程夢瑤

作為國內(nèi)率先提出“動態(tài)防御，集中管控”理念的公司，北京明朝萬達科技股份有限公司（簡稱明朝萬達）從2005年公司成立之初，便開始自主研發(fā)Chinasec（安元）數(shù)據(jù)安全系列產(chǎn)品。經(jīng)過十余年更迭，以Chinasec（安元）安全集中管控與審計系統(tǒng)為代表的數(shù)據(jù)安全產(chǎn)品已廣泛應用于金融、政府、公安、電信運營商、能源、設(shè)計院所和研發(fā)制造業(yè)等領(lǐng)域。

“數(shù)據(jù)安全，一定要融入業(yè)務，并成為業(yè)務生態(tài)信息化系統(tǒng)中不可分割的一部分。”早年間，明朝萬達董事長兼總裁王志海曾這樣表述產(chǎn)品與業(yè)務的融合之道。當下，若從眾多行業(yè)應用案例中，取金融一隅，便能更加清晰明了地洞察數(shù)據(jù)安全產(chǎn)品與業(yè)務之間如何相融了。

中小型商業(yè)銀行面臨的信息安全風險

自上世紀80年代起步以來，我國商業(yè)銀行的信息化建設(shè)從引進學習到自主創(chuàng)新，從單機應用到數(shù)據(jù)集中，從柜臺電算化到電子銀行，相較于政策性銀行，表現(xiàn)出較強的自主性和創(chuàng)新性。在相對缺少政策防護的前提下，尤其是中小型商業(yè)銀行面臨的信息安全風險更加險峻。

“商業(yè)銀行相對來說，慢慢轉(zhuǎn)變得更像互聯(lián)網(wǎng)公司?！泵鞒f達高級副總裁兼首席技術(shù)官喻波說，“我們在分析銀行的業(yè)務場景時，會從里面找出那些安全風險較高的場景，并針對不同的場景提出不同的防護措施?！?/p>

因此，明朝萬達提出了大數(shù)據(jù)環(huán)境下“場景+數(shù)據(jù)分析驅(qū)動安全”的信息安全建設(shè)思想，對網(wǎng)絡安全態(tài)勢感知的實現(xiàn)進行了多方面的論證，并對網(wǎng)絡安全態(tài)勢感知落地的實際情況進行詳細闡述，最后希望能夠在中小型商業(yè)銀行中推廣應用。

目前，中小型商業(yè)銀行在信息安全風險管理方面所面臨的共性問題包括：外部攻擊更加多樣化，外部的攻擊更為集中，現(xiàn)有的安全、審計措施難以適配大數(shù)據(jù)環(huán)境下的業(yè)務發(fā)展需求，風險評估標準和指標體系的缺失等。

以用戶行為數(shù)據(jù)為驅(qū)動

“金融數(shù)據(jù)流轉(zhuǎn)的業(yè)務場景是我們關(guān)注的一個高風險場景，這是我們的目標?！庇鞑ㄕ劦溃氨热?，銀行的核心交易系統(tǒng)里面存儲了很多客戶敏感信息，當需要把這些數(shù)據(jù)拿到辦公網(wǎng)絡中使用，或者拿到外圍的IT系統(tǒng)中運行的時候，這個場景就是我們比較關(guān)注的一個高風險場景。我們會預定義一些規(guī)則，發(fā)現(xiàn)用戶的異常行為，并提出預警?！?/p>

Chinasec（安元）安全集中管控與審計系統(tǒng)更加關(guān)注用戶行為，以用戶視角為出發(fā)點，采集終端、主機、業(yè)務應用等多種類型數(shù)據(jù)，進行企業(yè)內(nèi)部人員異常行為的探索發(fā)現(xiàn)和風險人員的精準定位，持續(xù)審計、跟蹤并進行風險預警。同時，系統(tǒng)內(nèi)置了多種規(guī)則和策略模型，配合基線學習、機器學習等多種分析方法，檢測各種用戶異常行為，通過深鉆和關(guān)聯(lián)促進分析結(jié)果更加準確，及時應對各類用戶群體諸如越權(quán)訪問、無意數(shù)據(jù)泄漏、主動數(shù)據(jù)竊取等安全威脅。

