”活动中，共121家金融机构提交了304个相关案例，奇瑞汽金“云化安全托管模式助力奇瑞汽金构建常态化安全运营体系”得到评审专家的一致好评，获得了“

　　21世纪是新兴技术爆发式发展的时代，5G网络、云计算、大数据、物联网、人工智能等新型技术开始步入人们工作、生活的方方面面，在推动业务模式发展与场景变革的同时，也带来了新的网络安全威胁。从外部环境来看，纵观近年来全球的网络安全态势，由经济利益驱动的网络攻击，其攻击手段愈发多样化、复杂化，攻击频次与日俱增，攻击者也变得更组织化、产业化。

　　以金融行业为例，金融科技在加快速度进行发展的同时也带来了额外的网络风险，全球金融机构正受到日益频繁和复杂的网络攻击威胁。《金融行业网络安全白皮书》多个方面数据显示，金融安全事件正以每年约35%的速度增长，波及银行、保险、基金、证券等众多金融领域。《2023-2024年高科技犯罪趋势报告》显示，勒索软件保持强劲增长，2023年数据泄露网站上的公司数量同比增长74%。随着ChatGPT等众多AI服务的兴起和普及，勒索软件攻击的难度与成本大幅度降低，攻击者不断尝试领先于安全厂商开发新的战术、技术和程序。据SOCRadar在2023年上半年的统计，在勒索软件攻击的前十大目标行业中，金融业排名第7，2018年以来造成的经济影响和损失高达323亿美元。

　　从攻防对抗的角度来看，随着攻防新技术的发展和应用、APT与未知威胁的增多、0day漏洞频繁爆发、勒索挖矿病毒快速变种等造成网络安全威胁和风险一天比一天突出，引起的网络安全事件的影响力和破坏性正在加大，我司面对各种新型攻击的防守难度逐年增大，对我司的网络安全防护体系的有效性提出了更高的挑战与要求。然而，尽管外部网络安全形势严峻，我司自有网络安全管理人数有限，岗位员工日常以网络运维工作为主，无法将大量精力投入到安全管理工作中。

　　从安全建设角度上来看，安全设备基于传统的思维部署，缺少整体的联动机制，没形成体系化的防御能力，每天产生的安全告警信息可以用海量来形容，一旦有隐藏的安全风险极易被遗漏。不仅如此，传统方案部署的各类安全设备以各自为战为主，往往造成安全策略有效性难验证、难优化、缺乏联动响应能力等安全割裂局面，没办法形成合力，无法有效发挥出最大价值，安全防护能力也不能持续生长，如果出现新的威胁又要重新建设，投入产出比较低。

　　综上所述，面对网络安全环境的快速变化，亟须新型的安全防护理念来应对一直在变化的外部安全环境。在安全设备被充分的利用的前提下，实现安全风险的快速识别与修复。同时减轻我司员工安全工作的运维压力，实现安全工作的高效运营。

　　我司突破常规的以本地设备和自有人员为核心打造安全运营中心的建设模式，采取以“云地协同”的模式建立了“线上+线下”的安全运营团队。安全运营中心以我司现网环境中的安全设备为基础组件，收集风险日志和信息，并以加密、脱敏方式传输到云端平台。部署于云端的安全平台在接收数据后，配合云端的安全专家团队可以有效识别我司网络中的安全威胁。云端和本地的安全专家团队通过“云地协同”方式，以“线上+线下”的模式相互配合，实现7*24小时的安全状况持续监测和事件处置快速联动，使我司不同层级的安全问题都可以快捷、完整的实现闭环，使我司的运维人员的精力得到充分释放，大幅度减轻本地安全运营人员的运维压力。

　　我司以“人机共智”理念赋能安全运营中心。为实现攻防专家、数据科学家、安全分析师和服务平台之间的完美协同，我司联同安全厂商将安全专家能力和安全运营中心技术在云端池化，使安全专家的经验可以固化到云端服务平台中，实现精准的自动化风险监测告警，进而使云端服务平台可以高效协助安全专家深度溯源分析，并输出专业的处置建议，达到“人机共智”的效果。通过“人机共智”这一理念打造的安全运营中心从资产、脆弱性、威胁、事件四个要素点，全面地进行了安全风险管理，帮助我司实现了7*24小时有效的安全合规、风险可控、能力提升和价值可视等目标。

