來(lái)源：2025年度農(nóng)村金融機(jī)構(gòu)科技創(chuàng)新優(yōu)秀案例評(píng)選

獲獎(jiǎng)單位：青島農(nóng)商銀行

榮獲獎(jiǎng)項(xiàng)：信息安全創(chuàng)新優(yōu)秀案例

一、項(xiàng)目背景及目標(biāo)

在“數(shù)字中國(guó)”戰(zhàn)略縱深推進(jìn)和金融科技高速迭代的背景下，銀行業(yè)務(wù)全面數(shù)字化轉(zhuǎn)型已從探索實(shí)踐步入深化融合的新階段。網(wǎng)絡(luò)安全作為銀行穩(wěn)健運(yùn)行的“生命線”和數(shù)字化轉(zhuǎn)型的“壓艙石”，其保障能力與響應(yīng)效能直接關(guān)系到核心業(yè)務(wù)連續(xù)性、客戶資金安全及機(jī)構(gòu)聲譽(yù)信譽(yù)。當(dāng)前，網(wǎng)絡(luò)攻擊呈現(xiàn)規(guī)模化、智能化、產(chǎn)業(yè)化趨勢(shì)，安全威脅數(shù)量激增、手段翻新、影響加劇，對(duì)銀行安全運(yùn)營(yíng)中心的監(jiān)測(cè)預(yù)警、分析研判、協(xié)同響應(yīng)與自動(dòng)化處置能力提出了前所未有的嚴(yán)峻挑戰(zhàn)。

然而，傳統(tǒng)的、高度依賴人力的安全運(yùn)維模式正面臨顯著瓶頸：安全事件響應(yīng)流程多依賴手工操作與跨系統(tǒng)切換，處置效率低下且無(wú)法保障一致性；跨團(tuán)隊(duì)、跨層級(jí)的應(yīng)急協(xié)同機(jī)制缺乏標(biāo)準(zhǔn)化與自動(dòng)化支撐，難以滿足分鐘級(jí)響應(yīng)的監(jiān)管要求與實(shí)戰(zhàn)需求；安全專家資源被大量重復(fù)性、低價(jià)值告警處理所牽制，難以聚焦于高級(jí)威脅獵捕與策略優(yōu)化。這些痛點(diǎn)不僅制約了安全運(yùn)營(yíng)質(zhì)效的提升，更在日益復(fù)雜的威脅環(huán)境下構(gòu)成潛在風(fēng)險(xiǎn)隱患。

本項(xiàng)目正是基于此背景，致力于研究在現(xiàn)有網(wǎng)絡(luò)安全運(yùn)營(yíng)體系架構(gòu)下，如何有效調(diào)度各類安全能力、安全工具，集成標(biāo)準(zhǔn)化響應(yīng)流程、實(shí)現(xiàn)劇本化自動(dòng)化處置。通過構(gòu)建網(wǎng)絡(luò)安全智能風(fēng)險(xiǎn)處置平臺(tái)，有效打通安全運(yùn)營(yíng)的“感知-分析-決策-行動(dòng)”閉環(huán)，顯著提升威脅響應(yīng)速度與準(zhǔn)確性，釋放安全專家高價(jià)值產(chǎn)能，實(shí)現(xiàn)安全運(yùn)營(yíng)過程的可視、可管、可度量。

通過深入研究和實(shí)踐，我們期望實(shí)現(xiàn)網(wǎng)絡(luò)安全運(yùn)營(yíng)“提質(zhì)、增效、降本”的需求，并將其作為新一代安全運(yùn)營(yíng)核心賦能平臺(tái)，夯實(shí)網(wǎng)絡(luò)安全主動(dòng)防御體系、應(yīng)對(duì)數(shù)字化時(shí)代安全挑戰(zhàn)、保障業(yè)務(wù)創(chuàng)新穩(wěn)健發(fā)展的關(guān)鍵基礎(chǔ)設(shè)施與戰(zhàn)略性舉措。

二、創(chuàng)新點(diǎn)

（1）可視化安全編排。可在前端界面對(duì)流程進(jìn)行編排，支持動(dòng)作、腳本、決策、人工等多種節(jié)點(diǎn)類型，通過拖動(dòng)連線等方式編寫成運(yùn)營(yíng)劇本，同時(shí)每一個(gè)編寫的劇本支持作為子劇本被其他劇本進(jìn)行復(fù)用，實(shí)現(xiàn)劇本模塊化，每個(gè)劇本負(fù)責(zé)自己的工作。