“其實安全的本質(zhì)說到底是人和人較量的過程，在金融行業(yè)，我們并不是通過安全策略去限制所有人的行為，而是通過行為分析將危險的行為終止。這是我們貫徹這個理念的一個產(chǎn)品，用戶行為能夠反應出一個人時時刻刻在做什么。而很多其他安全設(shè)備即便發(fā)現(xiàn)了網(wǎng)絡攻擊、惡意代碼等，也沒辦法追蹤到個人，最后往往不了了之。畢竟，安全事件最后還是要落實到人?！庇鞑ū硎?，地方中小型農(nóng)商銀行的信息安全風險管理意識相對薄弱，當銀行業(yè)務逐漸轉(zhuǎn)向互聯(lián)網(wǎng)時，內(nèi)部業(yè)務系統(tǒng)與互聯(lián)網(wǎng)之間的交互非常多。相較于過去，攻擊變得更加多樣，攻擊的目的也越來越明確，但很多地方中小型商業(yè)銀行還停留在傳統(tǒng)的安全防護階段，比如防火墻、IDS、IPS，能監(jiān)測到一定量的攻擊，但沒有辦法完整地去監(jiān)測用戶行為。

為成都農(nóng)商銀行提供安全防護

2018年9月，在由大數(shù)據(jù)協(xié)同安全技術(shù)國家工程實驗室金融安全研究部舉辦的銀行業(yè)網(wǎng)絡安全優(yōu)秀方案預選會上，成都農(nóng)商銀行的“基于大數(shù)據(jù)的網(wǎng)絡安全態(tài)勢感知技術(shù)方案”成功入圍首批優(yōu)秀方案，并成為全國銀行業(yè)網(wǎng)絡安全實踐中具有顯著技術(shù)創(chuàng)新性和應用示范效果的優(yōu)秀方案。

在配合完成該方案的建設(shè)過程中，明朝萬達通過自主研發(fā)的Chinasec（安元）安全集中監(jiān)控與審計系統(tǒng)，為成都農(nóng)商行提供了全網(wǎng)可控的一體化管控平臺，可以感知接入設(shè)備運行情況，實時發(fā)現(xiàn)安全威脅和隱患以及時處置，智能化數(shù)據(jù)分析與預測，實現(xiàn)安全監(jiān)測和數(shù)據(jù)集中審計，并通過可視化大屏進行展示和操作，突出了動態(tài)數(shù)據(jù)管理的核心價值。

值得一提的是，在成都農(nóng)商銀行的整體方案建設(shè)中，融入了人工智能技術(shù)，即將機器學習應用到態(tài)勢感知中，通過聚類、分類、提取特征值、模型訓練和模型優(yōu)化等步驟，實現(xiàn)了對未知威脅的主動識別，利用機器學習技術(shù)構(gòu)建可信、可管、可控的安全平臺，對海量的數(shù)據(jù)進行自動分析與深度挖掘，及時響應、快速聯(lián)動，全面實現(xiàn)對數(shù)據(jù)全生命周期的管控，提升整體的安全防護能力。

其中，在數(shù)據(jù)采集方面，除了網(wǎng)絡設(shè)備的數(shù)據(jù)采集之外，“這套方案的核心優(yōu)勢是能夠近距離地收集用戶的行為，也就是說，用戶操作電腦的行為是我們收集的對象，這是一個很有特色的地方?！庇鞑ㄕ劦?。與此同時，與傳統(tǒng)預警類產(chǎn)品不同的是，Chinasec（安元）安全集中監(jiān)控與審計系統(tǒng)是按照事件驅(qū)動策略創(chuàng)建模型的，“傳統(tǒng)預警不能跟別的設(shè)備聯(lián)動，大多在事后做審計，我們這個系統(tǒng)可以和其他系統(tǒng)產(chǎn)生聯(lián)動，也就是說，可以在事中就能控制住風險的擴散?！?/p>

