来源:2025年度农村金融机构科技创新优秀案例评选
获奖单位:青岛农商银行
荣获奖项:信息安全创新优秀案例
一、项目背景及目标
在“数字中国”战略纵深推进和金融科技高速迭代的背景下,银行业务全面数字化转型已从探索实践步入深化融合的新阶段。网络安全作为银行稳健运行的“生命线”和数字化转型的“压舱石”,其保障能力与响应效能直接关系到核心业务连续性、客户资金安全及机构声誉信誉。当前,网络攻击呈现规模化、智能化、产业化趋势,安全威胁数量激增、手段翻新、影响加剧,对银行安全运营中心的监测预警、分析研判、协同响应与自动化处置能力提出了前所未有的严峻挑战。
然而,传统的、高度依赖人力的安全运维模式正面临显著瓶颈:安全事件响应流程多依赖手工操作与跨系统切换,处置效率低下且无法保障一致性;跨团队、跨层级的应急协同机制缺乏标准化与自动化支撑,难以满足分钟级响应的监管要求与实战需求;安全专家资源被大量重复性、低价值告警处理所牵制,难以聚焦于高级威胁猎捕与策略优化。这些痛点不仅制约了安全运营质效的提升,更在日益复杂的威胁环境下构成潜在风险隐患。
本项目正是基于此背景,致力于研究在现有网络安全运营体系架构下,如何有效调度各类安全能力、安全工具,集成标准化响应流程、实现剧本化自动化处置。通过构建网络安全智能风险处置平台,有效打通安全运营的“感知-分析-决策-行动”闭环,显著提升威胁响应速度与准确性,释放安全专家高价值产能,实现安全运营过程的可视、可管、可度量。
通过深入研究和实践,我们期望实现网络安全运营“提质、增效、降本”的需求,并将其作为新一代安全运营核心赋能平台,夯实网络安全主动防御体系、应对数字化时代安全挑战、保障业务创新稳健发展的关键基础设施与战略性举措。
二、创新点
(1)可视化安全编排。可在前端界面对流程进行编排,支持动作、脚本、决策、人工等多种节点类型,通过拖动连线等方式编写成运营剧本,同时每一个编写的剧本支持作为子剧本被其他剧本进行复用,实现剧本模块化,每个剧本负责自己的工作。
(2)标准化设备联动。通过APP服务实现南向接口对接、北向接口标准化。对外暴露北向接口实现接口能力标准化调用,将IT能力抽象统一。同时,可通过设备标签指定执行动作的具体设备范围。
(3)超便捷设备管理。设备管理功能可直接在前端填写设备注册参数(API接口地址、用户、密码、token等),注册后可直接联动设备执行APP服务适配的设备动作。同时,可通过设备标签给设备增加不同的属性,方便下发指令时划分执行目标,还可以给每个设备的每个动作进行权限控制,提高联动安全性。
(4)多人员协同作战。在处理案件时采用多人员协同工作方式,可在案件作战室中直接调用内外部资源、进行调查、分析、处置、响应,实现多地多中心协同作战。
三、项目技术方案
网络安全智能风险处置平台结合AI人工智能、机器学习技术与安全编排,不仅可以提供强大的数据整合、能力集成和分析功能,能够从各种安全工具和系统中收集告警信息和整合安全能力,与态势感知、资产管理系统、威胁情报平台、漏洞管理系统等集成,从而实现全面的网络威胁分析和能力联动,并通过智能编排来提高安全团队的效率和响应能力,帮助安全团队减少手动操作的工作量,从而提高响应速度和准确性。
与此同时,通过引入最前沿的大模型技术,自动识别和分析安全事件,学习和适应新的威胁模式,从而提高对位置威胁的检测能力。将运营专家的决策能力与机器的高效处理能力深度融合,实现网络威胁可视化、防御主动化、响应自动化、运营智能化的建设目标,实现安全运营效能的指数提升。帮助用户构建集约化、标准化、智能化的可持续安全运营体系。本项目采用安全编排与自动化响应(SOAR)平台作为安全事件响应剧本的开发平台。平台工作流程如下:
用户视角主动处理流程如下:
(1)接入需要处理的事件,作为任务触发因素。
(2)预编排需要处置场景的流程。
(3)创建任务调度配置流程触发的因素,包括对应事件、时间。
(4)任务触发后,自动创建案件,案件可支持分析人员协同处置。
通过态势感知平台对全行核心区域的安全态势进行深度剖析与综合评估,不仅能够及早预警恶意攻击,还能精确定位内部隐匿的安全漏洞,为防御策略的制定提供数据依据。此外,结合第三方的威胁情报系统,为预防未知威胁提供了关键信息,如同雷达精准锁定内外安全隐患。通过建设网络安全智能风险处置平台,可建立行内自有网络安全运营生态。不断完善整体运营流程,优化人机协作能力。
自动化与响应技术(SOAR)作为链接感知与情报的核心,落实自动化处理安全事件,实现从发现到响应的闭环管理,显著降低人工依赖,提升了事件响应的时效性和精确度。确保我行能在第一时间识别并有效对抗各类安全威胁,大幅度提升了事件处置的效率与精度,通过智能持续学习与自我优化机制,不断适应变化莫测的网络安全环境,为我行筑起一道智能、高效、自我进化的安全屏障。
四、项目过程管理
2024.12.19-2024.12.20:实施部署,完成网络安全智能风险处置平台的上线;
2024.12.21-2024.12.22:初期推广,选择行内部分安全设备,完成APP封装对接,并进行实际化的测试,开发相应的剧本,检验使用效果;
