2026金融网络安全运营数智化建设研究与实践报告-北京金融科技产业联盟
6.80 MB
37 页
3 浏览
0 评论
0 收藏
| 语言 | 格式 | 评分 |
|---|---|---|
中文(简体) | .pdf | 3 |
| 概览 | ||
金融网络安全运营数智化 建设研究与实践 北京金融科技产业联盟 2026 年 4 月 版权声明 本报告版权属于北京金融科技产业联盟,并受法律保护。转 载、编摘或利用其他方式使用本白皮书文字或观点的,应注明来 源。违反上述声明者,将被追究相关法律责任。 编制委员会 编委会成员 黄程林 巫建刚 王 磊 赵海权 张 勇 张立文 编写组成员(排序不分先后,按姓氏拼音排序) 陈代乐 陈 明 陈宇磊 董润汉 段 超 龚兴超 胡 飞 胡宏伟 李万宝 李尚泽 刘凯宇 茅雨绮 苏 涵 孙德福 孙 钢 特荣夫 王 畅 王海星 夏海蛟 徐春运 张信保 张 帆 张 牧 张文博 张 毅 赵殷豪 周 涛 编审 黄本涛 刘昌娟 牵头单位 中国邮政储蓄银行股份有限公司 参编单位 国家开发银行 中国银联股份有限公司 兴业银行股份有限公司 浙商银行股份有限公司 北银金融科技有限责任公司 北京银联金卡科技有限公司 深圳市腾讯计算机系统有限公司 北京天融信网络安全技术有限公司 I 摘 要 随着数字化转型的深入推进,网络安全已成为关乎金融稳定 与客户信任的核心保障。面对日益频繁的网络攻击、数据泄露和 高级持续性威胁,传统依赖人工的被动防御模式已难以应对,银 行业亟需推动网络安全运营向数智化转型,通过融合大数据、人 工智能等前沿技术,构建智能、主动、自适应的安全防护体系, 为金融业务创新与发展筑牢战略安全底座。 本报告围绕金融网络安全运营数智化建设展开系统研究,阐 述了在日益复杂的网络威胁背景下,传统安全运营模式存在的效 率低下、响应滞后等问题,指出引入大数据、人工智能、大模型 等技术的必要性。从核心内涵、关键技术、体系架构、流程重构 等方面深入探讨,提出以数据中台、AI 模型、SOAR 平台等为核 心的技术架构,并设计了“事前-事中-事后”全周期运营流程。 最后,结合银行业实践,指出未来网络安全运营将向“智能泛在、 生态协防、人机协同”方向发展,形成新的智慧网络安全运营体 系。 关键词:网络安全运营 数智化 大模型 人工智能 智能分析 自动化响应 II 目 录 一、总体概述 ................................................................................................................................... 1 (一)背景意义 ............................................................................................................................... 1 (二)发展现状 ............................................................................................................................... 1 (三)研究内容 ............................................................................................................................... 4 二、核心内涵与关键技术 ............................................................................................................... 4 (一)基本概念 ............................................................................................................................... 4 (二)关键支撑技术 ....................................................................................................................... 