某银行主机安全运营体系建设实践

随着商业银行业务的发展,主机规模持续增长,给安全团队运营工作带来极大挑战,传统的运营手段已经无法适应业务规模的快速发展,主要体现在主机资产数量多、类型复杂,安全团队难以对全量资产进行及时有效的梳理、管理;对主机的安全能力要求不同,且主机安全能力不连续;缺乏有效的统筹安全运营,导致权限分散、安全运营困难。

某银行通过建设主机安全运营体系、实施主机安全运营标准、引入主机安全运营指标、围绕主机安全运营指标体系设计运营流程等一系列运营工作,助力某银行数字化转型,推动数字经济稳健发展。

一、某银行主机安全运营工作面临的挑战

某银行主机安全运营工作主要面临以下四方面的挑战。

1.主机资产难梳理、暴露面不明

由于前期对数据中心主机资产的动态梳理缺乏有效手段,某银行对主机应用构成缺乏全面清晰的了解;对主机暴露面缺乏有效评估,部分主机资产的漏洞可能未及时得到修复,所以主机存在被入侵和渗透的风险。

2.主机风险难以动态评估及形成闭环

随着业务的发展,某银行各类主机资产不断增加,资产的增加导致其脆弱性提升、风险暴露面增加,出现服务器弱密码、可执行漏洞、不安全系统配置等高危风险,安全团队运营工作在优先级评价、漏洞缓解、复查验证等环节面临巨大压力。

3.主机安全事件复杂、难处置

安全团队主机安全事件处置能力有待提升,例如,无法有效分析主机层面入侵告警事件、无法有效还原攻击链路及内网溯源等。同时,各团队之间应急协作机制不够完备,事件调查周期长、响应处置效率低等问题突出。

4.主机安全运营效果不明显

在进行主机安全运营体系建设实践前期,无法直观清晰地展示安全建设与安全运营的成果。原始的主机层数据专业性强、异构问题突出,信息系统之间的数据流动存在瓶颈问题,导致安全体系化运营价值难以体现。同时,各类安全产品未能高效联动,导致安全能力未能有效发挥。

二、某银行主机安全运营体系建设思路

为应对主机安全面临的一系列挑战,某银行积极参考同业安全优秀实践,以“业安融合”理念为基础构筑主机安全运营能力,打造了某银行主机安全运营体系(如图1所示),实现了安全管理标准化、安全赋能常态化、安全运营自动化、安全服务流程化。某银行主机安全运营体系建设思路如下。

图片

图1 某银行主机安全运营体系逻辑架构

1.部署主机安全平台,打通安全能力和数据通道

当前,某银行主机安全平台已覆盖总行、分行的生产办公、开发测试等环境的主机,通过系统镜像模板安装、定期差量对比推送等方式确保各类主机全覆盖部署。

在数据采集上,主机安全平台采用轻量化Agent,Agent探针可自动适配各类信创操作系统及非信创操作系统环境,运行稳定、消耗低,能够持续收集主机进程、端口、账号、应用配置等信息,并实时监控主机进程、网络连接等行为。

在数据处理上,主机安全平台采用业内主流大数据技术ETL(Extract-Transform-Load),ETL主要用于构建数据管道Data Pipeline。ETL采用“Kafka+Flink+logstash+MongoDB+ES”的技术架构,承载的功能主要包括数据源接入、数据校验与清洗过滤、数据的映射与转换、数据分流与合流、数据聚合计算以及最终的数据持久化存储。

除此之外,主机安全平台还具备主机资产数据每日清点、安全风险扫描检测、威胁行为实时监测等主机安全能力,覆盖安全建设“最后一公里”。

2.指标和流程并举,全面推进主机资产风险盘点和治理工作

通过调研,安全团队设计了三级运营指标,覆盖了资产运营、风险运营、威胁运营、主机基线运营四大运营领域。然后,围绕三级运营指标体系梳理了安全监测流程、风险管理流程、策略配置流程、资产管理流程、基线管理流程五大工作流程,以确保安全运营效果可量化、安全管理可落地、日常运营工作可持续。

