信息化觀察網(wǎng)

各行各業(yè)數(shù)字化轉(zhuǎn)型進(jìn)程不斷推進(jìn)，數(shù)據(jù)現(xiàn)在已經(jīng)不僅是IT領(lǐng)域企業(yè)關(guān)注的焦點(diǎn)。新技術(shù)的發(fā)展帶來(lái)了越來(lái)越龐大的數(shù)據(jù)量，數(shù)據(jù)也被當(dāng)做企業(yè)重要資產(chǎn)看待。銀行作為保有大量客戶數(shù)據(jù)及資金的金融機(jī)構(gòu)，信息安全方面一直是銀行最關(guān)注的話題之一，在銀行數(shù)字化轉(zhuǎn)型的過(guò)程中，如何保障云安全對(duì)于銀行來(lái)說(shuō)是重中之重。

近期，《新金融世界》記者就銀行在態(tài)勢(shì)感知如何應(yīng)用落地、如何可持續(xù)化的推進(jìn)態(tài)勢(shì)感知及銀行安全領(lǐng)域需要注意哪些問(wèn)題等問(wèn)題，采訪了某銀行信息科技部門的相關(guān)負(fù)責(zé)人。

打破傳統(tǒng)，建立新態(tài)勢(shì)感知

態(tài)勢(shì)感知對(duì)于銀行業(yè)安全運(yùn)維人員已不是一個(gè)新鮮的名詞，早在2015年前后，金融領(lǐng)域里很多機(jī)構(gòu)和供應(yīng)商就已開始嘗試進(jìn)行安全數(shù)據(jù)分析和數(shù)據(jù)加工，逐步建立了安全運(yùn)營(yíng)中心，在此基礎(chǔ)上進(jìn)行與態(tài)勢(shì)感知相關(guān)的實(shí)踐。

銀行領(lǐng)域傳統(tǒng)的態(tài)勢(shì)感知，從互聯(lián)網(wǎng)入口方式看，在銀行的入口處，最外面有負(fù)載均衡設(shè)備，有IPS、IDS相關(guān)設(shè)備，還有網(wǎng)頁(yè)防篡改等設(shè)備，這些設(shè)備通過(guò)架構(gòu)和配置連接，能起到數(shù)據(jù)安全防護(hù)的作用。該負(fù)責(zé)人表示，隨著銀行業(yè)務(wù)的發(fā)展，以及對(duì)安全要求的提升，目前，態(tài)勢(shì)感知在銀行的應(yīng)用已經(jīng)不僅局限于互聯(lián)網(wǎng)區(qū)，在非互聯(lián)網(wǎng)區(qū)也有所應(yīng)用，例如銀行與外部合作單位對(duì)接的外聯(lián)區(qū)域，以及銀企直聯(lián)的區(qū)域，都或多或少的涉及到態(tài)勢(shì)感知。

在信息技術(shù)高速發(fā)展的背景下，設(shè)備數(shù)量越來(lái)越多，相關(guān)配置也越來(lái)越復(fù)雜，經(jīng)常會(huì)出現(xiàn)一些漏洞或者補(bǔ)丁，數(shù)量達(dá)到一定級(jí)別后，傳統(tǒng)的信息安全管理技術(shù)體系已經(jīng)不能滿足金融機(jī)構(gòu)對(duì)于信息安全的要求。對(duì)此，該負(fù)責(zé)人表示，大數(shù)據(jù)將革新網(wǎng)絡(luò)安全。

銀行信息安全風(fēng)險(xiǎn)管控主要有三大主題，分別是：外部防(APT)攻擊、內(nèi)部防數(shù)據(jù)泄露及保持業(yè)務(wù)連續(xù)性，這三大主題都可以通過(guò)安全態(tài)勢(shì)感知實(shí)現(xiàn)。

據(jù)了解，該銀行利用大數(shù)據(jù)技術(shù)進(jìn)行日志收集，將收集的數(shù)據(jù)輸入智能分析平臺(tái)，利用威脅檢測(cè)模型進(jìn)行實(shí)時(shí)行為分析，利用攻擊鏈追溯進(jìn)行關(guān)聯(lián)分析，并與外部威脅情報(bào)疊加，最終通過(guò)建立模型，實(shí)現(xiàn)數(shù)據(jù)分析可視化，讓安全運(yùn)維人員能夠在特定場(chǎng)景中看見(jiàn)安全告警，從而有效、及時(shí)地處理安全事件。

