

员提供简单、实用、高效的安全运营平台，采用大数据技术在更大数据、更全面、

更透彻的方式分析安全威胁，进一步实现重点安全分析场景，重点发现高级别安

全攻击、持续型攻击、顽固安全问题，综合提升应对高级安全威胁、隐蔽安全事

件的能力，建设安全态势要素的输出和整体安全态势可视化感知能力，实现预警

通知效果，为安全分析人员提供直观、强大、清晰的安全威胁预警能力，以及重

大问题、事件的整体性报告，为安全管理人员和决策人员提供可靠的数据支撑。

3.1.4.实现安全能力协同

通过建设统一安全运营平台，实现已有安全设备之间的能力协同，将各个单一的

安全设备组成在一起，进行协同作战，同时配合三个模块中的威胁情报，建立情

报共享机制。配合UEBA模块，形成基线分析机制.配合自动封堵模块（SOAR）,

形成安全事件自动处置机制。统一安全运营平台、三大模块（威胁情报、UEBA、

SOAR）、各个安全设备协同配合，实现安全能力协同。

3.1.5.实现安全联动处置

通过建立统一安全运营平台，实现对全网安全数据进行统一收集、分析、判断，

形成安全数据中心，统一安全运营平台配合自动封堵模块（SOAR）,可实现从

安全运营平台安全调取评判数据，通过对安全事件的剧本编排，联动目前已有的

安全封禁类产品（防火墙、WAF、EDR）实现安全事件自动化响应,形成威胁发

现、自动研判和响应处置的安全运营闭环处置流程，释放安全管理人员手动处置

威胁的工作负担，帮助解决威胁发现不及时、安全响应滞后等问题，同时也帮助

安全管理人员提升运维效率。

3.1.6.平台总体架构

账安行

户全为

敷数I

据据tt据

架构

台总体

运营平

一安全

图：统

块，

析模

线分

块、基

堵模

动封

块、自

情报模

威胁

，结合

平台

运营

安全

统一

建设

通过

能力插

供安全

产品提

他安全

行内其

式，为

全"模

式安

"转椅

告别

运营，

安全

重塑

力。

的能

座式

能力

主要

.平台

3.1.7

素

安全要

一管理

1）统

素

全要

对安

，实现

要素

安全

部的

和外

内部

系统

信息

收集

，全面

中心

数据

安全

建立

素

安全要

人员对

便运维

式，方

理方

的管

系化

立体

过建

理。通

中化管

、集

系化

的体

能力。

主可控

安全自

的网络

升企业

险，提

产风

感知资

够及时

，并能

管理

集中

测

度检

胁深

2）威

收集安全检测防护设备的安全检测防护设备产生的告警，剔除误报提高告警准确

率；并对多源安全告警进行关联分析、规则分析、情报分析等，发现潜伏的高级

持续性威胁。通过结合多源数据的安全检测分析，提升告警检出率和准确率。

3）安全事件溯源分析

结合安全事件检测结果，梳理数据中心中资产互访关系，基于攻击链阶段推导事

件发展过程，分析历史数据实现逆向溯源。帮助安全运维人员梳理安全事件发生

链路，并进一步研判安全威胁扩散情况，及时阻断威胁蔓延。

4）安全运营能力

安全运营工作台对收集到的有代表性的网络攻击行为、新产生的网络安全威协情

报、网络安全整体分析报告和各部门单位的应急处置状况进行统一发布，提高统

一调度和指挥能力。系统从安全运营工作台获取安全告警或安全事件的详细信息，

并针对此类信息进行调查分析，从而确认安全事件的准确性和影响范围.对已经

确认的攻击，则通过相应的预警通报机制完成预警通报工

5）安全态势感知

提供网络安全威胁可视化的入口，通过历史安全数据的归纳总结、实时安全威胁

分析以及对态势发展情况的预测评估，来全面描述全网的安全情况、影响评估和

态势演化。包含网络入侵态势、横向威胁态势、违规外联态势、攻击者追踪溯源、

资产威胁溯源。

6）安全事件管理

通过当前全网区域流量、重要区域恶意文件分析数据、全网各安全设备告警日志

进行集中收集、治理、分析、存储，从而提供智能、快速、准确的安全信息以及

事件管理和全网安全日志管理和快速查询功能。

3.1.8.平台关键技术

1）实时流计算

