明朝萬達驅動商業銀行信息安全建設

程夢瑤

作為國內率先提出“動態防御，集中管控”理念的公司，北京明朝萬達科技股份有限公司（簡稱明朝萬達）從2005年公司成立之初，便開始自主研發Chinasec（安元）數據安全系列產品。經過十余年更迭，以Chinasec（安元）安全集中管控與審計系統為代表的數據安全產品已廣泛應用于金融、政府、公安、電信運營商、能源、設計院所和研發制造業等領域。

“數據安全，一定要融入業務，并成為業務生態信息化系統中不可分割的一部分?！痹缒觊g，明朝萬達董事長兼總裁王志海曾這樣表述產品與業務的融合之道。當下，若從眾多行業應用案例中，取金融一隅，便能更加清晰明了地洞察數據安全產品與業務之間如何相融了。

中小型商業銀行面臨的信息安全風險

自上世紀80年代起步以來，我國商業銀行的信息化建設從引進學習到自主創新，從單機應用到數據集中，從柜臺電算化到電子銀行，相較于政策性銀行，表現出較強的自主性和創新性。在相對缺少政策防護的前提下，尤其是中小型商業銀行面臨的信息安全風險更加險峻。

“商業銀行相對來說，慢慢轉變得更像互聯網公司?！泵鞒f達高級副總裁兼首席技術官喻波說，“我們在分析銀行的業務場景時，會從里面找出那些安全風險較高的場景，并針對不同的場景提出不同的防護措施?！?/p>

因此，明朝萬達提出了大數據環境下“場景+數據分析驅動安全”的信息安全建設思想，對網絡安全態勢感知的實現進行了多方面的論證，并對網絡安全態勢感知落地的實際情況進行詳細闡述，最后希望能夠在中小型商業銀行中推廣應用。

目前，中小型商業銀行在信息安全風險管理方面所面臨的共性問題包括：外部攻擊更加多樣化，外部的攻擊更為集中，現有的安全、審計措施難以適配大數據環境下的業務發展需求，風險評估標準和指標體系的缺失等。

以用戶行為數據為驅動

“金融數據流轉的業務場景是我們關注的一個高風險場景，這是我們的目標?！庇鞑ㄕ劦?，“比如，銀行的核心交易系統里面存儲了很多客戶敏感信息，當需要把這些數據拿到辦公網絡中使用，或者拿到外圍的IT系統中運行的時候，這個場景就是我們比較關注的一個高風險場景。我們會預定義一些規則，發現用戶的異常行為，并提出預警?！?/p>

Chinasec（安元）安全集中管控與審計系統更加關注用戶行為，以用戶視角為出發點，采集終端、主機、業務應用等多種類型數據，進行企業內部人員異常行為的探索發現和風險人員的精準定位，持續審計、跟蹤并進行風險預警。同時，系統內置了多種規則和策略模型，配合基線學習、機器學習等多種分析方法，檢測各種用戶異常行為，通過深鉆和關聯促進分析結果更加準確，及時應對各類用戶群體諸如越權訪問、無意數據泄漏、主動數據竊取等安全威脅。

“其實安全的本質說到底是人和人較量的過程，在金融行業，我們并不是通過安全策略去限制所有人的行為，而是通過行為分析將危險的行為終止。這是我們貫徹這個理念的一個產品，用戶行為能夠反應出一個人時時刻刻在做什么。而很多其他安全設備即便發現了網絡攻擊、惡意代碼等，也沒辦法追蹤到個人，最后往往不了了之。畢竟，安全事件最后還是要落實到人?！庇鞑ū硎?，地方中小型農商銀行的信息安全風險管理意識相對薄弱，當銀行業務逐漸轉向互聯網時，內部業務系統與互聯網之間的交互非常多。相較于過去，攻擊變得更加多樣，攻擊的目的也越來越明確，但很多地方中小型商業銀行還停留在傳統的安全防護階段，比如防火墻、IDS、IPS，能監測到一定量的攻擊，但沒有辦法完整地去監測用戶行為。

