某银行主机安全运营体系建设实践

随着商业银行业务的发展,主机规模持续增长,给安全团队运营工作带来极大挑战,传统的运营手段已经无法适应业务规模的快速发展,主要体现在主机资产数量多、类型复杂,安全团队难以对全量资产进行及时有效的梳理、管理;对主机的安全能力要求不同,且主机安全能力不连续;缺乏有效的统筹安全运营,导致权限分散、安全运营困难。

某银行通过建设主机安全运营体系、实施主机安全运营标准、引入主机安全运营指标、围绕主机安全运营指标体系设计运营流程等一系列运营工作,助力某银行数字化转型,推动数字经济稳健发展。

一、某银行主机安全运营工作面临的挑战

某银行主机安全运营工作主要面临以下四方面的挑战。

1.主机资产难梳理、暴露面不明

由于前期对数据中心主机资产的动态梳理缺乏有效手段,某银行对主机应用构成缺乏全面清晰的了解;对主机暴露面缺乏有效评估,部分主机资产的漏洞可能未及时得到修复,所以主机存在被入侵和渗透的风险。

2.主机风险难以动态评估及形成闭环

随着业务的发展,某银行各类主机资产不断增加,资产的增加导致其脆弱性提升、风险暴露面增加,出现服务器弱密码、可执行漏洞、不安全系统配置等高危风险,安全团队运营工作在优先级评价、漏洞缓解、复查验证等环节面临巨大压力。

3.主机安全事件复杂、难处置

安全团队主机安全事件处置能力有待提升,例如,无法有效分析主机层面入侵告警事件、无法有效还原攻击链路及内网溯源等。同时,各团队之间应急协作机制不够完备,事件调查周期长、响应处置效率低等问题突出。

4.主机安全运营效果不明显

在进行主机安全运营体系建设实践前期,无法直观清晰地展示安全建设与安全运营的成果。原始的主机层数据专业性强、异构问题突出,信息系统之间的数据流动存在瓶颈问题,导致安全体系化运营价值难以体现。同时,各类安全产品未能高效联动,导致安全能力未能有效发挥。

二、某银行主机安全运营体系建设思路

为应对主机安全面临的一系列挑战,某银行积极参考同业安全优秀实践,以“业安融合”理念为基础构筑主机安全运营能力,打造了某银行主机安全运营体系(如图1所示),实现了安全管理标准化、安全赋能常态化、安全运营自动化、安全服务流程化。某银行主机安全运营体系建设思路如下。

图片

图1 某银行主机安全运营体系逻辑架构

1.部署主机安全平台,打通安全能力和数据通道

当前,某银行主机安全平台已覆盖总行、分行的生产办公、开发测试等环境的主机,通过系统镜像模板安装、定期差量对比推送等方式确保各类主机全覆盖部署。

在数据采集上,主机安全平台采用轻量化Agent,Agent探针可自动适配各类信创操作系统及非信创操作系统环境,运行稳定、消耗低,能够持续收集主机进程、端口、账号、应用配置等信息,并实时监控主机进程、网络连接等行为。

在数据处理上,主机安全平台采用业内主流大数据技术ETL(Extract-Transform-Load),ETL主要用于构建数据管道Data Pipeline。ETL采用“Kafka+Flink+logstash+MongoDB+ES”的技术架构,承载的功能主要包括数据源接入、数据校验与清洗过滤、数据的映射与转换、数据分流与合流、数据聚合计算以及最终的数据持久化存储。

除此之外,主机安全平台还具备主机资产数据每日清点、安全风险扫描检测、威胁行为实时监测等主机安全能力,覆盖安全建设“最后一公里”。

2.指标和流程并举,全面推进主机资产风险盘点和治理工作

通过调研,安全团队设计了三级运营指标,覆盖了资产运营、风险运营、威胁运营、主机基线运营四大运营领域。然后,围绕三级运营指标体系梳理了安全监测流程、风险管理流程、策略配置流程、资产管理流程、基线管理流程五大工作流程,以确保安全运营效果可量化、安全管理可落地、日常运营工作可持续。