　　以网页篡改为例：40%的篡改事件发生在凌晨1:00-6:00，70%的篡改事件都是被通报之后才发现，80%的篡改事件，从事件发生到最终处置完毕，通常要耗时超过30天。而采用人机共智安全服务后，机构能做到对网页篡改事件的7*24小时监测，一经发现，即刻处置整体处置效率会比传统方式提升至少50倍以上。

　　一是部署在公司现网环境的安全设备组件，用于收集我司风险日志和信息，并以加密、脱敏方式传输到云端安全平台；

　　二是部署于云端安全运营终端的安全运营服务平台和安全能力中台，依赖大数据及人工智能技术，以“人机共智”的模式完成组件上传的海量日志关联分析，有效识别我司网络威胁，并通过安全运营服务平台管理安全服务流程及质量；

　　三是位于云端安全中心和本地的安全专家团队，通过“云地协同”方式满足各种情况下的安全服务需求。

　　我司建立的安全运营中心以云端安全托管服务为核心，以态势感知平台、网络探针、下一代防火墙、上网行为管理、漏洞扫描以及端点侧的统一端点安全软件（EDR）为服务组件，配合包含云端专家及本地工程师的安全运营服务团队，可以帮助我司有效应对常见的各种安全场景，如：安全事件（勒索/挖矿等）应对、通报预防与应对、7*24小时监测与响应、安全设备管理、HW重保、节假日或重大活动保障等。其中安全托管服务是我司安全运营中心的核心，也是7*24小时安全效果保障的核心。通过托管服务的模式，能解决我司缺少专业安全人员、现有安全能力不够、安全事件闭环难等问题，实现7*24小时安全值守，安全问题及时闭环，安全风险有效预防的效果。

　　综上可知，我司安全运营中心的业务模式可以总结为“云化”、“服务化”和“平台化”。

　　云化的平台、工具、服务，云端借助AI、大数据能力，安全能力可以持续快速迭代，并不断赋能线下组件，整体安全技术水平随网络安全形势变化实时更新、持续提升，有效防护新型威胁。

　　通过云化的手段，我司可以按需订阅并获取所需的安全能力与服务，可以有效控制减少相关成本，提升工作效率，快速构建高阶安全能力，获得更好的服务保障。同时，专业安全厂商的安全服务专家团队7*24小时实时在线，可以对我司现网进行持续监测与值守，提供全天侯安全保障。

　　通过本地的态势感知平台和云端的安全托管服务平台可对海量的安全告警关联分析，减少错报、误报，简化安全运维流程。安全专家借助平台联动各安全组件，能轻松实现快速处置闭环，提升响应效率。

　　①我司采用的安全托管服务以云端与本地高度协同的方式提供7*24小时服务。安全托管服务通过我司现网环境中部署的安全组件，做必要的安全日志及告警信息收集，并发送给云端安全能力中台，安全能力平台内大数据平台对安全日志数据来进行汇总、聚类、清洗等操作，安全分析引擎利用AI算法、安全用例等进行多维度关联分析。

　　②当监测到安全事件时，安全能力中台将告警有关信息传递给安全运营服务平台。安全运营服务平台将自动生成工单并根据事件内容不同实时派发工单至各级安全专家，安全运营专家组按照标准化流程开展安全事件的研判和响应工作，安全厂商最高级别的安全专家组作为服务团队的后端资源，为服务团队提供强大的技术支援，确保每种类型的安全事件都有专业相关知识的安全专家来解决。

　　③安全专家根据生成事件的处置建议线上远程响应处置，线上无法处置内容同步给本地安全服务工程师，由安全服务工程师进行现场处置工作。在此过程中，云端平台提供可视化手段让我司工程师可以全程跟踪服务进度。

　　④最后，由云端质量管理团队对整体服务流程、质量监督复核，保障整体服务质量和体验。

　　云端平台包含两个子平台，分别是安全能力中台和安全托管服务平台，两个子平台的技术架构如下：

　　通过部署在我司的网络侧、终端侧等安全组件，将关键安全信息聚合在云端安全能力中台的数据湖中。数据湖将基础安全信息经过清洗、丰富、去重等数据治理操作后完成数据存储动作，供下一步安全分析中台和调查处置平台调用；