7 三、体系设计与实践路径 ............................................................................................................... 9 (一)网络安全数智化运营技术架构 ........................................................................................... 9 (二)运营流程的数智化重构 ..................................................................................................... 12 (三)关键成功要素与持续运营机制 ......................................................................................... 13 四、实践案例 ................................................................................................................................. 15 (一)邮储银行构建网络安全运营数字化底座 ......................................................................... 15 (二)北银金科聚焦高危场景践行“AI+SOAR” ....................................................................... 22 (三)兴业银行借助大模型智能体重构安全运营 ..................................................................... 25 (四)浙商银行构建“一基础五平台”数智化防护体系 ......................................................... 28 五、未来展望 ................................................................................................................................. 31 (一)AI 重塑安全运营内核 ........................................................................................................ 31 (二)构建开放共生安全生态 ..................................................................................................... 31 (三)重塑安全团队组织形态 ..................................................................................................... 32 1 一、总体概述 (一)背景意义 当前,互联网技术飞速发展,网络空间已成为现代社会不可 或缺的一部分,极大地促进了信息的流通与共享,同时也带来了 前所未有的安全挑战,网络攻击频发、数据泄露风险增加、高级 持续性威胁(APT)等安全事件层出不穷,严重威胁着国家安全、 社会稳定以及个人隐私。 面对上述挑战,传统的网络安全运营模式往往依赖于人工分 析和响应,存在效率低、响应慢、覆盖面窄等问题,难以有效应 对日益复杂的网络安全威胁。网络安全运营亟需通过运用大数据、 人工智能、机器学习等先进技术,向数智化转型,实现对网络安 全威胁的实时监测、智能分析和快速响应,显著提升网络安全运 营的效率和效果。探索网络安全运营数智化建设的路径及实践, 促进银行业提升网络安全防护能力、保障网络空间安全。 (二)发展现状 利用大模型为网络安全赋能已成为安全界的热点研究方向。 据 Gartner 统计,生成式网络安全 AI,可以提高效率并缩短对 网络安全风险和威胁的响应时间,实现自动化值守,自主基于高 级指引运行,而不需要频繁提示对话。目前国内主流安全厂商陆 续发布安全大模型相关产品,安全大模型已经成为网络安全的新 赛道。 利用大模型,为网络安全赋能的场景也越来越丰富,涵盖了 2 安全运营分析的各个阶段,以下是目前比较主流的典型场景: 1.