来源:鑫智奖·2024第五届金融机构数智化转型优秀案例评选
获奖单位:北银金科
荣获奖项:信息安全优秀案例奖
一、项目背景及目标
1)项目建设背景
(1)国家战略的引领
等保2.0政策的推出,为我们提供了一个明确的发展方向和行动框架。它不仅是一项基本国策,更是我们企业必须履行的义务。我们认识到,只有紧跟国家的步伐,才能确保企业的安全运营与国家的网络安全战略同步发展。等保2.0系列政策围绕“一个中心、三重防御”为核心思想,要求企业具备集中管控能力,要求加强安全管理体系建设,因此安全运营管理成为一种必然趋势。
(2)行业合规的需求
随着各行各业对安全运营中心建设的刚性合规需求日益增长,我们看到了行业发展的广阔前景。这不仅是一个市场机遇,更是我们企业履行社会责任、推动行业进步的使命。
(3)数字化转型的挑战驱动
在企业数字化转型的大潮中,企业的信息化水平不断提高,各类信息系统和业务应用日益增多。然而,这也带来了前所未有的安全风险和挑战。网络攻击、数据泄露、系统瘫痪等安全事件频发,给企业的正常运营和声誉造成了严重的影响。因此,构建一个高效、可靠的安全运营管理平台,对于保障企业信息安全、提升整体运营水平具有重要意义。
2)现状分析及建设目标
(1)市场现状分析
通过对市场的深入分析,我们发现当前企业在安全运营管理方面存在以下主要建设点:
① 集中化管理:企业需要一个能够集中管理所有安全设备的平台,以解决分散管理带来的效率低下问题。
② 自动化流程:随着安全事件的增多,手动处理已不再可行,企业迫切需要自动化的安全事件响应和处理流程。
③ 智能化分析:面对复杂的安全威胁,企业需要利用人工智能技术进行深入的安全分析和预测。
④ 可视化展示:为了更好地理解安全状况和做出决策,企业需要直观的安全态势可视化工具。
⑤ 合规性:随着金融科技的快速发展,银行业务日益数字化、网络化,面临的网络安全威胁也日益严峻。
因此,建设一个符合合规性需求的安全运营管理平台,对于银行金融科技企业来说,具有极其重要的意义。金融行业受到严格的法律法规监管,例如等保2.0的实施要求金融机构必须建立健全的网络安全管理体系。建设安全运营管理平台,能够帮助企业满足这些法律法规的要求,避免因违规而受到处罚。合规的安全运营管理平台能够实现对各种安全风险的实时监控和分析,及时发现潜在的安全威胁,并快速响应。这有助于公司提前防范风险,减少潜在损失,确保业务连续性和稳定性。安全运营管理平台可以帮助银行实现内部控制的自动化和标准化,确保各项业务操作符合合规性要求。这对于公司内部管理和外部监管都具有重要意义。监管机构对金融机构的监管日益严格,定期的审计和检查成为常态。安全运营管理平台可以帮助公司更好地满足监管要求,顺利通过各种审计和检查。
(2)建设目标
为了解决安全运营管理中的难题和挑战,实现提质增效的目的,北银金科一体化安全运营管理平台规划以 “五化”、“五合”为建设目标。
“五化”即集中化、自动化、数字化、可视化、智能化;
“五合”即实现资产整合、人员整合、流程整合、工具整合、数据整合。
二、创新点
项目在建设或推广应用等方面的创新点包括:
(1)全局集中化管理:平台完成资产数据整合、工具整合、数据整合、流程整合、运营人员整合五大整合,将安全管理相关的各个内容进行流程联通、数据穿透,通过IT资产风险视图、安全漏洞闭环处置、告警线上封禁等功能的建设,实现了以人、资产、威胁、流程和管理为核心的一体化安全运营平台。
(2)自动化与智能化:产品规划中提出了从全局化管理到自动化,再到结合人工智能的逐步演进。这包括剧本编排、告警降噪、漏洞处置自动化、告警处理自动化,利用机器学习和知识图谱技术自动识别和分类安全事件,提高了事件处理的智能化水平。