　　安全分析中台内置过滤、聚合统计、CEP、UDF、机器学习等九大分析引擎，通过对数据湖内安全信息多维分析后，精准挖掘风险事件，并将安全风险映射到ATT&CK模型中；除支持对常见的攻击技术的检验测试能力之外，能够准确的通过环境、监督管理要求等自定义UseCase，以满足高隐藏攻击检出和特殊监控诉求。

　　调查处置平台基于数据湖和导入的离线数据提供安全事件调查溯源的基础能力，并关联情报、沙箱等能力，对关联数据进一步举证，帮助运营人员快速研判事件、溯源入侵路径和影响区域。封装安全设备闭环处置接口，提供事件闭环处置的能力。

　　通过安全运营平台可快速查看安全风险所处攻击阶段，利用云端安全专家进行风险分析、调查、响应，实现深度检验测试、威胁狩猎等能力。

　　安全运营服务平台为全服务周期内各项服务工作提供支撑，通过不断对服务流程、专家经验沉淀固化，结合知识库、工单、报告等系统，规范和提升整体安全托管服务质量及体验。

　　通过展现层供用户层各类角色人员操作使用，提供了一套完整的服务流程，包括从服务上线（组件接入、资产录入、安全专家分配）、首次上线分析处理、持续运营，到最后服务到期下线的全生命周期活动；

　　（3）规则中心：内置提前预设的UseCase及能力沉淀的新UseCase制作；

　　（4）流程引擎：统一的业务流程控制和编排，方便实现快速变更已有业务、上线新业务的同时，可提供给流程关注者统一的全局视角进行跟踪；

　　安全能力的两大量化指标是业界熟悉的安全事件平均检测时间（MTTD）和平均修复时间（MTTR）。我司目前也在联合安全厂商通过对安全能力中台和安全运营服务平台各模块能力的持续优化，不断缩短威胁检测时间，提升安全事件响应效率。

　　整个项目以安全托管服务为核心，安全运营流程可以总结为四个项目阶段，分别是项目启动、运营准备、持续运营和总结汇报阶段。

　　项目启动阶段，我司通过联合安全厂商的工程师召开项目启动会，向安全厂商明确服务预期，对沟通机制和交付内容达成一致，组织保密协议的签署，并针对安全托管服务进行授权。

　　运营准备阶段，我司联合安全厂商聚焦于现有资产、业务的安全问题做综合评估工作。基本流程如下：

　　（1）资产识别与梳理：借助安全工具对用户资产做全面发现和深度识别，并结合人工梳理成真实、可用的资产台账；

　　（2）首次安全分析：从脆弱性评估、病毒类事件评估、攻击行为评估、失陷类事件评估等方面对用户的现有安全状况及问题进行客观评估；

　　持续运营阶段是我司目前所处的阶段，该阶段我司的安全运营中心已完全建立。已实现围绕资产、脆弱性、威胁、事件四个核心风险要素开展持续化的安全保障工作，大致上可以分为资产管理、脆弱性管理、威胁管理、事件管理以及汇报服务五个环节。

　　（1）资产管理：将资产录入系统后，通过定期主动扫描+被动识别的手段识别资产类型信息，自动生成资产台账并对资产重要程度分级和责任定位，实现服务资产的全网可视和动态更新。

　　（2）脆弱性管理：通过脆弱性扫描工具识别系统安全漏洞及弱口令等，并对脆弱性问题进行专业验证，同时结合多种信息对识别的脆弱性问题进行优先级排序，最后由云端专家团队提出切实可行的修复指导。除此之外，在脆弱性管理工作中借助脆弱性跟踪管理平台，可以轻松又有效地追踪资产脆弱性生命周期，清楚地掌握资产的脆弱性状况，实现全生命周期的可视、可控和可管目标。

　　（3）威胁管理：根据以往经验设定的安全用例,结合大数据分析技术实时监测网络安全状态，对监测到的安全问题自动化生成工单，由安全运营中心的云端服务经理通知安全专家介入，及时做多元化的分析与定位、通告，同时依据由安全专家经验固化的事件响应指导高效地开展安全事件处置工作。

