馬晨怡-建設新一代金融業智慧安全態勢感知平臺（17頁）.pdf

1、馬晨怡馬晨怡 光大銀行科技部安全處安全運營工程師光大銀行科技部安全處安全運營工程師建設新一代金融業安全運營與智慧感知平臺全球網絡安全形勢關鍵設施安全提升到國家安全高度網絡安全上升為國家戰略領域網絡空間“無硝煙”戰爭頻度加重 網絡攻擊成為全球僅次于“極端天氣”和“自然災害”的第三大威脅。據聯合國裁軍研究所報告顯示，世界多國已經成立了總數超過220支專業網絡戰部隊。國家入局關鍵基礎設施攻擊，網絡安全成為國家安全戰略 網絡武器研發投入巨大，已具備多種打擊能力。攻擊范圍擴散多領域，軍工、水電民生、金融、金融委內瑞拉遭受某組織策劃的嚴重的網絡安全攻擊，導致全境大面積斷電，國家接近崩潰。網絡部隊在打擊“伊

2、斯蘭國”的戰役中支持美國及其盟國成功的實施打擊活動。2017年7月頒布網絡安全法，2020年10月21日，全國人大法工委公開就中華人民共和國個人信息保護法(草案)征求意見2015年美國簽署2015年網絡安全法案2016年7月6日歐盟正式通過首部網絡安全法網絡與信息系統安全指令(NISD)各國加快網絡空間安全的戰略舉措和法規研究、制定工作，網絡空間安全和治理成為各國戰略安全的“國之大事”。高度重視關鍵基礎設施安全 配套系列標準發布，重視新技術風險 數據保護方向完善，重視個人隱私權益保護 由政府、行業組織和社會公共監管荷蘭三大銀行頻遭 DDoS 攻擊，導致網絡服務業務下滑朝鮮Hidden Cobr

3、a組織通過一種新的Flash 漏洞攻擊土耳其金融系統。世界多地 ATM 機遭遇“Jackpotting”攻擊，自動吐鈔 惡意攻擊者隊伍不斷壯大，攻擊方式呈現多樣化，手段包括詐騙、釣魚、勒索、社工、ATM感染、域名劫持、資金盜取、信息泄露等。網絡安全形勢日趨嚴峻，APT攻擊增多 黑客攻擊手段不斷升級 網絡詐騙產業規模迅速擴大，信息泄露嚴重國內網絡安全政策制度體系補充性國家標準法律國標網絡安全法關鍵信息基礎設施保護條例法規檢查評估指南安全保護基本要求保障指標體系x安全控制措施網絡安全框架以網絡安全法為綱，關鍵信息基礎設施保護條例為指導，參照網絡安全架構和安全保護基本要求等國家標準，以”實戰化，體系

4、化，常態化”為新理念，持續加強“動態防御、主動防御、縱深防御、精準防護、整體防控、聯防聯控”六防能力建設。（三防六化）金融行業態勢感知體系發展方向 A、威脅檢測能力 B、攻擊防御能力 C、威脅監控能力 D、事件響應能力 E、漏洞運營能力 F、安全態勢感知平臺建設 著力完善金融信息基礎設施建設，著力鞏固金融網絡安全，增強安全生產和安全管理能力；加強網絡安全態勢感知，動態監測分析網絡流量和網絡實體行為，繪制金融網絡安全整體態勢圖，準確把握網絡威脅的規律和趨勢，實現風險全局感知和預判預警。商業銀行應依據信息科技風險管理策略和風險評估結果，實施全面的風險防范措施,企業安全發展要求 金融科技應用成為銀行

5、業競爭新高地，但目前整個行業安全評估和安全技術投入不足，金融科技安全生態尚未形成?，F場監管力度增強，非現場檢查內容豐富，監管要求趨于嚴格化，監管重心從制度層面轉移到執行層面金融科技發展和監管要求行業指導在信息安全形勢愈發嚴峻，金融行業作為國家關鍵基礎行業面臨巨大挑戰，上級監管部門發布多項安全運營與態勢感知相關指導意見，安全監管要求愈發全面和嚴格，同時考慮企業自身安全發展訴求，對態勢感知體系建設提出新的要求。網絡安全攻防對抗升級 網絡攻擊產業化、精準化、移動化、技術化有較大規模組織的對抗日益增多，大量惡意網絡攻擊行為。勒索軟件加速演變進化，并在技術迭代、勒索方式（數據泄露+加密勒索）等方面不斷進