(3)功能创新精细化:功能建设实现深入且精细化落地,以漏洞管理功能为例,平台通过结合实际条例,建立漏洞评估与分类机制,对发现的漏洞进行风险等级划分,明确漏洞的严重程度和影响范围,为后续的漏洞修复提供决策依据。实现漏洞修复与加固的标准化和流程化,并沉淀历史漏洞修复计划和加固方案,降低安全风险,提高漏洞管理的效率和效果,告警管理、安全检查等其他模块同质。
(4)可视化管理:通过可视化大屏,平台提供了全场景、多视角的安全管理视图,帮助用户实时监控安全风险,并辅助安全运营决策,使安全态势一目了然。
(5)技术栈的前瞻性选择:前端采用vue3.js,后端使用spring生态组件,包括Spring Cloud微服务架构、服务注册与发现、负载均衡、配置管理、熔断机制、链路追踪、网关和路由、分布式事务管理、服务监控等,这些技术的选用体现了对现代Web标准和技术的前瞻性考虑。
(6)人工智能的应用:在后续的产品迭代中,我们将引入GPT技术搭建安全知识库以及安全机器人、RPA等,进一步提升安全事件处理和日常安全运营管理的智能化水平。
(7)经济效益与间接效益并重:我们的效益分析不仅关注直接的经济效益,如产品销售额和提升效率,还考虑了间接效益,如软著和专利、公司在安全运营领域的经验和影响力、品牌形象和创新推进,显示了对产品长期价值和可持续发展的重视。
三、项目技术方案
1)项目规划
(1)痛点识别
当前,企业在安全运营管理方面面临以下痛点:
数据孤岛问题:企业内部数据分散在不同的系统和部门中,缺乏有效的整合和共享机制,导致安全信息孤岛化,难以形成统一的安全视图。
资产管理复杂性:随着企业资产的增多,尤其是IT资产的快速增长,管理和保护这些资产变得越来越复杂,难以实现有效的资产全生命周期管理。
安全漏洞管理不足:企业可能缺乏有效的漏洞发现、跟踪和管理机制,导致无法及时修复安全漏洞,增加了被攻击的风险。
告警管理困难:面对海量的安全告警,企业往往难以区分哪些是真正的威胁,哪些是误报,导致告警疲劳和真正的安全威胁被忽视。
缺乏自动化流程:许多企业的安全运营流程仍然依赖于手动操作,这不仅效率低下,而且容易出错,难以应对快速变化的安全威胁。
安全事件响应缓慢:缺乏成熟的安全事件响应流程,导致在安全事件发生时,企业响应不够迅速,无法及时控制和缓解安全事件的影响。
合规性挑战:随着网络安全法规的日益严格,企业在合规性方面面临巨大挑战,需要确保其安全措施和操作符合相关法律法规的要求。
安全技能短缺:随着网络安全技术的发展,企业需要具备相应技能的安全专家来应对复杂的安全威胁,但目前市场上这类人才相对短缺。
安全意识不足:企业员工的安全意识不足,可能导致安全政策执行不到位,增加了内部安全风险。
缺乏有效的安全策略:企业可能缺乏一套全面的安全策略和框架,导致安全措施零散、不一致,难以形成有效的安全防线。
技术更新迭代滞后:随着攻击手段的不断更新,企业现有的安全技术和工具可能无法及时更新,无法有效防御新型攻击。
安全运营成本高昂:安全运营需要投入大量的人力、物力和财力,对于一些中小企业来说,难以全面覆盖。
(2)产品功能介绍
安全运营管理平台整体功能设计:一期实现对接 6 个上下游系统,8 类安全防护产品;实现 7 大功能模块,35 个功能点;打通13 个安全流程闭环管理。
产品功能架构如下:
平台核心功能如下:
①资产管理
资产管理将联网固定资产、IT资产和安全设备资产进行整体管控,实时对接CMDB和OA系统,保证全域资产信息实时同步。
联网固定资产主要管控员工办公安全,涵盖员工日常办公防病毒情况及文件防泄露情况,同时监控上网行为关键数据与软件管控情况,实现知晓员工姓名可一键查询所有安全关键信息,知晓风险情况可迅速追溯至对应部分与人员。
IT资产实现实时对接CMDB系统,构建资产风险图谱,漏洞和风险识别后自动匹配资产负责人,资产视角风险全流程跟踪和关联历史风险一键查询,并实行风险资产TOP排行加强各责任人的重视程度。