搜索与威胁狩猎:利用大模型更强的语意识别、理解和关 联能力,使用自然语言进行搜索,降低技能门槛,提高结果的准 确性和全面性,降低运维人员搜索与威胁狩猎门槛; 2.安全信息摘要:自动生成摘要和关联性视图,扩展集成知 识库,协助问题理解和处置; 3.攻击路径摘要:自动对复杂操作、漏洞利用和攻击行为进 行建模,模拟攻击路径,并创建易于理解的摘要,协助风险评估 和处置,如攻击定性、风险研判、攻击面和影响面管理、补救和 缓解措施生成等。 4.改善情报运营:能更有效地实现论坛、暗网、深网的踪迹 识别,以及信息传递混淆,同时善于进行跨数据源的信息关联, 并生成更容易阅读的摘要或报告,提高威胁检测效率,降低分析 者门槛。 5.数据标签和摘要:将手工标注变为自动化标注。大模型非 常善于理解数据内容,结合无监督和有监督的机器学习,辅助数 据管理人员实现自动化的标注,提高分类分级或其他安全策略关 联的效率。 6.恶意脚本分析:经过大量恶意脚本进行预训练的模型,能 够自动生成代码分析摘要和报告,发现容易被忽略的隐患,更准 确甄别正常脚本,从而辅助分析人员提升分析效率,减少对高阶 专家的依赖,提供稳定的质量输出,减少漏报和误报。 3 7.逆向代码分析:经过大量代码和反编译进行预训练的模型, 能够自动进行逆向补全和函数名称与功能摘要的生成,逆向工程 师无需破译每一行代码,便能快速、高层次地理解代码功能。 8.Web 安全分析:经过大量 Web 攻击流量进行预训练的模型, 能够有效提升 Web 潜在风险的识别并给出修复意见。 有研究表明,目前大模型技术赋能网络安全运营已深入到运 营工作的各个环节,以 IPDRR 模型为例,相关赋能活动成熟度如 图 1。 图 1 大模型技术赋能网络安全运营成熟度 短期来看,大模型将显著提升现有安全技术的性能和智能化 水平。得益于大模型在数据理解、意图识别、任务编排等方面的 能力,在安全问答、安全运营、数据分类分级、违规处理个人信 息检测、音视图文内容安全检测等关键网络安全场景中,大模型 能够在大幅减少人工参与的同时,有效提升安全事件处理的效率 4 和准确性。 长期来看,大模型有潜力成为安全防护的核心,从而改变安 全的工作模式。当前,大模型主要扮演安全从业人员的辅助工具, 用于提高他们的工作效率和效能。未来,随着大模型在自主研判 和决策能力方面的提升,预计将进化为安全从业人员的合作伙伴, 共同应对安全风险的识别、防御、检测、响应和恢复等一系列复 杂工作。 (三)研究内容 本课题旨在全面系统研究网络安全运营数智化建设的相关 问题。首先,分析网络安全运营数智化的背景、意义及发展现状; 其次,从理论基础、关键技术等方面入手,深入探讨网络安全运 营数智化建设的核心要素;再次,通过银行业典型机构的实践经 验,体现数智化建设在提升网络安全运营效率和效果方面的实际 效果;最后,针对当前面临的挑战提出应对策略,并对未来发展 趋势进行展望。 二、核心内涵与关键技术 (一)基本概念 1.核心定义与特征 1)网络安全运营 本课题所研究的网络安全运营,是指组织在生产运行环节, 为持续监控、检测、分析、调查、响应和防御网络安全威胁而建 立的一套人员、流程和技术的综合体系。其核心目标是主动保护 5 组织的关键信息资产、系统、网络和数据免受损害,并将安全事 件的影响降到最低。 2)数字化、智能化、数智化转型 所谓数字化转型,是指深化应用新一代信息技术,激发数据 要素创新驱动潜能,建设提升数字时代生存和发展的新型能力, 加速业务优化、创新与重构,创造、传递并获取新价值,实现转 型升级和创新发展的过程。推进数字化转型,通常坚持以价值效 益为导向、以新型能力为主线、以数据要素为驱动、以业务变革 为核心。 ① 所谓智能化转型,是指在数字化转型基础上,引入人工智能 等智能技术,实现从“数据驱动”向“智能驱动”的转变,核心 目标是提升运营、战略及社会价值。数智化转型作为数字化转型 的高阶表现,使业务活动更加智能地感知、认知、决策、行动, 从而极大地提升业务效率,成为新时代支撑企业业务运营的重要 生产力。 ② 所谓数智化转型,在“十五五”规划建议的官方解读中,是 指强调在数字化的基础上,引入智能化技术,如自主学习、决策 优化、预测分析等,从而提高生产效率、优化资源配置、提升管 理水平、强化创新能力。 ③ 3)网络安全运营数智化 本课题所研究的网络安全运营数智化,旨在讨论在网络安全 ① GB/T23011—2022,3.3 ② 中国信息通信研究院 (CAICT)《企业智能化转型发展研究报告(2022)》 ③ 《人民日报》(2025 年 11 月 26 日) 6 运营领域,如何实现传统网络安全运营模式的数智化转型。