（2）標(biāo)準(zhǔn)化設(shè)備聯(lián)動(dòng)。通過APP服務(wù)實(shí)現(xiàn)南向接口對(duì)接、北向接口標(biāo)準(zhǔn)化。對(duì)外暴露北向接口實(shí)現(xiàn)接口能力標(biāo)準(zhǔn)化調(diào)用，將IT能力抽象統(tǒng)一。同時(shí)，可通過設(shè)備標(biāo)簽指定執(zhí)行動(dòng)作的具體設(shè)備范圍。

（3）超便捷設(shè)備管理。設(shè)備管理功能可直接在前端填寫設(shè)備注冊(cè)參數(shù)（API接口地址、用戶、密碼、token等），注冊(cè)后可直接聯(lián)動(dòng)設(shè)備執(zhí)行APP服務(wù)適配的設(shè)備動(dòng)作。同時(shí)，可通過設(shè)備標(biāo)簽給設(shè)備增加不同的屬性，方便下發(fā)指令時(shí)劃分執(zhí)行目標(biāo)，還可以給每個(gè)設(shè)備的每個(gè)動(dòng)作進(jìn)行權(quán)限控制，提高聯(lián)動(dòng)安全性。

（4）多人員協(xié)同作戰(zhàn)。在處理案件時(shí)采用多人員協(xié)同工作方式，可在案件作戰(zhàn)室中直接調(diào)用內(nèi)外部資源、進(jìn)行調(diào)查、分析、處置、響應(yīng)，實(shí)現(xiàn)多地多中心協(xié)同作戰(zhàn)。

三、項(xiàng)目技術(shù)方案

網(wǎng)絡(luò)安全智能風(fēng)險(xiǎn)處置平臺(tái)結(jié)合AI人工智能、機(jī)器學(xué)習(xí)技術(shù)與安全編排，不僅可以提供強(qiáng)大的數(shù)據(jù)整合、能力集成和分析功能，能夠從各種安全工具和系統(tǒng)中收集告警信息和整合安全能力，與態(tài)勢(shì)感知、資產(chǎn)管理系統(tǒng)、威脅情報(bào)平臺(tái)、漏洞管理系統(tǒng)等集成，從而實(shí)現(xiàn)全面的網(wǎng)絡(luò)威脅分析和能力聯(lián)動(dòng)，并通過智能編排來(lái)提高安全團(tuán)隊(duì)的效率和響應(yīng)能力，幫助安全團(tuán)隊(duì)減少手動(dòng)操作的工作量，從而提高響應(yīng)速度和準(zhǔn)確性。

與此同時(shí)，通過引入最前沿的大模型技術(shù)，自動(dòng)識(shí)別和分析安全事件，學(xué)習(xí)和適應(yīng)新的威脅模式，從而提高對(duì)位置威脅的檢測(cè)能力。將運(yùn)營(yíng)專家的決策能力與機(jī)器的高效處理能力深度融合，實(shí)現(xiàn)網(wǎng)絡(luò)威脅可視化、防御主動(dòng)化、響應(yīng)自動(dòng)化、運(yùn)營(yíng)智能化的建設(shè)目標(biāo)，實(shí)現(xiàn)安全運(yùn)營(yíng)效能的指數(shù)提升。幫助用戶構(gòu)建集約化、標(biāo)準(zhǔn)化、智能化的可持續(xù)安全運(yùn)營(yíng)體系。本項(xiàng)目采用安全編排與自動(dòng)化響應(yīng)（SOAR）平臺(tái)作為安全事件響應(yīng)劇本的開發(fā)平臺(tái)。平臺(tái)工作流程如下：