6、化，變得更加復雜和難以防范，一旦攻擊得手能夠快速橫向移動導致企業業務癱瘓。33%的企業網絡安全或者數據安全事件與員工錯誤有關，企業員工的安全意識培訓已經從可有可無的可選項變成“剛需”，安全意識培訓是安全人士認為最有效的網絡安全措施。2020 年上半年業界總共提交9000 個安全漏洞，全年漏洞數量有望創下新高（突破兩萬），其中移動漏洞（Android 漏洞）數量同比增長50%。個人金融C1、C2、C3級別信息，以及驗證碼、人臉等信息廣泛運用到用戶認證、業務交易中，使不法分享獲取個人金融信息更容易，身份證、手機號、卡號金融信息三要素的組合資金欺詐頻發。有組織的對抗增多勒索軟件成為頭號敵人人的因素倍

7、受關注漏洞數量創新高隱私保護任重道遠趨勢二用戶個人信息泄露助長網絡黑產發展針對金融APP的木馬攻擊呈現高度定制化趨勢“羊毛黨”造成的損失日益嚴重短信驗證風險依然需要高度關注互聯網金融生態引入新攻擊面生物識別技術引入新的風險點趨勢一趨勢三趨勢四趨勢五趨勢六 攻防新態勢平臺建設新要求政策法制健全攻防對抗升級安全發展訴求國際形勢嚴峻理念升級組織升級技術升級安全運營與態勢感知關系 安全運營不等于安全態勢感知，安全運營的范圍更廣泛，安全運營是一個工作領域，安全態勢感知則是此領域下其中一種能力（圍繞威脅）。安全態勢感知平臺就是為了提供這種能力支撐而建設。安全態勢感知平臺不是一個獨立的平臺，更不是單一某家安

8、全廠商的產品，是一個包含多個板塊，各自分工，密切交互的生態。核心：安全實時計算、安全數據圖譜、安全AI、威脅態勢感知與響應理念升級SIEM安全信息與事件管理安全運營與智慧感知平臺SOC安全運營中心 目標：解決安全數據集中化和告警消減的問題；特點：安全設備日志統一收集 告警集中監控 安全事件分析及審計 目標：支撐信息安全運營整體閉環，監測、分析、響應、協同工作；特點：流程電子化 分析智能化 防御協同化基 目標：圍繞安全威脅發現、分析、處置開展深入能力建設，輔以大數據技術、人工智能、資產和情報實現安全態勢感知。特點：以威脅感知為核心 安全實時計算為支撐 數據驅動 自動化、智能化、可視化安全數據中臺

9、技術升級智慧態勢感知體系整體架構智慧安全態勢感知體系網絡安全法律法規政策體系網絡安全等級保護政策標準體系安全指揮與決策安全感知場景實時分析引擎離線分析引擎數據采集數據處理數據存儲數據索引數據治理安全計算與存儲平臺大數據存儲大數據檢索實時計算離線計算專家系統指揮系統沙盤推演事件協作通知通告安全可視化威脅檢測威脅分析威脅情報應用系統現象安全事件流程多維指標自動化響應安全大腦安全計算與存儲平臺技術指標平臺數據處理能力數據處理能力20億條/天，3.4TB/天，處理性能峰值為100M/秒實時查詢能力存儲數據量2TB/天，可供查三個月內數據300TB數據30用戶并發查詢效率2秒以內離線分析能力3.4T/天

10、，存儲6個月;支持TB級數據備份能力分鐘級別離線分析能力統計結果數據能力1億條/天支持3個月存儲150TB數據秒級實時統計模型分析計算能力支持40個模型實時分析計算數據倉庫組件流處理計算組件批處理計算組件深度學習組件機器學習組件KafkaHDFSMySqlOracle日志存儲組件ESMangoDBRedis技術組件層統一資源調度管理框架分布式協調服務CPUGPU存儲基礎設施資源調度彈性伸縮GPU調度彈性支撐統一計算分析引擎計算資源層分類算法聚類算法回歸算法事件序列預算算法異常檢測算法分析計算分析算法安全數據中臺安全感知場景安全指揮與決策安全數據中臺計算與存儲平臺Hadoop智能數據管理數據質量

11、數據源管理專題數據數據處理層數據目錄自助取數數據挖掘計算服務存儲服務共享服務面向安全應用提供服務API、算法、圖的智能安全數據服務API接口文件接口庫表服務消息推送基礎安全治理業務安全數據安全威脅感知安全運營流批一體元數據管理數據服務：根據上層威脅分析或者上層業務應用的需要對外部系統提供海量、快速、規范的數據服務數據萃?。簶嫿ňW絡安全態勢要素原始庫、資源庫、主題庫、知識庫,實現海量安全數據的有效融合數據治理：數據治理主要對多源、異構數據進行清洗和過濾、標準化歸一化、標識、分層等操作，對雜亂的數據進行處理，逐步對數據進行萃取，提煉價值，形成對上層提供數據服務的能力數據采集：通過主動采集和被動接收

