厦门银行主机安全运营体系建设实践

随着商业银行业务的发展，主机规模持续增长，给安全团队运营工作带来极大挑战，传统的运营手段已经无法适应业务规模的快速发展，主要体现在主机资产数量多、类型复杂，安全团队难以对全量资产进行及时有效的梳理、管理；对主机的安全能力要求不同，且主机安全能力不连续；缺乏有效的统筹安全运营，导致权限分散、安全运营困难。

厦门银行通过建设主机安全运营体系、实施主机安全运营标准、引入主机安全运营指标、围绕主机安全运营指标体系设计运营流程等一系列运营工作，助力厦门银行数字化转型，推动数字经济稳健发展。

厦门银行主机安全运营工作主要面临以下四方面的挑战。

由于前期对数据中心主机资产的动态梳理缺乏有效手段，厦门银行对主机应用构成缺乏全面清晰的了解；对主机暴露面缺乏有效评估，部分主机资产的漏洞可能未及时得到修复，所以主机存在被入侵和渗透的风险。

随着业务的发展，厦门银行各类主机资产不断增加，资产的增加导致其脆弱性提升、风险暴露面增加，出现服务器弱密码、可执行漏洞、不安全系统配置等高危风险，安全团队运营工作在优先级评价、漏洞缓解、复查验证等环节面临巨大压力。

安全团队主机安全事件处置能力有待提升，例如，无法有效分析主机层面入侵告警事件、无法有效还原攻击链路及内网溯源等。同时，各团队之间应急协作机制不够完备，事件调查周期长、响应处置效率低等问题突出。

在进行主机安全运营体系建设实践前期，无法直观清晰地展示安全建设与安全运营的成果。原始的主机层数据专业性强、异构问题突出，信息系统之间的数据流动存在瓶颈问题，导致安全体系化运营价值难以体现。同时，各类安全产品未能高效联动，导致安全能力未能有效发挥。

为应对主机安全面临的一系列挑战，厦门银行积极参考同业安全优秀实践，以“业安融合”理念为基础构筑主机安全运营能力，打造了厦门银行主机安全运营体系（如图1所示），实现了安全管理标准化、安全赋能常态化、安全运营自动化、安全服务流程化。厦门银行主机安全运营体系建设思路如下。

图1 厦门银行主机安全运营体系逻辑架构

当前，厦门银行主机安全平台已覆盖总行、分行的生产办公、开发测试等环境的主机，通过系统镜像模板安装、定期差量对比推送等方式确保各类主机全覆盖部署。

在数据采集上，主机安全平台采用轻量化Agent，Agent探针可自动适配各类信创操作系统及非信创操作系统环境，运行稳定、消耗低，能够持续收集主机进程、端口、账号、应用配置等信息，并实时监控主机进程、网络连接等行为。

在数据处理上，主机安全平台采用业内主流大数据技术ETL(Extract-Transform-Load)，ETL主要用于构建数据管道Data Pipeline。ETL采用“Kafka+Flink+logstash+MongoDB+ES”的技术架构，承载的功能主要包括数据源接入、数据校验与清洗过滤、数据的映射与转换、数据分流与合流、数据聚合计算以及最终的数据持久化存储。

除此之外，主机安全平台还具备主机资产数据每日清点、安全风险扫描检测、威胁行为实时监测等主机安全能力，覆盖安全建设“最后一公里”。

通过调研，安全团队设计了三级运营指标，覆盖了资产运营、风险运营、威胁运营、主机基线运营四大运营领域。然后，围绕三级运营指标体系梳理了安全监测流程、风险管理流程、策略配置流程、资产管理流程、基线管理流程五大工作流程，以确保安全运营效果可量化、安全管理可落地、日常运营工作可持续。