实时流计算引擎包含规则引擎、关联引擎和统计引擎三大模块，应用无边界流数

据计算场景。分析人员可以对数据中的任意字段做统计、求和、均值、唯一;直等

计算，编写SQL提交FlinkJob,实现业务指标高实时运算。

分析人员上传规则和关联脚本到数据平台，通过界面配置参数，提交任务到平台。

规则和统计结果实时输出到图形化界面。

2）离线计算

离线计算引擎支持部署离线算法，模型训练和机器学习场景。分析人员可以利用

离线分析引擎对数据进行深度提炼挖掘，算法输出结果即时反馈，提供模型训练

能力。

分析人员编写算法脚本和机器学习模型，上传到平台后提交离线任务。任务执行

结果及时反馈到界面，可以根据算法执行结果调整模型，形成模型训练和机器学

习闭环。

3）虚拟化资源高效利用技术

高性能和大规模计算过程中，不可避免的会利用到虚拟化技术，在虚拟化资源分

配的过程中，往往存在分配不均，造成资源浪费和计算步骤等问题针对这一难题，

利用论文基于智能认知的虚拟网络资源管理模型，设计一种将动态资源感知与虚

拟网络流量特性和要求相结合的有效方法，可以通过资源自动调整来自动分配虚

拟机的容量，从而在不增加计算开销的情况下实现虚拟资源的高效利用，使得本

方案的可扩展的安全分析和计算得以实现，实现将本方案的平台的计算服务和针

对平台的安全防护系统相分离，在进行安全分析计算的同时，保障本平台的自身

安全。

安全运营平台在多级部署时，存在一级平台与下级平台和分布采集探针之间的通

信，当下级平台过多时，并且复杂网络环境中数据量过大等极端条件下，会导致

一级平台无法响应下级平台的请求和交互等问题。针对这一难题，利用逐跳路由

的负载均衡方案，利用流的突发性特征，保证同一流的分组按顺序到达接收端，

用于解决分布式数据采集探针的数据发送延迟和丢失等问题，保障当本方案平台

横向扩展至一定规模后的平台可用。

4）实时分析插件模块化技术

目前安全运营平台提供Hadoop架构对大规模数据的计算进行分解，然后交由众

多的计算节点分别完成，再统一汇总计算结果。Hadoop架构通常的使用方式为

批量收集输入数据，批量计算，然后批量吐出计算结果。然而在安全大数据分析的

应用场景下，通常对告警的实时性要求较高，需要对海量的原始数据进行实时流

式处理和持续处理，Hadoop架构难以处理实时性要求较高的业务。针对这一难

题，本方案采用运行拓扑(topology)的strom架构，极大的降低了安全事件的告

警延迟。

Storm集群提供控制节点(masternode)和工作节点(workernode)。控制节点上

面运行一个叫Nimbus后台程序，负责在集群里面分发代码，分配计算任务和监

控状态。每一个工作节点上面运行一个Supervisor的进程，监听分配给它那台机

器的工作,根据需要启动/关闭工作进程worker,多个工作进程worker组成拓

扑(topology)。

工作进程worker中每一个spout/bolt(数据处理单元)的线程称为一个task(任

务)，使用Spout/Bolt编程模型来对消息进行流式处理。Spout组件是消息生

产者，支持从多种异构数据源读取数据，并发射消息流，Bolt组件负责接收Spout

组件发射的信息流，并完成具体的处理逻辑。在复杂的业务逻辑中可以串联多个

Bolt组件，在每个Bolt组件中编写各自不同的功能，从而实现整体的处理逻辑，

只需将不同的实时分析数据处理任务按照一定的规则和接口纳入和封装到Bolt组

件中，就可以动态的实现实时分析功能的模块扩展。

5)离线批处理分析模块化技术

目前在离线数据批处理应用中，主流使用的是基于Hadoop架构的MapReduce

分布式计算框架，在安全事件溯源分析应用场景中，需要关联多维、多源的数据，

如日志、流量、漏洞数据以及威胁情报，甚至其他检测模型的分析结果等数据,

计算和处理逻辑比较复杂,MapReduce的copy阶段要求每个计算节点从其它所

有计算节点上抽取其所需的计算结果，copy操作需要占用大量的网络带宽，十分

耗时，从而造成Reduce任务整体计算速度较慢。

6）自动化网络资产识别与探测技术

