明朝万达驱动商业银行信息安全建设
时间:2021-01-23 14:06:11 来源:达达文档网 本文已影响 人 
程梦瑶
作为国内率先提出“动态防御,集中管控”理念的公司,北京明朝万达科技股份有限公司(简称明朝万达)從2005年公司成立之初,便开始自主研发Chinasec(安元)数据安全系列产品。经过十余年更迭,以Chinasec(安元)安全集中管控与审计系统为代表的数据安全产品已广泛应用于金融、政府、公安、电信运营商、能源、设计院所和研发制造业等领域。
“数据安全,一定要融入业务,并成为业务生态信息化系统中不可分割的一部分。”早年间,明朝万达董事长兼总裁王志海曾这样表述产品与业务的融合之道。当下,若从众多行业应用案例中,取金融一隅,便能更加清晰明了地洞察数据安全产品与业务之间如何相融了。
中小型商业银行面临的信息安全风险
自上世纪80年代起步以来,我国商业银行的信息化建设从引进学习到自主创新,从单机应用到数据集中,从柜台电算化到电子银行,相较于政策性银行,表现出较强的自主性和创新性。在相对缺少政策防护的前提下,尤其是中小型商业银行面临的信息安全风险更加险峻。
“商业银行相对来说,慢慢转变得更像互联网公司。”明朝万达高级副总裁兼首席技术官喻波说,“我们在分析银行的业务场景时,会从里面找出那些安全风险较高的场景,并针对不同的场景提出不同的防护措施。”
因此,明朝万达提出了大数据环境下“场景+数据分析驱动安全”的信息安全建设思想,对网络安全态势感知的实现进行了多方面的论证,并对网络安全态势感知落地的实际情况进行详细阐述,最后希望能够在中小型商业银行中推广应用。
目前,中小型商业银行在信息安全风险管理方面所面临的共性问题包括:外部攻击更加多样化,外部的攻击更为集中,现有的安全、审计措施难以适配大数据环境下的业务发展需求,风险评估标准和指标体系的缺失等。
以用户行为数据为驱动
“金融数据流转的业务场景是我们关注的一个高风险场景,这是我们的目标。”喻波谈道,“比如,银行的核心交易系统里面存储了很多客户敏感信息,当需要把这些数据拿到办公网络中使用,或者拿到外围的IT系统中运行的时候,这个场景就是我们比较关注的一个高风险场景。我们会预定义一些规则,发现用户的异常行为,并提出预警。”
Chinasec(安元)安全集中管控与审计系统更加关注用户行为,以用户视角为出发点,采集终端、主机、业务应用等多种类型数据,进行企业内部人员异常行为的探索发现和风险人员的精准定位,持续审计、跟踪并进行风险预警。同时,系统内置了多种规则和策略模型,配合基线学习、机器学习等多种分析方法,检测各种用户异常行为,通过深钻和关联促进分析结果更加准确,及时应对各类用户群体诸如越权访问、无意数据泄漏、主动数据窃取等安全威胁。
“其实安全的本质说到底是人和人较量的过程,在金融行业,我们并不是通过安全策略去限制所有人的行为,而是通过行为分析将危险的行为终止。这是我们贯彻这个理念的一个产品,用户行为能够反应出一个人时时刻刻在做什么。而很多其他安全设备即便发现了网络攻击、恶意代码等,也没办法追踪到个人,最后往往不了了之。毕竟,安全事件最后还是要落实到人。”喻波表示,地方中小型农商银行的信息安全风险管理意识相对薄弱,当银行业务逐渐转向互联网时,内部业务系统与互联网之间的交互非常多。相较于过去,攻击变得更加多样,攻击的目的也越来越明确,但很多地方中小型商业银行还停留在传统的安全防护阶段,比如防火墙、IDS、IPS,能监测到一定量的攻击,但没有办法完整地去监测用户行为。
为成都农商银行提供安全防护
2018年9月,在由大数据协同安全技术国家工程实验室金融安全研究部举办的银行业网络安全优秀方案预选会上,成都农商银行的“基于大数据的网络安全态势感知技术方案”成功入围首批优秀方案,并成为全国银行业网络安全实践中具有显著技术创新性和应用示范效果的优秀方案。
在配合完成该方案的建设过程中,明朝万达通过自主研发的Chinasec(安元)安全集中监控与审计系统,为成都农商行提供了全网可控的一体化管控平台,可以感知接入设备运行情况,实时发现安全威胁和隐患以及时处置,智能化数据分析与预测,实现安全监测和数据集中审计,并通过可视化大屏进行展示和操作,突出了动态数据管理的核心价值。
值得一提的是,在成都农商银行的整体方案建设中,融入了人工智能技术,即将机器学习应用到态势感知中,通过聚类、分类、提取特征值、模型训练和模型优化等步骤,实现了对未知威胁的主动识别,利用机器学习技术构建可信、可管、可控的安全平台,对海量的数据进行自动分析与深度挖掘,及时响应、快速联动,全面实现对数据全生命周期的管控,提升整体的安全防护能力。
其中,在数据采集方面,除了网络设备的数据采集之外,“这套方案的核心优势是能够近距离地收集用户的行为,也就是说,用户操作电脑的行为是我们收集的对象,这是一个很有特色的地方。”喻波谈道。与此同时,与传统预警类产品不同的是,Chinasec(安元)安全集中监控与审计系统是按照事件驱动策略创建模型的,“传统预警不能跟别的设备联动,大多在事后做审计,我们这个系统可以和其他系统产生联动,也就是说,可以在事中就能控制住风险的扩散。”
