基于国产化安全大脑为核心的实战化安全运营体系构建,以国产化安全大脑建设为核心,自研建立一个集分析、预警、响应处置为一体的大数据安全分析平台,以大数据为基础、以智能分析为手段、以管理流程为驱动,让安全事件做到闭环管理并驱动平台持续完善,从实战化安全运营体系建设、安全分析智能化、安全处置自动化、安全管理平台化四个维度,推动安全运营数字化转型:
1、实战化安全运营体系建设:以实战角度出发,实践网络安全运营工作,形成实战化网络安全防御、响应及处置体系,建立风险发现、综合研判、分析告警、应急处置、安全加固等威胁运维管理体系及流程,实现威胁监测、应急等各项工作制度化、标准化。
2、安全分析智能化:通过建设安全大脑,收集各类安全日志,基于大数据分析算法,设计银行内部分析模型,将量级安全日志分析成可人工分析的安全事件,提升安全分析精度和速度,降低安全运营人力投入。
3、安全处置自动化:提供更灵活、可配置的安全编排及自动化响应功能,结合实际安全业务需求,联动现有安全设备及威胁情报,按照定义的标准工作方法执行安全风险协同响应工作,帮助银行自动化、半自动化完成安全处置工作,提升安全运营效率。
4、安全管理平台化:将现有的日常安全运营流程重新梳理,融入到安全大脑平台中,兼顾外部风险处置和内部管控流程,使安全运营常态化、安全管理精细化,最终完成安全运营一站式平台化服务。
国产化安全大脑平台,建立了全行网络安全日志统一收集平台,基于大数据分析算法,设计银行内部分析模型,将量级安全日志分析成可人工分析的安全事件,提升安全分析精度和速度,降低安全运营人力投入。同时通过系统对接,提供更灵活、可配置的安全编排及自动化响应功能,结合实际安全业务需求,联动现有安全设备及威胁情报,按照定义的标准工作方法执行安全风险协同响应工作,帮助银行自动化、半自动化完成安全处置工作,提升安全运营效率。另一方面将现有的日常安全运营流程融入到安全大脑平台中,兼顾外部风险处置和内部管控流程,使安全运营常态化、安全管理精细化,最终完成安全运营一站式平台化服务。
同时,无锡农商行安全大脑平台实现了从基础计算资源、操作系统、中间件到应用软件的全找国产化构建,具有国产化自主知识产权,打破了国外信息安全产品的技术垄断,摒避了国外信息技术产品可能存在“后门”的隐患,进一步加强了银行安全运营体系实战能力及防御能力,为银行业务发展提供更强有力的安全保障。
方案背景
近年来,无锡农商行以数据中心互联网区IPV6整体升级改造为契机,一方面,结合本行实际,对各类基础安全防护工具进行全面重建;另一方面,在各类基础安全防护工具之上部署了安全流量编排设备、安全流量分析平台、日志分析平台,通过与本行各类安全设备进行对接联动,实现了本行各类安全设备的“三个统一”:安全设备统一编排调度、安全流量统一分析检测、安全日志统一收集及监控分析,有效提升了本行网络安全管理效率及手段。经过持续建设至今,无锡农商行新一代网络安全防护工具框架已基本部署完成。
在此背景下,无锡农商行为了推进本行实战化安全运营体系建设的最后一公里落地,以国产化安全大脑建设为核心,自研建立一个集分析、预警、响应处置为一体的大数据安全分析平台,以大数据为基础、以智能分析为手段、以管理流程为驱动,让安全事件做到闭环管理并驱动平台持续完善,从实战化安全运营体系建设、安全分析智能化、安全处置自动化、安全管理平台化四个维度,推动安全运营数字化转型。
方案目标
1、实战化安全运营体系建设:以实战角度出发,实践网络安全运营工作,形成实战化网络安全防御、响应及处置体系,建立风险发现、综合研判、分析告警、应急处置、安全加固等威胁运维管理体系及流程,实现威胁监测、应急等各项工作制度化、标准化。
2、安全分析智能化:通过建设安全大脑,收集各类安全日志,基于大数据分析算法,设计银行内部分析模型,将量级安全日志分析成可人工分析的安全事件,提升安全分析精度和速度,降低安全运营人力投入。
3、安全处置自动化:提供更灵活、可配置的安全编排及自动化响应功能,结合实际安全业务需求,联动现有安全设备及威胁情报,按照定义的标准工作方法执行安全风险协同响应工作,帮助银行自动化、半自动化完成安全处置工作,提升安全运营效率。
4、安全管理平台化:将现有的日常安全运营流程重新梳理,融入到安全大脑平台中,兼顾外部风险处置和内部管控流程,使安全运营常态化、安全管理精细化,最终完成安全运营一站式平台化服务。
5、国产化适配:实现从基础计算资源、操作系统、中间件到应用软件的全找国产化构建。
方案特点
应对层出不穷的新型威胁,无锡农商行国产化安全大脑平台系统提供更专业的攻防经验支撑、威胁情报数据支撑及安全运营支撑的整体感知与运营方案。
无锡农商行国产化安全大脑平台系统是汇聚多源异构的安全类数据、基础it类数据的安全数据中心;基于安全攻防实战及风险分析经验,针对丰富融合的各类多层次安全数据,提供多种角度深度分析的安全风险数据分析平台;贯穿银行安全运营体系建设,逐步建立数据分析、风险发现、风险处置、处置反馈/复查的安全风险闭环流程,串联实际安全工作,形成金融架构安全运营管理机制。以下就无锡农商行国产化安全大脑平台系统实现的关键技术要点进行分析和总结:
1、国产化适配
