本方案是大数据技术和人工智能在金融信息安全领域应用的最佳实践，主要是解决如何在中国光大银行这样一个全国性股份制商业银行的大体量下开展高效的信息安全治理和运营、实战攻防和防御的问题，建设过程中深度运用大数据和AI技术开展信息安全关键基础设施的建设，最终助力全行实现信息安全治理的智能化、数字化和高效运营。

安全智慧大脑平台以实现安全智能化、自动化、实战化、场景化、数字化为目标，着重打造以安全大脑、安全情报库、安全资产库、安全能力库为代表的“三库一中心”安全基础设施，充分发挥大数据和AI技术的优势，构建起智能化和自动化程度较高的安全运营指挥中心，开展网络攻防、日常运营、安全治理支持、风险暴露面监控和策略有效性验证、事件处置和风险压降等各类安全场景的常态化运营，实现告预警的精准化和实时化、安全分析和态势研判的智能化、事件响应验证和运营操作的自动化、安全常态检查的自动化、全行一盘棋的指挥协同化，通过高效的流程运转和安全技术核心能力，最终建成全行一体的安全自适应防御网络和智能化运营体系，全面提高全行安全风险感知和防御水平。

方案背景

金融是现代经济核心，是国家经济命脉，在当前国际环境多变和国内经济转型的关键时期，维护我国金融安全的重要性愈加彰显。近年来，随着新兴技术在金融行业的广泛和快速应用，金融机构数字化转型不断加快，IT架构愈加复杂，网络边界逐渐模糊，面临的威胁和挑战也持续升级，黑客攻击逐渐向专业化和商业化转变，0Day、APT等新型攻击手段层出不穷，传统的单点防御策略逐渐失效，亟需构建主动、全面、动态的态势感知和防御体系。态势感知系统应运而生，一方面随着大数据、人工智能等技术的逐渐成熟，使得网络安全态势全面感知、及时响应和风险预测在技术上成为可能，另一方面得到国家强有力的政策支持，网络安全提升至国家战略层面，习近平总书记指示要构建“全天候全方位感知网络安全态势”，国务院在《“十四五”数字经济发展规划》中指出强化检测预警和应急处置，增强网络安全防护能力，加强网络安全基础设施建设。在具体实践中，不同产品、系统之间缺少良好的统一联合防控能力，导致信息安全的监控、预警、分析、应急处置、运营改进等工作无法标准化和协作化。

为此，我行积极开展安全智慧大脑平台项目建设，在组织层面和技术措施层面积极做出适当的改变，建立和不断完善信息安全的运营工作机制，提升我行信息安全保障基础能力，解决全行信息安全运营在监测、管控预防、风险应对等方面的“竖井”现象，全面感知和防范风险，截止目前取得阶段性的成果，并在银行同业中取得一定的领先地位。

方案目标

在对我行安全运营现状深入分析的基础上，本方案目标在于构建新一代金融业智能安全大脑和运营平台，以安全数据湖为底座，打造以“三库一中心”为核心的安全分析与响应基础设施，联动企业其他安全技术平台，深度应用大数据和人工智能技术，打造更加智能化、自动化、实战化、场景化、数字化的智能安全运营平台，推动全行安全威胁感知整体能力提升。其以“围绕安全事件，提升发现能力（监、检、测）和处置能力”为重点，依托全网的信息采集、信息分析等基础能力建设，以智能预警为基础，在既有信息安全防护体系基础上，结合新型网络安全技术，底层运用大数据技术夯实底层数据基石，中层利用人工智能提升核心安全分析能力，上层应用可视化技术直观展示数字化安全态势感知。自下而上全面构建持续性安全监测、分析、预警、响应的网络安全态势感知体系，真正实现安全威胁的主动感知和联防联控，推动全行安全威胁感知整体能力升级。

方案特点

方案亮点如下：

1、技术的先进性。平台通过持续功能建设和技术升级，始终保持技术领先性，具备行业领先的大数据实时计算能力和安全分析能力，平台目前拥有PB级数据的安全实时计算能力和200万TPS的数据处理能力，行业排名前列。在建设过程中创新地运用湖仓一体、分布式数据库、分布式数据采集总线、安全数据图谱等新技术和新理念，实现全行安全数据的全覆盖和高效的数据质量管理，日均采集量超过十亿条，累计存储数据量超过2PB，数据分层设计形成7个安全主题域，全方位支撑安全治理对数据的建设需求。