即利 用 AI、大模型、数据融合等技术,实现从数据感知、智能分析到 闭环处置的全流程自动化运营系统,强调“数据驱动”“智能闭 环”和“自适应响应”。打造以“AI+安全运营”为核心的安全 运营中心,利用数据分析和人工智能技术,及时发现外部恶意攻 击威胁和资产风险,建立动态及主动的安全监测和感知机制,提 高对内外部信息安全事件的预警及响应处置速度。 2.演进动因与目标价值 网络安全运营框架是指导网络安全工作的重要基础。传统网 络安全运营框架往往侧重于被动防御和事后响应,难以有效应对 日益复杂的网络威胁。而数智化网络安全运营框架则强调主动防 御、智能分析和持续优化,以实现对网络安全的全面掌控。 传统网络安全运营框架通常包括安全策略制定、安全风险评 估、安全事件监测、安全事件响应以及安全审计等环节。这些环 节虽然构成了网络安全运营的基本流程,但在面对快速变化的网 络威胁时,往往显得力不从心。 数智化网络安全运营框架在传统框架的基础上进行了全面 升级。引入大数据分析、人工智能、机器学习等先进技术,构建 以数据为核心、以智能为驱动的全新运营模式。数智化框架强调 数据的实时采集与智能分析,通过自动化和智能化的手段实现安 全事件的快速响应和精准处置。同时,还注重安全运营的持续优 化和闭环管理,确保网络安全防护能力的不断提升。数智化网络 7 安全运营使网络安全运营工作从“规则驱动”走向“经验迁移+ 推理决策”,从“被动响应”走向“主动预测”,推动运营向高 效、低依赖、强联动演化。 (二)关键支撑技术 1.人工智能与机器学习技术 人工智能和机器学习技术使系统能够自主学习和适应变化。 在网络安全领域,这些技术被用于构建智能风险评估模型、自动 化威胁识别系统以及基于 AI 的决策支持系统。通过不断学习和 优化算法模型,AI 系统能够更准确地预测和应对网络威胁。 通过搭建安全场景知识库,实现多智能体协作架构(如采集 Agent、分析 Agent、执行 Agent),基于多模型动态适配(如 Qwen、 Deepseek),对多源告警数据智能分析,包括异常行为检测、误 报识别、攻击路径推理等。该模式不仅增强了数据分析的全面性 和深度,而且为不同场景下的告警分析提供了灵活高效的解决方 案,满足需求的多样性。 通过提示词工程优化大模型推理效果,可实现自动化分类和 处置建议生成。融合专家经验的研判流程建模,通过逆向分析运 营人员的研判逻辑,将告警分类、上下文关联、误报验证等核心 步骤抽象为自动化流程。从而构建从数据采集到决策输出的端到 端自动化分析闭环,替代传统的人工研判流程,提升分析效率和 准确性,减少专家经验依赖。 8 2.大数据分析技术 大数据分析技术能够处理海量、复杂的数据集,提取有价值 的信息和模式。在网络安全运营中,大数据分析技术被广泛应用 于安全日志分析、流量异常检测、用户行为分析等领域,帮助安 全团队及时发现潜在的安全威胁。 网络安全日志处理方面,通过大数据技术对原始日志统一采 集、清洗、富化、映射、存储等操作,实现不同安全日志类型格 式标准化和日志存储统一化,解决各类安全设备和系统的数据孤 岛问题。 安全态势感知方面,以大数据分析技术为支撑,通过主动关 联分析海量告警日志,发现潜在威胁,建立安全数据汇聚、检测 预警、分析研判、协同防御、安全可视于一体的安全运营中心, 从而准确地获知网络安全态势和快速响应安全事件,推进安全防 护体系从被动式向主动式转变,提升主动应对安全威胁的检测能 力和对内、外部信息安全事件预警及响应处置速度。 3.自动化与编排技术 应用安全编排自动化与响应(SOAR)技术,通过灵活的剧本 编排,对安全工具、专家经验及运维操作进行规划、整合、合作 和协调,从而将人、过程和技术结合起来,对跨多个技术范式的 运营流程及安全事件进行自动化响应,解放安全运营人力,大幅 提升安全运营工作效能。一是将专家经验转化为 SOP。将安全运 营过程中的一系列分析、判断、决策、优化任务封装为标准的自 9 动化动作,通过动作间的有机组合固化专家的安全运营经验,形 成剧本以完成不同场景下的安全运营任务。二是将安全设备能力 原子化。通过 API、命令行、本地脚本等手段,接入全安全设备, 并依据企业安全能力框架将各设备解构并重整为标准原子化能 力,使剧本能够根据安全运营需求及目标对安全设备进行动态敏 捷调度。 4.云原生与弹性架构 利用云原生高可用、快速恢复和弹性特性,
| ||
下载文档到本地,方便使用
共 37 页, 还有
9 页可预览,
继续阅读
文档评分
分享用户
it方案
文档
2881
文章
0
积分
10091
个性签名
暂无个性签名
金融保险行业场景AI大模型数智化应用方案(213页 WORD)