安全设备资产管控公司内安防设备对应小组管理情况及支持同步策略库更新情况查看,提升安全小组巡检效率。
②漏洞管理
漏洞管理进行统一流程、统一字段但表单属性分离的原则,将脆弱性漏洞、弱口令与基线检查不通过项进行分别管理,所有数据统一按照漏洞发现—漏洞研判—漏洞重定级—漏洞指派—漏洞处置—自动化复验—漏洞关闭进行全流程管理。
各个漏洞扫描设备的多源异构漏洞数据自动化接入,线上化流程全程跟踪,漏洞重定级符合业务实际需求,漏扫引擎自动化复验实现提高人效,降低不必要的沟通与等待成本。同时本模块配备机器人自动催办、超期邮箱通知等便捷式管理服务。
同时漏洞管理与资产管理实现全平台联动,打破线下管理信息静态的问题,实现漏洞风险动态管理,定向管理。支持各种格式的统计图表,为内部深入分析风险提供夯实的基础数据支撑。
③告警管理
安全运营平台内置研判追溯—紧急处置—通知相关方—一键调用防火墙封禁—优化策略等全面处置的工作流程,使监控人员、研判分析人员,以及处置人员可在同一平台内多个功能模块流转处置,实现线上工作留痕的基础上为每条告警关联与其相关的已处置告警,将留存专家人员已处置事件的研判经验进行电子归档,辅助后续研判。并且可以将每类告警事件的分析研判过程最终沉淀为可参考、可利用、可复制的自动化处置剧本,提高工作协同的工作效率及效果。
④封禁管理
封禁管理模块能够对平台内的不合规行为或潜在威胁进行快速、准确的识别与封禁。通过实时监控和数据分析,该功能能够根据专家研判分析所定位的风险源头,执行自动或手动封禁操作,有效遏制不良行为的扩散。该功能还与防火墙实现全面对接,提供灵活的封禁策略配置,满足不同场景下的安全需求。用户可根据实际需求,自定义封禁时长、范围等参数,实现精细化管控。
⑤安全检查
安全检查模块支持构建企业自己内部的检查项库并进行动态管理,支持根据各部门内部实际需求,自定义检查项目、检查标准以及检查周期等,确保安全检查工作能够全面覆盖企业的各个角落,并有效应对各种安全挑战。此外本模块还具备定制化的数据分析和报告功能。系统能够对检查数据进行深度挖掘,生成详尽的安全检查报告和数据结果,在任务执行方面,系统支持实时跟踪和监控,员工会收到平台的安全检查催办,确保安全检查任务能够按时、按质完成。同时,系统还提供了丰富的提醒和预警机制,帮助用户及时发现和处理安全问题和其他各项监督检查的督办事项,避免安全风险扩大化。
⑥工单管理
工单管理模块具备自动化的工单生成与分配功能。当漏洞和告警发生或者信息接入时,系统能够根据预设的规则和条件自动生成工单,并将其分配给相应角色的安全运营人员。该模块提供实时工单跟踪与协同处理功能。通过工单管理模块,安全运营人员可以实时查看工单的处理状态、进度以及处理人员等信息,确保对安全事件或问题的处理情况了如指掌。工单管理模块同时支持权限管理和审批流程的设置。通过设定不同的用户权限和审批流程,确保只有授权人员才能访问和处理敏感信息,保障信息安全和合规性。同时,还设置审批流程,确保了工单处理的合规性和合理性,避免因处理不当而引发的风险和问题。
⑦可视化大屏
可视化大屏支持分权限查看,将全平台的关键数据多层次多维度进行统计分析展示,将关键安全指标直观展现,助力用户迅速洞察运营状况。大屏还支持多维度数据分析,用户可根据需求灵活调整展示维度,深入挖掘数据背后的价值。通过数据对比、趋势预测等功能,决策层用户能够更全面地了解安全运营状况,制定更合理的决策方案。
2)项目实施