2024.12.23-2024.12.25:普及推广,将本项目落地的平台,扩大使用范围,实现大部分安全设备的对接,并根据实际需求丰富平台剧本库。
2024.12.26-2024.12.27:改进完善,在安全运营工作过程中不断收集平台的使用意见,不断完善平台剧本与现网业务的匹配度,优化平台使用效果。
五、运营情况
网络安全智能风险处置平台目前已完整对接我行所有安全设备,接入安全设备告警信息,并通过APP对接安全设备接口进行策略联动。通过平台APP封装能力预留设备对接接口,便于后续异构安全设备的对接联动。
通过我行既有安全运营经验的沉淀及对金融行业内安全事件类型的梳理,设计并落地了20余个自动化响应剧本,超半数常态化日常运营动作均由平台自动化完成,包括设备日常运维监控、资产暴露面监测、蜜罐捕获威胁调查、威胁情报生产等。
与原有人工安全运营模式对比,目前安全运营自动化效果显著。每天告警处置时长由4-7小时降低至1小时左右,有效降低人员精力占用;重大活动保障期间安全告警自动化处置,大幅节省值守人员工作量,减少值班人员投入数量。
六、项目成效
1.经济效益
成本节约:通过实施网络安全智能化风险处置方案,能够大幅度减少因安全事件引发的直接财务损失,如数据泄露、服务中断的成本。自动化处理和响应机制降低了对人力的依赖,节省了人力资源成本。
运营效率提升:自动化防护和快速响应机制加快了安全事件的处理速度,减少了业务中断时间,提高了安全事件的处置效率,保证了金融服务的连续性和稳定性,间接促进了银行收入的稳定增长。
投资回报率提高:基于大数据和智能分析的安全平台能够实现对安全资源的优化配置,提高了资源利用效率,虽然初期可能需要投入较大的技术投入,但长期看,智能安全体系能够通过预防性措施减少未来安全支出,提升整体IT投资回报率。
2.管理效益
通过网络安全智能风险处置平台,可以实现对我行安全要素的集中管理,包括安全设备、信息资产、脆弱性等,一定程度上消除安全能力孤岛。
总体而言,方案可实现以下效果:
一是对行内现有安全手段进行梳理整合,全面联动识别、防护、检测、响应四大安全能力,提升我行网络安全自主可控水平;
二是通过将传统人工参与的标准环节机械化、自动化,实现安全事件的自动化/半自动化处置,在保障安全事件分析处置快速及时完成的基础上,降低响应时间和对应人力成本,大幅提高安全运营效率;
三是在重要保障时期,可为我行运营团队及外部临时支撑安全专家提供集中管理协调运营的平台,为保障团队分配各自任务权限,落实各自职责,有效提升协同合作的效率和准确性,减少因沟通误差带来的安全风险。
七、经验总结
结合青岛农商银行网络安全运营的现状进行需求分析,最终完成了网络安全智能风险处置平台研究与应用,借助网络安全编排自动化与响应技术,对我行网络环境内的安全能力进行梳理,对安全设备进行集中管控,并通过标准化能力形成统一的能力接口,实现安全能力快速调用联动,通过自动化编排整合人员、流程和技术,缩短响应时间,快速形成安全闭环,通过自动化编排也能将大量安全运维人员经验固化,释放安全运维人员负担。通过深入研究和实践,为企业在数字化转型的道路上提供有力的技术支持和解决方案,推动企业实现更加高效、智能的网络安全运营模式,为企业的可持续发展注入新的活力。
通过本项目,项目组证明了安全编排、自动化与响应(SOAR)平台通过集成安全信息和事件管理(SIEM)、威胁情报平台(TIP)等多种安全工具,以及预设的安全剧本(Playbook),可以在构建银行统一、智能的安全运营中心方面发挥核心作用。通过自动化、规范化的安全事件响应流程,实现了对告警的快速筛选、分类和初步处置,极大提升了安全运营效率。集成各个安全系统的告警和数据,实现安全事件的集中管理和闭环处理,减少了安全团队的管理负担和误操作风险。标准化的响应动作为安全人员提供了清晰的处置指引,增强了团队协同作战能力。
青岛农商银行在结合自身业务特点和安全需求,充分评估行业最佳实践的基础上,创新性地实现了网络安全智能风险处置平台的研究与实践,成功完成了新一代智能安全运营体系的升级。这一平台深度整合了内外部安全数据与资源,极大地提升了威胁响应速度与处置精准度,有效降低了安全风险,从而在金融行业内部树立了智能化安全运营的新标杆。
面向未来,青岛农商银行将深入调研、广泛分析,进一步拓展基于网络安全智能风险处置平台可以实现的更多高级应用场景,如自动化威胁狩猎、安全合规性自动审计等。致力于构建更加智能、灵活的安全自动化架构,支持云端、本地及混合环境的安全能力无缝集成,实现安全策略的统一管理与实时生效。同时,通过引入人工智能(AI)和机器学习(ML)等先进技术,优化安全事件的研判与决策能力,实现对未知威胁和复杂攻击的智能识别与自动化应对,确保安全运营体系的高效性与前瞻性。进一步探索跨部门、跨机构的协同安全联防联控能力,利用零信任、 deception技术(欺骗防御)等理念,实现安全防御从被动响应向主动预警、纵深防御的深度融合,为安全事件应急响应、攻防演练、红蓝对抗等场景提供更加精准、高效的平台支撑,为青岛农商银行的业务创新与数字化转型升级保驾护航。
更多金融科技案例和金融数据智能优秀解决方案,请在数字金融创新知识服务平台-金科创新社案例库、选型库查看。
热门跟贴