厦门银行建设智能化网络安全运营体系，赋能安全业务决策

银行作为社会的支柱性产业，其安全性不言而喻。银行存储着大量重要数据及个人信息，如果网络受到攻击并瘫痪，不法分子拿到数据和信息后不但会产生巨额财产损失，同时势必造成不可逆转的严重后果。

为应对多种多样的网络风险，厦门银行特别成立工作室，致力于深入研究网络安全防护领域的前沿科技，以及将新技术、新理念引入到日常的网络安全运营工作当中。

该工作室积极借鉴国内外优秀案例及实践经验，引入网络安全态势感知平台和安全编排自动化与响应（SOAR）技术，创新打造了厦门银行智能化网络安全运营体系。

在架构层面，基础安全环境主要负责为上层提供基础安全能力，包括安全区域边界设备、安全计算环境设备、安全管理中心设备；安全数据中台负责对安全数据要素进行整理汇集，为上层应用提供安全数据服务；安全能力中台负责对安全能力进行管理调度，为上层应用提供标准安全能力；安全应用负责实现资产管理、威胁溯源、态势感知等功能，提供自适应、智能化的安全检测规则与灵活的分析建模方式，并通过SOAR整合安全能力，实现安全事件自动化检测、分析与响应，构建安全管理闭环。实践中，厦门银行重点构建了两大特色能力。

一、实现异构数据智能分析

对于厦门银行而言，面对各种高隐蔽性、高复杂性的智能化网络攻击，传统防护手段由于数据来源单一、检测样本有限、处置机制不完善等诸多限制，愈发难以满足日益增长的安全需求。

为改变这一被动局面，厦门银行不断完善网络安全纵深防御体系，包括重塑边界防火墙、入侵检测和防御系统、全流量检测系统等安全能力，以及建设网络安全态势感知平台，打造了智能化网络安全运营基座。同时，通过对复杂多源的异构网络安全数据进行治理，建立安全数据中台，打通“安全数据孤岛”，构建数据统一的标准，广泛采集异构安全资产数据，实现了对各类安全设备的统一管理，并支持对系统数据开展统计分析。此外，通过纳管全域安全数据资产，厦门银行将数据要素引入安全风险决策、安全运营管理等领域，构建形成了数据、业务的价值链闭环。

二、实现安全能力协同处置

在资源和专业人才有限的情况下，厦门银行引入新一代安全技术，实现了网络安全运营工作自动化。例如，借助SOAR技术在安全自动化响应方面的独特优势，厦门银行有效解决了安全事件响应过程中人员短缺、警报分类质量和速度亟待改进等问题，不仅大幅提升了安全运营工作效率，使响应时间从小时级缩短到分钟级，还将运维人员从耗时较长且重复的事件分析工作中解放出来。

同时，厦门银行基于SOAR技术实现了对CMDB运维管理平台、ACK、流量监控平台、边界防火墙等安全能力的协同联动处置，并支持采用拖拽式交互设计的剧本编排模块，编辑并启用安全风险分析研判与策略响应剧本。在此基础上，通过剧本编排还可将人工分析经验沉淀为标准流程，并基于剧本调整不断优化响应流程，自动化完成事件研判分析与策略执行过程，切实提高了协作沟通效率。

截至目前，厦门银行已完成智能化安全运营体系初步建设，并基于安全数据中台实现了数据统一管理，在有效提升数据对业务前台支撑能力的基础上，减少了数据体系重复建设、数据不一致等问题导致的成本浪费，最 大化提炼安全数据价值，赋能安全业务决策。

未来，厦门银行将进一步探索SOAR技术在银行业务领域的应用价值，持续提升厦门银行的网络安全综合防护能力。