安全管理体系是指什么，天津农商银行：主机安全体系建设

来源：2023第七届农村中小金融机构科技创新优秀案例评选

获奖单位：天津农商银行

荣获奖项：信息安全创新优秀案例

一、项目背景、目标及相关规划

1.项目背景

近年来，金融行业加速数字化转型，行内信息系统、基础软件等安全管理对象逐渐增多，安全运维难度越来越大。天津农商银行网络安全体系建设，目前已构建基于“纵深防御”理念的边界检测与防护体系，并取得良好成效。但面对日益复杂的网络安全环境，大量利用0-day等新技术发起的高级可持续性威胁，纷纷具备绕过IDS、IPS、WAF的能力。因此，传统边界检测与防护体系已不能满足面对日益发展的安全防御需求，天津农商银行参考头部城商行主机安全一体化建设思路，结合日常安全防御手段，以实战防御能力为导向，建设全行级主机安全管理体系，健全入侵防范、恶意代码防护和应用风险发现等功能，提升主机端异常登录、漏洞扫描等风险感知能力，补全网络安全防御体系短板，全面提升网络安全的总体能力和水平。

2.项目目标

通过部署主机安全软件，实现对生产环境主机系统的入侵检测、漏洞风险的评估和监控。对暴力破解、、反弹、本地提权、web后门、系统后门、可疑命令等攻击进行监控，发现隐藏攻击，以实现在安全突发事件中及时定位系统和主机概况，全面提升安全应急效率。同时具备弱口令、恶意文件、权限监控、文件配置、异常进程、异常账号、异常登录、漏洞扫描等风险感知能力。

3.建设规划

根据天津农商银行当前实际情况，一方面在生产环境中首次部署主机安全类软件，主机系统环境版本较多、环境错综复杂，实际部署测试过程问题多样化，需各团队协作克服困难，加快推进系统部署；另一方面，主机系统历史积累风险问题较多，且整改困难，主机安全运营经验欠缺，尚未形成主机安全管理闭环。结合业内主机安全体系建设经验，首先进行主机安全管理系统的部署，其次开展主机安全运营工作。

第一阶段以系统建设为首要目标，部署主机安全管理系统，结合天津农商银行实际生产环境情况，遵循由边界到核心的原则推广安装，逐步覆盖生产环境主机系统。系统设计架构如下图，通过采集主机信息，在主机安全管理系统中进行分析并通过web端展示。

第二阶段以主机安全运营能力沉淀为目标，以系统上线前扫描为切入点，牢筑系统上线安全防线，保证风险整改处置闭环。在这个过程中进一步完善运营能力，以弱口令排查、专项漏洞排查等手段，逐步强化生产内网主机系统安全防护能力。

最后逐步强化主机安全运营工作，包括资产信息梳理，入侵风险处置、安全风险发现等，依据科技发展优先级进行评估，一方面不断加固主机系统，形成风险整改闭环；另一方面，不断结合新的技术能力，优化主机安全运营工作，最终提升全行网络安全运营能力。

4.业务功能

一是通过安装，梳理主机系统资产信息。主机安全管理系统每日梳理主机进程、端口、账号、中间件、数据库、大数据组件、Web应用、Web框架、Web站点等资产；根据每个主机系统业务设置主机标签，针对性识别应用。

二是安全风险发现，包括补丁、漏洞、弱口令等。主机安全管理系统每日进行风险扫描，持续性地监测与分析漏洞风险，深入发现系统内部暴露的问题和风险，以便运维人员及时整改，从而提高攻击门槛，缩减修复窗口期；

三是实时监测主机系统内部指标的异常变化，能够有效的提供入侵告警和响应。主要包括暴破检测、异常登录、检测、Web命令执行检测和本地提权检测等功能；

四是依托行内CMDB系统，统一资产信息，通过主机标签、负责人、业务组等字段，在发现异常风险时，快速定位责任人，有效提高安全风险处置效率。

二、创新点

主机安全体系的建设是融合工具、方法和运营的全方位、一体化构建过程，一方面，通过了解业内主机安全建设经验，横向扩充主机安全风险监测能力，规范安全管理制度；另一方面，通过组织科技部门不同层次人员的交流，纵向了解主机安全需求，实现不同层次能力的有机协同，打造主机安全运营闭环。