為成都農商銀行提供安全防護

2018年9月，在由大數據協同安全技術國家工程實驗室金融安全研究部舉辦的銀行業網絡安全優秀方案預選會上，成都農商銀行的“基于大數據的網絡安全態勢感知技術方案”成功入圍首批優秀方案，并成為全國銀行業網絡安全實踐中具有顯著技術創新性和應用示范效果的優秀方案。

在配合完成該方案的建設過程中，明朝萬達通過自主研發的Chinasec（安元）安全集中監控與審計系統，為成都農商行提供了全網可控的一體化管控平臺，可以感知接入設備運行情況，實時發現安全威脅和隱患以及時處置，智能化數據分析與預測，實現安全監測和數據集中審計，并通過可視化大屏進行展示和操作，突出了動態數據管理的核心價值。

值得一提的是，在成都農商銀行的整體方案建設中，融入了人工智能技術，即將機器學習應用到態勢感知中，通過聚類、分類、提取特征值、模型訓練和模型優化等步驟，實現了對未知威脅的主動識別，利用機器學習技術構建可信、可管、可控的安全平臺，對海量的數據進行自動分析與深度挖掘，及時響應、快速聯動，全面實現對數據全生命周期的管控，提升整體的安全防護能力。

其中，在數據采集方面，除了網絡設備的數據采集之外，“這套方案的核心優勢是能夠近距離地收集用戶的行為，也就是說，用戶操作電腦的行為是我們收集的對象，這是一個很有特色的地方?！庇鞑ㄕ劦?。與此同時，與傳統預警類產品不同的是，Chinasec（安元）安全集中監控與審計系統是按照事件驅動策略創建模型的，“傳統預警不能跟別的設備聯動，大多在事后做審計，我們這個系統可以和其他系統產生聯動，也就是說，可以在事中就能控制住風險的擴散?！?/p>

總體來看，這套方案通過高效、準確的機器學習和數據挖掘模型，將外部威脅數據與行內態勢數據相結合，并實現了業務系統安全態勢的動態可視化管理，覆蓋多種業務安全場景，從多維度對業務系統進行畫像。該方案的成功落地，實現了金融行業從數據安全到數據治理的提升。

最佳實踐：成都農商銀行大數據日志分析與態勢感知項目行業背景

隨著信息技術的不斷發展，中小商業銀行的信息安全建設取得了巨大進步，業務和日常運營對信息安全的要求越來越高，信息安全已經貫穿于銀行的所有產品、流程和經營活動中，已成為銀行核心競爭力的重要組成，為銀行穩健運營和創新持續發展提供了有力支撐。

然而，近年來，商業銀行的信息安全風險事件時有發生，信息技術在推動中小商業銀行業務創新和轉型變革的同時，也給銀行帶來了極大的風險，已經成為影響銀行穩健運營的重要風險因素。

當前網絡安全領域，正在面臨多種挑戰。

第一，外部攻擊更加多樣化。隨著外部攻擊的多樣化以及自身安全體系的發展，銀行安全架構日趨復雜，各種類型的安全設備、安全數據越來越多，隨著數據的爆炸，傳統的分析能力明顯力不從心。

同時，以APT等為代表的新型威脅的興起，內控與合規的深入，越來越需要儲存與分析更多的安全信息，并且以更加快速的做出判定和響應。

第二，外部的惡意攻擊更為集中。數據正慢慢成為業務發展核心動力，也成為黑客的主要目標。數據泄露等同于經濟損失。而銀行、金融數據成為更引人注意的“大目標”，對黑客而言，集中攻擊金融業務或平臺，可以降低攻擊成本，提升攻擊收益。

第三，現有的安全、審計措施難以適配。傳統的訪問控制多依賴于角色，而現在越來越多的業務基于大數據開展，難以準確實現角色劃分，并為角色授予恰當的權限，面對大數據量時細粒度的數據審計能力不足。

