中部某省农村信用社始建于1951年,2005年5月,经省委、省政府和中国银监会批准,该省农村信用社联合社(简称:省农信联社)正式成立。经过数十年的发展,该社已成为该省机构网点最多、从业人员最多、服务对象最多、服务范围最广的地方性银行业金融机构。
近年来,某省农信联社数字化转型在推动业务模式创新、提升服务效率的同时,使风险的形态、路径和安全边界发生变化,业务集中管理、业务数字化、业务上云等带来的网络安全、数据安全、隐私保护等问题更为突出并日趋复杂。
两期18套NGSOC夯实安全运营基本功
第一期:先行先试,逐步探索
省农信联社于2019年一期建设,在数据中心搭建面向省农信联社的新一代安全管理体系,实现了数据中心各区域流量数据及安全日志的统一管理,并初步探索大数据建模分析和安全运营工作,为后续覆盖全省打下良好基础。
第二期:覆盖全省,全面应用
经过近两年的运行探索后,省农信联社于2021年底开展覆盖二期建设,将平台能力向下延伸,构建覆盖全省的安全感知“大脑”,为实现全省安全管理与检测预警一盘棋,深化开展网络安全运营工作提供有效支撑。
部署示意图
目前,该项目已建设覆盖包括省农信联社总部和全省18个地市及农商行在内的NGSOC平台建设,基于管理和业务现状考虑,在技术路线上采用二级管理平台架构,即省农信联社平台为一级管理平台,作为全省威胁感知与安全运营统一管理中心,向上对接人行态势感知与信息共享平台,向下级联管理二级平台;二级机构全流量未知威胁感知平台为二级管理平台,向上对接一级管理平台。
随着项目的建成,已逐步实现全省农信联社单位业务流量接入,面向全省农信系统、40000+人员提供统一的威胁感知与安全运营服务,项目体量位于全国农信社同类项目前列。
全流量未知威胁感知系统项目的建成,为省农信联社面向全省农信系统持续开展安全运营、统筹安全建设提供了强有力的指导和监管抓手。
项目建设过程中充分利用大数据、人工智能、威胁情报、威胁建模等先进技术手段,搭建了一个安全运营实战化平台,有效提升了网络安全可知、可见、可控的态势感知能力和基于工具、人、制度、流程全维度可闭环的安全运营能力。为推动全省农信系统安全管理由低效分散向高效集中、安全监控由未知不可见向整体态势感知、安全响应由人为低效向自动化协同处置、安全运维由零散向安全运营体系化转变起到了至关重要的作用。
强化内功,定制威胁建模、攻防演练、打通ESB系统
俗话说,打铁还需自身硬,除了搭建覆盖全省的全流量未知威胁感知系统外,还结合自身需求定制威胁建模、加强攻防演练,并打通ESB系统(全称是Enterprise Service Bus,企业服务总线,是银行的核心应用系统),提高自动响应能力。
结合自身需求定制威胁建模
自平台上线运行以来,持续进行深化应用,依据网络安全现状和业务场景,已完成三个定制化场景威胁建模,包括:
堡垒机绕过攻击场景检测:即针对逃逸堡垒机审计直接操作业务系统的行为,通过定制化威胁建模,及时发现此类安全隐患。
DDoS攻击导致业务系统资源耗尽场景检测:即对于抗D产品未彻底清除DDoS攻击流量而又缺乏检测机制,进而影响业务的场景。
安全设备急危告警关联分析场景:即将两个厂商的威胁检测设备的急危告警(能直接拿到系统权限的告警)进行关联分析,来提高威胁检测的准确度,减少分析人员的压力。
上述威胁模型在现网运行中为提升省农信联社网络安全威胁检测能力起到了关键作用,有效弥补以往安全措施的不足。
在Apache Log4j2远程代码执行漏洞爆发期间,省农信联社第一时间通过全流量未知威胁感知平台进行应急响应,通过平台告警回溯、日志回溯、应用系统日志回溯等手段,排查全社有哪些应用引入了Apache Log4j2,对引入的应用进行摸排,并对相关应用进行升级处置。同时,为了防止攻击者进行漏洞探测,通过全流量未知威胁感知平台联动边界防火墙设备,下发对相关DNSlog域名(如dnslog.link、dnslog.cn、dnslog.co等)进行封堵或监测的处置策略。