安全运营管理平台整体规划以实现全局集中化管理为基础,进一步由全局化走向自动化,再由自动化走向自动+人工智能的方向逐步实现一站式智能安全运营平台的搭建。项目分两期建设完成,一期目标是构建一个全面、集成、可视的安全运营管理平台,它将实现以下核心功能:资产统一管理、漏洞全周期闭环管理、告警与封禁统一管理、安全检查、可视化大屏展示、信息安全门户,2024年4月投产上线;二期计划于2024年11月上线,通过机器学习等技术实现剧本编排与自动化,融合人工智能技术实现安全运营智能助手,进一步提质增效。
3)技术架构
(1)前端使用vue3.js
安全运营管理平台前端使用vue3.js,框架提供了全面且详尽的文档和资源,为开发团队提供了宝贵的学习和参考材料。其次,Vue3.x的架构和设计面向未来,积极融入了新的Web标准和技术,构建了用户友好的操作界面,这不仅增强了其生态系统的前瞻性,也确保了其长期的可持续发展。此外,得益于官方的坚定支持和活跃的社区,Vue 3.x的用户在使用过程中能够获得及时的帮助和问题解决方案,这些都显著提升了Vue 3.x在前端开发领域的吸引力和实用性。
(2)后端使用spring生态组件
安全运营管理平台采用微服务架构,通过一系列组件和服务提供了一套完整的微服务方案。支持将复杂的应用拆解为小型、独立的服务,实现了系统的灵活性、可扩展性和可维护性,同时促进了团队的分工协作。利用nacos进行服务注册与发现,简化了分布式环境下服务间的通信。Ribbon组件实现了负载均衡,增强了系统性能和可靠性。Spring Cloud Config集中管理配置信息,并支持动态刷新,简化了配置管理。Hystrix熔断器提供了熔断机制,防止服务雪崩,确保了系统的稳定性。Sleuth组件实现了链路追踪,提升了系统的可观测性。Spring Cloud Gateway作为网关,简化了请求的转发和过滤。此外,Spring Cloud集成了如Seata这样的分布式事务管理框架,解决了事务一致性问题。Actuator组件则提供了服务监控和管理功能,包括健康检查和性能指标监控等。总体而言,Spring Cloud为构建和管理微服务架构提供了强大的支持和便利。
(3)采用容器化部署
安全运营管理平台使用我司自研的京小科容器云部署,将应用及其依赖环境封装在轻量级、独立的容器中,实现了技术特点和优点的多重提升。首先,容器化确保了环境一致性,消除了“在我机器上可以运行”的问题,因为容器在任何支持的主机上都能以相同的方式运行。其次,它提高了应用的可移植性,容器可以在不同平台和云服务之间无缝迁移。此外,容器的启动速度快,资源利用率高,有助于提升系统的响应能力和运行效率。容器化还支持微服务架构,使得应用更加模块化,便于独立开发、部署和扩展。同时,容器编排工具如Kubernetes提供了强大的管理能力,能够自动化容器的部署、扩展和运维。安全性方面,容器化允许更细粒度的权限控制和镜像扫描,增强了应用的安全性。最后,容器化简化了持续集成和持续部署流程,加快了软件交付速度,提升了开发和运维的协作效率。
4)业务模式
安全运营管理平台是一种专为企业提供网络安全运营管理解决方案的产品和服务。该平台的业务模式通常以人、资产、威胁、流程和管理为核心,实现资产整合、人员整合、数据整合、工具整合和流程整合,构建一体化管理中心,旨在帮助企业预防、检测和响应各种网络威胁,实现流程的全面闭环管理、安全态势的可视化展示、安全考核的线上化管理,实现安全运营管理的提质增效。
平台采用微服务架构、模块化设计,支持功能模块的可插拔,用户可以根据自身需求选择平台功能。我们还提供定制化服务和专业咨询,帮助企业根据自身特点制定安全策略,优化安全运营流程。专业服务包括但不限于安全架构设计、风险评估、应急响应计划制定等方面。此外,为了提升用户体验和服务质量,平台不断进行技术创新,集成最新的安全技术和算法,如使用人工智能和机器学习技术来提高威胁检测的准确性和效率。
未来,平台计划通过建立合作伙伴生态系统,与安全软件提供商、硬件供应商、服务集成商等合作,共同提供一站式的安全解决方案,满足企业在不同场景下的安全需求。