　　（4）事件管理：对安全运营平台主动发现以及我司主动上报的安全事件进行专业定位，及时响应并建立安全事件的全生命周期管理，形成安全事件处置知识库。

　　（5）汇报服务：云端的安全专家需要从资产、脆弱性、威胁、事件维度按月和季度定期输出我司安全状态报告，根据其变动情况及剩余风险内容，对下一步安全提升提出建议方案。

　　该阶段是以年为单位做的运营成果汇报展示，由安全运营中心团队针对年度的服务情况和我司安全状态提交年度服务成果报告。同时，安全运营中心的专家也会针对我司遗留安全问题给出建议性指导和方案。

　　目前我司的安全运营中心已持续运营了两年多，以2024年7~9月为例，这三个月期间，安全运营中心根据服务组件日志分析，遭受外部攻击总次数为1537.05万次，平均每周捕获网络攻击118.23万次，安全运营中心已在出口防火墙上对所有高威胁源IP进行了封锁，运营期间未发生攻击成功事件，外部威胁均有效拦截。

　　这三个月运营期间新增安全事件16起，我司本地工程师联合云端安全专家已针对全部失陷主机提供了处置方法、工具和远程协助，安全事件16起已全部闭环，闭环率100%。且经安全专家研判，这16起安全事件并非真实风险事件，主要是业务触发导致的，公司整体安全运营效果已颇见成效。

　　我司作为汽车金融行业的标杆企业，建设安全运营中心使我司可以保障良好的安全防护效果。不仅如此，我司一直沿用业界前沿的网络安全技术理念也可以彰显我司对客户数据安全高度负责的企业形象，增强了客户对我司服务和产品的信任。

　　我司建立的安全运营中心能做到7*24小时在线，持续监控网络安全问题，并快速检测处置威胁事件，整个安全运营中心通过安全人员、能力、经验、工具联动来持续运营。我司并未投入大量资金就快速获得了良好的安全运营效果，以最佳投入产出比获得行业TOP级单位的安全运营能力。虽然安全运营中心建立也有一定的初始投资所需成本，但长远来看，预防网络攻击的成本远低于事后恢复的费用，间接提升了经济效益。

　　根据我司过去几年的安全防护经验，大部分的攻击者习惯在夜间展开非法活动，而夜间企业内部的业务系统恰恰是安全防护水平最薄弱的时候，例如：无人对安全事件做多元化的分析和处置，安全策略无法动态调整。因此建设安全运营中心一定要确保7*24小时的值守，如果本地网络安全人员不充足，能借助安全厂商提供的云端安全服务，务必要确保任何时刻均有安全专家值守，有效对抗攻击者夜间的攻击行为。

　　业界做安全运营通常存在整个运营过程不可视的问题，从公司视角来说，无法实时掌握安全运营的整体状态，就会导致运营效果无法把控。未解决以上问题，我司利用安全运营服务监控大屏实现了对整个运营和服务过程的可视化，便于我司及时了解安全运营过程中的各个阶段，以评估安全运营状况和安全服务效果。

　　为了做好服务的品质的把控，在建设安全运营中心的过程中，针对每一类的安全事件一定要有固定的处置流程，安全专家必须严格按照既定的处置流程处置对应的安全事件才能完成闭环，使得安全服务效果不再千人千面，确保服务质量满足公司的既定需求。因此在安全运营中心使用一套成熟的工单系统至关重要。

　　更多金融科技案例和金融数据智能优秀解决方案，请在数字金融创新知识服务平台-金科创新社案例库、选型库查看。

　　特别声明：以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布，本平台仅提供信息存储服务。

　　85分钟绝杀，沙特2-1逆转朝鲜，夺得头名，U20亚洲杯八强战PK中国

　　不愿意上学的人类幼崽，还叫其他小朋友也不来了，网友：三个都不来，老师也不来

　　小朋友不想上幼儿园，竟在上学途中跳车受伤，网友：疼不疼已经不重要了，她真的在笑

　　小孩姐“严厉”管教弟弟，“不能让妈妈抱 把妈妈累坏了”，弟弟：莫欺少年穷