用戶視角主動(dòng)處理流程如下：

（1）接入需要處理的事件，作為任務(wù)觸發(fā)因素。

（2）預(yù)編排需要處置場(chǎng)景的流程。

（3）創(chuàng)建任務(wù)調(diào)度配置流程觸發(fā)的因素，包括對(duì)應(yīng)事件、時(shí)間。

（4）任務(wù)觸發(fā)后，自動(dòng)創(chuàng)建案件，案件可支持分析人員協(xié)同處置。

通過態(tài)勢(shì)感知平臺(tái)對(duì)全行核心區(qū)域的安全態(tài)勢(shì)進(jìn)行深度剖析與綜合評(píng)估，不僅能夠及早預(yù)警惡意攻擊，還能精確定位內(nèi)部隱匿的安全漏洞，為防御策略的制定提供數(shù)據(jù)依據(jù)。此外，結(jié)合第三方的威脅情報(bào)系統(tǒng)，為預(yù)防未知威脅提供了關(guān)鍵信息，如同雷達(dá)精準(zhǔn)鎖定內(nèi)外安全隱患。通過建設(shè)網(wǎng)絡(luò)安全智能風(fēng)險(xiǎn)處置平臺(tái)，可建立行內(nèi)自有網(wǎng)絡(luò)安全運(yùn)營(yíng)生態(tài)。不斷完善整體運(yùn)營(yíng)流程，優(yōu)化人機(jī)協(xié)作能力。

自動(dòng)化與響應(yīng)技術(shù)（SOAR）作為鏈接感知與情報(bào)的核心，落實(shí)自動(dòng)化處理安全事件，實(shí)現(xiàn)從發(fā)現(xiàn)到響應(yīng)的閉環(huán)管理，顯著降低人工依賴，提升了事件響應(yīng)的時(shí)效性和精確度。確保我行能在第一時(shí)間識(shí)別并有效對(duì)抗各類安全威脅，大幅度提升了事件處置的效率與精度，通過智能持續(xù)學(xué)習(xí)與自我優(yōu)化機(jī)制，不斷適應(yīng)變化莫測(cè)的網(wǎng)絡(luò)安全環(huán)境，為我行筑起一道智能、高效、自我進(jìn)化的安全屏障。

四、項(xiàng)目過程管理

2024.12.19-2024.12.20：實(shí)施部署，完成網(wǎng)絡(luò)安全智能風(fēng)險(xiǎn)處置平臺(tái)的上線；

2024.12.21-2024.12.22：初期推廣，選擇行內(nèi)部分安全設(shè)備，完成APP封裝對(duì)接，并進(jìn)行實(shí)際化的測(cè)試，開發(fā)相應(yīng)的劇本，檢驗(yàn)使用效果；

2024.12.23-2024.12.25：普及推廣，將本項(xiàng)目落地的平臺(tái)，擴(kuò)大使用范圍，實(shí)現(xiàn)大部分安全設(shè)備的對(duì)接，并根據(jù)實(shí)際需求豐富平臺(tái)劇本庫(kù)。

2024.12.26-2024.12.27：改進(jìn)完善，在安全運(yùn)營(yíng)工作過程中不斷收集平臺(tái)的使用意見，不斷完善平臺(tái)劇本與現(xiàn)網(wǎng)業(yè)務(wù)的匹配度，優(yōu)化平臺(tái)使用效果。

五、運(yùn)營(yíng)情況

網(wǎng)絡(luò)安全智能風(fēng)險(xiǎn)處置平臺(tái)目前已完整對(duì)接我行所有安全設(shè)備，接入安全設(shè)備告警信息，并通過APP對(duì)接安全設(shè)備接口進(jìn)行策略聯(lián)動(dòng)。通過平臺(tái)APP封裝能力預(yù)留設(shè)備對(duì)接接口，便于后續(xù)異構(gòu)安全設(shè)備的對(duì)接聯(lián)動(dòng)。

通過我行既有安全運(yùn)營(yíng)經(jīng)驗(yàn)的沉淀及對(duì)金融行業(yè)內(nèi)安全事件類型的梳理，設(shè)計(jì)并落地了20余個(gè)自動(dòng)化響應(yīng)劇本，超半數(shù)常態(tài)化日常運(yùn)營(yíng)動(dòng)作均由平臺(tái)自動(dòng)化完成，包括設(shè)備日常運(yùn)維監(jiān)控、資產(chǎn)暴露面監(jiān)測(cè)、蜜罐捕獲威脅調(diào)查、威脅情報(bào)生產(chǎn)等。

與原有人工安全運(yùn)營(yíng)模式對(duì)比，目前安全運(yùn)營(yíng)自動(dòng)化效果顯著。每天告警處置時(shí)長(zhǎng)由4-7小時(shí)降低至1小時(shí)左右，有效降低人員精力占用；重大活動(dòng)保障期間安全告警自動(dòng)化處置，大幅節(jié)省值守人員工作量，減少值班人員投入數(shù)量。