5)商业模式
平台的商业模式始于内部优化和产品成熟度的打磨。在这个阶段,平台专注于内部使用,通过实际应用场景不断测试和优化产品功能,确保其稳定性和可靠性。通过内部反馈和数据收集,平台持续改进,为产品推向市场打下坚实的基础。
产品化完成后,平台将目标市场定位在中小型企业单位,这一市场细分因其对成本效益和灵活性的需求而成为理想的目标客户群。为了有效触达这些潜在客户,平台采用多渠道营销策略,结合线上和线下手段。这包括线上广告推广、社交媒体营销、内容营销,以及线下的行业展会参与和口碑营销,同时利用现有用户的推荐来吸引新用户。
为了确保用户满意度和忠诚度,平台提供全面的客户支持和服务。这包括在线帮助文档、FAQ、客户服务热线等,以及定期的用户培训和网络研讨会。此外,平台还与分销商和合作伙伴建立合作关系,扩大市场覆盖范围,并通过直销团队为潜在客户提供个性化咨询和定制解决方案,从而实现稳健的市场进入和持续增长。
四、项目过程管理
在项目过程管理中我们始终致力于提升项目管理的效率和质量,以确保安全运营管理平台的开发建设项目能顺利、高效地从启动阶段发展到交付阶段。
我们所采取的管理策略严格遵循公司CMMI(能力成熟度模型集成)标准,这是一套业界公认的项目管理最佳实践框架。CMMI标准不仅为我们提供了一套结构化的方法论,还帮助我们确保项目管理的每一个环节都能得到有效的控制和优化。
在实施过程中,我们特别注重结合敏捷和传统的项目管理方法。这种混合方法使我们能够灵活应对项目需求的变化,同时保持项目进度的稳定性和可预测性。通过敏捷方法,我们能够快速响应市场变化,及时调整项目开发和管理策略;而传统的项目管理方法则确保了项目的系统性和完整性。具体来说,我们的项目过程管理涵盖了以下几个关键方面:
启动阶段:项目需经过公司预立项和立项两个阶段,严格要求明确项目目标、范围和需求,组建项目团队,分配角色和职责,并确保所有团队成员对项目目标有清晰的认识。
规划阶段:在这个阶段,项目经理制定详细的项目计划,包括时间表、预算、资源分配和风险管理计划。同时,识别项目风险并制定相应的缓解策略。
实施阶段:项目团队根据项目计划开始执行项目任务。在这个阶段,项目经理负责监督项目进度,确保所有活动按计划进行。项目开发阶段使用公司的Devops平台进行过程管理,保证过程的规范化,并提高灵活性和响应性。
质量保证:项目过程中还包括质量保证活动,包括需求管理、设计审查、代码审查、自动化与手动测试、持续集成/持续部署(CI/CD)、性能监控、用户反馈收集以及文档和培训,旨在确保产品满足高标准的质量要求和用户期望。
安全保证:设计阶段需要经过技术方案评审,开发阶段需要完成代码安全扫描和开源组件安全扫描,测试阶段需要完成交互式安全测试和渗透测试,投产前应确保以上安全活动卡点全部通过。
项目收尾:项目完成后,进行收尾活动,包括交付最终产品、释放项目资源、总结项目经验教训以及正式关闭项目。项目团队还会进行项目回顾,评估项目成功之处和改进领域。
通过这种综合性的项目过程管理,平台能够确保项目按时、按预算和按质量要求交付,同时满足所有利益相关者的需求和期望。
五、运营情况
1)平台推广应用
自安全运营管理平台上线以来,已在公司环境中得到充分验证。项目团队和使用部门开展了一系列的推广活动。我们在公司OA和企微发布了平台上线公告和宣传视频,组织了一系列的培训和分享,确保了平台能得到广泛的应用,快速的提升平台的稳定性和可靠性。随后,我们在集团范围内开展了宣讲营销和市场需求调研,从北京银行及主要投资机构入手,逐步将平台推向市场。
2)系统运行情况
自平台上线以来,运行状况良好,我们收到了来自用户的积极反馈。用户特别赞赏平台的易用性、自动化功能以及对安全运营效率的显著提升。我们的技术团队持续监控系统性能,并定期进行优化更新,确保平台始终保持最佳运行状态。