3.对接内部其他安全信息系统,将主机安全运营常态化

安全团队将主机资产指纹与行内现有CMDB和资产与漏洞管理平台进行API对接,完善行内资产台账,有效实现了资产及业务对象风险的自动化梳理;按照不同的主机运营场景,通过自动化响应编排技术将设备动作和人员操作固定为标准流程,使运营工作常态化、运营结果可控、运营知识持续沉淀,以减少现有行内安全人员日常重复工作量;通过标准Syslog接口将主机告警数据发往大数据态势感知平台,提升主机威胁情报收集、管理能力,并在出现威胁告警时联动现有安全产品,形成联防联控体系。

4.通过安全运营工具及外部专家赋能,提高安全运营质量

主机安全平台是整个行内主机安全运营工作的中枢,可集中展示各类安全运营指标、展现各项运营工作成果,为安全管理工作提供决策建议;同时,依托外部专家赋能,通过“专家+工具+流程”等方式,提高安全团队运营工作的质量及运营能力。

三、某银行主机安全关键运营工作经验分享

某银行通过构建主机安全运营体系,明确了安全运营工作思路,厘定了管理制度,梳理了运营流程,明确了部门协作方式,完成了安全赋能工作。在具体实践中,某银行主要开展了五大关键运营工作,保障了主机安全运营体系的有效落地。

1.设计运营指标,实现运营工作可量化

某银行主机安全运营指标包含4项一级指标(运营项)、10项二级指标、35项三级指标(如图2所示)。通过三级指标设置可对整体运营工作进行评分,并直观展示每一阶段安全运营工作的成果,并为运营工作提供改进方向。

图片

图2 某银行主机安全运营指标

2.核查主机资产,做到心中有数

安全团队通过专业的主机资产测绘工具、结合人工梳理的方式对数据中心资产进行全面梳理,充分识别和掌握核心、重要资产组件和服务级别的指纹信息,并持续监控主机资产的变更情况。资产运营流程如图3所示。

图片

图3 资产运营流程

3.进行主机动态脆弱性排查,做好查漏补缺

安全团队使用主机脆弱性扫描工具对数据中心的资产进行系统和应用层漏洞的全量扫描和基线核查,对发现的漏洞和不合规项进行自动验证,建立脆弱性跟踪管理流程,并持续提供修复指导,直至形成整改闭环(如图4所示)。

图片

图4 主机动态脆弱性排查

4.定期进行基线核查,做好环境评估

主机基线核查可重点检查多余服务、多余账号、口令策略、访问范围与权限,禁止存在默认口令和弱口令等配置情况,并对业务系统风险进行及时评估。基础环境评估包括网络安全、数据库安全、主机安全、中间件安全、应用安全、安全管理等评估。

5.进行全面实时告警监测,实现事件快速处置

安全团队通过对主机安全行为日志进行全面采集,结合安全特征、威胁情报、行为模型学习等,持续对主机异常操作行为、Web攻击、漏洞利用及病毒攻击等进行实时监测,并向安全运营服务平台回传相关告警日志,自动触发威胁响应处置流程(如图5所示)。

图片

图5  主机实时告警监测与处置

四、某银行主机安全运营体系建设成效与未来展望

主机安全运营体系已在某银行落地了近一年时间,实现了行内多个主机资产数据字段的整合,对全行主机、应用及站点、应用账号等十几类主机安全资产进行全局采集,建立了对单一应用系统的安全运营指标评分以及自动风险预警机制。

在运营支撑层面,某银行实现日均万条原始告警数据的自动清洗、聚合、建模匹配以及资产关联,噪声过滤收敛达到90%;同时,依托专业的安全服务人员赋能,建立了一系列的行为告警模型、自定义高危风险场景、加白优化规则,提高了主机安全的精准检测能力。此外,通过自动化编排技术,某银行针对多个安全场景建立了编排剧本,重点提高主机安全事件的自动化处置能力,在当前安全运营人力不足的情况下将MTTD、MTTR指标降低至小时级,实现了运营工作的降本增效。

在日常安全运营管理层面,安全团队通过运营指标、运营流程以及运营工具,消除了不同团队间的安全信息差,有效提高了安全运营能力,推动了安全运营的数据化、智能化和规范化,降低了安全运营工作落地成本,探索出一条银行数字化安全运营的特色之路。