12、的方式，采集網絡安全防護系統數據，服務器及主機數據、網絡骨干節點數據、資產脆弱性數據、威脅感知數據、協同合作數據六類數據。安全數據倉庫數據管控數據安全數據監控服務層采集輸配層日志數據離線處理流量數據資產數據情報數據安全業務數據在線處理圖譜處理其它機構來源爬蟲數據主機采集網絡采集情報數據敏感信息管理敏感信息掃描敏感信息脫敏信息防泄漏內容標記關系管理數據融合語義分析行為實體分析數據安全數據等級數據權限敏感信息管理敏感信息掃描敏感信息脫敏數據防泄漏安全數據圖譜安全數據圖譜將數據橫向劃分為日志域、流量域、資產域、情報域、業務域等多個主題域。安全設備日志中間件日志網絡日志應用日志系統日志終端日志互聯網出

13、口流量云內東西向流量HTTPS流量DNS流量HTTP流量郵件流量安全設備資產暴露面資產人員資產終端資產應用資產系統資產網絡資產惡意樣本處置預案庫知識庫惡意郵箱惡意IP惡意URL漏洞庫惡意郵箱惡意IP惡意URL漏洞庫惡意代碼脆弱性運營指標訪問行為威脅告警異常行為業務預警安全大腦安全大腦，作為智慧安全態勢感知平臺的核心，其充分發揮大數據平臺技術的優勢，以安全數據為基礎，綜合利用人工智能、行為分析、大數據分析、知識圖譜、關聯分析等多種分析技術，構建安全分析場景，對海量數據進行多維、智能的持續分析，實現對威脅的精準識別和研判，威脅自動化響應，通過持續動態學習機制，持續進化企業安全防御能力。流處理計算引

14、擎威脅識別事件預警用戶畫像用戶關系信息泄露離線分析分析引擎分析場景策略算法模型場景預測分類聚類檢測特征提取線性回歸SVM/決策樹K-Means平方損失絕對損失對數損失平均值均差矩陣轉換機器學習引擎輸出能力預測分類輸出能力規則匹配情報驗證關聯分析切片統計實時分析安全大腦應用效果安全設備與態勢感知平臺的大數據能力實現打通，為安全設備端進行大數據分析賦能；安全設備端與大數據端的能力逐漸實現分層和協作，為安全防護架構有帶來質的提升；黑灰產與我行的對抗轉變為人-機或機-機對抗，我行的對抗效率是質的飛躍實時的大數據分析能力有監督的實時學習能力無監督的實時學習能力動態的學習與防御能力依托安全數據湖輸出的數據

15、能力，逐漸形成全面的安全監測場景覆蓋經過專家訓練和調教的分析模型7*24小時運轉，配合強大的安全計算能力支持，高效識別安全威脅經過精細編排的處置動作，根據分析結果自動化地適時啟動高階和低階防御模式，消除風險于無形機器代替人力，風險、事件和漏洞的發現能力和效率成指數提升依托大腦逐步實現安全治理的動態分析和風險預警，管理效率得到明顯提升一體化安全監測、防御能力安全治理能力監控-分析-防御全流程自動化處置能力安全分析自動化研判能力通過安全大腦建設，安全態勢感知能力將從檢測、分析、處置、治理四個方向提升。組織升級攻防團隊監控團隊分析團隊BeforeAfter監控小組分析小組攻擊小組數據團隊數據治理小組

16、數據建模小組團隊資源不足，基于監管合規進行工作開展團隊資源按需補充，組織分工精細化發展，建里總分一體的安全組織架構面向實戰化的安全運營工作開展，保障光大新型動態防御體系建設團隊資源未來思考1234大數據計算平臺 夯實基礎，持續優化大數據計算平臺的數據處理能力和穩定性。組件擴充，基于上層應用要求，按需引入計算組件、存儲組件，通過資源擴容和技術升級，核心在于算力和存儲能力的提升，100PB數據的處理能力安全數據中臺 采集范圍擴大，履行企業安全配置管理數據庫定位，匯聚全網安全數據、統一數據結構、制定開放標準。持續治理，沉淀數據價值，持續提升威脅分析的準確性。著重進行AI計算能力補充，為平臺注智提供支撐。數據質量和數據治理標準，加入AI安全場景 整合內外部數據分析團隊資源，在做好外部威脅識別的同時，開展內部用戶實體行為分析、威脅智能決策場景研發。引入自動化編排能力引入，通過場景編排，精準高效的形成自動化響應處置能力，驅動的各設備協同工作，提升安全響應的速度和效率。上層應用 實現安全應用解耦，構建安全能力中臺，面向前臺應用，實現安全能力規?；_放復用，實現安全服務按需申請、靈活配置、快速交付，最終實現上層應用的高效研發。