研究采集设备部署与网络进行连接后，需要能够主动对指定网络范围内的设备进

行设备信息探测，获取网络空间的基础设施信息。本课题基于设备指纹库主要进

行主机类型、端口扫描、版本侦测、操作系统侦测，探测技术具有防火墙与IDS

的规避技巧，可以综合应用到四个基本功能的各个阶段。对于不能识别的设备将

设备信息传输到大数据平台对设备进行进一步分析，提供强大的脚本引擎功能，

脚本可以对基本功能进行补充和扩展,可满足在不同网络环境中进行资产探测识

别需求。

7）多源网络行为关联分析技术

随着仿真作战任务的不断推进，会产生大量的网络行为，多个网络行为构成一次

网络安全攻击。因此网络安全攻击天然具有附着性，无法通过单次的攻击行为去

发现整体网络安全问题。将安全设备的告警信息作为线索，通过联动分析多个网

络行为，判断攻击发生E寸，是否对系统造成影响或者是否利用了系统的安全漏洞,

确认是否为有效攻击，并进一步分析网络行为造成的影响程度。本课题主要的研

究关键技术包括如下：

仿真基础环境态势研究。通过分析构建的仿真环境中的脆弱性情况，掌握整体仿

真环境的安全漏洞、可疑被攻击点等，为仿真任务的危害程度评估做最基础判断；

从安全攻击和攻击行为的安全防护能力分析，得到对应的应用系统的的防御能力，

如安全设备对攻击事件的相应速度、处置速度等，结合弱点数据，进行网络行为

件影响程度分析,得到可能受影响的系统和资产范围。本项研究从有防护状态下

的网络行为关联分析研究：通过对比安全防护设备的告警数据，获取防护行为，

经多源行为进行关联分析研究；无防护状态下网络行为关联分析研究：假定仿真

环境中无任何防护设备，对网络行为进行关联分析通过攻击与系统日志比对，攻

击与系统存在漏洞比对，网络行为与系统的服务器性能信息对比，确认网络攻击

行为造成的最大危害；

关联建模技术研究。系统内置分析算法，可支持分析算法和场景扩充，支持在多

种仿真任务中构建各类仿真计算模型，为更复杂的任务应用提供支持。

8）基于AI的高级持续威胁挖掘

高级异常APT威胁发现要求系统能够根据时间关联、空间关联、行为关联以及业

务关联综合检测判断出复杂异常行为。以传统安全设备的告警信息为线索，结合

上节所描述的智能自学习的异常行为检测技术，发现有价值和真实有效的攻击行

为线索。本创新点从以下几个方面研究挖掘高级安全威胁。

数据驱动安全威胁分析。通过对这量化指标的判定识别，最终获知数列之间的相

位的差的方向是否与预计方向相同，判断这些行为是否具有连续性和相似性，从

而挖掘具有明显相似的机器行为；

用户行为特征提取与自动更新。将异常访问、操作事件识别可看成是一个分类问

题,基于行业经验和专家知识从训练样本中提取与异常事件相关的各类特征。最

后，基于分类错误代价矩阵，采用代价敏感学习算法训练分类器，解决部分特征

不在明显的问题；

安全事件溯源取证。通过建立异常行为库，持续性的跟踪和关联分析多个异常行

为，分析多个攻击行为的关联分析，分析攻击之间的关联性，还原真实攻击路线，

并以直观的形式展示分析结果；

网络安全态势等级动态评估。构建态势等级评估决策表，将态势因子作为条件属

性,取证类型包括离散型和连续型，得到属性约简集，最终利用约简集进行网络

安全态势等级评估。

3.2.三大模块

3.2.1.威胁情报模块

威胁情报模块包含海量的商业威胁情报、浙江省金融行业威胁情报、本地化威胁

情报的统一管理和分析评估并实现情报的实时更新。统一安全运营平台通过实时

碰撞威胁情报平台的各个情报库，已帮助从大量的安全告警中过滤出真实安全威

胁数据，大大降低告警误报率，剔除"告警噪声"，提升统一安全运营平台的可

用性和完整性，实现统一安全运营平台的可持续化发展。

威胁情报是针对内部和外部威胁源的动机、意图、能力以及战技过程的详细叙述，

威胁情报可组织快速了解到敌对方对自己的威胁信息，从而提前做好威胁防范、

更快速地进行攻击检测与响应、更高效地进行事后攻击溯源。对而言，威胁情报

的应用/消费是实现情报价值的关键，通过安全威胁分析与预警平台和威胁情报的

集成，实现全网的基于威胁情报的协同联动，才能发挥平台与情报的最大价值.

