广发银行数据中心副总经理 吴基科

  随着数字化技术逐渐成熟并在各领域融合应用，数字经济已成为“十四五”时期加速经济发展的新引擎。广发银行高度重视科技赋能，努力抢抓数字化转型风口， 大力建设具有综合化、智能化、生态化特色的“数字广发”。广发银行数据中心积极推动网络安全数字化转型，与业务、IT 架构、运营模式的数字化转型保持战略一致。

  广发银行建立了较为完备的网络安全防御体系，可实现7×24 小时常态化网络安全运营值守，并着手研究数字化技术赋能安全运营工作。广发银行数字化转型的思路是借助数字技术推动业务发展，提升业务价值。

  广发银行网络安全运营的三个工作重点是打造专业团队、推进安全防御体系建设、建立标准化运营流程机制，因此，数字化安全运营的目标是整合安全运营周边数据，利用数字技术在安全人员专业能力、安全防御有效性和运营流程可操作性三个方面建立度量指标，挖掘安全运营的短板和不足，有针对性地对人员进行赋能、对工具进行升级、对流程进行优化和创新。

  数据整合、指标设计、能力提升是广发银行数字化安全运营的三个重要环节。以下从数据整合及平台建设、安全团队指标度量及能力提升、安全防御体系指标度量及能力提升、安全运营流程指标度量及能力提升四个方面分享广发银行的实践经验。

  一、数据整合及平台建设

  数据的形成、输入、分析、管理和输出是数字化技术的核心，打通平台与消除数据孤岛是实现数据多维度分析的技术基石。广发银行数据中心建设了一体化智能运维体系，涵盖运维配置管理应用、集中监控应用、运维服务集成应用、运维管理平台应用、多云资源管理基础平台应用等，通过API 接口实现告警、流量、日志、配置、变更、事件、安全工单等原始数据互通，为数字化安全运营创造了条件。

  此外，广发银行借助商业和开源大数据软件打造了网络安全感知应用，并在此应用基础上开展安全周边数据整合、安全分析场景制定、安全自动化剧本创建、安全运营指标建立与可视化等工作。

  二、安全团队指标度量及能力提升

  网络技术人才是网络安全的核心因素，打造一支专业队伍是网络安全工作的重要挑战。广发银行对安全团队进行了专业细分，通过数字化技术手段评估个人专业技能和量化工作内容，以实现人员的优化配置。

  1. 专业技能数字化管理

  广发银行结合自身网络安全工作需求，把安全团队专业技能划分为安全管理、安全运维、安全开发、安全分析四大专业方向及36 项知识技能。对人员进行全方位专业技能评估，建立专业技能数字化档案，针对个人短板进行专业技能培训，结合个人特长安排7×24 小时安全值守工作。

  2. 安全工作数字化管理

  广发银行针对合规操作、建设运维、安全分析三个维度建立考核机制，通过对接数据中心运维管理平台，获取考勤数据、变更数据、事件数据、安全运营工单数据， 进行安全团队工作数字化管理与考核：对违规操作人员进行考核扣分，对运维变更或发现入侵事件的人员进行考核加分，通过调整分数权重强化考核“指挥棒”作用。

  三、安全防御体系指标度量及能力提升

  广发银行于2014 年开始加速网络安全防御体系建设，基本完成了终端、网络、系统、应用安全的纵深防护体系的构建。目前，广发银行一方面通过引入数字化理念和技术提升网络安全防护能力;另一方面对网络安全防御体系进行指标度量与评估，主动发现安全盲点并指导网络安全建设。

  1. 入侵威胁定量分析

  广发银行根据威胁程度对Web 应用防火墙、入侵检测系统、邮件网关等安全设备的攻击告警进行量化， 同时关联外部威胁情报和本行历史攻击记录，建立威胁评分模型，实现攻击定量分析，为自动化处置提供数据支撑。

  2. 图数据库技术支撑关联分析

  广发银行引入图数据库技术建立IT 资产安全类信息(包括IP、操作系统/软件/框架组件版本、漏洞) 关联网络;同时，对资产、漏洞、威胁、事件进行关联与可视化操作，为安全人员进行内网溯源和入侵研判提供重要参考依据。