在整个Apache Log4j2漏洞事件响应处置过程中,全流量未知威胁感知平台为省农信联社应对应急事件提供了集中处置平台和抓手,极大的提升了省农信联社安全事件发现和响应处置效率。
注重平战结合,加强攻防演练管理
建设攻防演练管理模块,平时用作练兵,练为战,战时可将平时练习的能力直接转化为战斗力,大大提高了人员素质和防守能力。同时,通过攻防演练态势一个大屏,可以从宏观层面总揽全局,为领导指挥和决策提供支持和依据。
打通ESB系统,强化自动响应机制
通过接入漏扫脆弱性数据、堡垒机资产数据、CMDB资产数据,全面摸清了资产状况及其脆弱性情况,为后续的威胁检测、分析研判、响应处置、持续监测等安全运营工作奠定了良好的基础。通过对接行内ESB系统,安全工作从被动弥补做到主动预防,知资产、晓脆弱、明告警,真正做到首战用我、用我必胜。
保障安全的前提下,实现降本增效、“名利”双收
省农信联社作为关键信息基础设施的运营者,肩负着维护国家金融安全和人民群众切身利益的责任,维护网络安全责无旁贷。随着数字化转型催生的新场景、新威胁,以及网络安全攻击的常态化、实战化,防御体系是否完善、威胁检测是否全面等成为困扰省农信联社的难题。同时,公安部《认真落实网络安全等级保护制度构建新时代国家网络安全综合防控体系》要求网络安全工作以“三化六防”为新思想,以”实战化,体系化,常态化”为新理念,以”动态防御,主动防御,纵深防御,精准防护,整体防护,联防联控”为新举措,构建网络安全综合防控系统。
在此背景下,该农信联社先行先试,率先开展全流量未知威胁感知系统项目建设,为全国各省农信系统搭建立足省农信联社、覆盖全省行社的威胁感知与安全运营体系提供了新范式,项目建设推进过程为建设威胁感知与安全运营体系从0到1、从1到N分阶段建设提供了关键路径参考。
降本:有效降低网络安全管理投入
全流量未知威胁感知平台的建设为该省农信联社实现全省网络安全集中统一管理提供了有力抓手,安全管理人员通过平台就能够做到对全行网络资产、安全态势、威胁预警、应急响应等全貌掌控,安全管理人员工作由以往分散式向集中式转变,管理工作量大幅降低,而工作效率大幅提高,从而降低了省农信联社网络安全管理人员投入。
增效:有效提升网络管理与运营效率
建设可持续的安全运营体系,通过建设全流量未知威胁感知平台,有效的将平台、人员、制度、流程有机的结合起来,从安全事件的事前、事中、和事后三个维度出发,形成安全工作的闭环,实现安全运营工作的自动化,极大提高了安全管理和运营效率。
2022年12月7日,“第六届农村中小金融机构科技创新优秀案例评选”榜单正式发布。省农信联社的“全流量未知威胁感知系统”荣获网络安全优秀案例。
省农信联社信息科技部安全管理组技术副经理近期还受邀做《基于全流量未知威胁感知平台的安全编排自动化与响应》主题演讲,重点介绍全流量未知威胁感知平台建设和背景、技术架构和主要技术特点,并探讨了对安全编排自动化与响应的实践及展望。
向安全运营标准化大步迈进
作为全省级农信系统全流量未知威胁感知项目,在建设过程中应统筹规划、先行探索、分期推进,由省农信联社牵头统筹规划,并在省农信联社先行先试,对项目实施过程、建设效果、运营流程、应用场景等进行充分探究与实践,在具备成熟条件之后,再进一步面向全省农信联社系统进行推广覆盖,将省农信联社经验复制到各地市州,最终平稳顺畅实现全省农信系统的全流量未知威胁感知。未来将进一步落实常态化运营人员、制度、流程的完善,探索标准化和自动化安全运营。
立即拨打
京公网安备11000002002064号