通过建设威胁情报模块提升统一安全运营平台的安全运营能力。利用威胁情报模

块与统一安全运营平台联动，开展安全威胁的持续监测和安全防护的主动防御,

帮助安全运营平台精准过滤出威胁日志，并帮助安全边界快速应对未知威胁和高

级威胁。

图：威胁情报与告警的碰撞

3.2.2.自动封堵模块

自动封堵模块可基于统一安全运营平台提供的安全事件处置流转判断指标数据或

其他厂家安全设备提供的告警数据反馈进行研判，通过剧本编排，利用自动化工

具联动当前安全封禁设备（NGFW、WAF、EDR）实现对安全事件的自动化响应，

极大降低了安全团队针对安全事件的响应处置事件，通过主动对攻击IP封禁将攻

击行为遏制在攻杀链前端，建立动态防线，由点到面达到全方位防护，大大降低

了安全运营成本，同时增加了安全团队的协作能力。

图：自动封堵模块架构

依托统一安全运营平台,在关键网络位置部署探针和收集节点，全面收集来自安

全设备和系统、主机系统、应用系统以及网络流量的日志或监控数据。从多种维

度对安全设备日志进行归纳汇总，日志分析系统自动将待封禁IP输入处理层。通

过高效的关联分析引擎对事件的实时分析以及利用威胁情报对本地采集数据的快

速查寻匹配，统一安全运营平台可快速发现当前对网络的攻击行为、违规访问以

及对网络的APT攻击，发现网络中受控主机，及时产生告警，并可采取多种响应

方式。可以邮件、短信方式通知管理员采取必要措施，并通过自动封堵模块建立

防火墙、WAF、EDR联动，自动阻断有害连接,最大程度保护IT资产。

在实际实施过程中发现，由于某些应用程序的执行机制存在非标准化的问题，导

致触发安全设备的告警，进而对非攻击IP进行了误封。另外，有些已封禁IP被

动态分配至正常用户的设备上，导致该类用户也无法访问应用资源。为了避免此

类情况的发生，自动封堵模块提供了自动解封功能。解封的方式与封禁方式大体

相同，分别通过API以及SSH的方式解封IP。

每年的网络安全重点保障时段,也是自动化封堵发挥作用的时间。自动封堵模块

能够有效地阻止大量可疑IP地址的访问，提升网络安全保障能力。

在日常安全运维中，自动封堵模块可以对接更多的安全设备，实现全局化封禁、

调度、策略调整等工作，减少人工处理存在的反应慢、周期长、错误率高等问题。

后续业可以根据自身需求不断的开发和迭代安全自动化能力

3.2.3.基线分析模块

基线分析模块可基于统一安全运营平台提供的安全数据（包含账户数据、安全数

据、行为数据），通过其内置AI算法（daily周期性异常、weekly周期性异常、

新出现实体异常、阈值异常和潜伏型异常、集成学习评分、以及强化学习、预测

算法），实现针对用户行为基线异常的分析。同时基线分析模块会把用户行为基

线异常告警数据再反馈给统一安全运营中心，经过统一安全运营中心转发至自动

封堵模块，快速处置用户基线异常行为，大大减少了由于用户行为异常或错误给

带来的经济损失。

3.2.4.模块关键技术

1）智能化自适应学习的异常行为捕获

智能化自适应学习的异常行为捕获与传统的异常行为分析技术的区别在于考点了

更加全面的攻击者行为特征，结合内部发现的异常行为以及外部威胁情报信息、

并通过长时间窗口的攻击者行为特征分析、攻击者相似度以及攻击信誉度分析,

将这些分析的结果综合关联分析，并根据关联分析的结果自动更新不同攻击者特

征行为的权重，最终达到具有智能自学习能力的异常行为分析捕获模型。

2）用户行为基础特征提取

用户行为基础特征提取是整个用户行为分析的建模基础，需结合业务实际的需求，

找出相关的数据实体，以数据实体为中心规约数据维度类型和关联关系，形成符

合业务实际情况的建模体系。主要需要研究的内容和技术包括：

数据实体分解。主要对原始数据进行分析，区分出需要研究的用户或实体（资产

或应用）；

实体间关联关系分解。主要分析各个实体之间的关联、跳转等关系；

用户特征维度分解。以用户、集群应用两类数据实体为中心，进行数据维度分解

和列举。根据相关性原则，选取和战略目的相关的数据维度，避免产生过多无用

数据干扰分析过程。

用户行为特征提取。至少提取的维度包括：操作人员身份、操作时间、操作类别、

访问方式、操作对象、操作流程。

3）用户行为分析（UEBA）

利用其多维数据采集能力和人工智能算法和规则编排的能力，基于用户行为分析

模型（UEBA）对个人和主体的特征进行提取和行为分析识别基线，从