总体来看,这套方案通过高效、准确的机器学习和数据挖掘模型,将外部威胁数据与行内态势数据相结合,并实现了业务系统安全态势的动态可视化管理,覆盖多种业务安全场景,从多维度对业务系统进行画像。该方案的成功落地,实现了金融行业从数据安全到数据治理的提升。
最佳实践:成都农商银行大数据日志分析与态势感知项目行业背景
随着信息技术的不断发展,中小商业银行的信息安全建设取得了巨大进步,业务和日常运营对信息安全的要求越来越高,信息安全已经贯穿于银行的所有产品、流程和经营活动中,已成为银行核心竞争力的重要组成,为银行稳健运营和创新持续发展提供了有力支撑。
然而,近年来,商业银行的信息安全风险事件时有发生,信息技术在推动中小商业银行业务创新和转型变革的同时,也给银行带来了极大的风险,已经成为影响银行稳健运营的重要风险因素。
当前网络安全领域,正在面临多种挑战。
第一,外部攻击更加多样化。随着外部攻击的多样化以及自身安全体系的发展,银行安全架构日趋复杂,各种类型的安全设备、安全数据越来越多,随着数据的爆炸,传统的分析能力明显力不从心。
同时,以APT等为代表的新型威胁的兴起,内控与合规的深入,越来越需要储存与分析更多的安全信息,并且以更加快速的做出判定和响应。
第二,外部的恶意攻击更为集中。数据正慢慢成为业务发展核心动力,也成为黑客的主要目标。数据泄露等同于经济损失。而银行、金融数据成为更引人注意的“大目标”,对黑客而言,集中攻击金融业务或平台,可以降低攻击成本,提升攻击收益。
第三,现有的安全、审计措施难以适配。传统的访问控制多依赖于角色,而现在越来越多的业务基于大数据开展,难以准确实现角色划分,并为角色授予恰当的权限,面对大数据量时细粒度的数据审计能力不足。
第四,风险评估标准和指标体系的缺失。数据业务的大数据建设不能简单套用传统的安全风险评估模型,也不能缺乏系统性的评估指标体系和工具集合。
核心功能
网络安全态势感知就是利用数据融合、数据挖掘、智能分析和可视化等技术,直观显示网络环境的实时安全状况,为网络安全提供保障。
借助网络安全态势感知,网络监管人员可以及时了解网络的状态、受攻击情况、攻击来源,以及哪些服务易受到攻击等情况,并对发起攻击的网络采取措施,让网络用户可以清楚地掌握所在网络的安全状态和趋势,做好相应的防范准备,避免和减少网络中病毒和恶意攻击带来的损失;维护、决策团队也可以从网络安全态势中了解所服务网络的安全状况和发展趋势,为制定有预见性的应急预案提供基础。最终实现从被动防御到主动防御,从被动运维到主动运维。
在实施和不断完善、优化的过程中,取得了良好的成果,具体如下。
1.基于内存的算法和模型,提高处理的速度和规模,最大数据处理量在10万EPS,最低数据分析延迟小于1秒钟。
2.利用规则引擎,制定了700多种规则策略,包括了:拒绝服务恶意脚本、SQL注入攻击、特殊字符URL访问、可疑HTTP请求访问、Bash Shell Shock漏洞、Nginx文件解析漏洞、文件包含漏洞、LDAP漏洞、Struts2遠程代码执行漏洞、远程代码执行漏洞、Xpath注入、跨站脚本攻击、IIS服务器攻击、CSRF漏洞攻击探测、可疑文件访问、SQL盲注攻击探测、敏感文件探测、异常HTTP请求探测、敏感目录访问等。
3.实现了几十种不同的安全分析场景,包括:DDos攻击、APT攻击、漏洞成功利用攻击、潜伏型应用攻击、暴力破解、CC攻击、扫描行为攻击等。
方案价值
方案在研究、实施过程中,对整体的数据架构、数据采集、数据分析、态势展现进行了研究。
在数据架构阶段,支持资源的横向和纵向扩展、支持源数据的扩展,保证未来业务系统、应用的接入,为实现全面日志的接入打好基础;在数据采集阶段,对数据质量进行了整改,对数据接口进行了定义,保障日志源的快速扩展;在数据分析阶段,根据不同的场景,采用不同的算法以及模型,保证对未知威胁的分析和已知威胁的监控;在态势展现阶段,对各类功能点以及相应时间进行了定义,保障实时、全面、动态地反映行内态势。同时,“场景+数据分析驱动安全”理论在安全大数据的成功落地,也具有重大的意义。
在理论价值方面,具体如下。
1.当前中小商业银行网络安全主要是通过设备的堆叠,无法应对未知威胁,本方案提出的大数据安全态势感知,是当前大数据环境下网络安全建设新方向、新思路。
2.本方案提出的“场景+数据分析驱动安全”的网络安全建设理论为中小银行的信息安全建设提供了理论基础,为网络安全建设实施落地提供了理论依据;
在实际价值方面,具体如下。
1.运用本方案提出的大数据态势感知,可以实时、直观的看到当前网络环境的整体情况,及时发现未知威胁以及隐藏威胁。
2.通过关联分析与规则模型、数据挖掘、机器学习,各类安全场景可以进行扩展,既能完全覆盖传统场景,又能将传统场景与未知场景进行结合,实现全方位的安全监控。
3.通过溯源分析,绘制攻击链,直观地描述各个节点与攻击者的关系,提高安全决策的科学性。
4.通过获取外部态势数据,与内部数据结合,对外增加防御的广度,对内增加防御的深度;同时通过不断的信息交流,促成信息安全生态圈。
5.基于研究成果搭建大数据安全态势感知平台,可以及时进行针对性的监管,防范区域性风险。