1、强工具

通过部署主机安全管理系统和推广主机系统部署，使生产环境主机系统安全情况能够更形象地看得见、用起来。一是资产梳理方面，通过多维度的统计管理，从系统基本配置，如CPU、内存、进程、负载等基本信息到数据库、web应用等分组比对，从而直观的了解主机资产情况；二是风险发现方面，通过对系统补丁发现、漏洞检测、弱口令等进行定期扫描安全管理体系是指什么，天津农商银行：主机安全体系建设，及时发现并暴露安全风险考什么证赚钱多，提高运维人员系统整改效率。三是入侵检测方面，通过对暴力破解、异常登录Web后门、系统后门、木马等异常行为和文件的实时监控，补齐内网安全防御短板，有效阻断了入侵内网后横向拓展的攻击行为。

2、建闭环

依托于工具的能力构建，更直观的发现并处置主机安全风险。一方面，对监管下发的漏洞排查，更准确的发现并整改，防止错报、漏报情况发生；另一方面，增加安全管理手段，通过弱口令排查、特权账号梳理等专项整改工作，有效提高内网系统安全水平。采取技术手段，建立风险发现整改闭环机制，从而提升主机安全防护能力。

3、抓运营

作为网络安全运营体系中重要的一环，一方面，将主机安全扫描纳入生产系统上线前扫描范围内，将发现的高危及以上漏洞整改后，允许上线，从根本上杜绝了生产环境高危漏洞新增的问题；另一方面，通过API接口实现与态势感知系统的对接，将入侵风险与网络流量监测风险联动，实时监测外部入侵风险，成立安全工作组，每日对入侵告警进行分析和阻断，有效提高全行信息系统的网络安全防护能力。

三、项目过程管理

天津农商银行于2023年1月启动主机安全体系建设项目，6月30日基本完成主机安全系统建设，于7月逐步开展主机安全运营工作。

四、运营情况

自主机安全系统建设完成以来，共完成969个主机系统的推广部署。在资产方面，依托CMDB系统统梳理业务系统与主机IP对应关系，建立分组，准确录入资产信息；风险方面，对监管要求漏洞进行排查整改，同时对新上线系统严格扫描，对发现的风险问题建立台账安全管理体系是指什么，整改后允许上线；弱口令方面对DMZ区的弱口令实现“动态清零”，对生产内网的特权账号弱口令实现“动态清零”；入侵监测方面，通过配置入侵告警邮件，对接态势感知系统，每日发送入侵检测日报，及时发现异常行为，处置整改，形成闭环。最后，结合天津农商银行实际情况，制定主机安全运营三年规划，力争2025年实际达到行业主机安全运营管理水平。

五、项目成效

场景1：弱口令专项排查情况

天津农商银行自8月开展生产环境SSH弱口令专项整改工作，共发现弱口令账号1131个，已完成516个，整改完成45.6%。其中DMZ区弱口令账号已经全部完成整改。

场景2：上线前检查情况

自6月30日系统推广部署完成以来，开展上线前检查工作，共有6个业务系统进行上线前扫描工作。其中3个系统完成风险整改，共61个高危漏洞，高危风险整改率100%。

六、经验总结

天津农商银行结合头部城商行建设经验，根据自身生产环境特点，进行主机安全一体化建设。通过对系统资产的梳理，提升了主机系统的治理能力，深化了对数据库和应用的管控能力；以风险发现为手段，构建了主机安全风险整改闭环机制；依托入侵检测能力，实时监测内网环境入侵风险，同时对接态势感知，优化主机安全风险运营技术能力。后续，天津农商银行将持续推进主机安全运营的建设，借助主机安全系统不断优化安全整改策略，减少运维人员工作强度，提高主机系统安全防护水平；在工具层将不断完善现有的工具能力，满足科技部不同层次系统的差异化发展需要，力争实现业务场景的全覆盖。

更多金融科技案例和金融数据智能优秀解决方案，请登录数字金融创新知识服务平台-金科创新社案例库、选型库查看。

安全管理体系框架，新一代机场安全管理系统如何架构？

新一代运输机场安全管理系统（以下简称SMS系统）面向集团型机场，全面支持集团公司、机场公司、安监部、运行部门四级安全运行管理模式，全面支持运输机场安全管理体系安全管理体系框架，包括四大支柱、十二要素，全面支持运输机场隐患排查与安全管理的深度融合，全面支持法定自查与安全管理的有效融合；通过大数据实现危险源、安全隐患、安全事件、事件调查、风险管理和整改跟踪的关联分析，实现安全数据、运行数据、绩效指标的全面融合，围绕安全绩效实现运输机场的安全运行评价，为安全管理部门和运行部门提供一系列的安全工具，包括趋势分析、风险预警和安全绩效等。SMS系统有效支撑机场安全预警和快速响应。

