随着国家“十四五”规划和2035年远景目标纲要关于“加快数字化发展，建设数字中国”理念的提出，数字经济的发展进入新的时代，数字化能力也已经成为企业的核心竞争力。在此背景下，金融行业加快了数字化转型的进程，业务引领，科技赋能已经成为公司重大战略任务。

数字化转型给企业发展带来巨大机遇的同时，也为企业信息安全建设带来了巨大的挑战。一方面，金融行业将面临更为严峻的信息安全风险以及更多新形式的攻击手段；另一方面，数字化转型过程中，传统边界逐渐消失，传统的业务和IT运营模式不断被颠覆，现有的网络安全方案难以适应数字化的体系架构。

因此，我们采用安全中台的理念，对现有安全运营能力进行梳理，通过共性安全能力的抽象、沉淀和共享，实现对数字化需求的快速响应，保障企业安全数字化建设工作实现纵深发展。

“网络安全没有银弹”，这就意味着我们需要在不同的场景下建立对应的安全能力来保障业务系统的安全稳定。比如针对互联网边界的恶意攻击，需要部署IPS、IDS等进行攻击拦截与检测；针对应用攻击，需要部署WAF进行防护；针对主机的入侵行为，需要部署HIDS进行检测；针对恶意病毒、木马等，需要部署桌面防病毒软件进行检测与防护。更有如蜜罐、用户行为分析、数据防篡改等能力零散分布，这就导致了安全能力“碎片化”“零散化”，使得各功能之间难以集成和协作，从而不得不重复“造轮子”，降低了安全工作的效率，使得传统的安全工作越来越难以契合数字化转型的需要。

因此，我们需要找到一个能够契合企业数字化转型的新安全支撑基座，能够为企业的数字化转型发展持续提供安全防护能力，实现快速响应。

我们将安全中台的建设与程序设计思想进行类比，在程序中，存在函数和类的概念，函数的本质就是一段有特定功能、可以重复使用的代码，这段代码被封装起来，在需要的时候可以直接被调用。

使用函数体现了模块化的设计思想，即将一个完整的问题分解，通过解决各分解的问题达到解决完整问题的目标。同时，程序设计中函数将一些可以复用的功能封装，实现重复调用的目的。受此启发，可以将安全能力进行封装，将其作为可复用的功能以服务的形式供业务团队自行调用。

而“类”作为面向对象的程序设计，在语法层面提供了将数据和函数关联的手段，类比到安全中台建设思路，即建立面向业务的安全中台，实现SECaaS“安全即服务”。

安全中台转型思考

安全中台分为四层，分别为安全组件层、组件处理层（数据处理、能力封装）、安全能力层、安全服务层。

安全组件层负责将安全基础设施包括安全设备、安全软件和其他系统，通过流量镜像、API、部署Agent等方式实现安全组件化，并通过syslog、API等方式将安全基础数据发送到数据处理层实现数据处置和数据分析；同时数据处理层通过预案编排、API调用等方式实现安全编排与能力封装，以及安全能力整合与安全能力场景化。最终通过安全中台实现安全能力输出，做到安全能力服务化，实现对业务团队的安全赋能。

（1）安全组件层

安全组件层主要负责将原有安全资源组件化，根据防线不同分为主机安全组件、网络安全组件、数据安全组件。这些安全组件作为资源通过syslog、snmp、API向资源处理层实现安全数据传输，同时通过编排实现能力传输。

（2）组件处理层

组件处理层由数据处理模块和能力封装模块两部分组成。数据处理模块负责安全数据的采集、汇聚、存储、分析、封装，数据源包括安全组件层接入的安全设备、服务器产生的设备日志、应用产生的日志、威胁情报等安全数据，同时包括网络流量、资产数据、系统日志等信息。数据处理模块采集原始数据汇集后进行数据清洗，通过原始数据解析与数据处理实现数据标准化。同时通过机器学习，建立数据训练模型，持续对清洗后的数据进行训练，保障数据质量。