該銀行基于最新版ELK+Spark的框架進(jìn)行開發(fā)和設(shè)計(jì)。對(duì)于為何使用此種框架，該負(fù)責(zé)人表示：“之所以使用ELK+Spark的框架，主要是因?yàn)镋LK本身比較適用于處理數(shù)據(jù)流，以及可以實(shí)現(xiàn)實(shí)時(shí)呈現(xiàn)數(shù)據(jù)。用Spark框架的方式主要是因?yàn)椋擉w系內(nèi)要進(jìn)行大量計(jì)算，需要第一時(shí)間拉出數(shù)據(jù)，并能夠?qū)⒗龅臄?shù)據(jù)通過(guò)提前設(shè)定好的規(guī)則或機(jī)器學(xué)習(xí)模型呈現(xiàn)出來(lái)。”

態(tài)勢(shì)感知場(chǎng)景分析是重點(diǎn)

銀行在運(yùn)用態(tài)勢(shì)感知的時(shí)候最重要的是進(jìn)行場(chǎng)景分析，如果場(chǎng)景不清晰，就很難在場(chǎng)景中做好數(shù)據(jù)處理，所以對(duì)場(chǎng)景的分析就等同于軟件的開發(fā)需求。

在場(chǎng)景分析層面，銀行場(chǎng)景要盡量具備中小銀行普適性，并對(duì)場(chǎng)景分層。具體可分為：基礎(chǔ)場(chǎng)景。通過(guò)簡(jiǎn)單規(guī)則匹配實(shí)現(xiàn)，使用于人機(jī)交互等基本場(chǎng)景；復(fù)雜場(chǎng)景。從中小銀行實(shí)際應(yīng)用出發(fā)，通過(guò)復(fù)雜關(guān)聯(lián)分析實(shí)現(xiàn)應(yīng)用場(chǎng)景；深度分析。從中小銀行實(shí)際需求出發(fā)，通過(guò)數(shù)據(jù)挖掘、機(jī)器學(xué)習(xí)等手段，實(shí)現(xiàn)未知威脅檢測(cè)等分析場(chǎng)景。

其中基礎(chǔ)場(chǎng)景涵蓋了終端、服務(wù)器、網(wǎng)絡(luò)、應(yīng)用、用戶等基礎(chǔ)信息的收集和整理；復(fù)雜場(chǎng)景涵蓋了溯源分析、關(guān)聯(lián)分析、Web檢測(cè)、數(shù)據(jù)監(jiān)視、非法入侵等分析與識(shí)別；深度分析場(chǎng)景則主要有DDos檢測(cè)、未知威脅檢測(cè)、異常攻擊等比較復(fù)雜的場(chǎng)景，還會(huì)運(yùn)用到一些新技術(shù)，去解決該場(chǎng)景下出現(xiàn)的問(wèn)題。

數(shù)據(jù)是安全運(yùn)維的核心

隨著大數(shù)據(jù)、云計(jì)算等技術(shù)的發(fā)展，數(shù)據(jù)已經(jīng)不僅是業(yè)務(wù)層面的核心競(jìng)爭(zhēng)力，在銀行等金融機(jī)構(gòu)安全運(yùn)維方面，數(shù)據(jù)也成為了銀行整體業(yè)務(wù)能否持續(xù)穩(wěn)定發(fā)展的重要抓手。

在銀行安全運(yùn)維領(lǐng)域，數(shù)據(jù)主要分為兩塊，一塊是日志數(shù)據(jù)，另一塊是流量數(shù)據(jù)。日志主要是通過(guò)Syslog進(jìn)行采集，流量數(shù)據(jù)主要是通過(guò)相關(guān)流量采集設(shè)備進(jìn)行采集。談到數(shù)據(jù)采集關(guān)鍵所在，該負(fù)責(zé)人表示，首先是日志采集的通道需要穩(wěn)定，金融機(jī)構(gòu)要使用一些比較穩(wěn)定的技術(shù)；其次數(shù)據(jù)采集通道要面向所有規(guī)格的數(shù)據(jù)；再次，無(wú)論是硬件采集器還是軟件采集器，要能夠?qū)崿F(xiàn)對(duì)日志的壓縮和排重功能。該負(fù)責(zé)人表示，采集需要有一個(gè)持續(xù)不斷、穩(wěn)定的系統(tǒng)，能持續(xù)提供數(shù)據(jù)到后續(xù)的日志加工處理系統(tǒng)中。