2、实战化效果显著。平台自2019年投入使用后，先后经历过国家级网络安全攻防演习、全行数千人参与的实战化演练，及全行百余名安全岗位人员的日常运营，每年发现并处置安全威胁数千起，成功抵御大规模DDoS攻击数次，运行各类实战化模型60余个、实时检测规则一万余条，形成各类应急预案和SOP规范百余个，有力地支持全行的业务服务和系统安全运行。

3、全行机构全面覆盖。通过总行及分支机构数据采集，平台实现全行安全状况集中化监控，支持安全人员对各类安全场景和状况的实时监测、关联分析和及时处置。通过建立安全自动化告警中心，实现告警免人工分析和处理，基本覆盖日常运营所需的各类威胁监控场景。平台通过威胁中心、漏洞中心、指标指数中心等实现对安全运营、安全攻防、安全管理等多个安全细分领域工作的平台支持覆盖。平台逐步建设优化、逐步推广，成为总行及分支机构所有信息安全人员日常安全工作平台，极大提高安全人员与总分、运维人员的协同效率。 

4、数字化应用成为行业典范。中国光大银行对平台多年建设积淀的大数据并结合日常安全治理经验进行数字化转化，形成能够实时反映所辖各机构整体安全水平的指数化评价，并在全行安全治理中起到“指挥棒”作用。该体系以全面客观评价信息安全管理工作、强化落地执行能力为导向，从指标选取、数据采集与分析、指标可视化、指标应用的闭环管理阐述商业银行信息安全度量方法，先后获得人民银行金融科技发展奖、中国信通院年度卓越创新案例，以及监管机构和20余家银行同业的现场参观学习和高度评价。

方案业务流程图

一、平台整体设计

平台建设结合我行现状，以安全数据湖为底座，打造以“三库一中心”为核心的安全分析与响应基础设施，联动企业其他安全技术平台，深度应用大数据和人工智能技术，打造更加智能化、自动化、实战化、场景化、数字化的智能安全运营平台。

图1 整体概念图

基于平台开展建模，形成丰富安全场景模型，持续总结业务需求，创新性的开发可自定义的、支持灵活扩展的安全资产模型，以及融合多渠道威胁情报信息并通过标准化接口向下游设备/应用赋能的威胁情报模型。在已有领域取得重大的突破改进，形成基于大数据的安全资产中心、基于大数据且强实战性安全威胁情报中心，对全行安全态势现状做出直观判断，并进一步开展分析预测，实现平台与检测防护节点能力相结合的安全智能动态防御体系。

图2 平台功能架构

二、安全大脑

平台创建安全大脑作为平台的核心中枢，包含智能化分析、自动化响应和AI建模功能,实现在线检测自动化产生告警，支持DDoS攻击、入侵类攻击、漏洞利用等场景的监控和处置,支持模型训练，对长周期历史数据开展分析模型训练和调优,搭建包含“数据标准化采集+数据分层治理+数据关联分析”于一体的安全数据底座，实现安全数据全覆盖和高质量,构建安全数据图谱，全方位满足安全智慧大脑平台无死角建设要求。

图3 安全大脑核心架构

其中AI建模子平台为用户提供自主数据挖掘分析建模的全面平台，集合了大量统计分析功能、灵活配置规则、丰富而全面的数据分析方法，支持人员拖拽既有固化的通用安全场景、业务场景或既有算子。通过融合建模，安全人员根据自身实际业务需求，有针对性的自主定义挖掘分析目标、探索数据、主动地去统计分析、自定义配置符合自身业务需求的规则、挖掘出数据中存在的巨大价值，为用户在场景建模、安全风险管控、业务分析、管理等方面，提供更加直观、更加有效、更加迅速的建模分析能力。

图4 安全建模思路

三、安全资产中心

建设安全资产中心，融合资产管理平台、内部的其它资产采集系统中的资产数据，利用动态表、动态列的底层数据库技术，将异构的各类资产数据进行充分融合，通过构建可灵活扩张的安全资产模型，形成可快速迭代优化的资产管理能力,并绘制安全资产全景图,为日常信息安全运营工作提供及时、准确的资产数据支撑,推动资产风险探查、安全预警排查、告警精细化、资产360度画像、资产动态监控、资产治理等应用场景的落地实现，支持网络攻防双方“挂图作战”，作为全行资产数据配置管理库，为日常信息安全运营工作提供资产数据支撑。