六、項(xiàng)目成效

1.經(jīng)濟(jì)效益

成本節(jié)約：通過實(shí)施網(wǎng)絡(luò)安全智能化風(fēng)險(xiǎn)處置方案，能夠大幅度減少因安全事件引發(fā)的直接財(cái)務(wù)損失，如數(shù)據(jù)泄露、服務(wù)中斷的成本。自動(dòng)化處理和響應(yīng)機(jī)制降低了對(duì)人力的依賴，節(jié)省了人力資源成本。

運(yùn)營(yíng)效率提升：自動(dòng)化防護(hù)和快速響應(yīng)機(jī)制加快了安全事件的處理速度，減少了業(yè)務(wù)中斷時(shí)間，提高了安全事件的處置效率，保證了金融服務(wù)的連續(xù)性和穩(wěn)定性，間接促進(jìn)了銀行收入的穩(wěn)定增長(zhǎng)。

投資回報(bào)率提高：基于大數(shù)據(jù)和智能分析的安全平臺(tái)能夠?qū)崿F(xiàn)對(duì)安全資源的優(yōu)化配置，提高了資源利用效率，雖然初期可能需要投入較大的技術(shù)投入，但長(zhǎng)期看，智能安全體系能夠通過預(yù)防性措施減少未來(lái)安全支出，提升整體IT投資回報(bào)率。

2.管理效益

通過網(wǎng)絡(luò)安全智能風(fēng)險(xiǎn)處置平臺(tái)，可以實(shí)現(xiàn)對(duì)我行安全要素的集中管理，包括安全設(shè)備、信息資產(chǎn)、脆弱性等，一定程度上消除安全能力孤島。

總體而言，方案可實(shí)現(xiàn)以下效果：

一是對(duì)行內(nèi)現(xiàn)有安全手段進(jìn)行梳理整合，全面聯(lián)動(dòng)識(shí)別、防護(hù)、檢測(cè)、響應(yīng)四大安全能力，提升我行網(wǎng)絡(luò)安全自主可控水平；

二是通過將傳統(tǒng)人工參與的標(biāo)準(zhǔn)環(huán)節(jié)機(jī)械化、自動(dòng)化，實(shí)現(xiàn)安全事件的自動(dòng)化/半自動(dòng)化處置，在保障安全事件分析處置快速及時(shí)完成的基礎(chǔ)上，降低響應(yīng)時(shí)間和對(duì)應(yīng)人力成本，大幅提高安全運(yùn)營(yíng)效率；

三是在重要保障時(shí)期，可為我行運(yùn)營(yíng)團(tuán)隊(duì)及外部臨時(shí)支撐安全專家提供集中管理協(xié)調(diào)運(yùn)營(yíng)的平臺(tái)，為保障團(tuán)隊(duì)分配各自任務(wù)權(quán)限，落實(shí)各自職責(zé)，有效提升協(xié)同合作的效率和準(zhǔn)確性，減少因溝通誤差帶來(lái)的安全風(fēng)險(xiǎn)。

七、經(jīng)驗(yàn)總結(jié)

結(jié)合青島農(nóng)商銀行網(wǎng)絡(luò)安全運(yùn)營(yíng)的現(xiàn)狀進(jìn)行需求分析，最終完成了網(wǎng)絡(luò)安全智能風(fēng)險(xiǎn)處置平臺(tái)研究與應(yīng)用，借助網(wǎng)絡(luò)安全編排自動(dòng)化與響應(yīng)技術(shù)，對(duì)我行網(wǎng)絡(luò)環(huán)境內(nèi)的安全能力進(jìn)行梳理，對(duì)安全設(shè)備進(jìn)行集中管控，并通過標(biāo)準(zhǔn)化能力形成統(tǒng)一的能力接口，實(shí)現(xiàn)安全能力快速調(diào)用聯(lián)動(dòng)，通過自動(dòng)化編排整合人員、流程和技術(shù)，縮短響應(yīng)時(shí)間，快速形成安全閉環(huán)，通過自動(dòng)化編排也能將大量安全運(yùn)維人員經(jīng)驗(yàn)固化，釋放安全運(yùn)維人員負(fù)擔(dān)。通過深入研究和實(shí)踐，為企業(yè)在數(shù)字化轉(zhuǎn)型的道路上提供有力的技術(shù)支持和解決方案，推動(dòng)企業(yè)實(shí)現(xiàn)更加高效、智能的網(wǎng)絡(luò)安全運(yùn)營(yíng)模式，為企業(yè)的可持續(xù)發(fā)展注入新的活力。