  3. 建立主机安全覆盖指标

  广发银行建立了防病毒Agent、主机入侵检测系统Agent 和堡垒机接管服务器台账，通过匹配运维配置库建立主机安全覆盖指标。系统将“安全盲点清单”以安全运营工单的形式自动下发给安全运维人员，安全运维人员开展整改工作，创建变更工单，形成事件处置闭环，从而保障全行主机安全运行。

  4. 建立安全监测有效性指标

  广发银行模拟各种安全场景和攻击行为对信息系统进行“无效”攻击，收集和统计主动触发的告警数据，建立安全监测有效性指标。未监测到的攻击行为通过安全运营工单下发给安全运维人员，安全运维人员判断是安全设备故障、安全规则失效还是其他原因导致监测失效，并开展整改工作，创建变更工单，形成事件处置闭环，保障安全防御体系正常工作。

  5. 建立安全自动化响应指标

  针对拦截的攻击源，计算网络安全感知应用针对从收到第一个攻击告警至完成自动拦截的时长建立安全自动化响应指标。分析发现，安全计算规则耗时较长，因此，广发银行通过引入流式计算技术取代轮训计算，将耗时从分钟级变为秒级，极大提升了自动化响应速度。

表1 安全运营工单处理记录

  四、安全运营流程指标度量及能力提升

  广发银行通过网络安全感知应用与运维管理平台的对接，把可疑安全事件转为人工跟进处理的安全运营工单，将安全运营工单划分为监测、研判、处置、优化四个环节，并安排各专业条线人员处理(见表1)，从而实现松耦合响应和精细化管理。

  1. 建立安全运营度量指标

  广发银行针对不同安全运营工单四个环节的响应时长建立度量指标，将安全人员的工单处理记录纳入工作考核参考依据，通过对指标数据进行横比和环比，建立安全人员的专业技能画像，对已关闭的工单进行随机抽查，分析处理质量，从中发现问题并进行整改。

  2. 安全运营流程优化

  广发银行对安全运营流程开展标准化、信息化、工具化工作。在标准化方面，编写安全运营工单操作手册，并嵌入运维知识库，明确常见安全事件的分析思路和处置方法，同时将知识库信息URL 链接通过锚点内嵌至安全运营工单中，方便安全人员快速翻查手册，以提升分析研判效率。在信息化方面，增加威胁情报数据和银行历史攻击记录，方便研判人员关联分析;在工单告警信息中增加IT 资产属性数据，方便数据中心内部协同处置。在工具化方面，在网络安全感知应用中增加一键查询、一键封禁、一键解封的人工操作页面，以提升人工处置效率。

  广发银行通过对团队、工具和流程建立度量指标，持续分析、优化和完善安全运营工作，取得了一定成效：在安全监控方面，能够实时监控全行终端、设备、系统、账号的安全运行情况，积累了300 多个自定义安全规则，日均自动分析约37 亿条原始数据。在自动化响应方面，广发银行在2014 年底推出攻击源自动化拦截功能，使互联网边界攻击数量下降70%;2021 年9 月投产流式计算框架，实现攻击拦截从分钟级向秒级的转变，使边界攻击数量再次下降75%，边界安全性得到极大提升。在人工分析和处置安全运营工单方面， 广发银行经过一系列流程优化和个人技能培训，人均处理安全工单数量比三年前提升4 倍，平均处理时长降低了70%。广发银行在有限的安全人力条件下，通过数字化技术赋能和人员精细化管理，把安全事件从发现到处置的耗时控制在小时级。

  未来，广发银行将继续丰富安全运营数据、提升数据质量，借助人工智能、图数据库、知识图谱等数字化技术提升安全感知能力和可视化能力，优化人机结合协同作战的工作流程与机制，完善安全人才培养与激励措施，打造一支理论基础扎实、作战经验丰富的安全运营队伍，为“数字广发”提供强有力的网络安全保障。