无锡农商行重视国产化安全建设,基于自主可控研究国产化安全大脑,适配国产操作系统、国产芯片,核心组件采用国产数据库,实现从硬件到软件自主研发、生产、升级、维护的自主可控。
2、数据接入和泛化
基于数据驱动安全的理念,国产化安全大脑能够融合多源异构数据,建立更贴合业务需求的安全数据中心。系统支持接入4大维度网络安全数据:安全类数据、基础IT类数据、全流量数据、系统配置和用户管理数据,共8大类90小类:WAF、IPS/IDS、漏扫、DDoS、APT、应用系统等。同时,支持多种存储数据结构的维护管理、扩展编辑,可持续扩展接入数据的管理结构。
兼容主动、被动的主流数据获取方式,包括:Syslog、文件FTP/SFTP、数据库、全流量镜像等,支持接入监控并管理设备,及时发现设备数据是否接入、是否成功泛化;内置50+主流安全系统自动化解析能力,可直接接入标准化日志,同时支持零基础数据泛化,可快速接入JSON、XML、键值对,并提供正则模式。
3、自主数据全系列探针
国产化安全大脑配套全系列探针,能够支持多种自主安全能力及数据,主要包括:全流量风险事件数据、资产发现及脆弱性事件数据、网站风险事件数据等。
数据采集探针:默认搭载探针,灵活部署,支撑第三方数据采集。
资产监测探针:支持主动资产探测及资产脆弱性检测。
全流量探针:旁路镜像部署,支持全镜像流量,检测及发现多层次流量威胁。
网站监测探针:支持网站监测及风险检测。
4、多源关联分析工具
国产化安全大脑内置实时流式分析、离线周期分析和离线手动分析三大分析引擎,帮助在理解数据的基础上快速获取风险分析能力,高效应对不断迭代的风险问题,输出高可信告警。
国产化安全大脑针对多源数据提供交互式功能,可以灵活配置统计、筛选、关联、基线等分析策略,学习成本更低,并支持通过SQL补充多种复杂分析要求,同时,可循环引用分析结果数据,输出态势风险告警。
5、分析引擎和基线学习
国产化安全大脑支持分析引擎扩展,快速响应多种应急场景。
语义分析引擎:针对Web流量对目标字符串依次进行词法分析、语法分析、语义分析,结合安全威胁模型打分,实现Web攻击精准监测。
基线分析引擎:基于数值建立基线区间,串联关联分析工具,快速应用到关联分析规则配置中,发现异常数据从而实现异常基线分析。
内置多个监测模型引擎:DGA域名检测引擎、DNS隐匿信道引擎等,实现提取DGA发送载体行为特征进行恶意DGA域名定位,以及DNS隧道检测。
6、 安全编排、自动化响应
国产化安全大脑支持灵活可配置的安全编排及自动化响应功能,按照定义的标准工作流程自动执行安全风险协同响应工作,串联规范化和流程化的安全管控,降低安全运营成本。
7、风险研判&处置流程
国产化安全大脑内置风险告警研判中心,面向多个安全运营角色,包括告警监控角色、研判分析角色及风险处置角色,能够串联安全运维及处置流程,并支持按需扩展和建设。
方案业务流程图
实现功能展示
方案案例及效果
一、获得的成绩
1、金科创新社:2021中小金融机构数智化转型优秀案例评选-【信息安全创新优秀案例奖】;
2、农信银资金清算中心:第五届农村中小金融机构科技创新优秀案例评选-【安全可控优秀案例】;
3、金融电子化:第十二届金融科技应用创新评选-【2021金融业信息安全突出贡献奖】。
二、经济效益
提高人员工作效率、减少人员投入。国产化安全大脑平台系统是无锡农商行自有开发人员根据安全业务实际需求制定模型和研发方案。研发成本可控,且研发团队稳定,可根据业务发展快速迭代开发。如果按照已建设完成的安全大脑进行采购,成熟的商用安全大脑平台系统基本都需要上百万。从这个角度计算,节约投资约150万元。在国产化安全大脑投入使用后,使得安全运营人员工作效率大大提升,按照目前运行情况来看,可以做到减少5人年的人力投入,按1人年30万元计算,可节约人力成本150万元/年。
成果输出。国产化安全大脑平台系统具备自主化知识产权,在开发、建设、运营中积累大量运行经验,具备成果输出条件,同样适用于已完成基础建设、需加强安全运营能力的中小型金融机构,具有可复制性、可推广性,可给无锡农商行带来经济效益的增长。
三、社会效益
提升安全事件处置效率。国产化安全大脑平台系统自上线以来,已累计接入3000+资产,每日分析百万条原始日志,验证有效攻击数千条,安全事件监控、分析到处置从原来4~6小时降低至20分钟,提高安全事件响应和处置效率,提前规避安全风险。
在两会、建党等重大网络安全活动保障中,安全大脑辅助安全运营人员进行溯源反制工作,帮助运营人员快速发现网络攻击,提升无锡农商行处理突发情况的应急能力,保障无锡农商行网络未被攻破,正常提供业务。
国产化安全大脑平台系统成功在国产操作系统、国产芯片进行运行,且核心数据库也进行国产化适配。基于国产软件、硬件的适配,无锡农商行实现国产化替代,加快国产安全设备建设布局,打造金融网络安全自主可控。
方案未来展望
无锡农商行基于国产化安全大脑为核心的实战化安全运营体系构建率先在同行业中实践基于国产化自主知识产权的计算资源、操作系统等基础架构,并取得了成功。此举在同行业中有望形成示范效应,树立标杆案例,并带动其他行业加快国产化项目落地进程。