通過本項(xiàng)目，項(xiàng)目組證明了安全編排、自動(dòng)化與響應(yīng)（SOAR）平臺(tái)通過集成安全信息和事件管理（SIEM）、威脅情報(bào)平臺(tái)（TIP）等多種安全工具，以及預(yù)設(shè)的安全劇本（Playbook），可以在構(gòu)建銀行統(tǒng)一、智能的安全運(yùn)營(yíng)中心方面發(fā)揮核心作用。通過自動(dòng)化、規(guī)范化的安全事件響應(yīng)流程，實(shí)現(xiàn)了對(duì)告警的快速篩選、分類和初步處置，極大提升了安全運(yùn)營(yíng)效率。集成各個(gè)安全系統(tǒng)的告警和數(shù)據(jù)，實(shí)現(xiàn)安全事件的集中管理和閉環(huán)處理，減少了安全團(tuán)隊(duì)的管理負(fù)擔(dān)和誤操作風(fēng)險(xiǎn)。標(biāo)準(zhǔn)化的響應(yīng)動(dòng)作為安全人員提供了清晰的處置指引，增強(qiáng)了團(tuán)隊(duì)協(xié)同作戰(zhàn)能力。

青島農(nóng)商銀行在結(jié)合自身業(yè)務(wù)特點(diǎn)和安全需求，充分評(píng)估行業(yè)最佳實(shí)踐的基礎(chǔ)上，創(chuàng)新性地實(shí)現(xiàn)了網(wǎng)絡(luò)安全智能風(fēng)險(xiǎn)處置平臺(tái)的研究與實(shí)踐，成功完成了新一代智能安全運(yùn)營(yíng)體系的升級(jí)。這一平臺(tái)深度整合了內(nèi)外部安全數(shù)據(jù)與資源，極大地提升了威脅響應(yīng)速度與處置精準(zhǔn)度，有效降低了安全風(fēng)險(xiǎn)，從而在金融行業(yè)內(nèi)部樹立了智能化安全運(yùn)營(yíng)的新標(biāo)桿。

面向未來(lái)，青島農(nóng)商銀行將深入調(diào)研、廣泛分析，進(jìn)一步拓展基于網(wǎng)絡(luò)安全智能風(fēng)險(xiǎn)處置平臺(tái)可以實(shí)現(xiàn)的更多高級(jí)應(yīng)用場(chǎng)景，如自動(dòng)化威脅狩獵、安全合規(guī)性自動(dòng)審計(jì)等。致力于構(gòu)建更加智能、靈活的安全自動(dòng)化架構(gòu)，支持云端、本地及混合環(huán)境的安全能力無(wú)縫集成，實(shí)現(xiàn)安全策略的統(tǒng)一管理與實(shí)時(shí)生效。同時(shí)，通過引入人工智能（AI）和機(jī)器學(xué)習(xí)（ML）等先進(jìn)技術(shù)，優(yōu)化安全事件的研判與決策能力，實(shí)現(xiàn)對(duì)未知威脅和復(fù)雜攻擊的智能識(shí)別與自動(dòng)化應(yīng)對(duì)，確保安全運(yùn)營(yíng)體系的高效性與前瞻性。進(jìn)一步探索跨部門、跨機(jī)構(gòu)的協(xié)同安全聯(lián)防聯(lián)控能力，利用零信任、 deception技術(shù)（欺騙防御）等理念，實(shí)現(xiàn)安全防御從被動(dòng)響應(yīng)向主動(dòng)預(yù)警、縱深防御的深度融合，為安全事件應(yīng)急響應(yīng)、攻防演練、紅藍(lán)對(duì)抗等場(chǎng)景提供更加精準(zhǔn)、高效的平臺(tái)支撐，為青島農(nóng)商銀行的業(yè)務(wù)創(chuàng)新與數(shù)字化轉(zhuǎn)型升級(jí)保駕護(hù)航。

更多金融科技案例和金融數(shù)據(jù)智能優(yōu)秀解決方案，請(qǐng)?jiān)跀?shù)字金融創(chuàng)新知識(shí)服務(wù)平臺(tái)-金科創(chuàng)新社案例庫(kù)、選型庫(kù)查看。