六、项目成效
1)经济效益
经过集团内的营销宣讲,我们的产品已经获得了兄弟单位的积极响应,我们计划通过模块化输出多类标准产品,预计年底可以实现覆盖一期建设成本的经济收益。
2)间接效益
除了直接的经济效益,我们的平台还带来了一系列的间接效益。我们已着手开展申请软著和专利,以增强知识产权保护。此外,通过不断的市场推广和品牌建设,我们在安全运营领域的经验和影响力得到了显著提升,品牌形象也得到了加强。
我们的平台实现安全运营工作降本增效。一是告警统一接入、集中管理,减少安全监测工作量80%;二是告警智能分析,批量封禁攻击源,至少节约50%手动重复操作;三是安全漏洞定时同步、自动复测,提升漏洞修复效率约30%。
七、经验总结
1)建设经验
在平台的建设过程中,我们积累了宝贵的经验。首先,项目初期,我们深入分析了当前安全运营领域的痛点,如数据孤岛、管理困难、缺乏自动化等问题,确保了产品规划与市场需求的紧密对接。其次,我们在技术选型上,选择了Vue 3.x作为前端框架,以及Spring Cloud作为后端微服务架构,这些技术的选择为平台的稳定性和可扩展性提供了坚实的基础。此外,我们按照一期、二期阶段性规划,逐步实现了从基础管理到自动化再到智能化的功能,确保了项目的有序推进。我们的团队成员之间保持了高效的沟通和协作,确保了开发进度和质量控制。我们通过严格的性能测试和安全测试流程,包括单元测试、集成测试、安全测试、用户验收测试,确保了平台的稳定性和可靠性。
2)推广经验
在平台的推广过程中,我们明确了目标市场定位,初期主要面向北京银行及其投资机构,后期面向中小型企业推广。我们结合线上线下多种渠道进行推广,包括熟客介绍、公众号推广、线下活动等,扩大市场覆盖面。我们积极收集和响应客户反馈,不断优化产品功能,提高了客户满意度和忠诚度。最后,我们根据市场变化和技术发展,持续对产品进行迭代更新,确保了产品的竞争力。
3)总结
项目建设过程中,我们积累了宝贵的经验。需求分析的准确性、技术选型的前瞻性、功能规划的合理性、团队协作的高效性以及质量控制的严格性是项目成功的关键因素。在推广方面,目标市场的准确定位、多渠道营销策略的实施、品牌建设的重视、客户反馈的积极响应以及产品的持续迭代是扩大市场份额、提升品牌影响力的重要策略。未来,我们将继续秉承这些经验,不断优化产品和服务,以满足市场和客户的需求。
总结来说,我们的智能安全运营管理平台项目是一个顺应当下安全需求,实现降本增效的成功案例。通过这个项目,我们不仅提升了安全运营管理效率,还推进了公司整体的创新发展。这一成就得益于我们团队的不懈努力和对创新的持续追求。我们的平台通过整合关键技术,解决了数据孤岛和安全孤岛的问题,实现了对安全设备和数据的集中管理,极大提升了管理效率和响应速度。我们的平台采用了前沿的自动化流程和人工智能技术,实现了从全局化管理到自动化,再到智能化的逐步演进。这包括剧本编排、告警降噪、漏洞处置自动化等,以及利用机器学习、知识图谱等技术自动识别和分类安全事件,确保了安全运营的高效性和智能化。我们将继续秉承创新精神,不断优化我们的产品和服务,以满足市场和客户的需求。我们相信,通过这个平台,我们能够巩固我们在安全运营领域的领导地位,并为整个行业的发展贡献力量。
未来,我们将进一步探索人工智能在安全运营管理中的应用,引入GPT技术搭建安全知识库以及安全机器人、RPA等,以进一步提升安全事件处理和日常安全运营管理的智能化水平。这将使我们的平台更加智能,能够更快速、更准确地响应安全威胁,为我们的客户提供更高质量的服务。
更多金融科技案例和金融数据智能优秀解决方案,请在数字金融创新知识服务平台-金科创新社案例库、选型库查看。
热门跟贴