图5 安全资产中心架构

四、威胁情报中心

建设威胁情报中心，实现情报数据的完整生命周期管理，通过融合多渠道威胁情报信息并对数据进行数据标注化处理、影响范围分析、可信度分析，融合为情报库，并通过标准化接口向下游设备/应用输出安全情报能力，能够支撑用于支撑外部威胁的分析和定位，以及与各安全系统联动形成标准应急处置流程，通过“正向应用、反向验证”双向应用赋能机制，真正实现网络威胁的精准降维打击。

图6 实战化安全威胁情报中心架构

五、安全数据底座

建设安全数据湖，夯实数据底座，形成安全大数据、原始流量数据的存储与计算能力，从数据中发掘更多价值。全面推进各类安全数据的整合，在充分分析我行安全数据现状的基础上，基于安全数据湖建设包含“数据标准化采集+数据分层治理+数据关联分析”三大模块于一体的安全数据底座，实现“安全数据全覆盖、安全数据高质量、态势感知无死角”的目标。安全数据湖借助行内已有的底层大数据基础设施，实现多源态势数据集中化，能够提供全方位的信息安全数据加工处理和数据治理能力，作为全行稳定的安全数据采集渠道，支持多源安全数据接入,实现对PB级的数据存储和交互式分析，并通过有效的数据治理，建立支持各类应用场景的安全数据视图，为态势感知、安全治理等应用提供可靠、清晰的数据支持。

图7 安全数据底座架构

六、自动化事件协作子平台

建设自动化事件协作子平台，针对安全事件编写对应的处理剧本，为相同的事件提供统一的处理流程，实现安全事件的自动化响应，同时支持接入多种来源的告警信息，通过分诊、关联规则、响应规则调用剧本场景执行安全能力，实现安全运营的自动化闭环，并辅助协同作战室和事件管理提供更具有实战意义运营支撑服务。提供以自动化编排为核心汇聚和构建不同场景的安全运营能力，通过自动处置流程引擎将自动化能力贯穿到安全分析、安全处置、安全运营体系中，并对执行过程、执行结果进行管理，节省时间、人力、成本，也避免人在处理大量数据的过程中带来的误差或失误。针对未知安全事件能够统一协调相关人员通过各类自动化工具完成安全事件生命周期的统一处理。

图8 自动化事件协作子平台架构

实现功能展示

经过平台建设，最终实现的功能主要包含以下三个方面：

一、支撑安全运营闭环电子化流程

有效实现信息安全事件的闭环管理，基于平台开展安全场景的分析、建模和规则开发工作，进行安全事件的分析、取证和预测，并通过安全事件和安全应急响应的处理机制形成安全事件的整体闭环管理。从而形成信息安全技术运营合力，围绕着平台逐步建设安全技术运营体系，通过持续地实施运营策略、制度、规范、流程、安全事件和安全应急响应的管理，以及安全威胁地主动预测和主动干预，使得我行具备信息安全技术的整体运营能力，并支撑全行信息安全的管理。

二、威胁情报加工、共享及应用

威胁情报库面向行内提供威胁情报查询服务，目前已完成全部商业情报源以及内部自生产情报源的接入，形成聚焦于银行业风险的威胁情报分类库并为下游消费方提供统一API查询，可提供恶意IP、恶意域名、失陷主机、黑手机号的情报批量查询服务，还可通过web页面提供高级威胁情报报告的查询和阅读，通过大数据技术升级迭代，优化redis、引入ClickHouse，从技术能力上保证威胁情报对下游场景的服务性能，实现统一管理和对外服务接口。并进一步推广实现情报在行内的共享和应用，建立“正向应用、反向验证”双向工作机制，其中正向应用包括实现情报与各类安全检测及防护设备打通、支持平台告警关联查询威胁情报、引入威胁情报算子，支持建模过程中威胁情报数据使用，辅助攻击研判，实现精准降维打击；反向验证则包括通过专业的NDay评估，开展行内资产风险排查，提升行内漏洞运营水平。充分发挥威胁情报在实战中的降维打击威力，获取NDay情报的提前预知进行主动防御。