當(dāng)數(shù)據(jù)進(jìn)入日志加工處理系統(tǒng)后，因?yàn)榘踩罩旧婕暗脑O(shè)備和外部事件數(shù)量多，日志量龐大。如果不對(duì)數(shù)據(jù)進(jìn)行適度匹配和加工的話，就相當(dāng)于收集了一堆沒(méi)有價(jià)值的數(shù)據(jù)。據(jù)該負(fù)責(zé)人介紹，該銀行首先將數(shù)據(jù)上有維度缺失的進(jìn)行補(bǔ)齊，通過(guò)不同渠道擁有的記錄網(wǎng)絡(luò)傳輸以及準(zhǔn)確性篩選，篩選掉重復(fù)的數(shù)據(jù)后，進(jìn)行統(tǒng)一標(biāo)準(zhǔn)格式。統(tǒng)一格式后，日志和事件還需要利用大數(shù)據(jù)分布式存儲(chǔ)技術(shù)，實(shí)現(xiàn)數(shù)據(jù)的保密性和可靠性，利用大數(shù)據(jù)實(shí)時(shí)架構(gòu)，保障數(shù)據(jù)實(shí)現(xiàn)可實(shí)時(shí)檢索。最終，在數(shù)據(jù)理解和分析之前形成相應(yīng)的標(biāo)準(zhǔn)格式，將數(shù)據(jù)以一個(gè)標(biāo)準(zhǔn)格式輸入，基于該標(biāo)準(zhǔn)格式還有相關(guān)的事件流，對(duì)事件流進(jìn)行分析，才能進(jìn)一步實(shí)現(xiàn)挖掘數(shù)據(jù)的價(jià)值。

將數(shù)據(jù)標(biāo)準(zhǔn)化加工后，在一般場(chǎng)景中，通過(guò)規(guī)則引擎將數(shù)據(jù)依次呈現(xiàn)出標(biāo)準(zhǔn)方式，通過(guò)制定大量規(guī)則，檢測(cè)場(chǎng)景能否滿足需求。在復(fù)雜場(chǎng)景中，以機(jī)器學(xué)習(xí)的方式預(yù)測(cè)樣本和趨勢(shì)，并匹配到復(fù)雜場(chǎng)景中。

據(jù)該負(fù)責(zé)人介紹，該銀行目前在機(jī)器學(xué)習(xí)方面，主要使用的模型是LDA模型，該模型可以實(shí)現(xiàn)利用日志分析進(jìn)行關(guān)聯(lián)分析，該負(fù)責(zé)人介紹：“某一個(gè)日志在前一臺(tái)設(shè)備，通過(guò)日志分析能夠判斷出該日志的好壞，如果這個(gè)日志在后一臺(tái)設(shè)備也出現(xiàn)了，我們可以將后一臺(tái)設(shè)備的日志和前一臺(tái)設(shè)備的日志關(guān)聯(lián)起來(lái)，再進(jìn)行一次判斷，以此類推，如果該日志在幾臺(tái)設(shè)備中都出現(xiàn)了，就可以通過(guò)機(jī)器學(xué)習(xí)的方式認(rèn)定這個(gè)流量或者日志在系統(tǒng)中是正常訪問(wèn)請(qǐng)求，還是異常攻擊”。

據(jù)了解，該銀行目前已經(jīng)打造出一個(gè)態(tài)勢(shì)感知的原型產(chǎn)品，并且將該產(chǎn)品順利接入了人民銀行的態(tài)勢(shì)感知產(chǎn)品中。該負(fù)責(zé)人表示：“對(duì)接以后，人民銀行返給我們的相關(guān)信息，也可以和我們之前獲取的第三方情報(bào)信息再進(jìn)行匹配，反過(guò)來(lái)作用于我們自身的系統(tǒng)，達(dá)到更好的效果。”

隨著近幾年進(jìn)一步實(shí)踐，該銀行將未來(lái)信息安全管理的核心定義為，安全行為的數(shù)據(jù)分析。據(jù)了解，目前該銀行信息科技部門也在朝著數(shù)據(jù)分析方向轉(zhuǎn)型，該負(fù)責(zé)人表示，不僅是信息安全管理，整個(gè)運(yùn)維管理，都應(yīng)該朝著數(shù)據(jù)分析方向轉(zhuǎn)型。同時(shí)，他認(rèn)為，在銀行運(yùn)維及安全風(fēng)險(xiǎn)管控方面的自動(dòng)化和智能化，都基于數(shù)據(jù)，銀行需要建立一個(gè)中央級(jí)別，高質(zhì)量的數(shù)據(jù)庫(kù)，為其他系統(tǒng)提供基礎(chǔ)數(shù)據(jù)和匯總數(shù)據(jù)。

銀行在運(yùn)維角度的數(shù)據(jù)處理和收集質(zhì)量的提升刻不容緩，該負(fù)責(zé)人表示，在未來(lái)，銀行對(duì)于運(yùn)維和安全風(fēng)險(xiǎn)管控方面數(shù)據(jù)的重視程度，不應(yīng)該低于業(yè)務(wù)部門在營(yíng)銷和運(yùn)營(yíng)的過(guò)程中使用的生產(chǎn)和業(yè)務(wù)數(shù)據(jù)，數(shù)據(jù)將重新定義安全。