能力封装模块实现对安全组件能力服务化改造，实现安全能力封装与规范化处理，便于后续对外提供标准化安全服务，为业务系统构建场景化安全能力提供保障。

（3）安全能力层

安全能力层负责实现已封装完成的安全能力的编排与调度、新增安全组件管理以及安全策略的更新与优化。安全能力层通过对安全组件的编排与调度，实现场景化安全能力建设，并对场景化能力进行服务化改造，实现安全能力服务化并快速适配业务，保障业务数字化转型快速发展。

场景化安全建设以威胁感知与防护能力为例，传统威胁感知能力普遍割裂存在，即防护能力各自为战，无法形成有效的协同防护能力。也正因为如此，难以在现有条件下实现安全服务化。所以，我们通过对各防线防护能力进行编排调度，对获取的安全数据进行关联分析，建立了基于攻击链的威胁感知与防护场景。

最常见的入侵渗透路径是：信息收集——漏洞利用——权限维持——内部横向。

首先是信息收集。在这一阶段，攻击者通过主动扫描与开放搜索等方式获取信息系统资产信息，包括后台、未授权页面以及一些信息系统基本信息，为进一步攻击做准备。

第二阶段是漏洞利用。攻击者根据收集到的信息，寻找对应的系统、应用漏洞进行尝试与利用，一般通过扫描器进行探测。该阶段与信息收集阶段通常同步进行，特征是大量发送恶意请求流量，在漏洞未被成功利用前威胁较低，基本会被IPS和WAF阻断攻击流量。

而在漏洞利用成功之后，攻击者尝试获取系统权限并进行权限维持，至此攻击者成功入侵。进入第三阶段，由于该阶段必然会在信息系统服务器上产生痕迹，因此通常会在服务器上部署HIDS实现入侵监测，而针对攻击者上传的木马，一般通过EDR设备进行查杀。

最终，攻击者希望进一步扩大战果，因此进行内网横向移动。普遍采用爆破弱口令等手段尝试远程登录到其他内网服务器，或直接拿下域控主机。这一阶段威胁极高，通常通过NDR对该场景进行监测，需要立刻进行服务器或网段隔离。

（4）安全服务层

已完成场景化建设的安全能力向业务提供服务时，只需要获取业务团队提供的对应需求和相关信息，即可实现对应的安全服务能力提供。安全服务层主要负责对外提供封装的安全数据、安全分析结果以及编排的场景化安全能力，包括远程安全办公、资产防护、应用发布、风险预知、事件处置等，将安全能力以服务化的形式提供给业务团队，由业务团队按需自取。

安全中台通过安全能力编排，将分散异构的安全能力进行整合，构建成一个个“能力函数”，供各业务部门调用，快速构建相应的安全服务。

以构建应用安全迭代上线服务为例，一方面需要整合现有的开发安全检查系统，另一方面需要按需新增威胁建模信息、检查策略、防护策略或技术，如WAF、HIDS、IPS等。

若按照传统思路建设应用安全迭代上线服务，需从头梳理业务上线流程，思考安全在上线流程中的检查点，重新梳理各安全检查手段，逐步添加，无法直接利用现有的安全能力，往往会大大降低安全服务效率。

基于安全中台，业务团队只需要向安全中台明确自己即将发布的功能点以及协助中台完成威胁建模，由安全中台进行剩余能力编排与数据引流，便可实现应用发布前安全检查与上线后安全防护。

安全中台是中台思想在网络安全场景落地的方案，也是安全团队在实现数字化转型过程不可或缺的手段。随着信息技术不断发展，企业数字化转型的深入，安全建设也应当紧密贴合业务，从业务角度实现安全服务化，为业务发展保驾护航。

通过安全中台建设，我们可以整合安全资源，打破安全孤岛，实现安全资源统一管理与共享应用，支撑业务快速完成数字化转型。

当前，我们的安全中台实践还处于起步阶段，未来还有很长的路要走；同时随着新兴技术如人工智能、大数据等不断迭代，安全中台建设也会出现百花齐放的景象。希望我们的实践和探索能为同行提供一些思路，为金融行业数字化转型贡献自己的力量。