三、安全资产测绘建立台账

平台紧密围绕我行安全资产数据“不全、不清、不准”的痛点，充分论证日益迫切的安全运营需求，开展基于大数据技术的安全资产中心建设，创新性地提出了多源融合理念，建设包含“资产素材+融合策略+资产应用”三大模块的安全资产中心，补齐现有资产数据的短板，解决现有安全资产数据标准不一、结构相异、动态多变、数据量大的难题。安全资产中心采用可支持动态表、动态列的数据库MangoDB，对不同来源、不同结构、不同时效的零散资产数据进行动态融合，并基于融合结果绘制安全资产全图景。借助大数据检索引擎ElasticSearch支撑全行多源安全资产数据的高效检索，实现千万级数据的秒级查询。基于安全运营工作中总结的经验，推动资产风险探查、安全预警排查、告警精细化、资产360度画像、资产动态监控等应用场景的落地实现，通过安全资产管理中心建设，全行千万条安全资产数据实现标准化和统一纳管，并向安全攻防、监控、管理等场景进行持续赋能，为信息安全运营工作提供及时、准确的资产数据支撑。

四、实现安全风险的可视化和可度量

基于不同角色、场景快速灵活定制化可视化大屏及各类监测和分析视图，时刻支持作战过程中可视化呈现需求。利用可视化页面的配置开发能力，开发画布可视化工具，实现灵活可定制的可视化场景开发，帮助可视化开发人员开展大屏自主设计和开发工作。开展信息安全运营指挥中心建设，配备信息安全运营全息视图大屏，完成13个安全态势主题的监控可视化大屏开发，实时监测总分行各系统安全状态，全方位展现全行安全威胁态势和安全运营情况，支持全天候安全威胁监测和运营处置工作开展，实现全行威胁及时预警、瞬时响应的安全运营目标，全力保障业务和系统安全。同时构建数十个基础监控、报表统计、重点监控的可视化，形成安全数据集中把控和一体化监测体系，支持攻防作战过程中指挥决策，强化安全治理能力，提升数字化运营水平。

方案案例及效果

我行建立安全智慧大脑平台面向全行安全人员提供全时在线的服务能力，通过两次技术架构升级突破安全运营能力瓶颈技术，达到业界第一梯队，支撑全行安全运营工作，并取得了以下优秀成绩。

一、技术升级提高平台性能

平台在大数据实时计算以及安全数据采集速度和种类广泛性方面达到行业前列，受到银行业及金融同业机构的广泛认可和借鉴，首先，实时的PB级安全数据计算能力支持有效保障全行对安全威胁的高效监测、精准分析、快速处置，提升业务安全保障能力。其次，通过构建丰富的安全数据图谱支持广泛的安全态势感知及安全治理的应用，提升响应上层应用场景的数据需求响应效率。以安全数据湖和数据底座为基石，我行陆续建设安全监控、安全可视化、安全资产、威胁情报、安全分析等应用场景，并陆续投入安全运营指挥中心进行运营试点，实现挂图作战，威胁情报逐渐推进对下游业务应用场景赋能。最后，创新性的实战安全大脑开启智能化分析和自动化防御的先河，助力全行安全团队实现安全转型，包括安全运营效率的提升和安全人员的角色的转变，从安全监控分析人员转变为安全数据挖掘和建模人员，从安全运营人员转变为安全治理人员。

二、数据赋能业务成果显著

威胁情报库通过结合威胁情报专业机构的优势及光大银行丰富的金融安全应用场景，帮助安全分析人员提升精准快速定位攻击的能力，并对行业性威胁情报分类库的应用建立示范作用。提供统一情报管理和对外服务接口，累计情报数据量达到65亿条，为各类业务场景每日提供数据支持，协助业务有效识别黑灰产攻击并开展防火墙自动化封禁，完成威胁情报的智能化黑客身份认证及自动化防御、基于威胁情报的风险精准分析和感知、基于威胁情报的攻击链还原分析三个关键示范应用。

三、实现全行安全工作降本增效

平台支持开展智能化全行安全运营和安全治理工作，全力打造数字化安全运营体系，通过实战+演练的方式提升运营队伍战斗力，初步达到行业前列的运营水平。一是通过建立安全自动化告警中心，实现告警免人工分析和处理，基本覆盖日常运营所需的各类威胁监控场景；二是安全监控中心实现全行安全状况的集中化实时监控，支持安全人员对各类安全场景和状况的实时和任意角度查看，安全人员与总分、运维人员的协同效率得到极大提高；三是安全治理的指数化评价实现实时，数据自动化测算率达95%，为总行对分行、分行对分行的安全治理和风险问题变化的把控提供有力的技术支持。