一、全面支持四级安全管理运行模式

SMS系统是机场集团践行安全管理的有力抓手，系统一方面为集团下属各运输机场提供有效的安全管理工具，另一方面为集团安全监察管理提供必要的安全视图。

SMS系统支持集团级标准库，包括危险源库、监察库、检查库、安全绩效库和安全系数；系统支持集团级安全业务流程，包括外部安全信息流程、集团审计流程和集团整改流程；系统为集团提供各机场系统使用指标视图、安全运行指标视图和安全管理指标视图，为集团提供及时、准确、全面的机场安全管理和安全运行状态；

SMS系统支持集团下属各运输机场独立开展安全管理工作，面向信息流的系统设计为运行部门提供完整的安全处理工具，同时为机场安全管理部门提供完整的安全管理工具，使得安全、运行在一个系统上有机融合，更适合分工协同和数据的融合。

图表 1 全面支持安全管理和安全运行分工协同、数据融合

二、全面支持运输机场安全管理体系

SMS系统功能围绕运输机场安全管理体系框架设计，安全管理体系的四大支柱和十二要素在SMS系统中都有对应的模块，特别是政策目标、组织架构、职责分工、教育培训、信息沟通、风险管理、应急管理等。

图表 2 SMS系统关键业务流程

系统功能围绕安全管理体系框架展开，关键业务流程包括安全信息管理、风险管理、不安全事件调查、安全审计和安全绩效监测与评估，辅助业务流程包括移动监察、安全政策、资质管理、安全组织架构、安全标准文件、应急协调文件、安全公告，并为机场外部单位提供安全事务办理窗口。

图表 3 SMS系统辅助业务流程

三、全面支持隐患排查安全管理融合

SMS系统集成隐患排查模块，实现隐患管理业务支持，即实现了线上隐患报告的协同处理，同时支持隐患排查与风险管理、隐患排查与整改跟踪的有机融合，助力隐患管理纳入机场安全管理体系，助力隐患排查纳入日常安全管理。

图表 4 可集成隐患排查模块

四、全面支持法定自查安全管理融合

SMS系统集成法定自查模块，实现机场法定自查业务支持，即实现了法定自查（审计）的协同处理，同时实现法定自查与安全管理有机融合，助力机场持续合规。

图表 5 可集成法定自查模块

五、大数据实现关联分析

常规SMS系统安全信息、风险管理、审计和整改数据割裂，不能有效支持安全管理部门对风险管理、危险源、安全信息和审计的信息跟踪，新一代SMS系统通过非结构化数据处理，通过危险源库、整改库实现了安全数据的有机关联融合，实现安全管理的全面信息视图。

图表 6 危险源全面信息视图

图表 7 整改项全面信息视图

六、大数据实现安全绩效

SMS系统通过大数据技术对安全管理绩效和安全运行绩效提供指标定义、数据采集、指标度量、指标预警和指标可视化全面支撑。安全管理绩效准确评价机场日常安全管理工作安全管理体系框架，新一代机场安全管理系统如何架构？，安全运行绩效准确评价机场安全运行状态。

图表 8 大数据实现安全绩效

图表 9 全面的安全数采集

七、一系列安全管理工具

SMS系统为安全管理部门和运行部门提供一系列的安全工具考证含金量排行榜，包括趋势分析、风险预警和安全绩效，有效支撑机场安全预警和快速响应。

图表 10 趋势分析示例

图表 11 风险预警示例

图表 12 安全绩效示例

八、安全管理系统的功能架构

图表 13 SMS系统功能架构

九、安全管理系统的数据架构

图表 14 SMS系统数据架构

图表 15 SMS系统数据融入机场数据中心

SMS系统需要机场集团统一架构和实施，作为专业的安全管理信息化系统，需要分阶段、持续优化完善。在SMS系统建设和实施过程中，往往伴随大量的安全管理流程建设和优化，需要安全管理部门的统筹协调和运行管理部门的深度参与。

图表 16 SMS系统实施策略

特别感谢中国民航管理干部学院李彤教授在SMS成熟度评估及政策研究方面的成果，李彤教授为TEM在国内航空公司的推广和培训付出了艰辛努力。其目前专注于基于机器学习和模式识别的飞行操作风险研究（QAR）和LOSA的推广及培训。

本文图片由作者提供，题图来自千库网。