安全团队将主机资产指纹与行内现有CMDB和资产与漏洞管理平台进行API对接，完善行内资产台账，有效实现了资产及业务对象风险的自动化梳理；按照不同的主机运营场景，通过自动化响应编排技术将设备动作和人员操作固定为标准流程，使运营工作常态化、运营结果可控、运营知识持续沉淀，以减少现有行内安全人员日常重复工作量；通过标准Syslog接口将主机告警数据发往大数据态势感知平台，提升主机威胁情报收集、管理能力，并在出现威胁告警时联动现有安全产品，形成联防联控体系。

主机安全平台是整个行内主机安全运营工作的中枢，可集中展示各类安全运营指标、展现各项运营工作成果，为安全管理工作提供决策建议；同时，依托外部专家赋能，通过“专家+工具+流程”等方式，提高安全团队运营工作的质量及运营能力。

厦门银行通过构建主机安全运营体系，明确了安全运营工作思路，厘定了管理制度，梳理了运营流程，明确了部门协作方式，完成了安全赋能工作。在具体实践中，厦门银行主要开展了五大关键运营工作，保障了主机安全运营体系的有效落地。

厦门银行主机安全运营指标包含4项一级指标（运营项）、10项二级指标、35项三级指标（如图2所示）。通过三级指标设置可对整体运营工作进行评分，并直观展示每一阶段安全运营工作的成果，并为运营工作提供改进方向。

图2 厦门银行主机安全运营指标

安全团队通过专业的主机资产测绘工具、结合人工梳理的方式对数据中心资产进行全面梳理，充分识别和掌握核心、重要资产组件和服务级别的指纹信息，并持续监控主机资产的变更情况。资产运营流程如图3所示。

图3 资产运营流程

安全团队使用主机脆弱性扫描工具对数据中心的资产进行系统和应用层漏洞的全量扫描和基线核查，对发现的漏洞和不合规项进行自动验证，建立脆弱性跟踪管理流程，并持续提供修复指导，直至形成整改闭环（如图4所示）。

图4 主机动态脆弱性排查

主机基线核查可重点检查多余服务、多余账号、口令策略、访问范围与权限，禁止存在默认口令和弱口令等配置情况，并对业务系统风险进行及时评估。基础环境评估包括网络安全、数据库安全、主机安全、中间件安全、应用安全、安全管理等评估。

安全团队通过对主机安全行为日志进行全面采集，结合安全特征、威胁情报、行为模型学习等，持续对主机异常操作行为、Web攻击、漏洞利用及病毒攻击等进行实时监测，并向安全运营服务平台回传相关告警日志，自动触发威胁响应处置流程（如图5所示）。

图5  主机实时告警监测与处置

主机安全运营体系已在厦门银行落地了近一年时间，实现了行内多个主机资产数据字段的整合，对全行主机、应用及站点、应用账号等十几类主机安全资产进行全局采集，建立了对单一应用系统的安全运营指标评分以及自动风险预警机制。

在运营支撑层面，厦门银行实现日均万条原始告警数据的自动清洗、聚合、建模匹配以及资产关联，噪声过滤收敛达到90%；同时，依托专业的安全服务人员赋能，建立了一系列的行为告警模型、自定义高危风险场景、加白优化规则，提高了主机安全的精准检测能力。此外，通过自动化编排技术，厦门银行针对多个安全场景建立了编排剧本，重点提高主机安全事件的自动化处置能力，在当前安全运营人力不足的情况下将MTTD、MTTR指标降低至小时级，实现了运营工作的降本增效。

在日常安全运营管理层面，安全团队通过运营指标、运营流程以及运营工具，消除了不同团队间的安全信息差，有效提高了安全运营能力，推动了安全运营的数据化、智能化和规范化，降低了安全运营工作落地成本，探索出一条厦门银行数字化安全运营的特色之路。

未来，厦门银行将围绕主机安全运营体系，持续构建高级APT威胁检测能力，提升安全实战化能力，进一步加强运营流程自动化。同时，为适应行内IT基础架构不断变化以及云化业务转型，厦门银行将构建主机安全运营体系的云原生安全运营能力，从而为数字化转型保驾护航。