3.对接内部其他安全信息系统,将主机安全运营常态化

安全团队将主机资产指纹与行内现有CMDB和资产与漏洞管理平台进行API对接,完善行内资产台账,有效实现了资产及业务对象风险的自动化梳理;按照不同的主机运营场景,通过自动化响应编排技术将设备动作和人员操作固定为标准流程,使运营工作常态化、运营结果可控、运营知识持续沉淀,以减少现有行内安全人员日常重复工作量;通过标准Syslog接口将主机告警数据发往大数据态势感知平台,提升主机威胁情报收集、管理能力,并在出现威胁告警时联动现有安全产品,形成联防联控体系。

4.通过安全运营工具及外部专家赋能,提高安全运营质量

主机安全平台是整个行内主机安全运营工作的中枢,可集中展示各类安全运营指标、展现各项运营工作成果,为安全管理工作提供决策建议;同时,依托外部专家赋能,通过“专家+工具+流程”等方式,提高安全团队运营工作的质量及运营能力。

三、某银行主机安全关键运营工作经验分享

某银行通过构建主机安全运营体系,明确了安全运营工作思路,厘定了管理制度,梳理了运营流程,明确了部门协作方式,完成了安全赋能工作。在具体实践中,某银行主要开展了五大关键运营工作,保障了主机安全运营体系的有效落地。

1.设计运营指标,实现运营工作可量化

某银行主机安全运营指标包含4项一级指标(运营项)、10项二级指标、35项三级指标(如图2所示)。通过三级指标设置可对整体运营工作进行评分,并直观展示每一阶段安全运营工作的成果,并为运营工作提供改进方向。

图片

图2 某银行主机安全运营指标

2.核查主机资产,做到心中有数

安全团队通过专业的主机资产测绘工具、结合人工梳理的方式对数据中心资产进行全面梳理,充分识别和掌握核心、重要资产组件和服务级别的指纹信息,并持续监控主机资产的变更情况。资产运营流程如图3所示。

图片

图3 资产运营流程

3.进行主机动态脆弱性排查,做好查漏补缺

安全团队使用主机脆弱性扫描工具对数据中心的资产进行系统和应用层漏洞的全量扫描和基线核查,对发现的漏洞和不合规项进行自动验证,建立脆弱性跟踪管理流程,并持续提供修复指导,直至形成整改闭环(如图4所示)。

图片

图4 主机动态脆弱性排查

4.定期进行基线核查,做好环境评估

主机基线核查可重点检查多余服务、多余账号、口令策略、访问范围与权限,禁止存在默认口令和弱口令等配置情况,并对业务系统风险进行及时评估。基础环境评估包括网络安全、数据库安全、主机安全、中间件安全、应用安全、安全管理等评估。

5.进行全面实时告警监测,实现事件快速处置

安全团队通过对主机安全行为日志进行全面采集,结合安全特征、威胁情报、行为模型学习等,持续对主机异常操作行为、Web攻击、漏洞利用及病毒攻击等进行实时监测,并向安全运营服务平台回传相关告警日志,自动触发威胁响应处置流程(如图5所示)。

图片

图5  主机实时告警监测与处置

四、某银行主机安全运营体系建设成效与未来展望

主机安全运营体系已在某银行落地了近一年时间,实现了行内多个主机资产数据字段的整合,对全行主机、应用及站点、应用账号等十几类主机安全资产进行全局采集,建立了对单一应用系统的安全运营指标评分以及自动风险预警机制。

在运营支撑层面,某银行实现日均万条原始告警数据的自动清洗、聚合、建模匹配以及资产关联,噪声过滤收敛达到90%;同时,依托专业的安全服务人员赋能,建立了一系列的行为告警模型、自定义高危风险场景、加白优化规则,提高了主机安全的精准检测能力。此外,通过自动化编排技术,某银行针对多个安全场景建立了编排剧本,重点提高主机安全事件的自动化处置能力,在当前安全运营人力不足的情况下将MTTD、MTTR指标降低至小时级,实现了运营工作的降本增效。