第四，風險評估標準和指標體系的缺失。數據業務的大數據建設不能簡單套用傳統的安全風險評估模型，也不能缺乏系統性的評估指標體系和工具集合。

核心功能

網絡安全態勢感知就是利用數據融合、數據挖掘、智能分析和可視化等技術，直觀顯示網絡環境的實時安全狀況，為網絡安全提供保障。

借助網絡安全態勢感知，網絡監管人員可以及時了解網絡的狀態、受攻擊情況、攻擊來源，以及哪些服務易受到攻擊等情況，并對發起攻擊的網絡采取措施，讓網絡用戶可以清楚地掌握所在網絡的安全狀態和趨勢，做好相應的防范準備，避免和減少網絡中病毒和惡意攻擊帶來的損失;維護、決策團隊也可以從網絡安全態勢中了解所服務網絡的安全狀況和發展趨勢，為制定有預見性的應急預案提供基礎。最終實現從被動防御到主動防御，從被動運維到主動運維。

在實施和不斷完善、優化的過程中，取得了良好的成果，具體如下。

1.基于內存的算法和模型，提高處理的速度和規模，最大數據處理量在10萬EPS，最低數據分析延遲小于1秒鐘。

2.利用規則引擎，制定了700多種規則策略，包括了：拒絕服務惡意腳本、SQL注入攻擊、特殊字符URL訪問、可疑HTTP請求訪問、Bash Shell Shock漏洞、Nginx文件解析漏洞、文件包含漏洞、LDAP漏洞、Struts2遠程代碼執行漏洞、遠程代碼執行漏洞、Xpath注入、跨站腳本攻擊、IIS服務器攻擊、CSRF漏洞攻擊探測、可疑文件訪問、SQL盲注攻擊探測、敏感文件探測、異常HTTP請求探測、敏感目錄訪問等。

3.實現了幾十種不同的安全分析場景，包括：DDos攻擊、APT攻擊、漏洞成功利用攻擊、潛伏型應用攻擊、暴力破解、CC攻擊、掃描行為攻擊等。

方案價值

方案在研究、實施過程中，對整體的數據架構、數據采集、數據分析、態勢展現進行了研究。

在數據架構階段，支持資源的橫向和縱向擴展、支持源數據的擴展，保證未來業務系統、應用的接入，為實現全面日志的接入打好基礎;在數據采集階段，對數據質量進行了整改，對數據接口進行了定義，保障日志源的快速擴展;在數據分析階段，根據不同的場景，采用不同的算法以及模型，保證對未知威脅的分析和已知威脅的監控;在態勢展現階段，對各類功能點以及相應時間進行了定義，保障實時、全面、動態地反映行內態勢。同時，“場景+數據分析驅動安全”理論在安全大數據的成功落地，也具有重大的意義。

在理論價值方面，具體如下。

1.當前中小商業銀行網絡安全主要是通過設備的堆疊，無法應對未知威脅，本方案提出的大數據安全態勢感知，是當前大數據環境下網絡安全建設新方向、新思路。

2.本方案提出的“場景+數據分析驅動安全”的網絡安全建設理論為中小銀行的信息安全建設提供了理論基礎，為網絡安全建設實施落地提供了理論依據;

在實際價值方面，具體如下。

1.運用本方案提出的大數據態勢感知，可以實時、直觀的看到當前網絡環境的整體情況，及時發現未知威脅以及隱藏威脅。

2.通過關聯分析與規則模型、數據挖掘、機器學習，各類安全場景可以進行擴展，既能完全覆蓋傳統場景，又能將傳統場景與未知場景進行結合，實現全方位的安全監控。

3.通過溯源分析，繪制攻擊鏈，直觀地描述各個節點與攻擊者的關系，提高安全決策的科學性。

4.通過獲取外部態勢數據，與內部數據結合，對外增加防御的廣度，對內增加防御的深度;同時通過不斷的信息交流，促成信息安全生態圈。

5.基于研究成果搭建大數據安全態勢感知平臺，可以及時進行針對性的監管，防范區域性風險。