總體來看，這套方案通過高效、準確的機器學習和數(shù)據(jù)挖掘模型，將外部威脅數(shù)據(jù)與行內(nèi)態(tài)勢數(shù)據(jù)相結(jié)合，并實現(xiàn)了業(yè)務系統(tǒng)安全態(tài)勢的動態(tài)可視化管理，覆蓋多種業(yè)務安全場景，從多維度對業(yè)務系統(tǒng)進行畫像。該方案的成功落地，實現(xiàn)了金融行業(yè)從數(shù)據(jù)安全到數(shù)據(jù)治理的提升。

最佳實踐：成都農(nóng)商銀行大數(shù)據(jù)日志分析與態(tài)勢感知項目行業(yè)背景

隨著信息技術(shù)的不斷發(fā)展，中小商業(yè)銀行的信息安全建設(shè)取得了巨大進步，業(yè)務和日常運營對信息安全的要求越來越高，信息安全已經(jīng)貫穿于銀行的所有產(chǎn)品、流程和經(jīng)營活動中，已成為銀行核心競爭力的重要組成，為銀行穩(wěn)健運營和創(chuàng)新持續(xù)發(fā)展提供了有力支撐。

然而，近年來，商業(yè)銀行的信息安全風險事件時有發(fā)生，信息技術(shù)在推動中小商業(yè)銀行業(yè)務創(chuàng)新和轉(zhuǎn)型變革的同時，也給銀行帶來了極大的風險，已經(jīng)成為影響銀行穩(wěn)健運營的重要風險因素。

當前網(wǎng)絡安全領(lǐng)域，正在面臨多種挑戰(zhàn)。

第一，外部攻擊更加多樣化。隨著外部攻擊的多樣化以及自身安全體系的發(fā)展，銀行安全架構(gòu)日趨復雜，各種類型的安全設(shè)備、安全數(shù)據(jù)越來越多，隨著數(shù)據(jù)的爆炸，傳統(tǒng)的分析能力明顯力不從心。

同時，以APT等為代表的新型威脅的興起，內(nèi)控與合規(guī)的深入，越來越需要儲存與分析更多的安全信息，并且以更加快速的做出判定和響應。

第二，外部的惡意攻擊更為集中。數(shù)據(jù)正慢慢成為業(yè)務發(fā)展核心動力，也成為黑客的主要目標。數(shù)據(jù)泄露等同于經(jīng)濟損失。而銀行、金融數(shù)據(jù)成為更引人注意的“大目標”，對黑客而言，集中攻擊金融業(yè)務或平臺，可以降低攻擊成本，提升攻擊收益。

第三，現(xiàn)有的安全、審計措施難以適配。傳統(tǒng)的訪問控制多依賴于角色，而現(xiàn)在越來越多的業(yè)務基于大數(shù)據(jù)開展，難以準確實現(xiàn)角色劃分，并為角色授予恰當?shù)臋?quán)限，面對大數(shù)據(jù)量時細粒度的數(shù)據(jù)審計能力不足。

第四，風險評估標準和指標體系的缺失。數(shù)據(jù)業(yè)務的大數(shù)據(jù)建設(shè)不能簡單套用傳統(tǒng)的安全風險評估模型，也不能缺乏系統(tǒng)性的評估指標體系和工具集合。

核心功能

網(wǎng)絡安全態(tài)勢感知就是利用數(shù)據(jù)融合、數(shù)據(jù)挖掘、智能分析和可視化等技術(shù)，直觀顯示網(wǎng)絡環(huán)境的實時安全狀況，為網(wǎng)絡安全提供保障。

借助網(wǎng)絡安全態(tài)勢感知，網(wǎng)絡監(jiān)管人員可以及時了解網(wǎng)絡的狀態(tài)、受攻擊情況、攻擊來源，以及哪些服務易受到攻擊等情況，并對發(fā)起攻擊的網(wǎng)絡采取措施，讓網(wǎng)絡用戶可以清楚地掌握所在網(wǎng)絡的安全狀態(tài)和趨勢，做好相應的防范準備，避免和減少網(wǎng)絡中病毒和惡意攻擊帶來的損失;維護、決策團隊也可以從網(wǎng)絡安全態(tài)勢中了解所服務網(wǎng)絡的安全狀況和發(fā)展趨勢，為制定有預見性的應急預案提供基礎(chǔ)。最終實現(xiàn)從被動防御到主動防御，從被動運維到主動運維。