在日常安全运营管理层面,安全团队通过运营指标、运营流程以及运营工具,消除了不同团队间的安全信息差,有效提高了安全运营能力,推动了安全运营的数据化、智能化和规范化,降低了安全运营工作落地成本,探索出一条银行数字化安全运营的特色之路。

未来,银行将围绕主机安全运营体系,持续构建高级APT威胁检测能力,提升安全实战化能力,进一步加强运营流程自动化。同时,为适应行内IT基础架构不断变化以及云化业务转型,银行将构建主机安全运营体系的云原生安全运营能力,从而为数字化转型保驾护航。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/628999.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

JS中数组的相关方法介绍

push() 将一个或多个元素添加到数组的末尾,并返回新的长度。 let arr [1, 2, 3]; arr.push(4); // arr 现在是 [1, 2, 3, 4] pop() 删除并返回数组的最后一个元素 let arr [1, 2, 3, 4]; let last arr.pop(); // last 现在是 4,arr 现在是 [1, …

第23章 集 ,势(阿列夫0),良序集(序数),有理数无理数

继续讲解集,接下来讲集的运算,集合的交和并,上开口是交集下开口是并集,这里有一些类似于加法和乘法的样子,其实也没有错,乘法符号也只是一个符号,真正有用的是表示的交换和结合率 集这个概念&a…

HCIA—— 16每日一讲:HTTP和HTTPS、无状态和cookie、持久连接和管线化、(初稿丢了,这是新稿,请宽恕我)

学习目标: HTTP和HTTPS、无状态和cookie、持久连接和管线化、HTTP的报文、URI和URL(初稿丢了,这是新稿,请宽恕我😶‍🌫️) 学习内容: HTTP无状态和cookieHTTPS持久连接和管线化 目…

深入解析iOS中的layoutSubviews方法

深入解析iOS中的layoutSubviews方法 大家好,我是免费搭建查券返利机器人赚佣金就用微赚淘客系统3.0的小编,也是冬天不穿秋裤,天冷也要风度的程序猿!在今天的文章中,我们将深入研究iOS开发中一个不可或缺的方法——lay…

vue2 pdfjs-2.8.335-dist pdf文件在线预览功能

1、首先先将 pdfjs-2.8.335-dist 文件夹从网上搜索下载,复制到public文件夹下. 2、在components下新建组件PdfViewer.vue文件 3、在el-upload 中调用 pdf-viewer 组件 4、在el-upload 中的 on-preview方法中加上对应的src路径 internalPreview(file) { //判断需要…

编译原理1.3习题 程序设计语言的发展历程

图源:文心一言 编译原理习题整理~🥝🥝 作为初学者的我,这些习题主要用于自我巩固。由于是自学,答案难免有误,非常欢迎各位小伙伴指正与讨论!👏💡 第1版:自…

go语言GMP模式介绍以及协程案例展示

一. MPG模式 Go语言的调度模型被称为GMP,这是一个高效且复杂的调度系统,用于在可用的物理线程上调度goroutines(Go的轻量级线程)。GMP模型由三个主要组件构成:Goroutine、M(机器)和P&#xff0…

IPv6隧道--GRE隧道

GRE隧道 通用路由封装协议GRE(Generic Routing Encapsulation)可以对某些网络层协议(如IPX、ATM、IPv6、AppleTalk等)的数据报文进行封装,使这些被封装的数据报文能够在另一个网络层协议(如IPv4)中传输。 GRE提供了将一种协议的报文封装在另一种协议报文中的机制,是一…

Linux一条命令换阿里源

要在Linux系统中切换到阿里源,可以使用以下命令。请注意,不同的Linux发行版可能有不同的包管理工具,因此命令可能会有所不同。 对于使用apt的Debian/Ubuntu系统: sudo cp /etc/apt/sources.list /etc/apt/sources.list.backup …