平台目前已为全行各级机构的百余名安全人员提供各类安全运营和管理服务，依托平台开展的信息安全事件闭环管理，已成为全行信息安全岗位人员的日常工作平台，并在各类安全保障期间发挥重要作用。

四、联防联控护航业务安全

平台在日常的行业联防联控中正在发挥日益重要的作用。

2020-2021年期间我行通过日常运营监控及溯源反制，发现数起骗贷诈骗银行客户的钓鱼网站及APP事件，通过行业联动平台上报事件，并通过后续的技术追踪以及与公安机关的侦查配合，进一步打击诈骗犯罪团伙，及时保护银行用户的财产安全。

在日常运营中，我行充分运用平台的技术能力，实现行业联防联控数据与我行的自有数据的有效融合，并开展网络攻击自动化封禁/阻断、业务交易威胁识别、智能安全分析等，有力地提升安全运营和实战对抗的效果。

五、获得荣誉

该平台上线后，受到监管机构及同业的广泛关注。荣获了人行“数据贡献奖”，金融电子化“突出贡献奖”，中国金融学会“突出论文奖”，国资委“优秀解决方案奖”，光大银行“科技进步奖”等多项荣誉。

方案未来展望

本项目从2019年开始建设，逐步建设、逐步推广，目前已成为全行各类安全岗位人员的基础工作平台。结合当前国内外安全形势，依据我行安全运营实践经验、成果与不足，下面阐述我行安全智慧大脑平台项目下一步建设内容、应用场景以及未来市场价值。

一、持续优化升级

项目在建设过程中以海量的数据储备、PB级实时计算能力、丰富的分析工具、自动化告警、资产提供的挂图作战等先进技术手段为支撑，提升对威胁的及时感知、精准分析和安全可视化能力，充分实现“防御协同化、分析智能化、响应一体化、流程电子化”的目标。此项目将在以下几方面重点进行优化建设：

（1）计算与存储效率化

    夯实基础，持续优化大数据计算平台的数据处理能力和稳定性。进行组件扩充，基于上层应用要求，按需引入计算组件、存储组件，通过资源扩容和技术升级，提升算力和存储能力，支撑更强大的数据的处理性能、模型并发运算能力，保证稳定的数据服务。

（2）安全数据治理精细化

随着接入数据的种类及数据不断增加，采集范围不断扩大，安全治理工作要履行企业安全配置管理数据库定位，汇聚全网安全数据、统一数据结构、制定安全数据标准，开展持续治理，沉淀数据价值，深入挖掘数据关联关系，着重进行AI计算能力补充，为安全智慧大脑平台注智提供支撑。

（3）安全能力场景丰富化

整合内外部数据分析团队资源，在做好外部威胁识别的同时，开展内部用户实体行为分析、威胁智能决策场景研发，强化自动化告警能力。加强安全场景编排，精准高效的形成自动化分析研判和响应处置能力，驱动的各设备协同工作，提升安全响应效率。

二、实现价值最大化

随着外部政治和经济形势的剧烈变化，银行业的信息安全治理面临着巨大的挑战。建设并形成对新形势下的信息安全需求的有效支持，是银行智慧安全大脑平台下一步的挑战，也是实现价值最大化的有力输入。

在支持银行信息安全治理方面，安全大脑平台将继续开展深度的技术能力建设，充分发挥新兴技术的技术特点，持续提升治理的智能化和数字化，同步建设数字安全管控和保障体系，助力银行成功和安全地实现数字化转型。

在支持银行信息安全保障方面，继续推进全行安全脑端边一体化的建设，提升常态化运营的自动化水平；与业务协同开展业务安全融合的一体化安全保障能力建设，提升业务交易和服务的风险防护成功率和有效率；支持安全重保技术能力建设，实现重保策略全网一键下达，降低重保人员投入和工作复杂度，实现更加智能化的安全重保，助力金融行业安全从业人员圆满完成各项重保任务，为行业安全保障奠定坚实基础，并在国家级攻防演练中发挥重要作用，实现安全智慧大脑平台价值最大化。