未来,银行将围绕主机安全运营体系,持续构建高级APT威胁检测能力,提升安全实战化能力,进一步加强运营流程自动化。同时,为适应行内IT基础架构不断变化以及云化业务转型,银行将构建主机安全运营体系的云原生安全运营能力,从而为数字化转型保驾护航。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/328943.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

微软推出新的 Copilot Pro 计划

每周跟踪AI热点新闻动向和震撼发展 想要探索生成式人工智能的前沿进展吗?订阅我们的简报,深入解析最新的技术突破、实际应用案例和未来的趋势。与全球数同行一同,从行业内部的深度分析和实用指南中受益。不要错过这个机会,成为AI领…

20240116-【UNITY 学习】增加滑动功能

替换脚本PlayerMovement_02.cs using System.Collections; using System.Collections.Generic; using UnityEngine;public class PlayerMovement_03 : MonoBehaviour {private float moveSpeed; // 玩家移动速度public float walkSpeed 7; // 行走速度public float sprintSpee…

第二讲_HarmonyOS应用创建和运行

HarmonyOS应用创建和运行 1. 创建一个HarmonyOS应用2. 运行新项目2.1 创建本地模拟器2.2 启动本地模拟器2.3 在本地模拟器运行项目 1. 创建一个HarmonyOS应用 打开DevEco Studio,在欢迎页单击Create Project,创建一个新工程。 选择创建Application应用。…

Vue 富文本实现内容项目倒序

应用场景: 比如写计划和待办事项,内容少还好,内容多了最新的内容就放在下面了,每次打开要滚动到最后才能看到,这时可以使用倒序把最新的排在最前面。 倒序前: 倒序后: 倒序代码: …

力扣hot100 二叉树中的最大路径和 递归

Problem: 124. 二叉树中的最大路径和 文章目录 解题方法复杂度💖 Code 解题方法 👨‍🏫 参考思路 复杂度 时间复杂度: O ( n ) O(n) O(n) 空间复杂度: O ( n ) O(n) O(n) 💖 Code /*** Definition for a binary tree no…

Vue-16、Vue列表渲染(v-for的使用)

1、vue遍历数组 <!DOCTYPE html> <html lang"en"> <head><meta charset"UTF-8"><title>列表渲染</title><script type"text/javascript" src"https://cdn.jsdelivr.net/npm/vue2/dist/vue.js"…

手写OpenFeign(简易版)

Remoting组件实现 1. 前言2. 原理说明3. 远程调用组件实现---自定义注解3.1 添加Spring依赖3.2 编写EnableRemoting注解3.3 编写RemoteClient注解3.4 编写GetMapping注解 4. 远程调用组件实现---生成代理类4.1 编写自定义BeanDefinition注册器4.2 编写自定义包扫描器4.3 编写Fa…

web开发学习笔记(2.js)

1.引入 2.js的两种引入方式 3.输出语句 4.全等运算符 5.定义函数 6.数组 7.数组属性 8.字符串对象的对应方法 9.自定义对象 10.json对象 11.bom属性 12.window属性 13.定时刷新时间 14.跳转网址 15.DOM文档对象模型 16.获取DOM对象&#xff0c;根据DOM对象来操作网页 如下图…

【软件测试】学习笔记-统一测试数据平台

这篇文章主要探讨全球大型电商企业中关于准备测试数据的最佳实践&#xff0c;从全球大型电商企业早期的测试数据准备实践谈起&#xff0c;分析这些测试数据准备方法在落地时遇到的问题&#xff0c;以及如何在实践中解决这些问题。其实&#xff0c;这种分析问题、解决问题的思路…

yum仓库以及NFS共享

yum实现过程 1.光驱里自带yum 2.网络下载到本地 3.直接通过网络 如何实现安装服务 yum客户端找到yum服务端&#xff0c;找到yum的仓库位置&#xff0c;下载元信息&#xff0c;因为里面有软件的位置&#xff0c;因此可以找到软件包的位置&#xff0c;然后下载到本地 仓库的类…