在實施和不斷完善、優(yōu)化的過程中，取得了良好的成果，具體如下。

1.基于內(nèi)存的算法和模型，提高處理的速度和規(guī)模，最大數(shù)據(jù)處理量在10萬EPS，最低數(shù)據(jù)分析延遲小于1秒鐘。

2.利用規(guī)則引擎，制定了700多種規(guī)則策略，包括了：拒絕服務惡意腳本、SQL注入攻擊、特殊字符URL訪問、可疑HTTP請求訪問、Bash Shell Shock漏洞、Nginx文件解析漏洞、文件包含漏洞、LDAP漏洞、Struts2遠程代碼執(zhí)行漏洞、遠程代碼執(zhí)行漏洞、Xpath注入、跨站腳本攻擊、IIS服務器攻擊、CSRF漏洞攻擊探測、可疑文件訪問、SQL盲注攻擊探測、敏感文件探測、異常HTTP請求探測、敏感目錄訪問等。

3.實現(xiàn)了幾十種不同的安全分析場景，包括：DDos攻擊、APT攻擊、漏洞成功利用攻擊、潛伏型應用攻擊、暴力破解、CC攻擊、掃描行為攻擊等。

方案價值

方案在研究、實施過程中，對整體的數(shù)據(jù)架構(gòu)、數(shù)據(jù)采集、數(shù)據(jù)分析、態(tài)勢展現(xiàn)進行了研究。

在數(shù)據(jù)架構(gòu)階段，支持資源的橫向和縱向擴展、支持源數(shù)據(jù)的擴展，保證未來業(yè)務系統(tǒng)、應用的接入，為實現(xiàn)全面日志的接入打好基礎(chǔ);在數(shù)據(jù)采集階段，對數(shù)據(jù)質(zhì)量進行了整改，對數(shù)據(jù)接口進行了定義，保障日志源的快速擴展;在數(shù)據(jù)分析階段，根據(jù)不同的場景，采用不同的算法以及模型，保證對未知威脅的分析和已知威脅的監(jiān)控;在態(tài)勢展現(xiàn)階段，對各類功能點以及相應時間進行了定義，保障實時、全面、動態(tài)地反映行內(nèi)態(tài)勢。同時，“場景+數(shù)據(jù)分析驅(qū)動安全”理論在安全大數(shù)據(jù)的成功落地，也具有重大的意義。

在理論價值方面，具體如下。

1.當前中小商業(yè)銀行網(wǎng)絡安全主要是通過設(shè)備的堆疊，無法應對未知威脅，本方案提出的大數(shù)據(jù)安全態(tài)勢感知，是當前大數(shù)據(jù)環(huán)境下網(wǎng)絡安全建設(shè)新方向、新思路。

2.本方案提出的“場景+數(shù)據(jù)分析驅(qū)動安全”的網(wǎng)絡安全建設(shè)理論為中小銀行的信息安全建設(shè)提供了理論基礎(chǔ)，為網(wǎng)絡安全建設(shè)實施落地提供了理論依據(jù);

在實際價值方面，具體如下。

1.運用本方案提出的大數(shù)據(jù)態(tài)勢感知，可以實時、直觀的看到當前網(wǎng)絡環(huán)境的整體情況，及時發(fā)現(xiàn)未知威脅以及隱藏威脅。

2.通過關(guān)聯(lián)分析與規(guī)則模型、數(shù)據(jù)挖掘、機器學習，各類安全場景可以進行擴展，既能完全覆蓋傳統(tǒng)場景，又能將傳統(tǒng)場景與未知場景進行結(jié)合，實現(xiàn)全方位的安全監(jiān)控。

3.通過溯源分析，繪制攻擊鏈，直觀地描述各個節(jié)點與攻擊者的關(guān)系，提高安全決策的科學性。

4.通過獲取外部態(tài)勢數(shù)據(jù)，與內(nèi)部數(shù)據(jù)結(jié)合，對外增加防御的廣度，對內(nèi)增加防御的深度;同時通過不斷的信息交流，促成信息安全生態(tài)圈。

5.基于研究成果搭建大數(shù)據(jù)安全態(tài)勢感知平臺，可以及時進行針對性的監(jiān)管，防范區(qū)域性風險。