个人网站制作 Part 7 添加用户认证和数据库集成 | Web开发项目

文章目录 👩‍💻 基础Web开发练手项目系列:个人网站制作🚀 用户认证与数据库集成🔨添加用户认证🔧步骤 1: 使用Passport.js 🔨集成数据库🔧步骤 2: 使用MongoDB和Mongoose &#x1f…

Grafana(二)Grafana 两种数据源图表展示(json-api与数据库)

一. 背景介绍 在先前的博客文章中,我们搭建了Grafana ,它是一个开源的度量分析和可视化工具,可以通过将采集的数据分析、查询,然后进行可视化的展示,接下来我们重点介绍如何使用它来进行数据渲染图表展示 Docker安装G…

AIOps探索 | 基于大模型构建高效的运维知识及智能问答平台(2)

前面分享了平台对运维效率提升的重要性和挑战以及基于大模型的平台建设解决方案,新来的朋友点这里,一键回看精彩原文。 基于大模型构建高效的运维知识及智能问答平台(1)https://mp.csdn.net/mp_blog/creation/editor/135223109 …

【REMB 】翻译:草案remb-03

REMB REMB消息 以及 绝对时间戳选项 在带宽估计中的使用 :an absolute-value timestamp option for use in bandwidth estimatoin. 接收方带宽估计的RTCP消息 REMB 这位大神翻译的更好。 RTCP message for Receiver Estimated Maximum Bitrate draft-alvestrand-rmcat-remb-03…

iOS开发进阶(六):Xcode14 使用信号量造成线程优先级反转问题修复

文章目录 一、前言二、关于线程优先级反转三、优先级反转会造成什么后果四、怎么避免线程优先级反转五、使用信号量可能会造成线程优先级反转,且无法避免六、延伸阅读:iOS | Xcode中快速打开终端6.1 .sh绑定6.2 执行 pod install 脚本 七、延伸阅读&…

Android Activity的启动流程(Android-10)

前言 在Android开发中,我们经常会用到startActivity(Intent)方法,但是你知道startActivity(Intent)后Activity的启动流程吗?今天就专门讲一下最基础的startActivity(Intent)看一下Activity的启动流程,同时由于Launcher的启动后续…

JDBC是什么?你是如何连接数据库的?

JDBC(Java Database Connectivity)是Java语言中用来规范客户端程序如何访问数据库的应用程序接口,提供了诸如查询和更新数据库中数据的方法。它由一组用Java语言编写的类和接口组成,使得Java程序员可以使用统一的API来连接不同的数…

光伏发电系统的MPPT控制策略研究

摘 要 面对全球日趋严重的能源危机问题,可再生能源的开发和利用得到了人们的高度重 视。其中辐射到地球太阳能资源是十分富饶的,绿色清洁的太阳能不会危害我们的生存 环境,因而受到了人们的广泛利用。光伏发电作为当前利用太阳能的主要方式…

position有哪些值?分别是根据什么定位的?

CSS的position属性有五个值,它们分别是:static、relative、absolute、fixed和sticky。 static:这是默认值,元素按照正常的文档流进行定位。 relative:元素按照正常的文档流进行定位,然后相对于其原始位置…

STM32——DMA知识点及实战总结

1.DMA概念介绍 DMA,全称Direct Memory Access,即直接存储器访问。 DMA传输 将数据从一个地址空间复制到另一个地址空间。 注意:DMA传输无需CPU直接控制传输 2.DMA框图 3.DMA处理过程 外设的 8 个请求独立连接到每个通道,由 DMA_…

YOLOv5改进 | 融合改进篇 | 轻量化CCFM + SENetv2进行融合改进涨点 (全网独家首发)

一、本文介绍 本文给大家带来的改进机制是轻量化的Neck结构CCFM配合SENetv2改进的网络结构进行融合改进,其中CCFM为我本人根据RT-DETR模型一比一总结出来的,文中配其手撕结构图,其中SENetV2为网络结构重构化模块,通过其改进主干从而提取更有效的特征,这两个模块搭配在一起…