UI设计中插画赏析和产品色彩分析

插画赏析&#xff1a; 1. 插画是设计的原创性和艺术性的基础 无论是印刷品、品牌设计还是UI界面&#xff0c;更加风格化的插画能够将不同的风格和创意加入其中&#xff0c;在激烈的竞争中更容易因此脱颖而出。留下用户才有转化。 2. 插画是视觉触发器&#xff0c;瞬间传达大量…

OpenHarmony ArkUI ETS- 装饰器解读

前言 最近利用空闲时间在学习华为方舟开发框架&#xff08;简称&#xff1a;ArkUI&#xff09;的ets开发&#xff0c;发现在ets语言中装饰器的有着非常重要的作用&#xff0c;在写每一个自定义组件时都需要用到它&#xff0c;看到装饰器这个字眼&#xff0c;想起之前学过的设计…

模板方法模式介绍

目录 一、模板方法模式介绍 1.1 模板方法模式的定义 1.2 模板方法模式的原理 1.2.1 模板方法模式类图 1.2.2 类图角色说明 1.2.3 示例代码 二、模板方法模式的应用 2.1 需求说明 2.2 需求实现 2.2.1 账户抽象类 2.2.2 借款一个月 2.2.3 借款7天 2.2.4 测试类 三、…

kibana查看和展示es数据

本文来说下使用kibana查看和展示es数据 文章目录 数据准备查询所有文档示例kibana查看和展示es数据 数据准备 可以使用es的命令或者java程序来往&#xff0c;es进行新增数据 查询所有文档示例 在 apifox 中&#xff0c;向 ES 服务器发 GET请求 &#xff1a;http://localhost:92…

Unity之触发器

目录 &#x1f4d5;一、触发器概念 &#x1f4d5;二、碰撞与触发的区别 &#x1f4d5;三、触发器小实例 一、触发器概念 第一次玩侠盗猎车手是在小学&#xff0c;从那以后就开启了我的五星好市民之路。 下面是小编在小破站截的图&#xff0c;这是罪恶都市最开始的地方&a…

AI工具(20240116):Copilot Pro,Fitten Code等

Copilot Pro Copilot Pro是微软推出的Copilot的付费增强版本,通过提供优先访问GPT-4等最新AI模型,大大提升用户的创造力和工作效率。该服务可与Microsoft 365订阅捆绑使用,支持在Word、Excel等Office应用内直接使用Copilot功能,帮助用户更快速地起草文档、电子邮件和演示文稿等…

Kafka-消费者-KafkaConsumer分析-ConsumerCoordinator

在前面介绍了Kafka中Rebalance操作的相关方案和原理。 在KafkaConsumer中通过ConsumerCoordinator组件实现与服务端的GroupCoordinator的交互&#xff0c;ConsumerCoordinator继承了AbstractCoordinator抽象类。 下面我们先来介绍AbstractCoordinator的核心字段&#xff0c;如…

Linux下安装jdk、tomcat

linux下安装jdk、tomcat 一、linux下安装jdk1.1.下载Linux版本的JDK1.2.Linux安装JDk1.3.设置环境变量1.4.卸载JDK 二、linux下安装tomcat2.1.下载Linux版本的Tomcat2.2.在usr目录下新建tomcat目录2.3.进入到tomcat目录中解压下载的tomcat安装包2.4.配置环境变量-前提是已经安装…

HTML--CSS--盒子模型

在CSS模型中&#xff0c;所有元素都可以看做是一个盒子&#xff0c;这个盒子的组成部分&#xff1a; content 内容&#xff0c;文本或者图片 padding 内边距&#xff0c;定义内容到边框的距离 margin 外边距&#xff0c;定义当前元素与其他元素之间的距离 border 边框&#xff…

RK3566RK3568安卓11隐藏状态栏带接口

文章目录 前言一、创建全局变量二、设置应用添加隐藏导航栏按钮三、添加按钮功能四、动态隐藏还有显示功能五、创建系统导航栏广播接口总结 前言 关于Android系统的状态栏&#xff0c;不同的客户有不同的需求: 有些客户需要永久隐藏状态栏&#xff0c;有些客户需要在设置显示中…